Management des risques informatiques

Titre de la présentation
Le management par le risque informatique
24 mai 2011
Jean-Louis Bleicher
Quelques données
• Le chiffre d’affaires annuel de la cybercriminalité serait
environ deux fois supérieur à celui du trafic de drogue (#
1000 M $)
• Parmi les cyber-attaques récentes
–
–
–
–
Turbomeca (janvier à septembre 2010) – espionnage industriel
Bercy (décembre à mars 2011) – 150 PC « visités »
Commission Européenne (mars 2011) # attaque Bercy
Sony Online Entertainment (avril-mai 2011) – vol de données
personnelles et d’informations cartes
AG AFAI 24 Mai 2011
2
De nombreuses menaces
• Cyber-attaques
• Incidents d’exploitation
• Mauvaise gestion de projet
• Mauvaise gestion de la
production
• Mauvaise gestion des incidents
• Erreurs humaines
• Non respect des procédures
• Défaillance d’un prestataire
• Insuffisance de contrôle
• Insuffisance de compétence
• …
AG AFAI 24 Mai 2011
3
Risque informatique (quelques caractéristiques)
• Menaces à caractère dynamique
• Large éventail de menaces et d’événements à prendre en
compte
• Prépondérance d’événements touchant à l’immatériel,
difficiles à appréhender
• Impacts stratégiques, opérationnels, légaux et juridiques,
financiers, sur la réputation et l’image souvent importants
Le risque informatique est complexe
Il faut le gérer avec des outils adaptés…
pour faciliter le management par le risque informatique
AG AFAI 24 Mai 2011
4
Risque informatique (définition)
• Risque métier lié à l’utilisation, la possession, l’exploitation,
l’implication, l’adoption ou au poids de l’informatique au
sein d’une entreprise.
Il est constitué des événements qui pourraient avoir un
impact sur les affaires.
(Risk IT)
Risques de l’entreprise
Risque
stratégique
Risque
environnemental
Risque de
marché
Risque
de crédit
Risque
opérationnel
Risque de
non-conformité
Risque informatique
AG AFAI 24 Mai 2011
5
Risque informatique (catégories)
• Risk IT distingue 3 catégories de risque informatique
Valeur affaire/métier
Risque informatique
Exemples
• Technologie génératrice de
nouvelles initiatives
affaire/métier
• Technologie génératrice
d’efficience pour les opérations
Génération de valeur/
bénéfices grâce à
l’informatique
Réalisation de programmes
et projets informatiques
Fourniture de services
et exploitation
informatiques
Manque à
gagner
Gain
Perte
Préservation
• Qualité des projets
• Pertinence des projets
• Maîtrise des projets
• Interruptions de service
informatique
• Problèmes de sécurité
• Problèmes de non-conformité
Valeur affaire/métier
AG AFAI 24 Mai 2011
6
Principales normes et référentiels
Référentiel
Norme
COSO
ERM
AIRMIC,
Alarm, IRM
2004
2010
Management des risques de l’entreprise
Cadre de référence
Management des risques de l’entreprise
AS/NZS
4360
2004
Management du
risque
Technologies de
l'information
Techniques de sécurité
Management du risque
ISO 31000
ISO 31010
2009
2009
Management du risque Principes et lignes
directrices
Gestion des risques Techniques d'évaluation
des risques
ISO 27000
ISO 27001
ISO 27002
ISO 27005
2009
2005
2005
2008
Systèmes de management de
la sécurité de l'information Vue d'ensemble et vocabulaire
Systèmes de management de
la sécurité de l'information Exigences
Code de bonne pratique
pour le management de la
sécurité de l'information
Gestion des risques en
sécurité de
l'information
ISO/IEC
Guide 73
2009
Management du risque Vocabulaire
CRAMM
EBIOS
MEHARI
OCTAVE
2005
2010
2010
2007
AG AFAI 24 Mai 2011
7
Structure du référentiel Risk IT
Domaine
(ex. ER)
Modèle de maturité
synthétique
Modèle de maturité
détaillé
Processus
(ex. ER2)
Tableau
RACI
Objectifs et
métriques
Activité
(ex. ER2.1)
Éléments d’entrée/sortie
AG AFAI 24 Mai 2011
8
Le modèle Risk IT
Gouvernance des risques
Intégrer au
management
des risques de
l’entreprise
Etablir et
maintenir une
vision
commune des
risques
Gérer les
risques
Exprimer les
risques
Réagir aux
événements
3 domaines
9 processus
47 bonnes pratiques
Prendre en
compte le risque
dans les
décisions
affaire/métier
Objectifs
affaire/
métier
Communication
Traitement des risques
Analyser les
risques
Collecter les
données
Maintenir le
profil de risque
Evaluation des risques
AG AFAI 24 Mai 2011
9
ZOOM SUR 3 PROCESSUS DE RISK IT
AG AFAI 24 Mai 2011
10
GR2 : Intégrer au management des risques de
l’entreprise
• Définir et maintenir l’autorité relative au management des
risques informatiques
• Coordonner la stratégie en matière de risques informatiques
avec la stratégie en matière de risques affaire/métier
• Harmoniser les pratiques de management des risques
informatiques avec celles de management des risques de
l’entreprise
• Fournir les ressources adéquates pour le management des
risques informatiques
• Obtenir une assurance indépendante sur le management
des risques informatiques
Intégration
AG AFAI 24 Mai 2011
11
Réagir aux événements
Gérer les risques
Traitement des
risques
Exprimer les risques
Maintenir le profil de risque
Analyser les risques
Collecter les données
Acteur
Evaluation des
risques
Décisions tenant compte des
risques
L’acteur a toute autorité
sur le processus
Gouvernance
des risques
Intégration au MRE
L’acteur porte la
responsabilité et/ou a
une autorité partielle
Vision commune des risques
Management des risques informatiques :
responsabilité et autorité
Conseil d’administration
Président Directeur Général ou Directeur Général – DG
(CEO)
Directeur des risques – DR (CRO)
Directeur Informatique – DI (CIO)
Directeur financier – DF (CFO)
Comité des risques de l’entreprise
Responsable affaire/métier
Propriétaire de processus affaire/métier
Fonctions de contrôle des risques
Directeur des Ressources Humaines (DRH)
Conformité et Audit
AG AFAI 24 Mai 2011
12
ER2 : Analyser les risques
•
•
•
•
Définir le périmètre de l’analyse des risques informatiques
Estimer les risques informatiques
Identifier les options de traitement des risques
Faire faire une revue de l’analyse des risques par un pair
Appréciation
AG AFAI 24 Mai 2011
13
Appréciation des risques
Tolérance
au risque
Scénarios de risque
informatique
spécifiques et affinés
Estimer la
fréquence
et l’impact
Risque
Analyse
des
risques
AG AFAI 24 Mai 2011
14
Appréciation des risques
• Risk IT propose une méthode d’analyse des risques basée
sur l’analyse de scénarios
• Risk IT propose des aides pour évaluer la fréquence et
l’importance des risques pour les affaires/métiers
Evénement
• Divulgation Interruption
• Modification
• Vol
• Destruction
• Conception inefficace
• Exécution inefficace
• Règles et réglementations
• Mauvaise utilisation
Type de menace
• Malveillance
• Accident/erreur
• Défaillance
• Naturelle
• Exigence externe
[Acteur]
• Interne (personnel, sous-traitant)
• Externe (concurrent, étranger,
partenaire affaire/métier,
régulateur, marché)
• Personnes et organisation
• Processus
• Infrastructure (installations)
• Infrastructure informatique
• Information
• Applications
+
+
+
Actif / Ressource
Scénario
de risque
AG AFAI 24 Mai 2011
+
Eléments temporels
• Durée
• Périodicité d’occurrence
(critique, non-critique)
• Temps de détection
15
Scénarios génériques RISK IT
1 Choix de programme informatique
19 Personnel informatique
2 Nouvelles technologies
20 Expertise et compétence informatique
3 Choix de technologie
21 Intégrité du logiciel
4 Prise de décision en matière d’investissement informatique
22 Infrastructure (matériel)
5 Responsabilité informatique
23 Performance logiciel
6 Intégration informatique au sein des processus affaire/métier
24 Capacité système
7 État de l’infrastructure technique
25 Ancienneté de l’infrastructure logicielle
8 Ancienneté du logiciel applicatif
26 Logiciel malveillant
9 Agilité et flexibilité de l’architecture
27 Attaques logicielles
10 Conformité règlementaire
28 Supports d’information
11 Implémentation de logiciel
29 Performance des services publics
12 Fin de projet informatique
30 Action revendicative
13 Coût de projet informatique
31 Intégrité des (bases de) données
14 Réalisation de projet
32 Intrusion logique
15 Qualité projet
33 Erreurs d’exploitation informatique
16 Choix/ performance des tiers fournisseurs
34 Conformité contractuelle
17 Vol d’infrastructure
35 Environnement
18 Destruction d’infrastructure
36 Catastrophes naturelles
AG AFAI 24 Mai 2011
16
TR2 : Gérer les risques
• Inventorier les contrôles
• Surveiller l’alignement opérationnel sur les seuils de
tolérance au risque
• Traiter les expositions aux risques et les opportunités
découvertes
• Mettre en place des contrôles
• Réaliser un rapport sur la progression du plan d’actions
concernant les risques informatiques
Traitement
AG AFAI 24 Mai 2011
17
Traitement des risques
Analyse des
risques
Risques dépassant le
niveau de tolérance
Paramètres de sélection
du traitement des risques
Coût de traitement pour
ramener les risques dans
les niveaux de tolérance
Choisir les options de
traitement des risques
Ampleur des risques
Options de traitement des risques
1. Eviter
Capacité à mettre en
œuvre le traitement
2. Réduire/Atténuer
Efficacité du traitement
4. Accepter
Traitement des risques
Hiérarchiser les
options de traitement
des risques
Traitements des
risques hiérarchisés
Plan d’actions
concernant les
risques
AG AFAI 24 Mai 2011
Efficience du traitement
Hiérarchisation du traitement
des risques
Niveau de risque actuel
3. Partager/Transférer
Étude
d’opportunité
Gain rapide
Ne rien faire
Étude
d’opportunité
Ratio efficacité/coût
18
Réduction des risques
• Risk IT capitalise sur les bonnes pratiques de contrôle et
de management de COBIT et Val IT
Contrôle
Référence
indispensable du contrôle
Libellé du
contrôle
Objectif de contrôle COBIT /
Pratique clé de management Val IT
Effet sur Effet sur
la
l’impact
fréquence
1. Choix de programme informatique
Oui
PO1 PO1.1 Gestion de la
valeur
informatique
Travailler avec les affaires/métiers pour s’assurer que le portefeuille
d’investissements informatiques de l’entreprise contient des programmes ou
projets dont les analyses de rentabilité sont solides. Reconnaître qu’il y a des
investissements obligatoires, indispensables et discrétionnaires qui diffèrent en
complexité et en degré de liberté pour ce qui est de l’attribution des crédits. Les
processus informatiques doivent fournir aux programmes des composants
informatiques efficaces et efficients et des alertes, au plus tôt, pour tout écart par
rapport au plan, par exemple, en ce qui concerne les coûts, les délais et les
fonctionnalités, susceptible d’avoir des conséquences sur les résultats attendus
des programmes. Les services informatiques doivent être rendus sur la base de
contrats de services (CS ou Service Level Agreement SLA) équitables et
applicables. La responsabilité finale de l’obtention des bénéfices et du contrôle
des coûts est clairement assignée et supervisée. Établir une appréciation juste,
transparente, reproductible et comparable des analyses de rentabilité qui tient
compte de la valeur financière, du risque de ne pas fournir une capacité et de ne
pas réaliser les bénéfices attendus.
AG AFAI 24 Mai 2011
Important
19
Contenu de Risk IT
• Le Référentiel Risk IT
– Description du modèle (domaines, processus, activités)
– Modèles de maturité, tableaux RACI, objectifs et métriques,
éléments d’entrée/sortie
• Le Guide Utilisateur Risk IT
– Guide pratique de mise en place du management des risques
informatiques dont
• Description des scénarios génériques et du traitement des risques à l’aide
de COBIT et Val IT
– Comparaison de Risk IT avec COSO ERM, ISO 31000 et ISO
27005
• Outils complémentaires du Guide Utilisateur
– 7 documents Word d’aide à la mise en œuvre
AG AFAI 24 Mai 2011
20
AFAI, ISACA et Risk IT
• L’AFAI a réalisé l’adaptation en français de Risk IT avec la
participation de chapitres francophones
• L’ISACA a mis en place une certification spécifique
– Parrainage jusqu’au 30 juin 2011
• L’AFAI proposera une formation au management des
risques informatiques basée sur Risk IT dans le courant du
second semestre 2011
AG AFAI 24 Mai 2011
21