Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

GOUVERNANCE, CONTRÔLE ET RISQUES DES SYSTÈMES D’INFORMATION Franck Wulfowicz Je

GOUVERNANCE, CONTRÔLE ET RISQUES DES SYSTÈMES D’INFORMATION Franck Wulfowicz Jean-Marc Montels Maximilien Stebler Jour 2 360° de la gouvernance Suite et fin V2 – 2022 2 • Exemple de la loi de sécurité financière Sarbanes - Oxley • Introduction au 360°de la gouvernance (Gestion de risque vs opportunités, Compliance, …) • Les 5 piliers de la gouvernance • Pilier 1 : Alignement stratégique • Pilier 2 : Création de valeur • Pilier 3 : Gestion des ressources • Pilier 4 : Gestion des des risques • Pilier 5 : Mesure de la performance GOUVERNANCE du SI ØLes 5 piliers de la gouvernance • Alignement stratégique • Création de valeur • Gestion des ressources • Gestion des risques • Mesure de la performance ØFocus sur la sécurité • Actifs immatériels, capital informationnel • Qui contrôle l’information, qui contrôle les systèmes ? • Les différentes préoccupations de la sécurité du SI • Sécuriser, contrôler, gouverner Plan du cours n°2 3 4 GESTION DES RISQUES Ø La gestion des risques consiste à prendre d’abord conscience de l’ensemble des menaces auxquelles est exposé le SI et d’essayer dans la mesure du possible de les contrôler Ø Dans ce contexte, le référentiel des bonnes pratiques ISO 27002 fournit les bonnes pratiques pour implémenter un système de management de la sécurité de l’information Ø D’une manière générale l’ensemble des référentiels ISO 27000 s’intéressent au management de la sécurité du système d’information GOUVERNANCE DU SYSTÈME D’INFORMATION 5 RISQUES SI Alignement stratégique (combine plusieurs des thèmes ci-dessous) Non opportunité (risque projet) Non aboutissement (risque projet ou processus) Commercial Financier Technologie(s) Qualité de l’information (processus d’entreprise) Protection de la donnée et de son cycle de vie Protection des traitements et de leur conformité Réglementations applicables Protection juridique GESTION DES RISQUE GOUVERNANCE DU SYSTÈME D’INFORMATION Risques pour le système d’information Objectif Risque Risque Scénario Facteurs de risque Facteurs de risque 6 POINT FOCAL DE LA GOUVERNANCE DU SI vRAPPEL : LA DSI GÈRE PLUSIEURS SORTES D’ACTIFS : q Matériels et Logiciels (actifs corporels et incorporels) Ø financement avec engagements à moyen terme enregistrés dans les comptes de l’entreprise en tant que coût (dépenses, immobilisations) q Données et Traitements Ø processus et procédures non valorisés en tant que tels dans les comptes de l’entreprise qui sont la réelle valeur du SI Ø Cette valeur peut être approchée par la valeur portée par les données (volume financier des commandes, factures, etc., mais aussi valeur des plafonds d’indemnisation prévus par les assurances Tous risques informatiques côté clients ou Responsabilité Civile Professionnelle côté fournisseurs) GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information 7 La sécurité du système d’information ILLUSTRATION : THE SARBANES-OXLEY ACT Rappel SOX : Pourquoi le SI est-il concerné ? Perte de confiance des investisseurs Risque économique Gouvernance politique et économique Gouvernance financière d’entreprise Gouvernance des marchés financiers d’actions Contrôle de l’information financière d’entreprise Contrôle des systèmes d’information financière Scandales financiers 8 CONTRÔLE DE L’INFORMATION, CONTRÔLE DES SYSTÈMES vPRINCIPE : DONNÉES ET TRAITEMENTS SONT UNE IMPLANTATION AUTOMATISÉE DES ACTIVITÉS DES MÉTIERS ET SERVICES LA GOUVERNANCE DISSOCIE LES CONTENUS ET LES CONTENANTS • Le service SI résultant est une coproduction des métiers et de l’IT • Un propriétaire unique amène des défauts techniques ou/et fonctionnels • Couplage infrastructures-applications reste fort, surtout en termes de sécurité • Le besoin d’administration technique des systèmes est du coup un facteur de risque parce qu’il peut conduire à cumuler tous les privilèges (tous les droits) GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information Propriétaire des Infrastructures D S I OP1 OP2 F() DAF RH DJ SI Propriétaire appli & données métier DIRECTIONS FONCTIONNELLES & OPERATIONNELLES 9 LES PRINCIPAUX RISQUES LIÉS À LA SÉCURITÉ DU SI GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information M RISQUES FACTEURS DE RISQUE MSystèmes non disponibles ou non accessibles MTraitements non-conformes ou non fiables MDonnées incorrectes ou corrompues MMalversations, escroqueries MVol de données MVol autres composants ' Obsolescence ou inadéquation des matériels, logiciels, documentation ' Politique de sécurité inadaptée ' Absence de processus de validation (plan de test, tests, corrections) ' Modifications hors de contrôle des processus validés, notamment les applications testées et validées ' Non respect des séparations de pouvoirs au sein des applications ' Intrusions ou/et usurpation d’identités, déni de service 10 TROIS NIVEAUX DE PRÉOCCUPATIONS GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information ACCESSIBILITE Physique Logique INTEGRITE Composants Données PERENNITE Backup & Recovery Disaster Recovery Plan (PRA/PCA) CTRL DES FACTEURS DE RISQUE REACTION AU RISQUE REALISE 11 ILLUSTRATION DU COUPLAGE DES FACTEURS DE RISQUES GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information PHYSIQUE ACCESSIBILITE INTEGRITE LOGIQUE LOCAUX, ARMOIRES Group Org. Logistics Finance Conso BI & Reporting DONNEES SYSTEMES DONNEES SECURITE RESEAU APPLICATIONS ACCES DIRECTS / PRIVILEGES DONNEES METIER 12 MANAGER LA SÉCURITÉ DU SI GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information Détection des anomalies et des non- conformités Mesures correctives SECURISER ØMettre en place les mesures répondants aux exigences de gouvernance MESURER ØVérifier leur adéquation, pertinence et efficience AJUSTER ØRéviser, améliorer et adapter 13 IMPLANTER GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information PHYSIQUE ACCESSIBILITE IMPLANTATION LOGIQUE LOCAUX, ARMOIRES RESEAU APPLICATIONS ACCES DIRECTS / PRIVILEGES • Badges, clés, contrôle d’accès • Alimentation courants forts/faibles • Température, humidité ____________________________________________________________________________ • Identification, droits sur ressources • Firewalls, antivirus • Sauvegarde des configurations ____________________________________________________________________________ • Identification, droits applicatifs • Sauvegarde des données • Sauvegarde des traitements ____________________________________________________________________________ • Identification, type de privilège • Sauvegarde données de sécurité 14 CONTRÔLER GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information PHYSIQUE ACCESSIBILITE CONTROLE LOGIQUE LOCAUX, ARMOIRES RESEAU APPLICATIONS ACCES DIRECTS / PRIVILEGES • Audit et test des accès et moyens d’accès • Audit conditions physiques ____________________________________________________________________________ • Revue et test des identités et des droits • Ctrl des sauvegardes • Test de restauration ____________________________________________________________________________ • Revue et test des identités et des droits • Ctrl des sauvegardes • Test de restauration ____________________________________________________________________________ • Revue et test des identités et des droits • Ctrl des sauvegardes • Test de restauration 15 ZOOM SUR CERTAINS CONTRÔLES REMARQUABLES GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information PHYSIQUE ACCESSIBILITE CONTROLE LOGIQUE LOCAUX, ARMOIRES RESEAU APPLICATIONS ACCES DIRECTS / PRIVILEGES • Système de contrôle d’accès et fourniture des fluides (courants forts/faibles, climatisation, …) souvent géré par Services Généraux ____________________________________________________________________________ • Environnements multiples avec droits adaptés selon population • Maîtrise des flux inter-environnement (mise en test, mise en production) • Programmes et outils adoptants • Habilitations et monitoring des actions sur les données à l’aide de tels outils • Monitoring et revue des actions d’administration 16 SUIVI OPÉRATIONNEL : MONITORING ET TRAÇABILITÉ GOUVERNANCE DU SYSTÈME D’INFORMATION La sécurité du système d’information ACCESSIBILITE INTEGRITE • Existence et diffusion d’une charte d’utilisation des moyens informatiques • Application régulière et contrôlée des correctifs logiciels • Sauvegardes régulières et contrôlées • Traitements automatiques et leurs conditions d’exécution validés par les parties prenantes • Etapes clés du cycle de développement des systèmes et applications : livrables, tests, … • Etapes clés du cycle d‘exploitation : incidents, demandes, maintenance, changements, … Unicité des comptes utilisateurs par ressource Structure et péremption des mots de passe, limitation du nombre de tentatives d’identification Succès/échecs d’authentification à tous niveaux : physiques, réseau, applications Affectation des droits et revue périodique par le management des habilitations, droits et privilèges Inactivation des comptes par défaut Inactivation des comptes non utilisés depuis une période donnée Suppression immédiate des comptes au départ des collaborateurs de la société 17 SUIVI OPÉRATIONNEL, AUDIT ET PLAN DE PROGRÈS Ø Le monitoring et la traçabilité des décisions et actions sont les conditions de base du plan de progrès en matière de sécurité du SI Ø Les incidents et anomalies suivent le cycle standard de traitement des incidents d’exploitation (revue, diagnostic et correction des incidents, ou gestion en tant que problème si récurrent ou potentiellement récurrent) Ø Ce suivi est complété par un audit périodique (annuel ou bi-annuel) de forme et de fond : • Forme : existence des procédures applicables aux différents thèmes de sécurité du SI : gestion des comptes et des droits, privilèges, cycle de vie, mise en production, etc. • Fond : application effective desdites procédures, preuves de leur application La sécurité du système d’information GOUVERNANCE DU SYSTÈME D’INFORMATION 18 SUIVI OPÉRATIONNEL, AUDIT ET PLAN DE PROGRÈS Ø L’audit relève les exceptions constituant les non-conformités Ø Il se base généralement sur un questionnaire d’enquête (audit de forme) accompagné de tests très ciblés (audit de fond). • Par exemple, confronter les comptes actifs avec la liste du personnel et ses entrées/sorties, vérifier les conditions de création et suppression des comptes Ø Le plan de progrès concerne : • Les défauts de forme : procédures absentes, inadaptées ou non applicables • Les défauts d’application des procédures : les exceptions dues à un défaut de contrôle, à une difficulté technique (outil inadapté, données incorrectes), à un défaut dans la chaîne de décision (hors délai, contributeur défaillant),etc. Ø Le plan de progrès prévoit des échéances de correction échelonnées: • Immédiate pour les actions correctives du passé (exemple : suppression des comptes uploads/Management/ refdsi-dauphine-j3nnc-2022.pdf