©  2012  Consulare  sàrl,  tous  droits  réservés.  

‘ Savoir, prévoir et décider ‘

Sécurité  des  Systèmes  d’Informa?on  :  Piloter  la  Sécurité  du  SI  pour  créer  la  confiance  

Comment  définir  une  Stratégie  de  Sécurité  des  Systèmes  d’Informa?on  ?  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Les  Hommes,  l’Organisa;on  et  la  Stratégie  

Première  par;e  Quel  RSSI  pour  quelle  organisa;on  ?  

 Deuxième  par?e  

Comprendre  comment  l’organisa?on  et  ses  dirigeants  pensent  (le  risque  et  la  sécurité)  

 Troisième  par?e  

Etablir,  présenter  et  suivre  un  Stratégie    

2  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

«  La  performance  d’un  manager  ne  dépend  

pas  directement  de  lui  même  mais  de  la  

performance  des  autres.  »  

 

3  

Le  RSSI  et  les  Autres  …  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Le  RSSI  est-­‐il  un  Manager  ou  un  Contributeur  Individuel?  

4  

Manager    

•  Équipe  •  Processus  •  Infrastructure  • Autorité  •  Budget  

Contributeur    Individuel  

•  Liberté  •  Transversalité  •  Coaching  • Anima?on  •  Conseil  

©  2012  Consulare  sàrl,  tous  droits  réservés.   5  

Ou  se  posi;onne  le  RSSI  dans  l’organisa;on  et  ou  lui  voudrait-­‐il  être  ?  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Dans  une  organisa;on  à  forte  composante  ‘Risques  Opéra;onnels’,  le  RSSI  ira  «  naturellement  »  vers  la  Direc;on  des  Risques    

6  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Dans  une  organisa;on  à  très  forte  pression  réglementaire    

7  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Dans  une  organisa;on  ou  la  traduc;on  de  tout  risque  est  principalement  légal  (juridique)  

8  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Une  phase  de  transi;on,  et  de  recherche,  une  posture  transversale  entre  les  acteurs  de  la  conformité  et  de  la  gouvernance  

9  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Dans  une  organisa;on  avec  une  vision  transversale  purement  technologique  

10  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Exemple  de  matrice  RACI  d’ac;vités  de  la  sécurité  

Ac;vités   RSSI   DSI   Contrôle  Interne  

Mé;ers   Direc;on  Général  

Ges?on  de  projets   RA   C   I   I  

Contrôles  et  inves?ga?ons  de  la  sécurité  de  l’informa?on  

R   C   A   C  

Ges?on  et  anima?on  de  la  sensibilisa?on  du  personnel   RA   I   C  

Conseil  et  assistance  aux  u?lisateurs   RA   C  

Conseil  et  assistance  aux  en?tés  liées  à  Lorem  Ipsum   R   I   C   A  

Hypervision  et  contrôle  de  la  sécurité  opéra?onnelle  de  l’informa?on  

RA   C   I   I  

Résolu?on  et  suivi  des  incidents  liés  à  la  sécurité  de  l’informa?on  

RA   C   C   I  

Gouvernance  des  standards  de  la    sécurité  de  l’informa?on  

RA   C   C   C  

Ges?on  des  «  sauf-­‐conduit  »  pour  la  sécurité  de  l’informa?on  

R   A   C   I  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Autre  exemple  de  matrice  RACI  dans  une  PSSI  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Les  Hommes,  l’Organisa;on  et  la  Stratégie  

13  

Première  par?e  Quel  RSSI  pour  quelle  organisa?on  ?  

 Deuxième  par;e  

Comprendre  comment  l’organisa;on  et  ses  dirigeants  pensent  (le  risque  et  la  sécurité)  

 Troisième  par?e  

Etablir,  présenter  et  suivre  un  Stratégie    

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Exper;se  Techniques  

Respon

sabilité  •   PDG    

•   DSI    •   RSSI    

•   Incident  escala?on  manager    •   Security  management  

staff    •   Security  expert    

•   Security  opera?on  team    

•   Administrateur  Système  

•   Employés    

•   management    

Dans  l’écosystème  IT,  le  niveau  de  responsabilité  ne  va  pas  de  paire  avec  l’exper;se  technique  

14  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Peut-­‐on  assumer  que  toutes  les  décisions  sur  les  risques  et  la  sécurité  s(er)ont  prises  de  façon  ra;onnelle  ?  

�  La  faillite  du  système  ra?onnel  n’est  pas  du  à  la  logique  mais  aux  capacités  de  l’homme.  ◦  Qui  peut  être  capable  de  savoir  et  comprendre  tout  complètement  et  

immédiatement  ?  ◦  Qui  peut  l’être  en  n’ayant  de  surcroît  aucun  ego,  passé,  présent  et  futur  ?  

�  Nous  avons  tous  recours  à  des  “subterfuges”  qui  nous  font  passer  outre  la  ra?onalité.  

�  Nous  oscillons  sur  notre  performance  moyenne  à  prendre  les  bonnes  décisions.  

�  La  dualité  ◦  Une  moi?é  est  un  planificateur  avec  une  perspec?ve  à  long  terme  ◦  L’autre  moi?é  cherche  les  résultats  à  court  terme.  ◦  Ces  deux  par?es  sont  en  lule  permanente.  

15  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

�  La  pandémie  éclate  et  pourrait  tuer  600  personnes,  l’on  vous  demande  de  décider  entre  deux  approches  pour  gérer  la  situa?on  :  

 

◦  L’approche  A  permet  de  sauver  200  personnes.  

 

◦  L’approche  B,  il  y  a  une  probabilité  de  33%  de  tous  les  sauver  et  67%  de  ne  sauver  aucun.  

�  Votre  choix  ?    16  

U;lisez  des  simula;ons  de  situa;on  pour  comprendre  les  dirigeants,  vos  interlocuteurs  (1/2)  

�  La  pandémie  éclate  et  pourrait  tuer  600  personnes,  l’on  vous  demande  de  décider  entre  deux  approches  pour  gérer  la  situa?on  :  

◦  L’approche  A  entraine  la  mort  de  400  personnes.  

◦  L’approche  B,  il  y  a  une  probabilité  de  33%  que  personne  ne  meurt  et  67%  que  les  600  meurent.  

�  Votre  choix  ?  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

•  Vous  vous  rendez  à  un  spectacle  pour  lequel  vous  avez  acheté  un  ?cket  à    50  €.      En  arrivant  vous  vous  apercevez  que  vous  avez  perdu  le  ?cket.      Que  faites-­‐vous  ?  

q Vous  rachetez  un  ?cket  à  50  €  ?  q Vous  rentrez  chez  vous  ?  

17  

U;lisez  des  simula;ons  de  situa;on  pour  comprendre  les  dirigeants,  vos  interlocuteurs  (2/2)  

•  Vous  vous  rendez  à  un  spectacle  avec  un  billet  de  50  €  dans  votre  portefeuille.      En  arrivant  vous  vous  apercevez  que  vous  avez  perdu  le  billet.      Que  faites-­‐vous  ?    q Vous  achetez  quand  même  un  

?cket  à  50  €  ?  q Vous  rentrez  chez  vous  ?  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Le  Regret  de  la  Décision  

� Le  psychologue  David  Bell  définit  le  Regret  de  la  Décision  comme  la  focalisa?on  sur  ce  que  l’on  aurait  pu  avoir  ou  aleindre  si  on  avait  pris  la  bonne  décision.  

� Nous  sommes  tous  les  vic?mes  de  notre  dernier  maux.  

� Combien  seriez-­‐vous  prêt  à  payer  pour  ne  pas  avoir  à  savoir  ?  (que  vous  avez  pris  la  mauvaise  décision)    

18  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Et  maintenant  nous  pouvons  travailler  !  

•  Nous  voilà  armer  pour  travailler  sur  une  stratégie  car  :  – Nous  savons  ou  se  situe  le  RSSI  et  pourquoi.  

– Nous  savons  comment  les  par?es  prenantes  à  la  Sécurité  &  Ges?on  des  Risques  du  SI  fonc?onnent  intellectuellement.  

19  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Première  par?e  Quel  RSSI  pour  quelle  organisa?on  ?  

 Deuxième  par?e  

Comprendre  comment  l’organisa?on  et  ses  dirigeants  pensent  (le  risque  et  la  sécurité)  

 Troisième  par;e  

Etablir,  présenter  et  suivre  un  Stratégie    

Les  Hommes,  l’Organisa;on  et  la  Stratégie  

20  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Une  stratégie  pour  …  

21  

«  Gouverner  selon  un  cours  op.mum  à  

travers  des  condi.ons  changeantes  vers  un  

objec.f  prédéterminé.  »  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

L’Objec;f  est  toujours,  d’une  façon  ou  d’une  autre,  le  main;en  ou  l’améliora;on  du  niveau  de  maturité  

22  

NIST    PRISMA  -­‐  IT  Security  Maturity    

Level  1   Policies   A-­‐  

Level  2   Procedures   B+  

Level  3   Implementa?on   B-­‐  

Level  4   Test   B+  

 Level  5   Integra?on   C+  

Choisissez-­‐en  un  et  restez  lui  fidèle  !  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Faites  ce  que  vous  savez  faire  !  

•  Iden?fiez  le  niveau  de  maturité.  

•  Définissez  un  niveau  de  maturité  à  aleindre  qui  vous  semble  possible  pour  l’organisa?on  (il  vaut  mieux  sur-­‐performer  que  rater  !)  

•  Assurez-­‐vous  en  amont  que  l’aleinte  du  niveau  de  maturité  peut  être  validé  par  un  audit  (interne  ou  externe)  ou  benchmark.  

•  U?lisez  l’échelle  de  temps  pour  fixer  l’objec?f,  et  notamment  en  donnant  une  existence  avec  un  nom  à  cele  stratégie,  ie.  Cap  2016  ou  Safe  2015  etc.  

23  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Avant  le  plan  d’ac;ons  et  d’ini;a;ves  commencez  par  mebre  en  place  les  boucles  de  gouvernance  !  

•  Les  boucles  de  gouvernances  sont  essen?elles  sans  elle  vous  ne  pourrez  gouverner  !  –  Journal  des  décisions  et  arbitrages  (très  important).  –  Processus  de  prises  des  décisions  et  rendus  des  arbitrages.  –  Suivi  des  budgets  et  inves?ssements  (cash  rule).  –  Séances,  steering  commilee,  review  board,  etc.  – Métriques,  indicateurs,  scoring.  

•  Ces  boucles  doivent  faire  par?e  intégrante  de  votre  Stratégie  et  elles  doivent  donne  le  ton.  

24  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Le  plan  d’ac;ons  et  les  ini;a;ves  

•  Un  bon  plan  d’ac?ons  garde  toujours  une  marge  de  manœuvre  et  il  n’est  jamais  figé  au-­‐delà  de  6  ou  12  mois.  

•  Panachez  toujours  ac?ons  et  ini?a?ves  sur  la  même  période.  L’une  est  agir  maintenant  et  l’autre  préparer  la  suite.  

•  Assurez-­‐vous  de  «  quick-­‐win  »  sur  toutes  les  échelles  de  temps  du  plan  d’ac?on  (de  repor?ng).  

•  Panachez  les  par?es  technologiques  et  processus  sur  toute  les  périodes.  Les  deux  sont  toujours  liés  et  si  vous  n’avez  pas  iden?fié  la  par?e  processus  impacté  par  la  technologie  réfléchissez  !  

•  Le  suivi,  les  boucles  de  gouvernance,  …  

25  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Processus Menaces

Processus Audit

Processus Evaluation

Risques

Processus de Crise

Processus D’Anticipation

«  selon  un  cours  op.mum  à  travers  des  condi.ons  changeantes  »  =  surveiller  comme  du  lait  sur  le  feu  les  prodromes  et  les  crises  IT  

26  

GRC  IN  A  BOX    

©  2012  Consulare  sàrl,  tous  droits  réservés.  

Indicateur  =  Métriques  techniques  +  Métriques  de  Processus  (Organisa;on  &  Personne)  

27  

©  2012  Consulare  sàrl,  tous  droits  réservés.  

C O N S U L A R E ‘ Savoir, prévoir et décider ‘

C O N S U L A R E

Rue de la Rotisserie 8

CH-1204 Genève Suisse

pleberre@consulare.fr +33(0)6.60.46.30.84 +41 (0)79.915.2611 www.consulare.fr

‘ Savoir, prévoir et décider ‘

28