La fonction SSI en entreprise : bilan et perspective

Transcription

LA FONCTION SSI EN ENTREPRISE
Bilan et perspectives
15 JUIN 2005 – Paris, Parc des Expositions
© clette.com
Pierre-Luc REFALO
Directeur associé
« Si vous pensez que l’éducation coûte cher, essayez l’ignorance. »
06/20/05
Abraham Lincoln
Reproduction interdite sans l’autorisation de Comprendre & Réussir / Icys Formation
p. 1
Sommaire
Introduction
Que nous apprend l’enquête du Cercle Européen de la Sécurité ?
Fondamentaux et changements de paradigmes
Évolutions de la fonction SSI
© clette.com
Conclusion
06/20/05
p. 2
Introduction
Introduction
Enquête
du Cercle
Fondamentaux
Évolutions
© clette.com
Conclusion
La gestion des cyber-risques demeure une question culturelle.
Pendant que les normes et les standards se développent, que
les technologies deviennent matures, c'est bien dans
l'organisation et l'éducation que se fait "la différence" entre
ceux qui parviennent à être efficaces et cohérents et les
autres.
Sur la base des résultats de l'enquête du Cercle Européen de
la Sécurité menée auprès d'un panel de 82 professionnels,
nous analyserons quelles sont les perspectives d'évolution de
la fonction SSI.
En particulier, nous verrons comment mettre en place un
management par l'enjeu dans un cadre organisationnel adapté
au contexte politique et réglementaire."
06/20/05
p. 3
Introduction
Pierre-Luc RÉFALO

Depuis 2002, Directeur associé de Icys-formation (dédié à la formation SSI : + 4500 stagiaires en 3 ans)

Auteur de l’ouvrage « Sécuriser l’entreprise connectée »

4 ans Directeur du Programme Sécurité de l’Information du Groupe Cegetel

10 ans d’expérience dans le conseil en SSI (Cisi, XP Conseil)

Président du jury du ProCSSI (certification française en SSI délivrée par l’INSECA – Pôle L. De Vinci)

Chargé de mission du Cercle Européen de la Sécurité
(certification et Livre blanc des Assises)

Intervenant à INT Entreprises, UT Troyes, ESIEE (CCIP)

Conférencier à Netfocus France, Assises de la Sécurité, Computer Security Institute (USA)

Ancien représentant français à la Commission Européenne, au G8 et à l’OCDE sur le cybercrime et la sécurité
de l’information
Introduction
Enquête
du Cercle
Fondamentaux
Évolutions
© clette.com
Conclusion
06/20/05
p. 4
Position de la fonction vs Comité de direction
Introduction
Enquête
du Cercle
50%
44%
41%
35%
Fondamentaux
© clette.com
N-1
N-2
15%
2003
2003
2004
2003
Conclusion
2004
Evolutions
2004
15%
N-3 et +
06/20/05
p. 5
Rattachement hiérarchique des managers SSI
Introduction
3%
Enquête
du Cercle
7%
13%
Fondamentaux
62%
15%
Evolutions
Conclusion
Système d'information
© clette.com
DG-SG
Sécurité - Sûreté
Finances
Autres
06/20/05
p. 6
Les rôles assurés par les managers SSI
Introduction
Enquêteur
Urgentiste
Enquête
du Cercle
Contrôleur
Administrateur
Architecte
Fondamentaux
Analyste
Educateur
Evolutions
Veilleur
Auditeur
Régulateur
Conclusion
0%
10%
20%
30%
© clette.com
2003
40%
50%
60%
70%
80%
90%
2004
06/20/05
p. 7
lle S
e vei
ation
ique
polit
e la
on d
orati
Elab
ique
polit
de la
uvre
en œ
Mise
baux
I glo
ts SS
proje
des
age
Pilot
s
I dan
la SS
"
n de
ratio "métiers
Intég
s
rojet
les p
et
rôles
des
ition
ion
Défin rganisat
o
de l'
SI
tés d
ités
ibilis
activ
sens
des
ion /
uité
rmat
ontin
de c
de fo
i
Activ
Plan
Plan
rité
sécu
udit
s d'a
Plan
nts
cide
es in
ion d
Gest
de la
uvre ique
en œ
id
Mise rmité jur
o
conf
e
étair
budg
Conclusion
age
Evolutions
85%
p. 8
92%
88%
Introduction
80%
74%
73%
68%
66%
65%
61%
55%
51%
Enquête
du Cercle
Pilot
06/20/05
© clette.com
Les actions transverses des managers SSI
Fondamentaux
71%
68%
66%
78%
Introduction
te a
t Ac
cès
es
s
ion
iqu
log
rus
'int
s
tion
rma
info
nd
stio
ne
atio
ific
s
viru
nti-
t
hen
Aut
Lut
t ge
nt e
des
e
tiqu
rma
nfo
fil
ture
gna
p. 9
me
sse
Cla
lité
ntia
fide
Con
i
urs
eco
s
ctif
orre
sc
r de
jou
es
nd
Pla
eà
Mis
nce
ans
xs
/ si
s
site
es
risé
eau
rés
eilla
urv
er-s
Cyb
es
éd
écu
des
ue
rité
siq
phy
ss
tion
sac
urit
Séc
n
Tra
é
urit
Séc
écu
es
iqu
hys
sp
ccè
d'a
es
ivag
es
Conclusion
h
Arc
Evolutions
42%
37%
49%
46%
58%
55%
54%
Enquête
du Cercle
trôl
Con
06/20/05
© clette.com
Les actions opérationnelles des managers SSI
87%
Fondamentaux
Nature de l’implication des managers SSI
Introduction
20%
Enquête
du Cercle
Fondamentaux
58%
22%
Evolutions
© clette.com
Conclusion
Stratégique
Opérationnel
Mixte
06/20/05
p. 10
Un cadre légal incontournable
Introduction
Enquête
du Cercle
Fondamentaux
Evolutions
Code civil - Code pénal
Procédures pénales
INDIVIDU
Code du
travail
Informatique
et libertés
(1978-2004)
Code Propriété
Intellectuelle
(1994)
Secret des
Correspondances
(1991)
Cryptographie
(1996-1999-2001-2003-04)
Signature Électronique
(2001-02)
Fraude informatique
(1988-2004)
Confiance Économie
Numérique (2004)
ETAT
Code des
Télécoms
(1990)
Sécurité
Quotidienne
(2001)
Sécurité
Intérieure
(2003)
Conclusion
© clette.com
ENTREPRISE
06/20/05
p. 11
Des cyber-risques quotidiens
Introduction
CONTENUS
Enquête
du Cercle
SERVICES
Contenus
illégaux
Atteinte à la
vie privée
Fraude
économique
Piratage
Fondamentaux
Evolutions
« Vol »
Négligences
(matériel,
logiciel et
contenu)
(informations
et ressources)
Intrusion
Erreurs
Sabotage
Conclusion
Accidents
Catastrophes
naturelles
© clette.com
INFRASTRUCTURES
06/20/05
p. 12
Une menace croissante sur les infrastructures
Introduction
140
Enquête
du Cercle
120
100
80
Fondamentaux
60
40
Evolutions
20
0
1995
Conclusion
1996
1997
1998
1999
2000
2001
2003
2004
Incidents de sécurité recensés dans le monde (en milliers)
Vulnérabilités répertoriées (en centaines)
© clette.com
2002
Source : CERT/CC
06/20/05
p. 13
Trois domaines d’intervention
Introduction
Enquête
du Cercle
Fondamentaux
Confiance
des services
en ligne
Sécurité des
informations
CYBER-RISQUES
Evolutions
Qualité des
infrastructures
© clette.com
Conclusion
06/20/05
p. 14
Un management par les enjeux
Réglementation
Introduction
(Elaborer les référentiels
et fixer les limites)
Organisation
Enquête
du Cercle
Fondamentaux
(Définir les responsabilités
Élaborer et contrôler les procédures)
Espionnage
économique
Evolutions
© clette.com
Conclusion
Education
(Impliquer et
consolider la culture)
Vie privée
Patrimoine
immatériel
Fraude
économique
Catastrophes
Accidents
Veille
Economie
(Maîtriser les risques réels
et adapter les moyens)
Fraude
informatique
Architecture
(Connaître et influencer
l’environnement)
(Concevoir et mettre en
œuvre les outils adaptés)
06/20/05
p. 15
Une politique structurée et ciblée
Introduction
Contrat de travail
Règlement intérieur
Codes de déontologie
Surveillance des salariés
Politique
« collaborateurs »
Enquête
du Cercle
Accords de confidentialité
Sécurité dans les projets
Sécurité dans les contrats
Signature électronique
Fondamentaux
Engagement
des dirigeants
Principes fondateurs
Charte
d’entreprise
Politique
« prestataires »
Politique
« clients »
Données personnelles
Paiements
Lutte contre la fraude
Signature électronique
« Guides de bonnes pratiques et de management »
Evolutions
Conclusion
Organisation opérationnelle
Sécurité dans les projets
Démarche d’analyse de risques
Contrôle et audit
Normes et référentiels
Continuité des activités
Gestion des incidents et crises
Veille et relations extérieures
Contrôle d’accès logiques
Sécurisation des systèmes
Cloisonnement de réseaux
Gestion des attaques logiques
Confidentialité des informations
Plans de secours
© clette.com
Déclinaison de la politique au sein des activités, filiales, pays, plates-formes, …
06/20/05
p. 16
Une organisation qui tient la route
Rôles
Politique
Introduction
Structures
Enjeux
Enquête
du Cercle
Fondamentaux
Evolutions
Management
stratégique
Analyste
Architecte
Management
opérationnel
Cellules
« Mise en oeuvre »
Juridique
RH
Communicat°
Qualité
Audit
Métiers
Projets
Métiers
IT
Meilleures pratiques
(règles)
Processus
Conclusion
Cellule
« Politique et pilotage »
Régulateur
Veilleur
Educateur
Auditeur
Fournisseur
Intégrateur
Administrateur
Contrôleur
Processus
IT
Urgentiste
Enquêteur
© clette.com
Positionner les 12 rôles au sein de l’organisation en séparant le stratégique de l’opérationnel.
06/20/05
p. 17
Les cinq fonctions clés de la SSI
1
1
Introduction
Enquête
du Cercle
Fondamentaux
Évolutions
© clette.com
Conclusion
EXPERTISE AMONT
Correspondants / Relais
EXPERTISE AVAL
Veilleur
Éducateur
3
Contrôleur
Enquêteur
5
Régulateur
Auditeur
PILOTAGE
2
Analyste
Architecte
PROJET
4
Administrateur
Urgentiste
PROCESSUS
Quelle que soit la taille des entreprises ou leur secteur d’activité, ces 5 fonctions sont nécessaires et souvent appuyées par
un réseau de correspondants dans les grandes structures.
06/20/05
p. 18
Les nouveaux acteurs de la Sécurité
Le correspondant à la protection des données personnelles

Introduction


Enquête
du Cercle
40% des entreprises en disposent déjà
Décret en attente depuis la loi du 6 août 2004
Une fonction à risque (indépendance, délégation pénale, …)
Le superviseur-enquêteur des attaques logiques



Indépendant des opérations « SSI »
Focalisé sur les attaques intrusives, dénis de services, vers informatiques, …
Dûment formé sur les conditions d’intervention (en interne, en externe)
Fondamentaux
Le pilote de l’Intelligence économique (défensive)

Évolutions

Un relais entre les fonctions de veille et sécurité de l’information
Un éducateur permanent sur les menaces réelles touchant tous les secteurs d’activité
Le monsieur « crise »
© clette.com
Conclusion


Effet post 11 septembre
Un organisateur au cœur des métiers
06/20/05
p. 19
L’éducation en SSI : clé du succès
Introduction
Support
Management
Educateur
Veilleur
Contrôleur
Enquêteur
Régulateur
Auditeur
Enquête
du Cercle
Fondamentaux
« Expert »
« Pilote »
SSI
Dissuasion
Prévention
Education
Protection
Répression
Détection
Évolutions
« Conseil »
Projets
Fournisseur
Intégrateur
Analyste
Architecte
« Opérationnel »
Processus
Conclusion
Motivation
Réaction
© clette.com
Administrateur
Urgentiste
06/20/05
p. 20
Les cibles : qui est concerné ?

Introduction



Enquête
du Cercle
Fondamentaux



Les décideurs
Les managers
L’ensemble des collaborateurs
Les informaticiens
Les professionnels SSI
Les correspondants / relais
Les fournisseurs, prestataires, stagiaires
Les objectifs pédagogiques : ça sert à quoi ?



Savoir : contacts, sources d’information, règles essentielles
Savoir être : conduite à tenir, réflexe, A faire / Ne pas faire, …
Savoir faire : compétences techniques, méthodologiques, juridiques, …
Évolutions
Les priorités : quelle stratégie ?

© clette.com
Conclusion


Activité « motivée »
Projet « sensible »
Processus « critique »
06/20/05
p. 21
PDG-DG-Directeurs
Fi
o
na
f
’in
Introduction
ed
m
stè
Sy
Revenus
Juridique
Règlement
intérieur
Organisation
Données
personnelles
Propriété
intellectuelle
es
In
no
ain
va
um
tio
sh
n
Re
Fondamentaux
Commercial / Marketing
Évolutions
© clette.com
Conclusion
e
Audit
Enquête
du Cercle
Responsabilité
légale
nc
Avant
Pendant
Après
Marketing de la peur
Insouciance
Syndrome « écologique »
Sens du devoir
« C’est pas moi, c’est
l’autre »
« La fuite »
« Sauver ce qui peut l’être »
« Je vous avais prévenu »
Syndrome « humanitaire »
06/20/05
p. 22
Introduction
Une démarche décidée par le RSSI avec le soutien d’un Comité
de Direction



Enquête
du Cercle

Les fondamentaux sont mis en oeuvre
Un budget est déterminé
La Formation et la Communication sont informées voire impliquées
Information + Sensibilisation + Formation
Ou une simple réflexion, sans plus …

Fondamentaux



Faire parler de soi, de la SSI, …
Mais par quel bout commencer ?
Une action rapide, tactique, … ou une démarche dans la durée ?
Des pièges et écueils identifiés
Evolutions
© clette.com
Conclusion
06/20/05
p. 23
Introduction
Professionnels SSI
Dirigeants
Managers
Enquête
du Cercle
Informaticiens
Fondamentaux
Correspondants SSI
Chefs de projets et MOA
Evolutions
Prestataires
Collaborateurs
Conclusion
© clette.com
Support hiérarchie
obligatoire
Coopération management
Action SSI autonome
06/20/05
p. 24
L’avenir : certification individuelle en SSI
Pour les professionnels en entreprise

Introduction



Enquête
du Cercle
Pour les offreurs


Fondamentaux


Evolutions
Se certifier pour se faire embaucher ?
Se certifier et … s’en aller ?
Se certifier pour se faire “reconnaître” ?
…
Se certifier pour être crédible sur son marché ?
Se certifier pour se vendre plus aisément ?
Se certifier pour se vendre plus cher ?
…
L’impact des normes


Certification individuelle à ISO 17799 ?
Accréditation des organismes à ISO 17024 ?
© clette.com
Conclusion
06/20/05
p. 25
L’avenir : certification individuelle en SSI
Management
CISM
Introduction
CISA
BS7799
Lead auditor
Enquête
du Cercle
ProCSSI
CISSP
Challengers
Leaders
Fondamentaux
Evolutions
OPSA / OPSE / OPST
SNCP / SCNA
© clette.com
Conclusion
CEH / CHFI
GIAC
Technique
06/20/05
p. 26
Les idées forces pour que les messages passent
1.
2.
Introduction
Enquête
du Cercle
Fondamentaux
3.
4.
5.
6.
7.
8.
9.
10.
Ne jamais oublier que la sécurité du SI permet d’abord à l’entreprise d’atteindre ses objectifs.
Le recentrage sur son métier de base renforce pour les dirigeants l’exigence de maîtrise des risques
opérationnels, dont ceux liés au SI.
Intégrer les risques liés aux effets de la globalisation et de la dématérialisation en développant l’axe
de la confiance « en ligne » avec ses clients, fournisseurs, partenaires, …
La sécurité des SI est aussi devenue une question de contenu autant que d’infrastructure.
La sécurité du SI n’est pas la surveillance par le SI : bien séparer les rôles !
C’est par le comportement et l’implication de tous que les plus grands progrès sont accomplis.
Toujours intégrer à la démarche une dimension économique ou médiatique.
Mission impossible mais proposer des solutions à coût « zéro » !
Le RSSI est l’expert qui fait bien son job et permet aux dirigeants de « dormir tranquille ».
Ne pas oublier d’intégrer le management de l’incertitude : se préparer au pire !
Evolutions
© clette.com
Conclusion
06/20/05
p. 27
© clette.com
Savoir raison garder !
06/20/05
p. 28
6, place de la Madeleine 75008 PARIS
Tél : +33 145 75 99 75 / Fax : +33 145 75 99 97
© clette.com
Pierre-Luc REFALO
Directeur associé
+33 624 369 373 / [email protected]
www.icys-formation.com
06/20/05
p. 29

La fonction SSI en entreprise : bilan et perspective

Transcription

Documents pareils

Le squelette humain : les os

coloriages garcons_portrait.ai

Réglement d`accès au MAD

Flamme nue interdite et défense de fumer - E

No file - Editions entrefilet

INGENIEUR SECURITE SYSTEMES D`INFORMATION (H/F

CR Eure des Jeux 25_09_12

Les panneaux d`interdiction Défense de fumer Flamme nue interdite

INGENIEUR SECURITE SYSTEMES D`INFORMATION (H/F

Rénovation d`une Salle De Bain - Tous Mes Travaux 45