Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité ? Hervé Schauer Hervé Schauer Consultants.

Slides:



Advertisements
Présentations similaires
Management 1er cours Définitions Catégories Compétences Rôles Étapes
Advertisements

BD Conseil & Formation présente.
Faculté des Sciences de la Santé
METHODOLOGIE DE LAUDIT. Séance 1 Présentation de lUV Introduction Missions et fonctions de lauditeur Réglementation actuelle.
© Copyright 2007 Arumtec. All rights reserved. Présentation Etude déligibilité
des Structures de Santé
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
1 TCHAD ATELIER PARIS21 SUR LUTILISATION DES STATISTIQUES DANS LES POLITIQUES DE LUTTE CONTRE LA PAUVRETE ET DE DEVELOPPEMENT Yaoundé 09-11/12/02 Producteurs.
Simulation de management Principes d’une simulation de gestion
PLAN DU COURS Outils de traitement des risques
Page : 1 / 6 Conduite de projet Examen du 13 mai 2002 Durée : 3h30mn Le support de cours et les notes sont nécessaires La notation tiendra compte très.
CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
Comptabilité et gestion: Plan général
Soutenance du rapport de stage
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
PARTENAIRE SECURITE - 2 Avenue Aristide Briand Bagneux Tél : Fax : Lexternalisation de lopérationnel de votre Sécurité
1 5 octobre 2011 / paw Présentation du 7 octobre 2011.
Alain Villemeur Sector
FrontCall - 4C Les Centres de Contacts Virtuels
MRP, MRP II, ERP : Finalités et particularités de chacun.
Contrat de Maintenance
Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne
Altaïr Conseil Maîtriser l'information stratégique Sécurisé
Mettre à profit la production plus propre
Le diagnostic de vulnérabilité : un outil mobilisable
16/10/10 Préparé par: Ing. Rodrigue OSIRUS (+509) , *** Conception dun site web Cours: Conception.
Projet Master 2 Nouvelles Technologies et Handicap
Vuibert Systèmes dinformation et management des organisations 6 e édition R. Reix – B. Fallery – M. Kalika – F. Rowe Chapitre 2 : Les applications fonctionnelles.
Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux Rappel du personnel initié Chapitre Lignes de Transport (Aériennes)
Présentation du port de Bejaia
BPM & BPMS.
Facteurs d’utilisation et d’adoption des systèmes électroniques de prise de rendez-vous dans l’industrie des services Présenté par : Loubna Khalif Directeur.
DEVELOPPEMENT DURABLE » « Penser global, agir local »
Guide de gestion environnementale dans l’entreprise industrielle
Consultant / Chef de Projet indépendant
© International Road Transport Union (IRU) 2012 Séminaire international sur les instruments de facilitation du commerce et du transport routier de lONU.
La voyage de Jean Pierre
A côté des systèmes d'information dans l'entreprise
Gouvernance du Système d’Information
LA VALEUR ÉCONOMIQUE AJOUTÉE (VÉA)
Système d’information
1 SQL: Langage de contôle des données Terminale: GSI Professeur: Mme BELLILI.
La gestion par activités (ABM)
Page 1 / Titre / Auteur / Date / Confidentiel D? LA DEMARCHE COLLEGES METIER.
Processus d’éthique des affaires
Méthode de gestion de projet.
Évaluer et analyser les coûts de la régie communautaire de leau, comment ? Restitution du 16 nov Cartographie des activités et inducteurs de coût.
Système dInformation du Management de lÉnergie Cleantuesday Lyon, Smart Buildings, le 16 Octobre 2012.
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Comment identifier la justification économique des PCA ?
Partie A Système d ’information et organisation
Business concept template MODÈLE DE CONCEPT D'AFFAIRE
ECOLE DES HAUTES ETUDES COMMERCIALES
Type de mission Les missions d'audit peuvent être de plusieurs types: interne, externe et stratégique de la fonction informatique. Elles se caractérisent.
Jour 4: Management & Information System (MIS). Objectives de la session Introduire le thème MIS: définition, les différents éléments, construire le système.
A vos côtés pour optimiser la retraite des chefs d’entreprises et des cadres dirigeants RECONSTITUTION DE CARRIÈRE CUMUL EMPLOI & RETRAITE ARBITRAGE DATE.
Vue d’ensemble des outils du PRISM Dakar, 3 au 21 Mai 2010
10/04/2017 T A I.
Le management de l'IVVQ Processus techniques IVVQ
GOUVERNANCE ET DEMARCHE QUALITE
Des dispositifs mobilisables pour réduire la vulnérabilité aux inondations (séquence 2) Rôle des collectivités.
Réalisé par : Mr IRZIM Hédi Mr JRAD Firas
Type de mission Les missions d'audit se caractérisent :
Martine Miny - MPInstitut - Référentiels et métiers de management de projet - Mastère IESTO - 9 février 2004 Référentiels et métiers de management de projet.
Système de Management Intégré
Enjeux et Indicateur de mesure de gestion d’un parc
Transformation digitale Comment maîtriser les risques ?
KM CS – Avril 2004 Monographies de projets CS Guide d’utilisation.
Transcription de la présentation:

Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité ? Hervé Schauer Hervé Schauer Consultants Les journées Microsoft de la sécurité informatique 3 mars 2006

Copyright Hervé Schauer Consultants Reproduction Interdite 2 / 36 Hervé Schauer Consultants Hervé Schauer Consultants Société de conseil en sécurité des systèmes d'information depuis 1989 Prestations intellectuelles d'expertise en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise Sécurité Windows / Unix et linux / embarqué Sécurité des applications Sécurité des réseaux TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique,... Organisation de la sécurité Certifications CISSP, ISO Lead Auditor, ProCSSI

Copyright Hervé Schauer Consultants Reproduction Interdite 3 / 36 Plan Plan Avant-propos Exemple d'incident Exemples d'orientation de ROSI Amélioration de la productivité Diminution des incidents Analyse de risque Enjeux métiers Meilleures pratiques Benchmarking Les transparents sont disponibles sur ROSIDéfinitions Pourquoi ? Facteur de succès de la sécurité Coûts de la sécurité Courants d'approche du ROSI Choix du ROSI Positionnement du projet Grille d'orientation d'argumentaire Grille des apports pour la SSI Dossier d'argumentation Conclusion Prochains rendez-vous

Copyright Hervé Schauer Consultants Reproduction Interdite 4 / 36 Avant-propos : Clusif Avant-propos : Clusif Clusif ( ) Groupe de travail ROSI de février 2003 à mai 2004 Ernst & Young, HSC, Lynx, Microsoft, SIVA Publication du document "Retour sur investissement en sécurité des systèmes d'information, quelques clés pour argumenter" en octobre Présentation basée sur ce document du Clusif Présentation déjà donnée en 2005, que Microsoft m'a demandé de refaire aux journées Microsoft

Copyright Hervé Schauer Consultants Reproduction Interdite 5 / 36

Copyright Hervé Schauer Consultants Reproduction Interdite 6 / 36 Exemple d'incident Exemple d'incident Vente d'informations nominatives et confidentielles à des escrocs Coût de l'incident : 11 millions de dollars Mauvaise gestion de l'information Analyse de risque aurait pu révéler qu'il fallait avoir un contrôle strict de la divulgation de l'information Enjeux propres à ce métier auraient peut être exigés d'investir dans un contrôle strict des personnes auxquelles étaient vendues les données Pratiques des gens gérant et revendant des données nominatives beaucoup plus strictes que ce qui était pratiqué chez ChoicePoint Plusieurs orientations de raisonnement sont possibles pour montrer qu'il aurait pu être plus rentable d'investir au préalable dans une meilleure gestion de la sécurité de l'information

Copyright Hervé Schauer Consultants Reproduction Interdite 7 / 36 Exemples d'orientation de ROSI Exemples d'orientation de ROSI Amélioration de la productivité Diminution des incidents Analyse de risque Enjeux métiers Meilleures pratiques Benchmarking

Copyright Hervé Schauer Consultants Reproduction Interdite 8 / 36 ROSI orienté Amélioration de la productivité Pas spécifique à la sécurité Avantage : intuitif car pas spécifique à la sécurité Limites : ne marche pas toujours car souvent technologique Exemple Scénario : Entreprise utilisant une équipe de 5 personnes chargées principalement d'établir les droits d'accès et les mots de passe, et de les enregistrer ou les faire enregistrer dans l'ensemble des systèmes et applications Solution : Déploiement d'une solution de gestion des identités de 250 k ROSI : Réduction de la charge de travail, diminution de 5 à 2 personnes, coût de fonctionnement passé de 400 k à 160 k

Copyright Hervé Schauer Consultants Reproduction Interdite 9 / 36 ROSI orienté Incidents ou Sinistralité ROSI orienté Incidents ou Sinistralité ALE : Annual Loss of Expectancy Pertes annuelles prévisibles à partir de la fréquence de survenance d'un incident et coût financier de son impact ROSI : différence entre l'ALE actuel et l'ALE futur + le coût de la solution Limites Calcul de probabilité donc bases d'incidents et effort de modélisation Pas de distinction occurence faible/impact élevé et occurence élevée/impact faible ExempleScénario Attaque virale généralisée couteraît 1M avec une probabilité d'occurence de 70% Solution Diminution de la probabilité de 20% par le déploiement d'une nouvelle infrastructure anti-virale de 150 k ROSI : 70% x 1M - (70-20)% x 1M k = 50 k

Copyright Hervé Schauer Consultants Reproduction Interdite 10 / 36 ROSI orienté Analyse de risques ROSI orienté Analyse de risques Comparaison du risque potentiel maximal par rapport au coût de la solution Avantage : approche largement employée Limites Technique de quantification différentes d'une méthode à une autre, d'un expert à l'autre Scénarios de risques non-exhaustifs et hypothèses des scénarios susceptibles d'être remises en cause ExempleScénario Serveur de production sur un site non-sécurisé redondé localement, en cas de sinistre majeur sur le site la perte est évaluée à 15M Solution Hébergement sur un site distant sécurisé : 4M ROSI : Coût de la solution de 4M par rapport à celui du sinistre de 15M

Copyright Hervé Schauer Consultants Reproduction Interdite 11 / 36 ROSI orienté Enjeux métiers ROSI orienté Enjeux métiers La sécurité est génératrice de richesses dans votre activité Gain de part de marché, avantage concurrentiel Amélioration de la qualité d'un service, de l'image de marque, de la confiance du client Avantage Utilise le langage métier et fédère l'organisme Limites N'utilise pas d'analyse coût/bénéfices Difficile à expliquer et difficile d'atteindre les bons interlocuteurs ExempleScénario Serveur d'assurance avec fichier nominatif non-protégé : clients, biens assurés,... Solution Sécurisation du serveur, ajout d'un contrôle d'accès, authentification forte ROSI : enjeu lié à l'image et au risque juridique

Copyright Hervé Schauer Consultants Reproduction Interdite 12 / 36 ROSI orienté Meilleures pratiques ROSI orienté Meilleures pratiques Avantage Alternative à l'analyse de risque Limite Beaucoup pensent que les meilleures pratiques ne sont pas pour eux ExempleScénario Un audit de sécurité révèle que l'ERP d'une société cotée n'a pas de ségrégation des tâches et de traçabilité, ouvrant la possibilité à des fraudes internes Solution Intervention d'un cabinet d'expertise en sécurité pour reconstruire la sécurité applicative ROSI La direction n'étant pas sensibilisée à la fraude interne c'est le respect de la loi sur la sécurité financière qui les a fait décider

Copyright Hervé Schauer Consultants Reproduction Interdite 13 / 36 ROSI orienté Benchmarking ROSI orienté Benchmarking Comparatif de performance des entreprises Avantages Les dirigeants apprécient Limites Ne prends pas en compte les spécificités locales et pousse à faire pareil ExempleScénario Un audit de sécurité de service en ligne révèle un serveur très mal conçu où tous les clients peuvent visualiser les informations des tiers. Jamais un service du secteur n'a été vu dans un tel état. Solution Ré-écrire l'application ROSI Rejoindre la majorité, ne pas faire pire que les autres

Copyright Hervé Schauer Consultants Reproduction Interdite 14 / 36 ROSI : Définitions ROSI : Définitions ROSI : Return On Security Investment Retour sur investissement en sécurité ROSI vient de ROI : Return On Invesment Gain financier d'un projet de sécurité au regard de son coût total Net : en monnaie constante Investissements et fonctionnement Sur une période d'analyse donnée Projet de sécurité : projet où la sécurité est plus importante TCO : Total Cost of Ownership Coût total associé au cycle déploiement/maintenance

Copyright Hervé Schauer Consultants Reproduction Interdite 15 / 36 ROSI : Définition ROSI : Définition Le ROSI relativise les coûts par rapport aux bénéfices Point de retour : date à partir de laquelle les gains dépassent les coûts Le ROSI est plutôt la valeur ajoutée d'un investissement en sécurité Le retour sur investissement n'est plus uniquement une notion financière

Copyright Hervé Schauer Consultants Reproduction Interdite 16 / 36 ROSI : Pourquoi ? ROSI : Pourquoi ? Manière de travailler, d'analyser et de décider repose de plus en plus sur des tableaux de chiffres Certains dirigeants prennent leurs décisions face à des tableaux Excel Ceux qui prennent en compte d'autres dimensions exigent quand même des tableaux Excel avec des chiffres Le tableau Excel marche pour tous les types de projets Management demande des tableaux des coûts Dans les rapports d'audit de sécurité Lors des réunions de restitution des résultats Tableau des coûts associés aux risques encourus et aux recommendations proposées Pas toujours dans la compétence de l'auditeur

Copyright Hervé Schauer Consultants Reproduction Interdite 17 / 36 ROSI : Pourquoi ? ROSI : Pourquoi ? Raisons historiques du pourquoi fait-on de la sécurité ne suffisent plus toujours au management Management applique la notion de ROI à des aspects immatériels Sécurité protège principalement un patrimoine immatériel pas de raison d'y échapper Principaux facteurs d'influence actuels auprès des directions : Obligations réglementaires Sensibilisation à la gestion des risques ROSI : piste complémentaire à l'existant

Copyright Hervé Schauer Consultants Reproduction Interdite 18 / 36 ROSI : Facteur de succès de la sécurité ROSI : Facteur de succès de la sécurité La sécurité doit s'intégrer dans la manière de faire avec d'autres sujets : Réseaux : planification, déploiement, supervision,... Applications : développement, déploiement, performance, gestion,... La sécurité pourra ainsi mieux s'intégrer dans la vie du système d'information La sécurité commence à apparaître dans le discours des gens en dehors du monde de la sécurité Plus vue comme quelque chose de séparée. Intégrée de manière multi-dimentionelle

Copyright Hervé Schauer Consultants Reproduction Interdite 19 / 36 Coûts de la sécurité Coûts de la sécurité Coûts organisationnels, humains, techniques La sécurité est de l'organisation et des hommes La sécurité n'est pas des licences logicielles Coûts ponctuels et récurrents Coûts tangibles ou intangibles

Copyright Hervé Schauer Consultants Reproduction Interdite 20 / 36 Coûts de la sécurité Coûts de la sécurité Coûts ponctuels Investissements liés à la mise en place et au déploiement des dispositifs de sécurité Coûts des conséquences directes des incidents de sécurité Pertes de production Remplacement des matériels Frais d'assurance Frais d'investigation Pénalités de retard Pertes de parts de marché Dommages et intérêts Coûts de reconstitution Coût récurrents Coûts d'exploitation et d'administration des dispositifs de sécurité Coûts de mise à jour des dispositifs et de leurs procédures Plus des 2/3 du coût total

Copyright Hervé Schauer Consultants Reproduction Interdite 21 / 36 Coûts de la sécurité Coûts de la sécurité Coûts tangibles MesurablesInvestissements Maintenance et support Prime d'assurance Baisse de productivité où l'équivalent financier est chiffrable Perte de revenus Remplacement ou reconstitution Coût intangibles Difficilement mesurables Baisse de productivité difficile à mesurer Perte de réputation ou de la confiance des clients Perte de part de marché Non-conformité à la législation Poursuites juridiques

Copyright Hervé Schauer Consultants Reproduction Interdite 22 / 36 Courants d'approche du ROSI Courants d'approche du ROSI Arguments évoqués dans la littérature Arguments technologiques Généralisation d'outils ou de procédures Réduction du nombre d'incidents Amélioration de la convivialité pour les utilisateurs Arguments métiers Analyse de risque, assurance, confiance, concurrence dans le secteur Arguments réglementaires et normatifs Lois : Sarbanes-Oxley, sécurité financière, informatique & libertés Normes : ISO (anciennement BS7799-2) Propres au métier : CRBF 97-02, Bâle II, HIPAA

Copyright Hervé Schauer Consultants Reproduction Interdite 23 / 36 Choix du ROSI : approche CLUSIF Choix du ROSI : approche CLUSIF Combiner aspects quantitatif et qualitatif en trois étapes : Orientation du projet Orientation du projet Projet plutôt métier Projet plutôt sécurité des SI Cartographie contextuelle du projet Cartographie contextuelle du projet Quatre axes complémentaires selon le contexte Performance, amélioration de la productivité Risques Sinistralité, incidents Enjeux business Trois facteurs influencent l'approche Contexte économique, humain et intrinsèque aux projets Synthèse des apports potentiels pour la sécurité Synthèse des apports potentiels pour la sécurité

Copyright Hervé Schauer Consultants Reproduction Interdite 24 / 36 Statistiques incidents Coût des pertes (ALE) Menaces Risques potentiels Aspects réglementaires Objectifs métiers Apports SSI / enjeux du projet Gains de productivité Economies de fonctionnement Performance / Productivité Baisse de la sinistralité Prévention des risques Enjeux business PROJET Dominante MÉTIER Dominante SÉCURITÉ des SI Nature du projet (dominante technique / non technique) (contexte intrinsèque) Secteur dactivité / Métier (contexte économique) Interlocuteurs / commanditaires (contexte humain) CARTOGRAPHIE CONTEXTUELLE GRILLE DORIENTATION DARGUMENTAIRE POSITIONNEMENT DU PROJET GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES Métrique quantitativeCritères qualitatifs

Copyright Hervé Schauer Consultants Reproduction Interdite 25 / 36 Positionnement/orientation du projet Positionnement/orientation du projet Projet plutôt métier Financé par une maîtrise d'ouvrage opérationnelle ou fonctionnelle Développer l'argumentaire orienté vers l'atteinte des intérêt ou des objectifs du métier Exemple : mise en oeuvre d'une nouvelle messagerie internet, l'intégration de l'anti-virus par les gestionnaires améliore la qualité du service rendu aux usagers et diminue les appels au support Projet plutôt sécurité des SI Développer l'argumentaire sécurité Réduction d'un risque opérationnel Exemple : mise à disposition d'une solution de chiffrement pour chaque type d'assistant personnel permet aux employés de protéger les données de l'entreprise vis-à-vis de la perte de l'assistant personnel

Copyright Hervé Schauer Consultants Reproduction Interdite 26 / 36 Contexte du projet Contexte du projet Economique Culture de gestion du risque déjà existante dans le métier ? Environnement législatif ou réglementaire fort ? Savoir faire industriel représente un avantage concurrentiel ? Humain Pour chaque intervenant : commanditaire, chef de projet, responsable de service, équipes études ou opérationnels : Niveau technique, sensibilité à la sécurité, intérêt pour le projet,... Intrinsèque Dominante technologique : importance des experts Dominante organisationnelle : amélioration des processus interne Dominante comportementale : tributaire de la culture sécuritaire GRILLE DORIENTATION DARGUMENTAIRE

Copyright Hervé Schauer Consultants Reproduction Interdite 27 / 36 Grille d'orientation d'argumentaire Grille d'orientation d'argumentaire

Copyright Hervé Schauer Consultants Reproduction Interdite 28 / 36 Grille d'orientation d'argumentaire Grille d'orientation d'argumentaire Faire sa propre grille Garder les questions pertinentes pour son projet Ajouter ses propres questions Faire ses propres pondérations Envisager plusieurs grilles pour un même projet Culture latine vs anglo-saxonne Plusieurs sites géographiques Contexte général très différent Faire répondre au même questionnaire à plusieurs personnes

Copyright Hervé Schauer Consultants Reproduction Interdite 29 / 36 Grille des apports pour la SSI Grille des apports pour la SSI Arguments du projet sécurité en lui-même Son volet sécurité dans le cas d'un projet métier Pour chaque axe Performance, Risques, Sinistralité, Enjeux business Construire son ROSI Déterminer les métriques quantitatives et les critères qualitatifs Rappel des coûts du projet Investissements, fonctionnement GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES

Copyright Hervé Schauer Consultants Reproduction Interdite 30 / 36 Grille des apports pour la SSI escomptés Grille des apports pour la SSI escomptés

Copyright Hervé Schauer Consultants Reproduction Interdite 31 / 36 Dossier d'argumentation Dossier d'argumentation Gérer la sécurité comme un projet comme les autres Réunir les arguments Objectifs stratégiques Economies d'échelle Contraintes réglementaires Alignement avec la culture d'entreprise Plan de financement Solliciter les acteurs-clés Contrôle interne, finance, management

Copyright Hervé Schauer Consultants Reproduction Interdite 32 / 36 Conclusion Conclusion ROSI : instrument récent et sophistiqué Pas d'approche unique mais des arguments clés Fonctions du contexte, de la nature du projet, des interlocuteurs Tout n'est pas quantifiable : les éléments intangibles doivent s'apprécier autrement Utile à ceux qui sont déjà mature en sécurité et qui souhaitent optimiser les dépenses en sécurité Usages des grilles CLUSIF parfois long et fastidieux Commencez avec des cas simples Questions ?

Copyright Hervé Schauer Consultants Reproduction Interdite 33 / 36 Prochains rendez-vous Prochains rendez-vous Conférence ISO17799 / ISO27001 : 7 mars Formation ISO27001 Lead Auditor : Certification ISO27001 Lead Auditor par LSTI Rencontres Sécurité : 6 avril 2006, Paris Formations techniques SecurityCertified : avril,29 mai-2 juin Permettant de passer la certification SCNP Paris : mars Genève : mars Toulouse : 5-9 juin

Copyright Hervé Schauer Consultants Reproduction Interdite 34 / 36 Référence Référence Retour sur investissement en sécurité, quelques clés pour argumenter, document du CLUSIF Plusieurs exemples et plusieurs tableaux de référence

Copyright Hervé Schauer Consultants Reproduction Interdite 35 / 36 Ressources Ressources Sur vous trouverez des présentations sur Infogérance en sécurité Sécurité des réseaux sans fil Sécurité des SAN Sécurité des bases de données SPAM ISO et ISO Sécurité de la voix sur IP etc Sur vous pourrez vous abonner à la newsletter HSC

Copyright Hervé Schauer Consultants Reproduction Interdite 36 / 36 Microsoft France 18, avenue du Québec Courtaboeuf Cedex

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.