Retour sur investissementen sécurité
Comment essayer de démontrerl'utilité de vos investissements en sécurité ?
Hervé Schauer<[email protected]>
Hervé Schauer Consultants
Les journées Microsoft de la sécurité informatiqueLes journées Microsoft de la sécurité informatique3 mars 20063 mars 2006
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite22 / 36 / 36
Hervé Schauer Consultants Hervé Schauer Consultants www.hsc.frwww.hsc.fr
Société de conseil en sécurité des systèmes d'information depuis Société de conseil en sécurité des systèmes d'information depuis 19891989
Prestations intellectuelles d'expertise en toute indépendancePrestations intellectuelles d'expertise en toute indépendance
Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personneldélégation de personnel
Prestations : conseil, études, audits, tests d'intrusion, formationsPrestations : conseil, études, audits, tests d'intrusion, formations
Domaines d'expertiseDomaines d'expertise
Sécurité Windows / Unix et linux / embarquéSécurité Windows / Unix et linux / embarqué
Sécurité des applicationsSécurité des applications
Sécurité des réseauxSécurité des réseaux
TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique, ...TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique, ...
Organisation de la sécuritéOrganisation de la sécurité
CertificationsCertifications
CISSP, ISO 27001 Lead Auditor, ProCSSICISSP, ISO 27001 Lead Auditor, ProCSSI
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite33 / 36 / 36
PlanPlan
Avant-proposAvant-propos
Exemple d'incidentExemple d'incident
Exemples d'orientation de Exemples d'orientation de ROSIROSI
Amélioration de la productivitéAmélioration de la productivité
Diminution des incidentsDiminution des incidents
Analyse de risqueAnalyse de risque
Enjeux métiersEnjeux métiers
Meilleures pratiquesMeilleures pratiques
BenchmarkingBenchmarking
Les transparents sont disponibles sur www.hsc.fr
ROSIROSI
DéfinitionsDéfinitions
Pourquoi ?Pourquoi ?
Facteur de succès de la sécuritéFacteur de succès de la sécurité
Coûts de la sécuritéCoûts de la sécurité
Courants d'approche du ROSICourants d'approche du ROSI
Choix du ROSIChoix du ROSI
Positionnement du projetPositionnement du projet
Grille d'orientation d'argumentaireGrille d'orientation d'argumentaire
Grille des apports pour la SSIGrille des apports pour la SSI
Dossier d'argumentationDossier d'argumentation
ConclusionConclusion
Prochains rendez-vousProchains rendez-vous
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite44 / 36 / 36
Avant-propos : ClusifAvant-propos : Clusif
Clusif Clusif ((www.clusif.asso.frwww.clusif.asso.fr))
Groupe de travail ROSI de février 2003 à mai 2004Groupe de travail ROSI de février 2003 à mai 2004
Ernst & Young, HSC, Lynx, Microsoft, SIVAErnst & Young, HSC, Lynx, Microsoft, SIVA
Publication du document "Retour sur investissement en sécurité des Publication du document "Retour sur investissement en sécurité des systèmes d'information, quelques clés pour argumenter" en octobre systèmes d'information, quelques clés pour argumenter" en octobre 20042004
http://www.hsc.fr/presse/clusif/RoSI.pdfhttp://www.hsc.fr/presse/clusif/RoSI.pdf
Présentation basée sur ce document du ClusifPrésentation basée sur ce document du Clusif
Présentation déjà donnée en 2005, que Microsoft m'a Présentation déjà donnée en 2005, que Microsoft m'a demandé de refaire aux journées Microsoftdemandé de refaire aux journées Microsoft
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite55 / 36 / 36
http://www.internetweek.com/news/166401649
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite66 / 36 / 36
Exemple d'incidentExemple d'incident
Vente d'informations nominatives et confidentielles à des Vente d'informations nominatives et confidentielles à des escrocsescrocs
Coût de l'incident : 11 millions de dollarsCoût de l'incident : 11 millions de dollars
Mauvaise gestion de l'informationMauvaise gestion de l'information
Analyse de risque aurait pu révéler qu'il fallait avoir un contrôle strict de Analyse de risque aurait pu révéler qu'il fallait avoir un contrôle strict de la divulgation de l'informationla divulgation de l'information
Enjeux propres à ce métier auraient peut être exigés d'investir dans un Enjeux propres à ce métier auraient peut être exigés d'investir dans un contrôle strict des personnes auxquelles étaient vendues les donnéescontrôle strict des personnes auxquelles étaient vendues les données
Pratiques des gens gérant et revendant des données nominatives Pratiques des gens gérant et revendant des données nominatives beaucoup plus strictes que ce qui était pratiqué chez ChoicePointbeaucoup plus strictes que ce qui était pratiqué chez ChoicePoint
Plusieurs orientations de raisonnement sont possibles pour Plusieurs orientations de raisonnement sont possibles pour montrer qu'il aurait pu être plus rentable d'investir au préalable montrer qu'il aurait pu être plus rentable d'investir au préalable dans une meilleure gestion de la sécurité de l'informationdans une meilleure gestion de la sécurité de l'information
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite77 / 36 / 36
Exemples d'orientation de ROSIExemples d'orientation de ROSI
Amélioration de la productivitéAmélioration de la productivité
Diminution des incidentsDiminution des incidents
Analyse de risqueAnalyse de risque
Enjeux métiersEnjeux métiers
Meilleures pratiquesMeilleures pratiques
BenchmarkingBenchmarking
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite88 / 36 / 36
ROSI orientéROSI orientéAmélioration de la productivitéAmélioration de la productivité
Pas spécifique à la sécuritéPas spécifique à la sécurité
Avantage : Avantage : intuitif car pas spécifique à la sécuritéintuitif car pas spécifique à la sécurité
Limites : Limites : ne marche pas toujours car souvent technologiquene marche pas toujours car souvent technologique
ExempleExemple
Scénario :Scénario :
Entreprise utilisant une équipe de 5 personnes chargées principalement Entreprise utilisant une équipe de 5 personnes chargées principalement d'établir les droits d'accès et les mots de passe, et de les enregistrer ou d'établir les droits d'accès et les mots de passe, et de les enregistrer ou les faire enregistrer dans l'ensemble des systèmes et applicationsles faire enregistrer dans l'ensemble des systèmes et applications
Solution :Solution :
Déploiement d'une solution de gestion des identités de 250 kDéploiement d'une solution de gestion des identités de 250 k€€
ROSI :ROSI :
Réduction de la charge de travail, diminution de 5 à 2 personnes, coût de Réduction de la charge de travail, diminution de 5 à 2 personnes, coût de fonctionnement passé de 400 k€ à 160 k€fonctionnement passé de 400 k€ à 160 k€
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite99 / 36 / 36
ROSI orienté Incidents ou SinistralitéROSI orienté Incidents ou Sinistralité
ALE : Annual Loss of ExpectancyALE : Annual Loss of Expectancy
Pertes annuelles prévisibles à partir de la fréquence de survenance d'un Pertes annuelles prévisibles à partir de la fréquence de survenance d'un incident et coût financier de son impactincident et coût financier de son impact
ROSI : différence entre l'ALE actuel et l'ALE futur + le coût de la solutionROSI : différence entre l'ALE actuel et l'ALE futur + le coût de la solution
LimitesLimites
Calcul de probabilité donc bases d'incidents et effort de modélisationCalcul de probabilité donc bases d'incidents et effort de modélisation
Pas de distinction occurence faible/impact élevé et occurence élevée/impact Pas de distinction occurence faible/impact élevé et occurence élevée/impact faiblefaible
ExempleExemple
ScénarioScénarioAttaque virale généralisée couteraît 1MAttaque virale généralisée couteraît 1M€ avec une probabilité € avec une probabilité d'occurence de 70%d'occurence de 70%
SolutionSolutionDiminution de la probabilité de 20% par le déploiement d'une nouvelle Diminution de la probabilité de 20% par le déploiement d'une nouvelle infrastructure anti-virale de 150 kinfrastructure anti-virale de 150 k€€
ROSI : 70% x 1MROSI : 70% x 1M€ - (70-20)% x 1M€ - 150 k€ = 50 k€€ - (70-20)% x 1M€ - 150 k€ = 50 k€
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1010 / 36 / 36
ROSI orienté Analyse de risquesROSI orienté Analyse de risques
Comparaison du Comparaison du risque potentiel maximalrisque potentiel maximal par rapport au coût de par rapport au coût de la solutionla solution
Avantage : approche largement employéeAvantage : approche largement employée
LimitesLimites
Technique de quantification différentes d'une méthode à une autre, d'un Technique de quantification différentes d'une méthode à une autre, d'un expert à l'autreexpert à l'autre
Scénarios de risques non-exhaustifs et hypothèses des scénarios Scénarios de risques non-exhaustifs et hypothèses des scénarios susceptibles d'être remises en causesusceptibles d'être remises en cause
ExempleExemple
ScénarioScénarioServeur de production sur un site non-sécurisé redondé localement, en Serveur de production sur un site non-sécurisé redondé localement, en cas de sinistre majeur sur le site la perte est évaluée à 15Mcas de sinistre majeur sur le site la perte est évaluée à 15M€€
SolutionSolutionHébergement sur un site distant sécurisé : 4MHébergement sur un site distant sécurisé : 4M€€
ROSI :ROSI :
Coût de la solution de 4MCoût de la solution de 4M€ par rapport à celui du sinistre de 15M€€ par rapport à celui du sinistre de 15M€
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1111 / 36 / 36
ROSI orienté Enjeux métiersROSI orienté Enjeux métiersLa sécurité est génératrice de richesses dans votre activitéLa sécurité est génératrice de richesses dans votre activité
Gain de part de marché, avantage concurrentielGain de part de marché, avantage concurrentiel
Amélioration de la qualité d'un service, de l'image de marque, de la confiance Amélioration de la qualité d'un service, de l'image de marque, de la confiance du clientdu client
AvantageAvantage
Utilise le langage métier et fédère l'organismeUtilise le langage métier et fédère l'organisme
LimitesLimites
N'utilise pas d'analyse coût/bénéficesN'utilise pas d'analyse coût/bénéfices
Difficile à expliquer et difficile d'atteindre les bons interlocuteursDifficile à expliquer et difficile d'atteindre les bons interlocuteurs
ExempleExemple
ScénarioScénarioServeur d'assurance avec fichier nominatif non-protégé : clients, biens Serveur d'assurance avec fichier nominatif non-protégé : clients, biens assurés, ...assurés, ...
SolutionSolutionSécurisation du serveur, ajout d'un contrôle d'accès, authentification forteSécurisation du serveur, ajout d'un contrôle d'accès, authentification forte
ROSI : enjeu lié à l'image et au risque juridiqueROSI : enjeu lié à l'image et au risque juridique
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1212 / 36 / 36
ROSI orienté Meilleures pratiquesROSI orienté Meilleures pratiques
AvantageAvantage
Alternative à l'analyse de risqueAlternative à l'analyse de risque
LimiteLimite
Beaucoup pensent que les meilleures pratiques ne sont pas pour euxBeaucoup pensent que les meilleures pratiques ne sont pas pour eux
ExempleExemple
ScénarioScénarioUn audit de sécurité révèle que l'ERP d'une société cotée n'a pas de Un audit de sécurité révèle que l'ERP d'une société cotée n'a pas de ségrégation des tâches et de traçabilité, ouvrant la possibilité à des ségrégation des tâches et de traçabilité, ouvrant la possibilité à des fraudes internesfraudes internes
SolutionSolutionIntervention d'un cabinet d'expertise en sécurité pour reconstruire la Intervention d'un cabinet d'expertise en sécurité pour reconstruire la sécurité applicativesécurité applicative
ROSIROSI
La direction n'étant pas sensibilisée à la fraude interne c'est le La direction n'étant pas sensibilisée à la fraude interne c'est le respect de la loi sur la sécurité financière qui les a fait déciderrespect de la loi sur la sécurité financière qui les a fait décider
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1313 / 36 / 36
ROSI orienté BenchmarkingROSI orienté Benchmarking
Comparatif de performance des entreprisesComparatif de performance des entreprises
AvantagesAvantages
Les dirigeants apprécientLes dirigeants apprécient
LimitesLimites
Ne prends pas en compte les spécificités locales et pousse à faire Ne prends pas en compte les spécificités locales et pousse à faire pareilpareil
ExempleExemple
ScénarioScénarioUn audit de sécurité de service en ligne révèle un serveur très mal conçu Un audit de sécurité de service en ligne révèle un serveur très mal conçu où tous les clients peuvent visualiser les informations des tiers. Jamais un où tous les clients peuvent visualiser les informations des tiers. Jamais un service du secteur n'a été vu dans un tel état.service du secteur n'a été vu dans un tel état.
SolutionSolutionRé-écrire l'applicationRé-écrire l'application
ROSIROSI
Rejoindre la majorité, ne pas faire pire que les autresRejoindre la majorité, ne pas faire pire que les autres
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1414 / 36 / 36
ROSI : DéfinitionsROSI : Définitions
ROSI : ROSI : Return On Security InvestmentReturn On Security Investment
Retour sur investissement en sécuritéRetour sur investissement en sécurité
ROSI vient de ROI : ROSI vient de ROI : Return On InvesmentReturn On Invesment
Gain financier d'un projet de sécurité au regard de son coût Gain financier d'un projet de sécurité au regard de son coût totaltotal
Net : en monnaie constanteNet : en monnaie constante
Investissements et fonctionnementInvestissements et fonctionnement
Sur une période d'analyse donnéeSur une période d'analyse donnée
Projet de sécurité : projet où la sécurité est plus importanteProjet de sécurité : projet où la sécurité est plus importante
TCO : TCO : Total Cost of OwnershipTotal Cost of Ownership
Coût total associé au cycle déploiement/maintenanceCoût total associé au cycle déploiement/maintenance
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1515 / 36 / 36
ROSI : DéfinitionROSI : Définition
Le ROSI relativise les coûts par rapport aux bénéficesLe ROSI relativise les coûts par rapport aux bénéfices
Point de retour : date à partir de laquelle les gains dépassent les Point de retour : date à partir de laquelle les gains dépassent les coûtscoûts
Le ROSI est plutôt la valeur ajoutée d'un investissement Le ROSI est plutôt la valeur ajoutée d'un investissement en sécuritéen sécurité
Le retour sur investissement n'est plus uniquement une notion Le retour sur investissement n'est plus uniquement une notion financièrefinancière
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1616 / 36 / 36
ROSI : Pourquoi ?ROSI : Pourquoi ?
Manière de travailler, d'analyser et de décider repose de plus Manière de travailler, d'analyser et de décider repose de plus en plus sur des tableaux de chiffresen plus sur des tableaux de chiffres
Certains dirigeants prennent leurs décisions face à des tableaux ExcelCertains dirigeants prennent leurs décisions face à des tableaux Excel
Ceux qui prennent en compte d'autres dimensions exigent quand Ceux qui prennent en compte d'autres dimensions exigent quand même des tableaux Excel avec des chiffresmême des tableaux Excel avec des chiffres
Le tableau Excel marche pour tous les types de projetsLe tableau Excel marche pour tous les types de projets
Management demande des tableaux des coûtsManagement demande des tableaux des coûts
Dans les rapports d'audit de sécuritéDans les rapports d'audit de sécurité
Lors des réunions de restitution des résultatsLors des réunions de restitution des résultats
Tableau des coûts associés aux risques encourus et aux Tableau des coûts associés aux risques encourus et aux recommendations proposéesrecommendations proposées
Pas toujours dans la compétence de l'auditeurPas toujours dans la compétence de l'auditeur
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1717 / 36 / 36
ROSI : Pourquoi ?ROSI : Pourquoi ?
Raisons historiques du pourquoi fait-on de la sécurité ne Raisons historiques du pourquoi fait-on de la sécurité ne suffisent plus toujours au managementsuffisent plus toujours au management
Management applique la notion de ROI à des aspects Management applique la notion de ROI à des aspects immatérielsimmatériels
Sécurité protège principalement un patrimoine immatériel Sécurité protège principalement un patrimoine immatériel →→ pas pas de raison d'y échapperde raison d'y échapper
Principaux facteurs d'influence actuels auprès des Principaux facteurs d'influence actuels auprès des directions :directions :
Obligations réglementairesObligations réglementaires
Sensibilisation à la gestion des risquesSensibilisation à la gestion des risques
ROSI : piste complémentaire à l'existantROSI : piste complémentaire à l'existant
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1818 / 36 / 36
ROSI : Facteur de succès de la sécuritéROSI : Facteur de succès de la sécurité
La sécurité doit s'intégrer dans la manière de faire avec La sécurité doit s'intégrer dans la manière de faire avec d'autres sujets :d'autres sujets :
Réseaux : planification, déploiement, supervision, ...Réseaux : planification, déploiement, supervision, ...
Applications : développement, déploiement, performance, gestion, ...Applications : développement, déploiement, performance, gestion, ...
La sécurité pourra ainsi mieux s'intégrer dans la vie du La sécurité pourra ainsi mieux s'intégrer dans la vie du système d'informationsystème d'information
La sécurité commence à apparaître dans le discours des gens La sécurité commence à apparaître dans le discours des gens en dehors du monde de la sécuritéen dehors du monde de la sécurité
Plus vue comme quelque chose de séparée.Plus vue comme quelque chose de séparée.
Intégrée de manière multi-dimentionelleIntégrée de manière multi-dimentionelle
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite1919 / 36 / 36
Coûts de la sécuritéCoûts de la sécurité
Coûts organisationnels, humains, techniquesCoûts organisationnels, humains, techniques
La sécurité est de l'organisation et des hommesLa sécurité est de l'organisation et des hommes
La sécurité n'est pas des licences logiciellesLa sécurité n'est pas des licences logicielles
CoûtsCoûts ponctuelsponctuels etet récurrentsrécurrents
CoûtsCoûts tangiblestangibles ouou intangiblesintangibles
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2020 / 36 / 36
Coûts de la sécuritéCoûts de la sécurité
Coûts ponctuelsCoûts ponctuels
Investissements liés à la mise en Investissements liés à la mise en place et au déploiement des place et au déploiement des dispositifs de sécuritédispositifs de sécurité
Coûts des conséquences directes Coûts des conséquences directes des incidents de sécuritédes incidents de sécurité
Pertes de productionPertes de production
Remplacement des matérielsRemplacement des matériels
Frais d'assuranceFrais d'assurance
Frais d'investigationFrais d'investigation
Pénalités de retardPénalités de retard
Pertes de parts de marchéPertes de parts de marché
Dommages et intérêtsDommages et intérêts
Coûts de reconstitutionCoûts de reconstitution
Coût récurrentsCoût récurrents
Coûts d'exploitation et Coûts d'exploitation et d'administration des dispositifs de d'administration des dispositifs de sécuritésécurité
Coûts de mise à jour des Coûts de mise à jour des dispositifs et de leurs procéduresdispositifs et de leurs procédures
Plus des 2/3 du coût totalPlus des 2/3 du coût total
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2121 / 36 / 36
Coûts de la sécuritéCoûts de la sécurité
Coûts tangiblesCoûts tangibles
MesurablesMesurables
InvestissementsInvestissements
Maintenance et supportMaintenance et support
Prime d'assurancePrime d'assurance
Baisse de productivité où Baisse de productivité où l'équivalent financier est l'équivalent financier est chiffrablechiffrable
Perte de revenusPerte de revenus
Remplacement ou Remplacement ou reconstitutionreconstitution
Coût intangiblesCoût intangibles
Difficilement mesurablesDifficilement mesurables
Baisse de productivité difficile Baisse de productivité difficile à mesurerà mesurer
Perte de réputation ou de la Perte de réputation ou de la confiance des clientsconfiance des clients
Perte de part de marchéPerte de part de marché
Non-conformité à la législationNon-conformité à la législation
Poursuites juridiquesPoursuites juridiques
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2222 / 36 / 36
Courants d'approche du ROSICourants d'approche du ROSI
Arguments évoqués dans la littératureArguments évoqués dans la littérature
Arguments technologiquesArguments technologiques
Généralisation d'outils ou de procéduresGénéralisation d'outils ou de procédures
Réduction du nombre d'incidentsRéduction du nombre d'incidents
Amélioration de la convivialité pour les utilisateursAmélioration de la convivialité pour les utilisateurs
Arguments métiersArguments métiers
Analyse de risque, assurance, confiance, concurrence dans le secteurAnalyse de risque, assurance, confiance, concurrence dans le secteur
Arguments réglementaires et normatifsArguments réglementaires et normatifs
Lois : Sarbanes-Oxley, sécurité financière, informatique & libertésLois : Sarbanes-Oxley, sécurité financière, informatique & libertés
Normes : ISO 27001 (anciennement BS7799-2)Normes : ISO 27001 (anciennement BS7799-2)
Propres au métier : CRBF 97-02, Bâle II, HIPAAPropres au métier : CRBF 97-02, Bâle II, HIPAA
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2323 / 36 / 36
Choix du ROSI : approche CLUSIFChoix du ROSI : approche CLUSIF
Combiner aspects quantitatif et qualitatif en trois étapes :Combiner aspects quantitatif et qualitatif en trois étapes :
Orientation du projetOrientation du projet
Projet plutôt Projet plutôt métiermétier
Projet plutôt Projet plutôt sécurité des SIsécurité des SI
Cartographie contextuelle du projetCartographie contextuelle du projet
Quatre axes complémentaires selon le contexteQuatre axes complémentaires selon le contexte
Performance, amélioration de la productivitéPerformance, amélioration de la productivité
RisquesRisques
Sinistralité, incidentsSinistralité, incidents
Enjeux businessEnjeux business
Trois facteurs influencent l'approcheTrois facteurs influencent l'approche
Contexte économique, humain et intrinsèque aux projetsContexte économique, humain et intrinsèque aux projets
Synthèse des apports potentiels pour la sécuritéSynthèse des apports potentiels pour la sécurité
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2424 / 36 / 36
Statistiques incidentsCoût des pertes
(ALE)
MenacesRisques potentiels
Aspects réglementaires
Objectifs métiersApports SSI / enjeux
du projet
Gains de productivitéEconomies de
fonctionnement
Performance /Productivité
Baisse de la sinistralité
Prévention des risques
Enjeux business
PROJETDominante MÉTIER
Dominante SÉCURITÉ des SI
Nature du projet(dominante technique / non technique)
(contexte intrinsèque)
Secteur d’activité / Métier(contexte économique)
Interlocuteurs / commanditaires
(contexte humain)
CARTOGRAPHIE CONTEXTUELLECARTOGRAPHIE CONTEXTUELLE
GRILLE D’ORIENTATION D’ARGUMENTAIRE
POSITIONNEMENT DU PROJET
GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES
Métrique quantitative Critères qualitatifs
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2525 / 36 / 36
Positionnement/orientation du projetPositionnement/orientation du projet
Projet plutôt Projet plutôt métiermétier
Financé par une maîtrise d'ouvrage opérationnelle ou fonctionnelleFinancé par une maîtrise d'ouvrage opérationnelle ou fonctionnelle
Développer l'argumentaire orienté vers l'atteinte des intérêt ou des Développer l'argumentaire orienté vers l'atteinte des intérêt ou des objectifs du métierobjectifs du métier
Exemple : mise en oeuvre d'une nouvelle messagerie internet, l'intégration Exemple : mise en oeuvre d'une nouvelle messagerie internet, l'intégration de l'anti-virus par les gestionnaires améliore la qualité du service rendu de l'anti-virus par les gestionnaires améliore la qualité du service rendu aux usagers et diminue les appels au supportaux usagers et diminue les appels au support
Projet plutôt Projet plutôt sécurité des SIsécurité des SI
Développer l'argumentaire sécuritéDévelopper l'argumentaire sécurité
Réduction d'un risque opérationnelRéduction d'un risque opérationnel
Exemple : mise à disposition d'une solution de chiffrement pour chaque Exemple : mise à disposition d'une solution de chiffrement pour chaque type d'assistant personnel permet aux employés de protéger les données type d'assistant personnel permet aux employés de protéger les données de l'entreprise vis-à-vis de la perte de l'assistant personnelde l'entreprise vis-à-vis de la perte de l'assistant personnel
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2626 / 36 / 36
Contexte du projetContexte du projet
EconomiqueEconomique
Culture de gestion du risque déjà existante dans le métier ?Culture de gestion du risque déjà existante dans le métier ?
Environnement législatif ou réglementaire fort ?Environnement législatif ou réglementaire fort ?
Savoir faire industriel représente un avantage concurrentiel ?Savoir faire industriel représente un avantage concurrentiel ?
HumainHumain
Pour chaque intervenant : commanditaire, chef de projet, responsable de Pour chaque intervenant : commanditaire, chef de projet, responsable de service, équipes études ou opérationnels :service, équipes études ou opérationnels :
Niveau technique, sensibilité à la sécurité, intérêt pour le projet, ...Niveau technique, sensibilité à la sécurité, intérêt pour le projet, ...
IntrinsèqueIntrinsèque
Dominante technologique : importance des expertsDominante technologique : importance des experts
Dominante organisationnelle : amélioration des processus interneDominante organisationnelle : amélioration des processus interne
Dominante comportementale : tributaire de la culture sécuritaireDominante comportementale : tributaire de la culture sécuritaire
GRILLE D’ORIENTATION D’ARGUMENTAIRE
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2727 / 36 / 36
Grille d'orientation d'argumentaireGrille d'orientation d'argumentaire
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2828 / 36 / 36
Grille d'orientation d'argumentaireGrille d'orientation d'argumentaire
Faire sa propre grilleFaire sa propre grille
Garder les questions pertinentes pour son projetGarder les questions pertinentes pour son projet
Ajouter ses propres questionsAjouter ses propres questions
Faire ses propres pondérationsFaire ses propres pondérations
Envisager plusieurs grilles pour un même projetEnvisager plusieurs grilles pour un même projet
Culture latine vs anglo-saxonneCulture latine vs anglo-saxonne
Plusieurs sites géographiquesPlusieurs sites géographiques
Contexte général très différentContexte général très différent
Faire répondre au même questionnaire à plusieurs personnesFaire répondre au même questionnaire à plusieurs personnes
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite2929 / 36 / 36
Grille des apports pour la SSIGrille des apports pour la SSI
Arguments du projet sécurité en lui-mêmeArguments du projet sécurité en lui-même
Son volet sécurité dans le cas d'un projet métierSon volet sécurité dans le cas d'un projet métier
Pour chaque axePour chaque axe
Performance, Risques, Sinistralité, Enjeux businessPerformance, Risques, Sinistralité, Enjeux business
Construire son ROSIConstruire son ROSI
Déterminer les métriques quantitatives et les critères qualitatifsDéterminer les métriques quantitatives et les critères qualitatifs
Rappel des coûts du projetRappel des coûts du projet
Investissements, fonctionnementInvestissements, fonctionnement
GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite3030 / 36 / 36
Grille des apports pour la SSI escomptésGrille des apports pour la SSI escomptés
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite3131 / 36 / 36
Dossier d'argumentationDossier d'argumentation
Gérer la sécurité comme un projet comme les autresGérer la sécurité comme un projet comme les autres
Réunir les argumentsRéunir les arguments
Objectifs stratégiquesObjectifs stratégiques
Economies d'échelleEconomies d'échelle
Contraintes réglementairesContraintes réglementaires
Alignement avec la culture d'entrepriseAlignement avec la culture d'entreprise
Plan de financementPlan de financement
Solliciter les acteurs-clésSolliciter les acteurs-clés
Contrôle interne, finance, managementContrôle interne, finance, management
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite3232 / 36 / 36
ConclusionConclusion
ROSI : instrument récent et sophistiquéROSI : instrument récent et sophistiqué
Pas d'approche unique mais des arguments clésPas d'approche unique mais des arguments clés
Fonctions du contexte, de la nature du projet, des interlocuteursFonctions du contexte, de la nature du projet, des interlocuteurs
Tout n'est pas quantifiable : les éléments intangibles doivent Tout n'est pas quantifiable : les éléments intangibles doivent s'apprécier autrements'apprécier autrement
Utile à ceux qui sont déjà mature en sécurité et qui souhaitent Utile à ceux qui sont déjà mature en sécurité et qui souhaitent optimiser les dépenses en sécuritéoptimiser les dépenses en sécurité
Usages des grilles CLUSIF parfois long et fastidieuxUsages des grilles CLUSIF parfois long et fastidieux
Commencez avec des cas simplesCommencez avec des cas simples
Questions [email protected]
www.hsc.fr
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite3333 / 36 / 36
Prochains rendez-vousProchains rendez-vous
Conférence ISO17799 / ISO27001Conférence ISO17799 / ISO27001 : 7 mars 2006 : 7 mars 2006
http://www.issafrance.org/
Formation ISO27001 Lead AuditorFormation ISO27001 Lead Auditor : :
Certification ISO27001 Lead Auditor par Certification ISO27001 Lead Auditor par LSTILSTI
http://www.hsc.fr/services/formations/
Rencontres SécuritéRencontres Sécurité : 6 avril 2006, Paris : 6 avril 2006, Paris
http://www.rencontresecurite.com/
Formations techniques SecurityCertifiedFormations techniques SecurityCertified : : 24-28 avril,29 mai-2 juin24-28 avril,29 mai-2 juin
Permettant de passer la Permettant de passer la certification SCNPcertification SCNP
http://www.hsc.fr/services/formations/
Paris : 20-24 marsGenève : 27-31 marsToulouse : 5-9 juin
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite3434 / 36 / 36
RéférenceRéférence
Retour sur investissement en sécurité, quelques clés pour Retour sur investissement en sécurité, quelques clés pour argumenter, document du CLUSIFargumenter, document du CLUSIF
http://www.hsc.fr/presse/clusif/RoSI.pdfhttp://www.hsc.fr/presse/clusif/RoSI.pdf
Plusieurs exemples et plusieurs tableaux de référencePlusieurs exemples et plusieurs tableaux de référence
Composants Projet
Quantitatif Qualitatif
Financier Métriques opérationnellesConformitéRèglement
(1 à 5)
Assurancequalité(1 à 5)
Image(1 à 5)
Confort(1 à 5)
Economie
Gains Performance Sinistralité Appelssupports
Incidents 1 : un peu efficace à 5 : très efficace
Concentrateur VPN1,67*1255,5
*12 = 25 160,22 ¤
(19,17*270)*12=
62110,8 ¤
Connexionssupp :23,25
4,65*270=
1255,5
3 5 5 3
Pare-feux sites distants111 600 ¤(risques
couverts)
(intrusion,
)0,4/an
0,06(électrique, incendie,pannes.. )
3 4 2 2
Lignes télécoms 18 620 ¤ 1 Mb/s na 4 na 4 (débits)
Clients (Auth. Forte) comptabilisé comptabilisé 5(Auth. Forte)
5(tracabilité)
5(Auth bio)
4(Fiabilité)
5(Auth. Forte)
5 na 4(Admin.)
Sites dist.Transfert
datas3600 ¤
Applications Intersites 3 Na 5
Acquisition 300*165 ¤ =
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite3535 / 36 / 36
RessourcesRessources
Sur Sur www.hsc.fr vous trouverez des présentations sur vous trouverez des présentations sur
Infogérance en sécuritéInfogérance en sécurité
Sécurité des réseaux sans filSécurité des réseaux sans fil
Sécurité des SANSécurité des SAN
Sécurité des bases de donnéesSécurité des bases de données
SPAMSPAM
ISO 27001 et ISO 17799ISO 27001 et ISO 17799
Sécurité de la voix sur IPSécurité de la voix sur IP
etcetc
Sur Sur www.hsc-news.com vous pourrez vous abonner à la vous pourrez vous abonner à la newsletter HSCnewsletter HSC
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite3636 / 36 / 36
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
Top Related