Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

MANAGEMENT DES RISQUES DES SYSTEMES D’INFORMATION :

No description
by

Mou nira

on 27 October 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of MANAGEMENT DES RISQUES DES SYSTEMES D’INFORMATION :

Maintenant que nous sommes tous d'accord sur la nécessité d’une bonne gouvernance, nous devons définir sa portée plus précisément, et préciser les instances et niveaux hiérarchiques qui doivent participer à la prise de décisions, ainsi que les comportements des acteurs des procédures de la gouvernance.Maintenant que nous sommes tous d'accord sur la nécessité d’une bonne gouvernance, nous devons définir sa portée plus précisément, et préciser les instances et niveaux hiérarchiques qui doivent participer à la prise de décisions, ainsi que les comportements des acteurs des procédures de la gouvernance.
MANAGEMENT DES RISQUES DES SYSTEMES D’INFORMATION : LE RSSI COMME GESTIONNAIRE DES RISQUES OPERATIONNELS LIES AUX SI


Thèse professionnelle
MBA de l’École Supérieure d’Assurances

Discipline :
Audit & Management des Risques et des Assurances de l'entreprise

Directeur de la thèse :

- Monsieur Jean-Luck STRAUSS, Directeur au sein d’Altran Research, en banque Finance et assurance, Altran Technologies

Jury
:

- Monsieur Patrice-Michel Langlumé, président de l’École Supérieur de l’Assurance (ESA)
- Monsieur Jean-Luc BERTOZZI, membre du conseil de Perfectionnement et Scientifique de l’ESA

Présenté par :

Abderrahmane BOUNOUA
Consultant chez ALTRAN Technonologies

بل
؛مضى
؛
PLAN
INTRODUCTION
2.
Présentation
du thème

4.

La gouvernance des SI ( GSI) dans la gouvernance de l'entreprise

De la gouvernance d'entreprise à la gouvernance des SI
3.
Champ de l'étude

5.
La place du RSSI dans l'organisation

Le positionnement ambigu du RSSI
2- Quelles normes pour quel métier?
3- Les interactions organisationnelles avec le RSSI
CONCLUSION
1- Introduction
6- Conclusion
2- Présentation du thème
3- Champ de l'étude
5- La place du RSSI dans l'organisation
-> COSO II, ISO31000, Bâle, Solvabilité, LSF, SOX 31000...
- Les risques informatiques : la sécurité en particulier
- L’actualité réglementaire depuis une vingtaine d'années : Basculement du management par la qualité totale, au management par les risques.
-> Des normes : ISO 2700X, le Cobit, IT Risk, ...
-> Des méthodes pour la gestion des risques liés à la sécurité, notamment EBIOS, MEHARI
La menace est soit par erreur, accident ou malviellance
- La malveillance en est la plus désastreuse
- 4 profils de malveillance : Ludique, cupide, terroriste ou stratégique
Panorama
- L'évolution technologique à la source de l'évolution des attaques à la sécurité
BYOD, IdO, Big data, Cloud Computing, etc.
Disponibilité
Intégrité
Confidentialté, Intégrité, disponibilité et preuve
4- La cybercriminalité coûte davantage cher
« Sony s’est fait voler 1,5 million de données de cartes bleues. Le dommage direct : 150 millions de dollars.
Mais Sony réclame à son assureur
1,3 milliard de dollars
pour compenser l’arrêt complet de leur serveur pollué de e-commerce, c’est-à-dire de leurs ventes, la modification de leur système d’information et la campagne de communication qui a suivi. »
La valeur économique pillée par la cybercriminalité en 2013 représente
190 milliards d’euros
.
Pour illustrer un cout,
4- La gouvernance des SI (GSI) dans la gouvernance de l’entreprise
Problématique
- Les régulations de la gestion des risques liés à la sécurité des Systèmes d'Information exigées sont moins pratiques et ambigües.
- « Il n’y a pas de prise de conscience globale des problématiques de sécurité »
- L’organisation de "la gestion des risques liés aux SI" est-elle favorable à la stratégie globale de l’entreprise?
- Quelle place du RSSI dans l'organisation?
Thème
Le management des risques
des Systèmes d’Information :
Le RSSI comme gestionnaire des
risques opérationnels liés aux SI

Interêt
- Apporter un éclairage quant à
la situation actuelle du RSSI


- Proposer un regard actualisé et prospectif sur sa fonction
2- La méthodologie
Revue documentaire
- Publications des organismes privés et publiques de la SSI, de la gouvernance, et
du management ( CISIN, CLUSIF, AFAI, OGC,...)
- Livres, articles de journaux et magasines électroniques spécialisés en SSI ( SecurityMAg, LeMAgIt,…)
- Les normes internationales (ITIL, ISO, CobiT, etc..)

Etude du terrain
Consultation et Interview des professionnels de la SSI ( RSSI, Consultant de la sécurité, DSI, RM, …)

Cas Pratique
- Proposition d’un modèle de gestion des risques au sein d'une DSI
- Réalisation d’une cartographie du processus
- Définition des acteurs et rôles, et interactions avec le RSSI

Le management des risques opérationnels
Le risque
1- Qu'est ce qu'un risque?
Probabilité
Gravité
2- Qu'est ce qu'un risque opérationnel?
Selon Bâlle II, c’est un risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d'événements exterieurs.
La fraude interne
La fraude externe
Pratiques en matière d’emploi et sécurité sur le lieu de travail
Clients, produits et pratiques commerciales
Dommages aux actifs corporels
Dysfonctionnement de l’activité et des systèmes
Exécution, livraison et gestion des processus

Les risques opérationnels ont un champ d’application très étendu et sont diversifiés et classés en sept catégories :
3- Quelle démarche pour le management des risques?
Le processus de gestion des risques consiste à appliquer une démarche structurée
permettant de connaître les risques inhérents à un projet ou à un évènement récurrent
et d’en assurer la maîtrise en continu.


La gestion des risques passe par cinq étapes :
Identification
Traitement
Evaluation
Monitoring
Reporting
La sécurité de l'information
Qu'est ce que la sécurité?
Un PCA?
Un SMSI?
Quelles normes pour la SSI?
1-La sécurité
Un ensemble de moyens techniques, organisationnels, juridiques, et humains mis en place pour garantir un niveau approprié de protection de l’information ainsi que des actifs informatiques contre des menaces.

2- Le Plan de Continuité de l'Activité
Il s'agit d’assurer le quarto DCIP :
Disponibilité
Conformité
Intégrité
Preuve
Un Plan de Continuité d’Activité est un ensemble de moyens organisationnels et techniques visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien des prestations de services essentielles de l’entreprise d’une façon temporaire selon un mode dégradé puis la reprise planifiée des activités.

Les composants du PCA sont :
La gestion des crises 
Le Plan de continuité opérationnel (PCO)
Le plan de continuité de l’informatique et des télécommunications

3- Le Système de Management de la Sécurité de l'Information
Check
Do
Act
Plan
Amélioration continue du processus


Mise en oeuvre du plan d'action
Contrôle et révision continue des risques
Définition des objectifs
Appréciation des risques
Construction du plan d'action
Prise de décision
4- Quelles normes pour la gestion des risques liés à la sécurité des SI
ISO 27000
ITIL
COBIT
...
ITIL :
Information Technology Infrastructure Library
COBIT:
Control Objectives for Information and related Technology
Réferentiels
Cobit
ISO 27005
IT Risk
ITIL
ISO 31000
SOX
Comité
Auditeur
RSSI
DSI
Direction
Risk Manager
Stratégie Métiers et contrôle de l'entreprise
DG
Comité Risques
Comité Conformité
Comité Audit
Gestion des risques Op
Gestion des risques liés au SI
Gestion des risques
Conformité
SI
Gestion de la sécurité des SIs
Gestion de la sécurité
COSO II
ISO 3100
Risk IT
ISO 27005
ISO 27001/2
Les catégories de risques opérationnels

Fraude interne
Fraude externe
Pratiques en matière d’emploi et sécurité sur le lieu de travail
Clients, produits et pratiques commerciales
Dommages aux actifs corporels
Interruptions d’activité et dysfonctionnements des systèmes
Exécution, livraison et gestion des processus

La sécurité des SIs est l’ensembles
des moyens, processus, organisation mis en oeuvre pour réduire les risques opérationnels liés aux SIs à un niveau acceptable par les Métiers

Le RISQUE OPERATIONNEL est le risque de perte résultant d’une inadéquation ou d’une défaillance imputables à des procédures internes, du personnel, de systèmes ou d‘évènements extérieurs. Il comprend les risques juridiques, mais ne comprend ni les risques découlant des décisions stratégiques, ni les risques de réputation.

LSF
SoL II
SOX
Sûreté des personnes
Sûreté des biens
Donnés à caractère sensible
L'organisation liée à la gestion des risques
1- Les relations entre les acteurs de la gestion des risques
RSSI
DG
1- Aligner la PSSI à la stratégie globale
2- Piloter le processus de maitrise des risques
politique de sécurité et plan de traitement des risques opérationnels liés au SI
Stratégie globale de l'entreprise
Cil
DSI
IT RM
RM
Manager
1-Communication des etats de la sécurité
Cartographie, KRIs, etc

2- Proposition de solution
( projets et investissements)
1- Valider les risques à accepter
2- Accorder le budget de sécurité
3- Suivre les plans de traitements
En dehors de la DSI,
Reporte à la DG
Collabore avec l'ensmbles des parties prenantes
Le RSSI Conseiller , bon communicateur et diplomate
Renforcer la sécurité est l'affaire de tous!
- Tous les 28 états membres DOIVENT adopter "the EU data protection regulation", à appliquer non seulement aux organisations européennes mais aussi à toute entité résidente.


Inciter les gouvernements à réagir
2- Cas Pratique :
Processus gérer les risques dans une DSI
References
- « Système d’information et management des organisations », Reix R .Viubert, 4ème édition, 2002, Paris

- « Gouvernance des SI : problématique et démarche »-rapport Cigref ,2002, page 1

- « La place de la gouvernance SI dans la gouvernance d’entreprise, IGSI », Cgref et Afai.

- “Cloud Security and Privacy”, Tim Mather and Al., First Edition, O’Reilly, September 2009.

- Conceptualisation de la gouvernance des SI : B.Claude Pierre, CRI. thèse 2010, Paris.
MARCHIVE, Valéry. CLUSIF : derrière le FUD, les vraies menaces. janvier 2015. Disponible sur : http://www.lemagit.fr/articles/4500250240/Derrière-le-FUD-les-vraies-menaces. consulté le 13 Aout 2015

- La cybersécurité, une situation meilleure qu’on ne le dit pas ?.disponible sur : http://www.lemagit.fr/actualites/4500250240/Cybersecurite-une-situation-meilleure-quon-ne-le-dit. consulté le 13 Aout 2015.

- GUERRIER, Philippe. Ce qui a marqué le CLUSIF en 2014 : Vols de données, failles logicielles et cryptographie. janvier 2015, disponible sur : http://www.itespresso.fr/wp-content /2015/01/clusif-panorama-cybercriminalité. consulté le 10 juillet 2015

- les relations risquées entre les acteurs de la gestion des risques. 04 Février 2013. Disponible sur : www. solucominsight.fr/les-relations-risque-risquées/

- GLOBAL SECURITY MAG : http://Globalsecuritymag.fr/De-la-théorie-à-la-pratique, consulté le 13 Aout 2015
- ISO/CEI: ISO.org/iso/catalogue_detail
- http://csoonline.com/
- http://pro.01net.com/
- Le CLUb des SI Francais: http://www.clusif.asso.fr/
- http://www.export.gov/safeharbor/



1-Fournir la note normative
2-Décliner la norme DSI
3-Définir les catégories des risques génériques
4-Valider les catégories des risques
5- Validation des catégories des risques
6- Enrichir la note normative
7- Sélectionner les catégories de risque
8- Définir/ Actualiser le modèle
9-Déployer l'approche formelle
ETAPE 1 : Définir la stratégie
R.M
Correspondant Manager Risques
RSSI
Managers
RM
Correspondant Manager Risques
10– Créer la fiche ESS du projet
11 – Conduire la première revue des risques
12 – Conduire le comité de revue projet J1
13 – Conduire le COPIL de lancement
14 – Décision selon évaluation
15 – Décision selon criticité

ETAPE 2 : Identifier, evaluer, analyser le risques
Correspondant Manager Risques
16 – Mettre en œuvre le plan d’action
17 – Suivre les actions
18 – Réévaluer les risques
19 – Effectuer la revue des projets IT
20 – Conduire le Comité projet de restitution des risques
21 – Décision selon évaluation
22 – Décision selon criticité
23 – Conduire le Comité de pilotage de restitution des risques
24 – Décision selon évaluation
25 – Décision selon criticité
26 – Réaliser le bilan de projet
27 – Conduire le comité de revue projet de clôture

ETAPE 3 : Mettre en oeuvre, Surveiller, et Contrôler
Correspondant Manager Risques
1- La gouvernance des SI dans la gouvernance d'entreprise
1. Alignement stratégique
2. Gestion du risque
3. La sécurité de l’information
4. Mesure du rendement/retour
5. L’optimisation des investissements
Shéma Adapté / Sourc e : CIMA (Chartered Institute of Management Accountants)
2- Les 7 piliers de la gouvernance SI
3- Les objectifs de la gouvernance SI
Le RSSI et le Risk Manager : Collaboration étroite
La communication est un domaine clé de l'évolution, où le RSSI doit trouver la bonne langue pour obtenir des investissements.
L'établissement d'un poste RSSI est un mouvement stratégique qui envoie un message aux clients et partenaires en disant que l'organisation se soucie beaucoup de la sécurité, surtout si l'organisation est grande et diverse ou a été victime de défaillances de sécurité visibles publiquement.
Le souci n’est pas de rattacher le RSSI à la Direction Générale ou pas, mais plutôt de garantir la communication et le Reporting directe à la DG et la prise en considération des recommandations de ce poste clé, là où il est dans la hiérarchie, par la DG
Dans des conditions favorables, le Responsable de la sécurité parvient à bien mener la gestion du risque. Et quand le focus est mis sur le management des risques, la conformité suivra naturellement, c’est ainsi que le RSSI est considéré comme poste clé dans la gouvernance des SI.
Un cadre de références issues des secteurs public et privé rassemblant, dans un ensemble de guides, les meilleures pratiques en matière de
management des services informatiques
.
L'objectif d'ITIL est de doter les DSI d'outils et de documents leur permettant d'améliorer la qualité de leurs prestations
(Objectifs de contrôle de l’Information et des Technologies Associées)
C'est un cadre de référence ainsi qu'un ensemble d'outils pour assurer la maîtrise et surtout le suivi (audit) de la gouvernance du SI
Conçu par l'ISACA (Information Systems Audit and Control Association)
L'ISO 27000, Une famille de normes pour la gestion de la sécurité des SI
ISO 27003
décrit les différentes phases initiales à accomplir afin d’aboutir à un système de Management tel que décrit dans la norme ISO 27001
ISO 27001
décrit les processus permettant le management de la sécurité de l’information (SMSI)
ISO

27005
décrit les processus de la gestion des risques
ISO 27004
permet de définir les contrôles de fonctionnement du SMSI
ISO 27002
un guide de bonne pratique
EBIOS
(Expression des Besoins et Identification des Objectifs de Sécurité)

Méthode établie par la DCSSI (Direction Centrale de la Sécurité des SI en France)
Présenté comme un outil d'arbitrage au sein des directions générales
Permet d'identifier les besoins de sécurité d'un système d'information

Méthodes
EBIOS
MEHARIE
...
↑ ISO Guide 73: Risk Management - Vocabulary [6] [archive]

« Le risque est la combinaison de probabilité d’évènement et de sa conséquence/gravité »
Pour relier les risques aux objectifs de l’organisation : "Le risque est l’effet de l’incertitude sur les objectifs".
1- L'évolution réglementaire
2- Les menaces
3- L'évolution technologique
- Sophistication des attaques et compétences des attaquants
Source : Symantec
Comment organiser un système d'information
Comment améliorer l'efficacité du système d'information
Comment réduire les risques
Comment augmenter la qualité des services informatiques
C'est un référentiel très large qui aborde les sujets suivants :
COBIT est fondé sur un ensemble de bonnes pratiques collectées auprès d'experts SI.
Il peut s’appliquer à :
La sécurité de l’information
La gestion des risques
La gouvernance et la gestion du Système d’Information de l’entreprise
Les activités d’audit
La conformité avec la législation et la règlementation
Les opérations financières ou les rapports sur la responsabilité sociale de l’entreprise
MEHARI
(Méthode Harmonisée d'Analyse de Risques)

Méthode proposée par le CLUSIF
Basée sur une approche descendante (Top-Down)
Destinée à permettre l'évaluation et le contrôle des risques et la gestion de la sécurité des systèmes d’informations sur le court, le moyen et le long terme

La GSI renvoie aux moyens de gestion et de régulation des systèmes d'information mis en place dans une organisation en vue d'atteindre ses objectifs.
- Les deux normes ITIL et Cobit sont par exemple des supports permettant de mettre un SI sous contrôle et de le faire évoluer en fonction de la stratégie de l'organisation.
4- La gouvernance du SI une partie intégrante de la gouvernance de l'organisation.
Gestion des risques
Direction des risques
Identifie et valide les priorités
Contrôle interne
Restitue les résultats du controle
Opérationnels
Restitue les résultats des contrôles
RSSI
Met en oeuvre ( ou s'assure de la mise en oeuvre) des mesures de réduction des risques
S'appuie sur les résultats des controles et des audits pour objectiver le niveau de maîtrise du risque
Construit et met en oeuvre le plan de contrôle, en s'appuyant sur les risque critiques
Met en oeuvre les contrôles niveau 1
Assure fréquemment les contrôles de niveau 2
1 - D’une organisation à l’autre le RSSI change de posture..
- Les deux opèrent un champ commun :
la gestion des risques liés aux SI
l’assurance du quarto de la sécurité : Confidentialité, disponibilité, intégrité et traçabilité
Le RSSI et Le CIL : Paradigme et cible différente
- Un effort des deux parties pour élaborer un référentiel commun de méthodes et de bonnes pratiques à adopter par le RM en tenant en compte les spécificités des risques liés aux SI
- Une collaboration incoutournable qui nécessite une organisation et un repositionnement des acteurs afin de permettre :
au RSSI d’intégrer sa politique SSI au plan général de gestion des risques
au RM de prendre en compte et positionner les risques SI par rapport à l’ensemble des risques de l’entreprise.
- Le RM doit fournir une stratégie globale au RSSI, et ce dernier reporte au Risk Manager sur les résultats d’évaluation des risques majeurs, pour qu’il intervienne dans le plan d’action.
RSSI
CIL
Infrastructures et flux
Processus -> Traitements
RSSI
CIL
Protège son entreprise
Défend les individus
Le RSSI est le gestionnaire des risques opérationnels au quotidien;
Le CIL permet de gérer un risque juridique notamment lié la conformité
 Le RSSI et Les directions métiers
- La sécurité est dans le champ de responsabilités des directions métiers, et le RSSI peut aider dans la mise en œuvre de la politique de sécurité
- Tous les projets majeurs doivent faire l'objet d'une analyse des risques obligatoire et approuvée par le responsable opérationnel
- Il faut maintenir une relation forte avec les directions métiers, et pour y arriver il faut bien identifier les propriétaires des risques "
risk owners
"
Le RSSI a besoin d'évoluer d'un analyste expert en la matière, à un
conseiller
de confiance sur la façon dont la technologie peut améliorer l'entreprise, un
facilitateur
,
leader
,
penseur
,
évangéliste
et
éducateur
.
Le besoin de communication reste donc réciproque et l’absence d’une communication efficace peut entrainer des surcoûts inutiles pour l’organisation.
Merci de votre attention

La gouvernance de l’entreprises est articulée autour de deux concepts clés
Quelques statistiques :

- Selon une étude en 2007 de Devoteam réalisée sur 150 entreprises (52%) dépend de la Direction des systèmes d'information de son entreprise. Ils ne sont que 31% à être rattachés à la direction générale. (...)

- En 2013, T2 : 69% des RSSI sont rattachés à la direction des systèmes d’information de leur entreprise (Selon une étude de cabinet d’analystes Jemm Vision sur un pannel de 15 grandes entreprises).

- La fonction de (RSSI ou RSI) est de plus en plus clairement identifiée et attribuée au sein des entreprises (62% en 2014 vs 37% en 2008) (Rapport 2014 du Clusif).

=>
En grande majorité, les RSSI sont rattachés à la DSI (46%), ce qui pose encore la question de son « pouvoir » d’arbitrage!
(Rapport 2014 du Clusif)

1- Présentation du thème
- La nécessité d’une bonne gouvernance, implique de définir sa portée et de préciser les instances et niveaux hiérarchiques, qui doivent participer à la prise de décisions, ainsi que les comportements des acteurs des procédures de la gouvernance.
3- ..Un essai de rapprochement
Le RSSI devienderait un gestionnaire d’une politique SSI qui est plus efficace quand :
- Les "risk owners" sont les ambassadeurs du RSSI en matière de sécurité
- Et qu'elle fait partie des objectifs des managers opérationnels
Full transcript