Retour sur investissement en sécurité

Transcription

Retour sur investissement
en sécurité
Convention Sécurité
16 juin 005
Hervé Schauer
<[email protected]>
Hervé Schauer Consultants
Société de conseil en sécurité informatique depuis 1989
Prestations intellectuelles d'expertise en toute indépendance
Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni
délégation de personnel
Prestations : conseil, études, audits, tests d'intrusion, formations
Domaines d'expertise
Sécurité Windows / Unix et linux / embarqué
Sécurité des applications
Sécurité des réseaux
TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique, ...
Organisation de la sécurité
Certifications
CISSP, BSI BS7799 Lead Auditor, IRCA, ProCSSI
2 / 32
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Plan
Exemples de ROSI
Avant-propos
ROSI
Définitions
Introduction
Pourquoi ?
Facteur de succès de la
sécurité
Coûts de la sécurité
Courants d'approche du
ROSI
Les transparents seront
disponibles sur
www.hsc.fr
3 / 32
Amélioration de la productivité
Diminution des incidents
Analyse de risque
Enjeux métiers
Meilleures pratiques
Benchmarking
Choix du ROSI
Positionnement du projet
Grille d'orientation d'argumentaire
Grille des apports pour la SSI
Dossier d'argumentation
Conclusion
Prochains rendez-vous
Avant-propos
Clusif (www.clusif.asso.fr)
Groupe de travail ROSI de février 2003 à mai 2004
Ernst & Young, HSC, Lynx, Microsoft, SIVA
Publication du document "Retour sur investissement en sécurité des
systèmes d'information, quelques clés pour argumenter" en octobre
2004
http://www.hsc.fr/presse/clusif/RoSI.pdf
Présentation basée sur ce document du Clusif
Cercle Européen de la Sécurité (www.leclercle.biz)
Présentation en mars 2004 par Arséo
4 / 32
ROSI : définitions
ROSI : Return On Security Investment
Retour sur investissement en sécurité
ROSI vient de ROI : Return On Invesment
Gain financier d'un projet de sécurité au regard de son coût
total
Net : en monnaie constante
Investissements et fonctionnement
Sur une période d'analyse donnée
Projet de sécurité : projet où la sécurité est plus importante
TCO : Total Cost of Ownership
TCO : Coût total associé au cycle déploiement/maintenance
5 / 32
ROSI : Introduction
Le ROSI relativise les coûts par rapport aux bénéfices
Point de retour : date à partir de laquelle les gains dépassent les coûts
Le ROSI est plutôt la valeur ajoutée d'un investissement en
sécurité
Le retour sur investissement n'est plus uniquement une notion
financière
6 / 32
ROSI : Pourquoi ?
Manière de travailler, d'analyser et de décider repose de plus
en plus sur des tableaux de chiffres
Certains dirigeants prennent leurs décisions face à des tableaux Excel
Ceux qui prennent en compte d'autres dimensions exigent quand
même des tableaux Excel avec des chiffres
Le tableau Excel marche pour tous les types de projets
Management demande des tableaux des coûts
Dans les rapports d'audit de sécurité
Lors des réunions de restitution des résultats
Tableau des coûts associés aux risques encourus et aux
recommendations proposées
Pas toujours dans la compétance de l'auditeur
7 / 32
ROSI : Pourquoi ?
Raisons historiques du pourquoi fait-on de la sécurité ne
suffisent plus toujours au management
Management applique la notion de ROI à des aspects
immatériels
Sécurité protège principalement un patrimoine immatériel → pas de
raison d'y échapper
Principaux facteurs d'influence actuels auprès des directions :
Obligations règlementaires
Sensibilisation à la gestion des risques
ROSI : piste complémentaire à l'existant
8 / 32
ROSI : Facteur de succès de la sécurité
La sécurité doit s'intégrer dans la manière de faire avec
d'autres sujets :
Réseaux : planification, déploiement, supervision, ...
Applications : développement, déploiement, performance, gestion, ...
La sécurité pourra ainsi mieux s'intégrer dans la vie du
système d'information
La sécurité commence à apparaitre dans le discours des gens
en dehors du monde de la sécurité
Plus vue comme quelque chose de séparée.
Intègrée de manière multi-dimentionelle
9 / 32
Coûts organisationels, humains, techniques
La sécurité est de l'organisation et des hommes
La sécurité n'est pas des licences logicielles
Coûts ponctuels et récurrents
Coûts tangibles ou intangibles
10 / 32
Coûts ponctuels
Coût récurrents
Investissements liés à la mise en
place et au déploiement des
dispositifs de sécurité
Coûts d'exploitation et
d'administration des dispositifs de
sécurité
Coûts des conséquences directes
des incidents de sécurité
Coûts de mise à jour des
dispositifs et de leurs procédures
Pertes de production
Remplacement des matériels
Plus des 2/3 du coût total
Frais d'assurance
Frais d'investigation
Pénalités de retard
Pertes de parts de marché
Dommages et intérêts
Coûts de reconstitution
11 / 32
Coûts tangibles
Coût intangibles
Mesurables
Difficilement mesurables
Investissements
Maintenance et support
Prime d'assurance
Baisse de productivité où
l'équivalent financier est
chiffrable
Perte de revenus
Baisse de productivité difficile
à mesurer
Perte de réputation ou de la
confiance des clients
Perte de part de marché
Non-conformité à la législation
Poursuites juridiques
Remplacement ou
reconstitution
12 / 32
Courants d'approche du ROSI
Arguments évoqués dans la littérature
Arguments technologiques
Généralisation d'outils ou de procédures
Réduction du nombre d'incidents
Amélioration de la convivialité pour les utilisateurs
Arguments métiers
Analyse de risque, assurance, confiance, concurrence dans le secteur
Arguments règlementaires et normatifs
Lois : Sarbanes-Oxley, sécurité financière, informatique & libertés
Normes : ISO27001 (BS7799-2)
Propres au métier : CRBF 97-02, Bâle II, HIPAA
13 / 32
Exemples de ROSI
Amélioration de la productivité
Diminution des incidents
Analyse de risque
Enjeux métiers
Meilleures pratiques
Benchmarking
14 / 32
ROSI Orienté productivité
Pas spécifique à la sécurité
Avantage : intuitif car pas spécifique à la sécurité
Limites : ne marche pas toujours car souvent technologique
Exemple
Scénario :
Soit une entreprise disposant d'une hot-line de 5 personnes chargées
principalement de rétablir les mots de passe prdus et d'assister les
utilisateurs dans la complexité des différents système d'authentification
Solution :
Déploiement d'une solution d'authentification centralisée (SSO) de 250 k€
ROSI :
Réduction du nombre d'appels, diminution de 2 à 5 personnes, coût de
fonctionnement passé de 400 k€ à 160 k€
15 / 32
ROSI Orienté incidents
ALE : Annual Loss of Expectancy
Pertes annuelles prévisibles à partir de la fréquence de survenance d'un
incident et coût financier de son impact
ROSI : différence entre l'ALE actuel et l'ALE futur + le coût de la solution
Limites
Calcul de probabilité donc bases d'incidents et effort de modélisation
Pas de distinctione occurence faible/impact élevé et occurence élevée/impact
faible
Exemple
Scénario
Attaque virale généralisée couteraît 1M€ avec une probabilité d'occurence
de 70%
Solution
Diminution de la probabilité de 20% par le déploiement d'une nouvelle
infrastructure anti-virale de 150 k€
ROSI : 70% x 1M€ - (70-20)% x 1M€ - 150 k€ = 50 k€
16 / 32
ROSI orienté analyse de risques
Comparaison du risque potentiel maximal par rapport au coût de
la solution
Avantage : approche largement employée
Limites
Technique de quantification différentes d'une méthode à une autre, d'un
expert à l'autre
Scénarios de risques non-exhaustifs et hypothèses des scénarios
susceptibles d'être remises en cause
Exemple
Scénario
Serveur de production sur un site non-sécurisé redondé localement, en
cas de sinistre majeur sur le site la perte est évaluée à 15M€
Solution
Hébergement sur un site distant sécurisé : 4M€
ROSI :
Coût de la solution de 4M€ par rapport à celui du sinistre de 15M€
17 / 32
ROSI orienté enjeux métiers
La sécurité est génératrice de richesses dans votre activité
Gain de part de marché, avantage concurrenciel
Amélioration de la qualité d'un service, de l'image de marque, de la confiance
du client
Avantage
Utilise le langage métier et fédère l'organisme
Limites
N'utilise pas d'analyse coût/bénéfices
Difficile à expliquer et d'atteindre les bons interlocuteurs
Exemple
Scénario
Serveur d'assurance avec fichier nominatif non-protégé : clients, biens
assurés, ...
Solution
Sécurisation du serveur, ajout d'un contrôle d'accès, authentification forte
ROSI : enjeu lié à l'image et au risque juridique
18 / 32
ROSI orienté meilleures pratiques
Avantage
Alternative à l'analyse de risque
Limite
Beaucoup pensent que les meilleures pratiques ne sont pas pour eux
Exemple
Scénario
Un audit de sécurité révèle que l'ERP d'une société cotée n'a pas de
ségrégation des tâches et de traçabilité, ouvrant la possibilité à des
fraudes internes
Solution
Intervention d'un cabinet d'expertise en sécurité pour reconstruire la
sécurité applicative
ROSI
La direction n'étant pas sensibilisé à la fraude interne c'est le
respect de la loi sur la sécurité financière qui les a fait décider
19 / 32
ROSI orienté benchmarking
Comparatif de performance des entreprises
Avantages
Les dirigeants apprécient
Limites
Ne prends pas en compte les spécificités locales et pousse à faire
pareil
Exemple
Scénario
Un audit de sécurité de service en ligne rèvèle un serveur très mal conçu
où tous les clients peuvent visualiser les informations des tiers. Jamais un
service du secteur n'a été vu dans un tel état.
Solution
Ré-écrire l'application
ROSI
Rejoindre la majorité, ne pas faire pire que les autres
20 / 32
Choix du ROSI : méthode CLUSIF
Combiner aspects quantitatif et qualitatif en trois étapes :
1) Orientation du projet
Projet plutôt métier
Projet plutôt sécurité des SI
2) Cartographie contextuelle du projet
Quatres axes complémentaires selon le contexte
Performance, amélioration de la productivité
Risques
Sinistralité
Enjeux business
Trois facteurs influencent l'approche
Contexte économique, humain et intrinsèque aux projets
3) Synthèse des apports potentiels pour la sécurité
21 / 32
POSITIONNEMENT DU PROJET
Dominante
MÉTIER
PROJET
Dominante
SÉCURITÉ des SI
CARTOGRAPHIE CONTEXTUELLE
Secteur d’activité / Métier
(contexte économique)
Nature du projet
Interlocuteurs /
commanditaires
(dominante technique / non technique)
GRILLE D’ORIENTATION D’ARGUMENTAIRE
Performance
« au quotidien »
Gains de productivité
Economies de
fonctionnement
Prévention
des risques
Baisse de la
sinistralité
Menaces
Risques potentiels
Statistiques incidents
Aspects réglementaires
ALE
Enjeux
business
Objectifs métiers
Apports SSI / enjeux
du projet
GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES
22 / 32
Métrique
quantitative
Critères
qualitatifs
Copyright
Hervé Schauer Consultants
2000-2005
- Reproduction Interdite
Positionnement/orientation du projet
Projet plutôt métier
Financé par une maîtrise d'ouvrage opérationelle ou fonctionnelle
Développer l'argumentaire orienté vers l'atteinte des intérêt ou des
objectifs du métier
Exemple : mise en oeuvre d'une nouvelle messagerie internet, l'intégration
de l'anti-virus par les gestionnaires améliore la qualité du service rendu
aux usagers et diminue les appels au support
Projet plutôt sécurité des SI
Développer l'argumentaire sécurité
Réduction d'un risque opérationel
Exemple : mise à disposition d'une solution de chiffrement pour chaque
type d'assistant personnel permet aux employés de protéger les données
de l'entreprise vis-à-vis de la perte de l'assistant personnel
23 / 32
Contexte du projet
Economique
Culture de gestion du risque déjà existante dans le métier ?
Environnement législatif ou règlementaire fort ?
Savoir faire industriel représente un avantage concurrentiel ?
Humain
Pour chaque intervenant : commanditaire, chef de projet, responsable de
service, équipes études ou opérationnels :
Niveau technique, sensibilité à la sécurité, interêt pour le projet, ...
Intrinsèque
Dominante technologique : importance des experts
Dominante organisationelle : amélioration des processus interne
Dominante comportementale : tributaire de la culture sécuritaire
GRILLE D’ORIENTATION D’ARGUMENTAIRE
24 / 32
25 / 32
Faire sa propre grille
Garder les questions pertinentes pour son projet
Ajouter ses propres questions
Faire des propres pondérations
Envisager plusieurs grilles pour un même projet
Culture latine vs anglo-saxonne
Plusieurs sites géographiques
Contexte général très différent
Faire répondre au même questionnaire à plusieurs personnes
26 / 32
Grille des apports pour la SSI
Arguments du projet sécurité en lui-même
Son volet sécurité dans le cas d'un projet métier
Pour chaque axe
Performance, Risques, Sinistralité, Enjeux business
Construire son ROSI
Déterminer les métriques quantitatives et les critères qualitatifs
GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES
Rappel des coûts du projet
Investissements, fonctionnement
27 / 32
Grille des apports pour la SSI escomptés
28 / 32
Dossier d'argumentation
Gérer la sécurité comme un projet comme les autres
Réunir les arguments
Objectifs stratégiques
Economies d'échelle
Contraintes règlementaires
Alignement avec la culture d'entreprise
Plan de financement
Solliciter les acteurs-clés
Contrôle interne, finance, management
29 / 32
Conclusion
ROSI : instrument récent et sophistiqué
Pas d'approche unique mais des arguments clés
Fonctions du contexte, de la nature du projet, des interlocuteurs
Tout n'est pas quantifiable : les éléments intangibles doivent
s'apprécier autrement
Utile à ceux qui sont déjà mature en sécurité et qui souhaitent
optimiser les dépenses en sécurité
Commencez avec des cas simples
30 / 32
Prochains rendez-vous
Formation DNS : 21 juin, Postfix et anti-spam : 22 juin
http://www.hsc.fr/services/formations/
Formations SecurityCertified : 5-9 & 19-23 septembre
Permettant de passer la certification SCNP
Formation BS7799 Lead Auditor : octobre 2005
Certifiée par LSTI et reconnue par l'IRCA
Sur www.hscnews.com vous pourrez vous abonner à la
newsletter HSC
31 / 32
Ressources
Sur www.hsc.fr vous trouverez des présentations sur
Infogérance en sécurité
Sécurité des réseaux sans-fil
Sécurité des SAN
Sécurité des bases de données
SPAM
BS7799
etc
32 / 32

Retour sur investissement en sécurité

Transcription

Documents pareils

Oeuvres complètes

Version PDF - Herve Schauer Consultants

Les documents à conserver

Bienvenue dans le logiciel de gestion d`un tournoi de Football

Version PDF - Herve Schauer Consultants

Sécurité PHP - Herve Schauer Consultants

Version PDF - Herve Schauer Consultants

Etre ou ne pas être, telle est la question

Compte-rendu Black Hat Europe 2008