La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité ? Hervé Schauer Hervé Schauer Consultants.

Publié parGuillaume Gicquel Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité ? Hervé Schauer Hervé Schauer Consultants."— Transcription de la présentation:

1 Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité ? Hervé Schauer Hervé Schauer Consultants Les journées Microsoft de la sécurité informatique 3 mars 2006

2 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 2 / 36 Hervé Schauer Consultants www.hsc.fr Hervé Schauer Consultants www.hsc.fr Société de conseil en sécurité des systèmes d'information depuis 1989 Prestations intellectuelles d'expertise en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise Sécurité Windows / Unix et linux / embarqué Sécurité des applications Sécurité des réseaux TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique,... Organisation de la sécurité Certifications CISSP, ISO 27001 Lead Auditor, ProCSSI

3 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 3 / 36 Plan Plan Avant-propos Exemple d'incident Exemples d'orientation de ROSI Amélioration de la productivité Diminution des incidents Analyse de risque Enjeux métiers Meilleures pratiques Benchmarking Les transparents sont disponibles sur www.hsc.fr ROSIDéfinitions Pourquoi ? Facteur de succès de la sécurité Coûts de la sécurité Courants d'approche du ROSI Choix du ROSI Positionnement du projet Grille d'orientation d'argumentaire Grille des apports pour la SSI Dossier d'argumentation Conclusion Prochains rendez-vous

4 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 4 / 36 Avant-propos : Clusif Avant-propos : Clusif Clusif ( www.clusif.asso.fr ) www.clusif.asso.fr Groupe de travail ROSI de février 2003 à mai 2004 Ernst & Young, HSC, Lynx, Microsoft, SIVA Publication du document "Retour sur investissement en sécurité des systèmes d'information, quelques clés pour argumenter" en octobre 2004 http://www.hsc.fr/presse/clusif/RoSI.pdf Présentation basée sur ce document du Clusif Présentation déjà donnée en 2005, que Microsoft m'a demandé de refaire aux journées Microsoft

5 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 5 / 36 http://www.internetweek.com/news/166401649

6 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 6 / 36 Exemple d'incident Exemple d'incident Vente d'informations nominatives et confidentielles à des escrocs Coût de l'incident : 11 millions de dollars Mauvaise gestion de l'information Analyse de risque aurait pu révéler qu'il fallait avoir un contrôle strict de la divulgation de l'information Enjeux propres à ce métier auraient peut être exigés d'investir dans un contrôle strict des personnes auxquelles étaient vendues les données Pratiques des gens gérant et revendant des données nominatives beaucoup plus strictes que ce qui était pratiqué chez ChoicePoint Plusieurs orientations de raisonnement sont possibles pour montrer qu'il aurait pu être plus rentable d'investir au préalable dans une meilleure gestion de la sécurité de l'information

7 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 7 / 36 Exemples d'orientation de ROSI Exemples d'orientation de ROSI Amélioration de la productivité Diminution des incidents Analyse de risque Enjeux métiers Meilleures pratiques Benchmarking

8 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 8 / 36 ROSI orienté Amélioration de la productivité Pas spécifique à la sécurité Avantage : intuitif car pas spécifique à la sécurité Limites : ne marche pas toujours car souvent technologique Exemple Scénario : Entreprise utilisant une équipe de 5 personnes chargées principalement d'établir les droits d'accès et les mots de passe, et de les enregistrer ou les faire enregistrer dans l'ensemble des systèmes et applications Solution : Déploiement d'une solution de gestion des identités de 250 k ROSI : Réduction de la charge de travail, diminution de 5 à 2 personnes, coût de fonctionnement passé de 400 k à 160 k

9 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 9 / 36 ROSI orienté Incidents ou Sinistralité ROSI orienté Incidents ou Sinistralité ALE : Annual Loss of Expectancy Pertes annuelles prévisibles à partir de la fréquence de survenance d'un incident et coût financier de son impact ROSI : différence entre l'ALE actuel et l'ALE futur + le coût de la solution Limites Calcul de probabilité donc bases d'incidents et effort de modélisation Pas de distinction occurence faible/impact élevé et occurence élevée/impact faible ExempleScénario Attaque virale généralisée couteraît 1M avec une probabilité d'occurence de 70% Solution Diminution de la probabilité de 20% par le déploiement d'une nouvelle infrastructure anti-virale de 150 k ROSI : 70% x 1M - (70-20)% x 1M - 150 k = 50 k

10 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 10 / 36 ROSI orienté Analyse de risques ROSI orienté Analyse de risques Comparaison du risque potentiel maximal par rapport au coût de la solution Avantage : approche largement employée Limites Technique de quantification différentes d'une méthode à une autre, d'un expert à l'autre Scénarios de risques non-exhaustifs et hypothèses des scénarios susceptibles d'être remises en cause ExempleScénario Serveur de production sur un site non-sécurisé redondé localement, en cas de sinistre majeur sur le site la perte est évaluée à 15M Solution Hébergement sur un site distant sécurisé : 4M ROSI : Coût de la solution de 4M par rapport à celui du sinistre de 15M

11 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 11 / 36 ROSI orienté Enjeux métiers ROSI orienté Enjeux métiers La sécurité est génératrice de richesses dans votre activité Gain de part de marché, avantage concurrentiel Amélioration de la qualité d'un service, de l'image de marque, de la confiance du client Avantage Utilise le langage métier et fédère l'organisme Limites N'utilise pas d'analyse coût/bénéfices Difficile à expliquer et difficile d'atteindre les bons interlocuteurs ExempleScénario Serveur d'assurance avec fichier nominatif non-protégé : clients, biens assurés,... Solution Sécurisation du serveur, ajout d'un contrôle d'accès, authentification forte ROSI : enjeu lié à l'image et au risque juridique

12 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 12 / 36 ROSI orienté Meilleures pratiques ROSI orienté Meilleures pratiques Avantage Alternative à l'analyse de risque Limite Beaucoup pensent que les meilleures pratiques ne sont pas pour eux ExempleScénario Un audit de sécurité révèle que l'ERP d'une société cotée n'a pas de ségrégation des tâches et de traçabilité, ouvrant la possibilité à des fraudes internes Solution Intervention d'un cabinet d'expertise en sécurité pour reconstruire la sécurité applicative ROSI La direction n'étant pas sensibilisée à la fraude interne c'est le respect de la loi sur la sécurité financière qui les a fait décider

13 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 13 / 36 ROSI orienté Benchmarking ROSI orienté Benchmarking Comparatif de performance des entreprises Avantages Les dirigeants apprécient Limites Ne prends pas en compte les spécificités locales et pousse à faire pareil ExempleScénario Un audit de sécurité de service en ligne révèle un serveur très mal conçu où tous les clients peuvent visualiser les informations des tiers. Jamais un service du secteur n'a été vu dans un tel état. Solution Ré-écrire l'application ROSI Rejoindre la majorité, ne pas faire pire que les autres

14 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 14 / 36 ROSI : Définitions ROSI : Définitions ROSI : Return On Security Investment Retour sur investissement en sécurité ROSI vient de ROI : Return On Invesment Gain financier d'un projet de sécurité au regard de son coût total Net : en monnaie constante Investissements et fonctionnement Sur une période d'analyse donnée Projet de sécurité : projet où la sécurité est plus importante TCO : Total Cost of Ownership Coût total associé au cycle déploiement/maintenance

15 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 15 / 36 ROSI : Définition ROSI : Définition Le ROSI relativise les coûts par rapport aux bénéfices Point de retour : date à partir de laquelle les gains dépassent les coûts Le ROSI est plutôt la valeur ajoutée d'un investissement en sécurité Le retour sur investissement n'est plus uniquement une notion financière

16 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 16 / 36 ROSI : Pourquoi ? ROSI : Pourquoi ? Manière de travailler, d'analyser et de décider repose de plus en plus sur des tableaux de chiffres Certains dirigeants prennent leurs décisions face à des tableaux Excel Ceux qui prennent en compte d'autres dimensions exigent quand même des tableaux Excel avec des chiffres Le tableau Excel marche pour tous les types de projets Management demande des tableaux des coûts Dans les rapports d'audit de sécurité Lors des réunions de restitution des résultats Tableau des coûts associés aux risques encourus et aux recommendations proposées Pas toujours dans la compétence de l'auditeur

17 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 17 / 36 ROSI : Pourquoi ? ROSI : Pourquoi ? Raisons historiques du pourquoi fait-on de la sécurité ne suffisent plus toujours au management Management applique la notion de ROI à des aspects immatériels Sécurité protège principalement un patrimoine immatériel pas de raison d'y échapper Principaux facteurs d'influence actuels auprès des directions : Obligations réglementaires Sensibilisation à la gestion des risques ROSI : piste complémentaire à l'existant

18 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 18 / 36 ROSI : Facteur de succès de la sécurité ROSI : Facteur de succès de la sécurité La sécurité doit s'intégrer dans la manière de faire avec d'autres sujets : Réseaux : planification, déploiement, supervision,... Applications : développement, déploiement, performance, gestion,... La sécurité pourra ainsi mieux s'intégrer dans la vie du système d'information La sécurité commence à apparaître dans le discours des gens en dehors du monde de la sécurité Plus vue comme quelque chose de séparée. Intégrée de manière multi-dimentionelle

19 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 19 / 36 Coûts de la sécurité Coûts de la sécurité Coûts organisationnels, humains, techniques La sécurité est de l'organisation et des hommes La sécurité n'est pas des licences logicielles Coûts ponctuels et récurrents Coûts tangibles ou intangibles

20 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 20 / 36 Coûts de la sécurité Coûts de la sécurité Coûts ponctuels Investissements liés à la mise en place et au déploiement des dispositifs de sécurité Coûts des conséquences directes des incidents de sécurité Pertes de production Remplacement des matériels Frais d'assurance Frais d'investigation Pénalités de retard Pertes de parts de marché Dommages et intérêts Coûts de reconstitution Coût récurrents Coûts d'exploitation et d'administration des dispositifs de sécurité Coûts de mise à jour des dispositifs et de leurs procédures Plus des 2/3 du coût total

21 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 21 / 36 Coûts de la sécurité Coûts de la sécurité Coûts tangibles MesurablesInvestissements Maintenance et support Prime d'assurance Baisse de productivité où l'équivalent financier est chiffrable Perte de revenus Remplacement ou reconstitution Coût intangibles Difficilement mesurables Baisse de productivité difficile à mesurer Perte de réputation ou de la confiance des clients Perte de part de marché Non-conformité à la législation Poursuites juridiques

22 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 22 / 36 Courants d'approche du ROSI Courants d'approche du ROSI Arguments évoqués dans la littérature Arguments technologiques Généralisation d'outils ou de procédures Réduction du nombre d'incidents Amélioration de la convivialité pour les utilisateurs Arguments métiers Analyse de risque, assurance, confiance, concurrence dans le secteur Arguments réglementaires et normatifs Lois : Sarbanes-Oxley, sécurité financière, informatique & libertés Normes : ISO 27001 (anciennement BS7799-2) Propres au métier : CRBF 97-02, Bâle II, HIPAA

23 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 23 / 36 Choix du ROSI : approche CLUSIF Choix du ROSI : approche CLUSIF Combiner aspects quantitatif et qualitatif en trois étapes : Orientation du projet Orientation du projet Projet plutôt métier Projet plutôt sécurité des SI Cartographie contextuelle du projet Cartographie contextuelle du projet Quatre axes complémentaires selon le contexte Performance, amélioration de la productivité Risques Sinistralité, incidents Enjeux business Trois facteurs influencent l'approche Contexte économique, humain et intrinsèque aux projets Synthèse des apports potentiels pour la sécurité Synthèse des apports potentiels pour la sécurité

24 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 24 / 36 Statistiques incidents Coût des pertes (ALE) Menaces Risques potentiels Aspects réglementaires Objectifs métiers Apports SSI / enjeux du projet Gains de productivité Economies de fonctionnement Performance / Productivité Baisse de la sinistralité Prévention des risques Enjeux business PROJET Dominante MÉTIER Dominante SÉCURITÉ des SI Nature du projet (dominante technique / non technique) (contexte intrinsèque) Secteur dactivité / Métier (contexte économique) Interlocuteurs / commanditaires (contexte humain) CARTOGRAPHIE CONTEXTUELLE GRILLE DORIENTATION DARGUMENTAIRE POSITIONNEMENT DU PROJET GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES Métrique quantitativeCritères qualitatifs

25 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 25 / 36 Positionnement/orientation du projet Positionnement/orientation du projet Projet plutôt métier Financé par une maîtrise d'ouvrage opérationnelle ou fonctionnelle Développer l'argumentaire orienté vers l'atteinte des intérêt ou des objectifs du métier Exemple : mise en oeuvre d'une nouvelle messagerie internet, l'intégration de l'anti-virus par les gestionnaires améliore la qualité du service rendu aux usagers et diminue les appels au support Projet plutôt sécurité des SI Développer l'argumentaire sécurité Réduction d'un risque opérationnel Exemple : mise à disposition d'une solution de chiffrement pour chaque type d'assistant personnel permet aux employés de protéger les données de l'entreprise vis-à-vis de la perte de l'assistant personnel

26 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 26 / 36 Contexte du projet Contexte du projet Economique Culture de gestion du risque déjà existante dans le métier ? Environnement législatif ou réglementaire fort ? Savoir faire industriel représente un avantage concurrentiel ? Humain Pour chaque intervenant : commanditaire, chef de projet, responsable de service, équipes études ou opérationnels : Niveau technique, sensibilité à la sécurité, intérêt pour le projet,... Intrinsèque Dominante technologique : importance des experts Dominante organisationnelle : amélioration des processus interne Dominante comportementale : tributaire de la culture sécuritaire GRILLE DORIENTATION DARGUMENTAIRE

27 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 27 / 36 Grille d'orientation d'argumentaire Grille d'orientation d'argumentaire

28 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 28 / 36 Grille d'orientation d'argumentaire Grille d'orientation d'argumentaire Faire sa propre grille Garder les questions pertinentes pour son projet Ajouter ses propres questions Faire ses propres pondérations Envisager plusieurs grilles pour un même projet Culture latine vs anglo-saxonne Plusieurs sites géographiques Contexte général très différent Faire répondre au même questionnaire à plusieurs personnes

29 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 29 / 36 Grille des apports pour la SSI Grille des apports pour la SSI Arguments du projet sécurité en lui-même Son volet sécurité dans le cas d'un projet métier Pour chaque axe Performance, Risques, Sinistralité, Enjeux business Construire son ROSI Déterminer les métriques quantitatives et les critères qualitatifs Rappel des coûts du projet Investissements, fonctionnement GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES

30 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 30 / 36 Grille des apports pour la SSI escomptés Grille des apports pour la SSI escomptés

31 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 31 / 36 Dossier d'argumentation Dossier d'argumentation Gérer la sécurité comme un projet comme les autres Réunir les arguments Objectifs stratégiques Economies d'échelle Contraintes réglementaires Alignement avec la culture d'entreprise Plan de financement Solliciter les acteurs-clés Contrôle interne, finance, management

32 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 32 / 36 Conclusion Conclusion ROSI : instrument récent et sophistiqué Pas d'approche unique mais des arguments clés Fonctions du contexte, de la nature du projet, des interlocuteurs Tout n'est pas quantifiable : les éléments intangibles doivent s'apprécier autrement Utile à ceux qui sont déjà mature en sécurité et qui souhaitent optimiser les dépenses en sécurité Usages des grilles CLUSIF parfois long et fastidieux Commencez avec des cas simples Questions ? Herve.Schauer@hsc.fr www.hsc.fr

33 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 33 / 36 Prochains rendez-vous Prochains rendez-vous Conférence ISO17799 / ISO27001 : 7 mars 2006 http://www.issafrance.org/ Formation ISO27001 Lead Auditor : Certification ISO27001 Lead Auditor par LSTI http://www.hsc.fr/services/formations/ Rencontres Sécurité : 6 avril 2006, Paris http://www.rencontresecurite.com/ Formations techniques SecurityCertified : 24-28 avril,29 mai-2 juin Permettant de passer la certification SCNP http://www.hsc.fr/services/formations/ Paris : 20-24 mars Genève : 27-31 mars Toulouse : 5-9 juin

34 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 34 / 36 Référence Référence Retour sur investissement en sécurité, quelques clés pour argumenter, document du CLUSIF http://www.hsc.fr/presse/clusif/RoSI.pdf Plusieurs exemples et plusieurs tableaux de référence

35 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 35 / 36 Ressources Ressources Sur www.hsc.fr vous trouverez des présentations sur www.hsc.fr Infogérance en sécurité Sécurité des réseaux sans fil Sécurité des SAN Sécurité des bases de données SPAM ISO 27001 et ISO 17799 Sécurité de la voix sur IP etc Sur www.hsc-news.com vous pourrez vous abonner à la newsletter HSC www.hsc-news.com

36 Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite 36 / 36 Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com

Télécharger ppt "Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité ? Hervé Schauer Hervé Schauer Consultants."

Présentations similaires

Management 1er cours Définitions Catégories Compétences Rôles Étapes

Management 1er cours Définitions Catégories Compétences Rôles Étapes
BD Conseil & Formation présente.

BD Conseil & Formation présente.
Faculté des Sciences de la Santé

Faculté des Sciences de la Santé
METHODOLOGIE DE LAUDIT. Séance 1 Présentation de lUV Introduction Missions et fonctions de lauditeur Réglementation actuelle.

METHODOLOGIE DE LAUDIT. Séance 1 Présentation de lUV Introduction Missions et fonctions de lauditeur Réglementation actuelle.
© Copyright 2007 Arumtec. All rights reserved. Présentation Etude déligibilité

© Copyright 2007 Arumtec. All rights reserved. Présentation Etude déligibilité
des Structures de Santé

des Structures de Santé
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.

Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
1 TCHAD ATELIER PARIS21 SUR LUTILISATION DES STATISTIQUES DANS LES POLITIQUES DE LUTTE CONTRE LA PAUVRETE ET DE DEVELOPPEMENT Yaoundé 09-11/12/02 Producteurs.

1 TCHAD ATELIER PARIS21 SUR LUTILISATION DES STATISTIQUES DANS LES POLITIQUES DE LUTTE CONTRE LA PAUVRETE ET DE DEVELOPPEMENT Yaoundé 09-11/12/02 Producteurs.
Simulation de management Principes d’une simulation de gestion

Simulation de management Principes d’une simulation de gestion
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
Page : 1 / 6 Conduite de projet Examen du 13 mai 2002 Durée : 3h30mn Le support de cours et les notes sont nécessaires La notation tiendra compte très.

Page : 1 / 6 Conduite de projet Examen du 13 mai 2002 Durée : 3h30mn Le support de cours et les notes sont nécessaires La notation tiendra compte très.
CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité

CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.

TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
Comptabilité et gestion: Plan général

Comptabilité et gestion: Plan général
Soutenance du rapport de stage

Soutenance du rapport de stage
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.

COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
PARTENAIRE SECURITE - 2 Avenue Aristide Briand 92220 Bagneux Tél : 01 58 07 01 01 Fax : 01 58 07 01 00 Lexternalisation de lopérationnel de votre Sécurité

PARTENAIRE SECURITE - 2 Avenue Aristide Briand Bagneux Tél : Fax : Lexternalisation de lopérationnel de votre Sécurité
Www.GestSIS.ch 1 5 octobre 2011 / paw Présentation du 7 octobre 2011.

1 5 octobre 2011 / paw Présentation du 7 octobre 2011.
Alain Villemeur Sector

Alain Villemeur Sector
FrontCall - 4C Les Centres de Contacts Virtuels

FrontCall - 4C Les Centres de Contacts Virtuels

Présentations similaires

Annonces Google