Simplifiez-vous la sécurité informatique - Livre Blanc
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Livre Blanc
Simplifiez-vous la sécurité informatique
© Accenture 2010 Reproduction interdite sans autorisation écrite préalableSimplifiez-vous la sécurité informatique
Avant-propos
Ce livre blanc, qui constitue, à la date de publication, un point de vue d’Accenture sur les thèmes qui y sont
traités, a été rédigé sur la base de retour d’expériences d’Accenture mais ne saurait être considéré comme un
document exhaustif ou ayant valeur d’engagement d’Accenture.
Les informations contenues dans ce livre blanc sont fournies pour consultation uniquement et Accenture ne
formule aucune garantie de quelque nature que ce soit concernant l’ensemble des informations qu’il contient.
Accenture ne pourra donc en aucun cas être tenue responsable de quelque oubli, erreur ou imprécision con-
tenu dans ce livre blanc.
Ce livre blanc, propriété d’Accenture, ne peut être reproduit, stocké, transmis, pour quelque raison que ce
soit, sous quelque forme que ce soit ou par quelque moyen (mécanique, électronique, photocopie, enregis-
trement, etc.) que ce soit, sans la permission écrite d’Accenture. Toute utilisation ou reproduction intégrale
ou partielle de ce livre blanc faite sans le consentement d’Accenture est illicite. Cette représentation ou re-
production par quelque procédé que ce soit constituerait une contrefaçon sanctionnée par les dispositions des
articles L 335 – 1 et suivants du Code de la Propriété Intellectuelle et, de manière générale, une atteinte aux
droits d’Accenture.
© 2010 Accenture. Tous droits réservés.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
2/22Simplifiez-vous la sécurité informatique
Sommaire
AVANT-PROPOS ..................................................................................................................................................................... 2
1. SYNTHESE .................................................................................................................................................................... 4
2. LE CYCLE DE VIE « R.I.S.C » ............................................................................................................................................ 4
3. ORGANISER LA SECURITE INFORMATIQUE AU SEIN DE L’ENTREPRISE ........................................................................................ 5
3.1. ASSURER LE SUIVI DE LA SECURITE .................................................................................................................................... 6
3.2. EVOLUTION DE LA GOUVERNANCE SECURITE AU SEIN DES ENTREPRISES.................................................................................... 7
4. LE PERIMETRE A PROTEGER ET LES BESOINS DE SECURITE ....................................................................................................... 7
5. IDENTIFICATION DES VULNERABILITES ................................................................................................................................ 9
5.1. IDENTIFICATIONS DES RISQUES ....................................................................................................................................... 11
5.1.1. TROUVER LES RISQUES METIERS............................................................................................................................. 11
5.1.2. CARTOGRAPHIER LES RISQUES ............................................................................................................................... 12
5.2. SELECTION DES RISQUES A TRAITER ................................................................................................................................. 12
6. GESTION DES RISQUES ET DONNEES SENSIBLES DE L’ENTREPRISE ........................................................................................... 13
6.1. UNE SITUATION A RISQUE POUR LES ENTREPRISES FRANÇAISES ............................................................................................ 13
6.2. UNE GESTION DES RISQUES INTEGRANT LA PROTECTION DES DONNEES SENSIBLES.................................................................... 14
7. PLANS D’ACTIONS ET PRIORITES ..................................................................................................................................... 15
8. ET POURQUOI NE FERAIT-ON PAS DES ECONOMIES ? .......................................................................................................... 16
8.1. OPPORTUNITES DE REDUCTION DE COUTS ........................................................................................................................ 17
9. DES NORMES DE GESTION DE RISQUE, POUR QUOI FAIRE ? .................................................................................................. 18
10. MAINTENIR LA SECURITE DANS LE TEMPS ......................................................................................................................... 18
10.1. SECURITY OPERATING CENTER ....................................................................................................................................... 18
10.2. CONDUIRE SOI-MEME LA SECURITE ................................................................................................................................. 19
11. LA BOITE A OUTILS SECURITE .......................................................................................................................................... 19
11.1. ECHELLES DE NOTATION POUR LE PILOTAGE DE LA SECURITE ................................................................................................ 19
11.2. INDICATEURS DE PILOTAGE DE LA SECURITE ...................................................................................................................... 20
11.3. TABLEAU DE BORD DE SECURITE ..................................................................................................................................... 20
12. CONCLUSION .............................................................................................................................................................. 21
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
3/22Simplifiez-vous la sécurité informatique
1. Synthèse
Une sécurité informatique simple à mettre en œuvre, performante et peu coûteuse … c’est possible.
Pour les entreprises, les normes et les technologies de sécurité informatique semblent souvent contrai-
gnantes et bien loin de leurs impératifs métiers.
Il convient donc de revenir à l’essentiel, c'est-à-dire d’identifier la nature du périmètre à sécuriser, de proté-
ger « l’ADN de l’entreprise » regroupant tout à la fois savoir-faire, informations commerciales, données pri-
vées, informations financières.
Les mesures de protection adaptées sont déjà bien souvent présentes dans l’entreprise : il suffit de les iden-
tifier et de les organiser afin d’assurer et de pérenniser un niveau de sécurité conforme à ses besoins.
Ce livre blanc apporte un éclairage pragmatique sur la mise en œuvre de la sécurité informatique : que ce
soit en matière de protection des données, de pilotage par les risques, de tableau de bord sécurité, l’objectif
est de mettre la sécurité informatique au service de la performance du métier.
Points à retenir
- La nécessité incontournable de travailler avec des acteurs externes, qu’ils soient clients, partenaires
ou prestataires induit de nouvelles menaces sur le SI des entreprises.
- Il est possible de tirer parti de ces menaces et de satisfaire aux contraintes réglementaires en met-
tant en œuvre de façon proactive une organisation et une gestion de la sécurité informatique.
- Cette démarche conduit à une maitrise des risques, mais également à une maîtrise voire une diminu-
tion des coûts des systèmes d’information par la mise en œuvre d’automatisation et de rationalisa-
tion des services rendus par l’informatique.
2. Le cycle de vie « R.I.S.C »
L’organisation de la sécurité informatique au sein de l’entreprise suit un cycle à 4 temps « R.I.S.C» :
4) Évolution et
amélioration
Continue
1) Recensement des
Besoins de sécurité
3) Surveillance
et pilotage
2) Implémentation des
mesures de sécurité
La mise en œuvre de ce cycle implique la définition d’une gouvernance de la sécurité informatique qui sera
adaptée à la nature de l’activité et aura pour mission de démarrer et d’entretenir le cycle.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
4/22Simplifiez-vous la sécurité informatique
Le recensement des besoins de sécurité sera réalisé en répondant aux cinq questions suivantes :
- Quelles sont les activités critiques de mon organisation ?
- Quelle est la disponibilité souhaitée de mes systèmes d’information ?
- Quelle résistance à l’altération des données et des traitements dois-je mettre en œuvre ?
- Quel est le niveau de confidentialité à prendre en compte pour les données et les traitements ?
- Faut-il conserver des traces des transactions numériques ?
L’implémentation des mesures de sécurité au regard de ces besoins se fera selon un ordre de priori-
té établi à partir des impératifs de l’activité de l’organisation concernée
La surveillance et le pilotage seront mises en œuvre selon une démarche rationnelle et pragmatique
Les retours d’expérience ainsi que les évolutions seront traitées selon un processus d’amélioration
continue
Points à retenir
Les bonnes pratiques en matière de sécurité informatique conduisent à l’organisation d’un cycle à
quatre temps « R.I.S.C »:
- Recensement des Besoins de sécurité informatique
- Implémentation des mesures pertinentes au regard de ces besoins
- Surveillance et pilotage de la sécurité informatique
- Évolution et amélioration Continue de la sécurité informatique
3. Organiser la sécurité informatique au sein de l’entreprise
Activité à part entière au sein des entreprises, la sécurité informatique doit être gérée avec la même rigueur
que la gouvernance informatique ou les activités métiers. Au-delà de la gestion de l’intégrité, de la confiden-
tialité, de la disponibilité, le responsable sécurité peut aujourd’hui s’appuyer sur une approche simple et
efficace : la gestion de la sécurité informatique par les risques.
Le marché présente de nombreuses initiatives de sécurité comme la mise en place de solutions de sécurité,
ou la création de plans de continuité (PCA) qui ont une portée plus « Tactique » que « Stratégique ».
Une vision « tactique » de la sécurité peut sembler apporter une solution immédiate suite à la survenance
brutale d’un problème (ex : infection virale, crash d’un Datacenter). La mise en œuvre d’une application ou
d’une technologie constitue alors une « rustine ». S’appuyer uniquement sur ce type d’approche peut ainsi
s’avérer préjudiciable :
Ralentissement ou blocage de l’activité métier
Création d’un puzzle de technologies/solutions difficilement gérable pour les équipes informatiques
Création « d’effets dominos », et même introduction de nouvelles faiblesses dans le S.I
Augmentation des coûts liés à la mise en œuvre de la sécurité
Le pilotage de la sécurité par les risques est une approche « stratégique » car elle permet d’acquérir une
vision globale de la sécurité à travers les activités métiers de l’entreprise. Elle facilite ainsi à la fois la mise en
place immédiate de solutions de sécurité « curatives » sans pour autant perdre le lien avec les besoins de
sécurité de l’entreprise.
La planification dans la durée des actions de sécurité, leurs liens avec les besoins métiers et la connaissance
des coûts associés permettent ainsi au responsable sécurité de « piloter » plutôt que « réagir » face à
l’évolution des menaces et des enjeux de sécurité.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
5/22Simplifiez-vous la sécurité informatique
3.1. Assurer le suivi de la sécurité
Assurer le suivi de la sécurité consiste à définir et à mettre en place « la Gouvernance de la sécurité informa-
tique ». Il s’agit d’établir et de maintenir un pilotage structuré de la sécurité informatique afin de s’assurer
que les stratégies de sécurité de l’organisation sont conformes aux objectifs de l’activité et compatibles avec
les lois et les règlementations qui lui sont applicables. Ce pilotage a des formes variables selon les organisa-
tions et comporte trois caractéristiques principales :
Alignement sécurité / métier
Aligner l'informatique avec les objectifs de la direction des métiers et la direction Stratégique.
Responsabilisation de performance
Obtenir des bénéfices métiers tangibles avec les investissements de sécurité grâce à la supervision
des initiatives de sécurité dans toute l'entreprise.
Sécurité opérationnelle
Conduire la sécurité tout en mettant en œuvre les standards et les investissements d'infrastructure
nécessités par le développement de l’activité
Comme détaillé dans les deux schémas suivants, la Gouvernance de la sécurité informatique établit le lien
entre la gouvernance d’une organisation et une gestion efficace de la sécurité.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
6/22Simplifiez-vous la sécurité informatique
3.2. Evolution de la gouvernance sécurité au sein des entreprises
Etant donné que le rôle de l'informatique a évolué au fil du temps, la gouvernance de la sécurité est devenue
de plus en plus une question tombant sous la responsabilité de la direction des métiers. Ce mouvement
permet de concilier deux impératifs qui semblaient autrefois contradictoires : sécuriser les systèmes
d’informations et favoriser le développement des activités métier.
4. Le périmètre à protéger et les besoins de sécurité
Le périmètre à protéger contient les principaux processus métiers de l’entreprise (ex : logistique, ressources
humaines, marketing, etc.)
Il s’agit d’évaluer pour chacun des processus les besoins de protection en termes de disponibilité, confiden-
tialité, intégrité. On peut utiliser pour cela des échelles d’évaluations créées sur mesure (par exemple gra-
duées de 1 à 4). Ce type d’échelle permet d’exprimer les objectifs de performance de chacun des processus
métier (ex : la chaine logistique doit être capable d’expédier une palette de produit en 12h en province).
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
7/22Simplifiez-vous la sécurité informatique
Souvent, on s’appuie sur les contrats de service existants pour construire cette échelle des besoins métiers :
Étant donné que les processus métiers s’appuient pour l’essentiel sur des moyens informatiques pour fonc-
tionner (serveurs, applications, télécom), il faut identifier pour chacun de ces moyens informatiques les ob-
jectifs de performance visés afin d’obtenir un fonctionnement compatible avec les exigences des contrats de
services.
Il suffit désormais à la direction métier d’évaluer son « besoin de sécurité » selon une échelle qu’elle contri-
buera à définir elle-même (voir exemples ci-dessous).
Besoin
Besoin de sécurité
métier
1 – Faible CUIVRE
2 – Modéré
BRONZE
3 – Critique
ARGENT
4 – Stratégique
OR
Disponibilité Intégrité Confidentialité Preuve
1 – Faible Indisponibilité maxi- Corrections possibles Informations publiques ou Pas d’utilisation de la
male tolérée > à 24h avec une gêne opéra- internes au Groupe et dont traçabilité ou unique-
tionnelle mineure sans la divulgation involontaire ment afin d’améliorer la
impact financier à l’extérieur n’est pas sus- qualité
ceptible de créer un préju-
dice significatif
2 – Modéré Indisponibilité maxi- Impacts sensibles ; Informations internes à Traçabilité nécessaire
male tolérée de 24h corrections possibles diffusion limitée, dont la afin de répondre à un
avec une gêne opéra- divulgation en dehors du incident ou une contesta-
tionnelle ou une perte cadre des personnes aux- tion
financière faible quelles elles sont destinées
pourrait entraîner un pré-
judice modéré
3 – Critique Indisponibilité maxi- Impacts critiques ; Informations confiden- Contraintes contrac-
male tolérée de 4h. corrections difficiles tielles, dont la divulgation tuelles de traçabilité
Délai de traitement et d’erreurs sur les don- entraînerait un préjudice
performances définis nées avec une perte significatif pour
par contrat de service financière consé- l’organisation concernée
quente
4 – Straté- Indisponibilité maxi- Impacts stratégiques ; Informations relevant du Les preuves et contrôles
gique male tolérée de 1h. impossibilité de corri- secret, dont la divulgation font partie des fonction-
Délai de traitement et ger les conséquences entraînerait un préjudice nalités essentielles du
performances définis d’erreurs portant sur majeur système ou relèvent de
par contrat de service des données sensibles. contraintes légales
Une fois l’échelle créée il ne reste plus qu’à évaluer chacun des besoins métiers.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
8/22Simplifiez-vous la sécurité informatique
Exemple d’évaluation des besoins de sécurité métiers :
Besoins sécurité
Plateforme technique
Disponibilité Intégrité Confidentialité Preuve
Infocentre BRONZE ARGENT ARGENT BRONZE
Portail clients ARGENT ARGENT ARGENT BRONZE
Intranet ARGENT ARGENT ARGENT BRONZE
ZOS OR ARGENT ARGENT ARGENT
…
Points à retenir
L’évaluation des besoins de sécurité peut être utilisée dans de nombreux contextes :
- Evaluation de la maturité de la sécurité (par exemple lors d’un rachat d’entreprise ou
lors de la mie en place d’un partenariat nécessitant un partage d’informations)
- Définition d’un plan d’action sécurité (court, moyen ou long terme)
- Sécurisation d’un projet ou d’un développement
- Mise en œuvre d’un Plan de Continuité d’Activité (PCA)
5. Identification des vulnérabilités
Cette activité permet pour chaque plateforme informatique (=groupe de serveurs + applications) de faire un
état des lieux des points faibles. La recherche des vulnérabilités peut représenter un travail long et fastidieux
s’il n’est pas mené à l’aide de l’une des trois techniques d’identification des vulnérabilités ci-dessous :
Il est nécessaire de réaliser une liste contenant un nombre réduit de vulnérabilités en ne choisissant par
exemple que celles qui apparaissent régulièrement dans les incidents de sécurité rencontrés au sein de
l’entreprise. On peut utilement s’appuyer sur des bibliothèques de menaces et de vulnérabilités telles que
celle d’EBIOS par exemple. En complément il ne faut pas hésiter à s’appuyer sur des sources d’informations
pertinentes permettant d’identifier rapidement ces vulnérabilités (exemple : responsable des applications
métiers, responsables des infrastructures, responsables sécurité, etc..).
Chaque plateforme dispose ainsi d’un couple de menace/vulnérabilité associée à une probabilité
d’occurrence (= « chance » que cette vulnérabilité soit exploitée). Cette probabilité d’occurrence peut
s’appuyer sur une échelle permettant de déterminer « la facilité » d’exploitation de la vulnérabilité dont
voici ci-dessous un exemple :
Echelle de probabilité d'occurrence
Niveau Description
0 Totalement improbable ou infaisable
1 Faiblement probable ou nécessité de moyens très importants ou de connaissances très élevées
dans le domaine considéré
2 Moyennement probable ou besoin d'un certain niveau d'expertise ou du matériel spécifique
3 Fortement probable ou réalisable avec des moyens standards ou avec un faible niveau de connais-
sance
4 Certain ou réalisable par tout public
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
9/22Simplifiez-vous la sécurité informatique
Afin d’illustrer l’évaluation de la probabilité d’occurrence des vulnérabilités, considérons l’exemple suivant :
Une société dispose pour son site de « e-Commerce » d’un cluster de serveur « Apache » en version 2.0.
L’entreprise ne peut pas changer de version pour des raisons d’incapacité à redévelopper une partie de son
application web.
Or, cette version de serveur « Apache » comporte une vulnérabilité connue permettant de bloquer le système.
Pour éviter l’exploitation facile de cette vulnérabilité (via des « outils » disponibles sur internet) il suffit de
protéger l’accès au site via un reverse proxy.
Cette mesure de sécurité a permis de réduire la probabilité d’occurrence de cette vulnérabilité.
Exemple d’un tableau d’évaluation des vulnérabilités :
Plateforme Menaces Vulnérabilités Probabilité d'occurrence
4
ATTEINTE À LA DISPONIBILITÉ Sous-dimensionnement de (probabilité certaine car il existe un
Plateforme e-Commerce
DU PERSONNEL l'organisation sous effectif avéré dans l’équipe tech-
nique)
2
Absence de plan de forma-
ATTEINTE À LA DISPONIBILITÉ (probabilité moyenne car une partie
Plateforme logistique tion à la maintenance des
DU PERSONNEL des équipes ont été formées aux
nouveaux systèmes
nouvelles applications et plateformes)
Absence de remontée d'in-
3
DYSFONCTIONNEMENT LOGI- formation pour le traitement
Plateforme e-Commerce (fortement probable car actuellement
CIEL centralisé des dysfonction-
aucun système n’est supervisé)
nements
A chaque mise à jour de l’analyse de risque ces mesures de sécurité seront réévalués et notamment leur
probabilité d’occurrence. Ainsi le renforcement des mesures de sécurité aura pour effet de réduire de plus
en plus la probabilité d’occurrence d’une vulnérabilité.
Il convient de noter qu’une partie de ces vulnérabilités disparaitront au fur et à mesure de la mise en place
de plans d’actions sécurité ciblés comme par exemple :
Le renforcement des équipes techniques réduisant ainsi la vulnérabilité de « sous dimensionne-
ment de l’organisation »
La mise en œuvre d’une supervision applicative et/ou sécurité permettant de supprimer la vul-
nérabilité « Absence de remontée d'information pour le traitement centralisé des dysfonction-
nements »
La mise en place de plan de formation/sensibilisation adapté supprimant la vulnérabilité « Ab-
sence de plan de formation à la maintenance des nouveaux systèmes »
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
10/22Simplifiez-vous la sécurité informatique
Points à retenir
La découverte des vulnérabilités peut s’appuyer sur deux méthodes complémentaires :
- Audit exhaustif des vulnérabilités des plateformes par des « scan » de vulnérabilités
- Interview des responsables d’applications et des infrastructures afin d’obtenir une vue
actualisée des incidents et faiblesses de fonctionnement de ces systèmes
L’évaluation de la probabilité d’occurrence d’une vulnérabilité permet de prendre en compte
les mesures de sécurité existantes. Ainsi plus une mesure de sécurité sera efficace plus diffi-
cile sera l’exploitation de la vulnérabilité par une menace.
A chaque mise à jour de l’analyse de risque les mesures de sécurité sont réévaluées et peu-
vent en fonction des cas :
- Soit disparaitre grâce à l’effet d’un plan d’action ciblé sur cette vulnérabilité
- Soit être réduites (=réduction de l’apparition de la vulnérabilité) grâce au renfor-
cement des mesures existantes ou a l’ajout de nouvelles mesures.
5.1. Identifications des risques
L’identification des risques s’appuie sur la liste de vulnérabilités identifiée dans l’étape précédente. A ce
stade, il convient de créer une « bibliothèque » de risques métiers pertinents pour l’entreprise. En effet,
l’intitulé d’un risque ne porte en soit pas grande information s’il n’est pas relié au vocabulaire « métier » de
l’entreprise. Cette liste sera utilisée au moment du calcul des « notes » de risque. Egalement, les critères
d’évaluation et de pondération des risques seront choisis en fonction des spécificités de l’entreprise (proba-
bilité d’occurrence de chaque menace, capacité à détecter une menace, etc.)
5.1.1. Trouver les risques métiers
En cherchant à constituer la « bibliothèque » de risques métiers il est nécessaire de garder à l’esprit que ces
risques serviront à expliquer de manière concrète aux parties prenantes les résultats de l’analyse de risque. Il
est donc impératif que les risques soient compréhensibles pour les destinataires de l’analyse de risque.
Ainsi, si nous prenons comme exemple une entreprise de taille moyenne fabriquant des composants
électroniques pour les domaines spatial et automobile, la bibliothèque de risques pertinents pour cette
entreprise pourrait être :
• Le risque d’indisponibilité du personnel stratégique (cette société recrute et emploie des ta-
lents qui sont le moteur de son innovation. Une partie de ces personnels disposent également
d’un savoir-faire spécifique dans la production de composants électroniques de dernière généra-
tion)
• Le risque de perte ou de fuite de données (Cette société dépose des brevets et élabore des pro-
cessus de fabrication innovants. Elle développe par ailleurs pour des clients des procédés et pro-
duits innovants)
• Le risque de perte d’image et de réputation (Cette société est certifiée ISO 9001 et dispose
d’une exposition médiatique très forte)
• Le risque d’une perte d’exploitation (l’ensemble de ses chaines de production de composants
électroniques sont intégralement automatisées. Par ailleurs l’ensemble de sa chaine de factura-
tion et de gestion du poste client est externalisé à des tiers)
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
11/22Simplifiez-vous la sécurité informatique
5.1.2. Cartographier les risques
Obtenir une liste de risques, à la Prévert, ne sert pas à grand-chose. Tout au mieux à brouiller un peu plus la
lecture de la situation. Il est important de garder une vision orientée métier, pour cela il faut réaliser une
cartographie des risques. Il devient ainsi possible de comprendre rapidement les enjeux de sécurité sur leurs
activités (généralement une perte de disponibilité de leurs outils ou bien de confidentialité) et de mettre en
œuvre des plans d’actions sécurité pragmatiques :
5.2. Sélection des risques à traiter
Il est intéressant de traiter les risques pour chacun des processus métiers. Les plans d’actions peuvent ainsi
être déclinés par processus métier et ainsi profiter de synergies (budgétaires, ressources) avec des projets
métiers.
Le traitement des risques peut amener à identifier plusieurs voies différentes dans la mise en œuvre des
actions correctives :
Certains risques peuvent être couverts par des assurances adéquates ou par des contrats avec des
partenaires (ex : site de backup co-hébergé chez un partenaire ou une filiale du groupe)
Traitement des risques par des moyens technologiques ou des solutions : c’est le plus souvent ce
type d’approche qui est mené par les responsables informatiques et sécurité. Dans ce cas de figure
on implémente au sein du S.I un panel de solutions logicielles/matérielles diminuant l’impact des
risques traités (ex : solution de sauvegarde, chiffrement des données sensibles, contrôles d’accès,
etc.). Ce type de mesures est généralement sous la maitrise des directions informatiques.
Traitement des risques par des procédures; une nouvelle organisation du travail des ressources IT,
métiers et/ou des partenaires externes permet de réduire significativement l’impact du risque.
Le plan de traitement des risques est une étape importante car elle permet aux métiers, IT, directions géné-
rales de prendre acte de la situation (listes des risques) et d’imaginer le moyens de les réduire. Chaque partie
prenante prend pour ce qui la concerne les plans d’actions à mener. L’ensemble de ces plans d’actions cons-
titue le socle pour l’élaboration d’une feuille de route dédiée à la « sécurité » et à la « gestion du risque ».
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
12/22Simplifiez-vous la sécurité informatique
Afin d’ordonnancer dans le temps la mise en œuvre de ces traitements, on peut s’appuyer sur une première
évaluation du coût de ces plans d’actions :
Coût humain (effort en nombre de jours homme qu’ils soient effectués en interne ou par des presta-
taires externes)
Coût financier : coût d’acquisition d’un logiciel par exemple ou d’un serveur, coût de construction
d’un local sécurisé, etc.
Réduction de l’impact du risque : ce point permet de découper un plan d’actions en plusieurs phases
afin d’obtenir un bénéfice quantifiable rapidement sans avoir à attendre la fin de « l’effet tunnel »
d’un long plan d’action. Le coût est aussi généralement un argument pour découper les plans
d’actions en plusieurs étapes afin de répartir l’investissement dans le temps.
La réalisation des plans d’actions peut être faite de manière distribuée au sein de l’entreprise. Les métiers
restent décideurs des plans d’actions à mener et sont les principaux moteurs de la sécurité au sein de
l’entreprise.
6. Gestion des risques et données sensibles de l’entreprise
Comme nous l’avons présenté dans les chapitres précédents, la gestion des risques IT est pertinente pour
l’entreprise si elle fournit une vue des risques par processus métier. Afin de rendre pertinente cette vue, il
convient d’évaluer et de traiter les risques portant également sur les données sensibles de l’entreprise.
6.1. Une situation à risque pour les entreprises Françaises
Les entreprises connaissent actuellement de nouvelles transformations concernant les usages de leurs outils
informatiques ainsi qu’un changement important du comportement des utilisateurs. Des faits précis nous
renseignent aujourd’hui sur la nature et la portée de ces transformations et de leurs impacts sur la protec-
tion des données sensibles et des risques associés pour les entreprises.
Ainsi, Accenture a conduit en 2009 une étude complète sur l’état des lieux des pratiques de gestion et de
protection des données privées. Cette étude repose sur deux sondages mondiaux faisant intervenir plus de
5500 décideurs d’entreprises et plus de 15000 consommateurs.
Constats Situation actuelle
Il existe un changement radical dans les comportements des jeunes
générations d’utilisateurs (individus âgés de moins de 28 ans) par
rapport aux générations précédentes :
•45 % des jeunes actifs reconnaissent utiliser des médias sociaux au
Evolution des usages des outils in- travail, avec ou sans le feu vert de leur employeur.
formatiques et des comportements
« à risques » des utilisateurs •On constate un non respect des règles de sécurité informatique de
l’entreprise par l’imprudence ou le mépris affiché de près des deux
tiers (66 %) des jeunes actifs.
•Beaucoup vont jusqu’à enfreindre les règles établies dans
l’entreprise en installant et en utilisant les équipements et applica-
tions externes qui ont leur faveur. À titre d’exemple, 39 % se ser-
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
13/22Simplifiez-vous la sécurité informatique
vent de téléphones mobiles non fournis par leur employeur à des
fins professionnelles. Ce constat vaut également pour la messagerie
instantanée (33 %) et les sites de réseaux sociaux (43 %).
Une faible confiance des consomma- Moins de 50% des consommateurs interrogés se sentent en con-
teurs vis-à-vis de la protection de fiance avec les moyens de protection mis en place par les orga-
leurs données personnelles nismes avec lesquels ils partagent leurs informations personnelles
« Top 6 » des brèches constatées lors de pertes de données sen-
sibles :
- 30 % - Raison inconnue
Encore de trop nombreux cas de
- 19 % - Pirates informatiques
pertes de données sensibles non ex-
- 16 % - Documents papiers perdus
pliquées
- 15 % - Appareils perdus ou volés
- 12 % - Destruction par un tiers
- 8% - Données de sauvegarde manquantes
Près de 60% des entreprises consultées reconnaissent avoir perdu
des informations sensibles telles que des données relatives à leurs
De nombreux cas de pertes employés, clients ou partenaires. 27% de ces entreprises admet-
d’informations tent que ces pertes ont été constatées au cours de trois épisodes
ou plus au cours de deux dernières années.
Malgré cette situation à risque portant sur les données sensibles des entreprises, on constate néanmoins
une bonne sensibilisation des entreprises françaises à la gestion de la protection des données :
• 83% pensent qu’elles doivent prendre des mesures adéquates pour sécuriser les données person-
nelles des consommateurs et des clients. (moyenne mondiale : 71%)
• 62% pensent qu’il est nécessaire d’avoir des politiques spécifiques permettant une gestion efficace
de la confidentialité des données. (moyenne mondiale : 57%, Allemagne : 83% et Belgique : 75%)
• 79% pensent qu’il est important d’obtenir la permission des consommateurs et des clients avant de
partager leurs données personnelles. (moyenne mondiale : 52%)
6.2. Une gestion des risques intégrant la protection des données sensibles
Actuellement, la politique de protection des données est souvent portée par les aspects réglementaires. Il
convient désormais d’élargir ou de remplacer ce type de politique par une approche plus globale prenant en
compte le cycle de vie des données au sein de l’entreprise (depuis la collecte ou la création jusqu’à la des-
truction).
Ainsi la définition d’un standard de protection des données peut s’appuyer sur sept pratiques spécifiques :
1. Assigner explicitement les rôles de supervision, de propriétaire et responsabilité vis-à-vis de la pro-
tection et la confidentialité des données au sein de l’organisation
2. Intégrer la protection des données à la gestion des risques IT permettant ainsi : d’identifier, de
suivre et contrôler où les données sont générées et comment elles transitent à travers l’organisation
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
14/22Simplifiez-vous la sécurité informatique
3. Evaluer les technologies de protection et confidentialité des données afin de quantifier les bénéfices
qu’elles peuvent apporter par rapport aux besoins de sécurité des métiers
4. Construire un plan de sensibilisation pour les employés et fournir un support pour sa mise en œuvre
au sein de l’entreprise
5. Réexaminer les investissements concernant la protection et la confidentialité des données afin de
s’assurer qu’ils couvrent le cœur des activités de l’entreprise : les personnes, les processus métiers
et les technologies sous-jacentes
6. Choisir de manière adéquate des partenaires et fournisseurs capable de garantir un niveau de pro-
tection et confidentialité des données en ligne avec les besoins de l’entreprise (ex : Accenture pos-
sède une organisation dédiée à la protection des données)
7. Définir et mettre en œuvre des politiques, des procédures et des équipes capables de gérer la ré-
ponse aux incidents de sécurité
Points à retenir
Les données de l’entreprise doivent être intégrées systématiquement à la gestion des risques
IT. Ainsi, les points clés du succès dans la mise en œuvre de la protection des données sen-
sibles sont :
• Appuyer la démarche de protection des données sur des besoins métiers
• Mener l’analyse de risque IT sur le périmètre des données (intégrer l’expression des
besoins de sécurité métier concernant les données)
• Adapter les solutions de sécurité existantes pour créer de nouvelles mesures de pro-
tection des données. Sur le périmètre restant non couvert, choisir une solution tech-
nologique spécialisée et viser un périmètre métier/technique initial réduit.
• Ajouter progressivement à l’agenda sécurité la protection des données (gouvernance
sécurité, audit)
7. Plans d’actions et priorités
A chaque risque fort, il sera nécessaire d’identifier un plan d’actions pour limiter son impact sur l’entreprise.
Les plans d’actions sont nombreux (exemples : contrats, technologies, processus, humains, etc..).
Un exemple de plan d’actions à 3 ans est donné ci-dessous :
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
15/22Simplifiez-vous la sécurité informatique
8. Et pourquoi ne ferait-on pas des économies ?
Afin de comprendre les enjeux en matière d’économies liées à la sécurité, on pourrait imaginer de « classer »
les pratiques en matière d’investissement sécurité selon trois catégories :
- La prise en compte de la sécurité en amont, c’est à dire pendant l’élaboration et durant l’ensemble
du cycle de construction d’un projet, d’une activité ou d’une DSI. Cette prise en compte en amont
permet d’anticiper les risques auxquels le projet, l’activité ou la DSI (ex : application, infrastructure,
projets métiers, etc..) sera confronté et donc de définir les meilleurs plans d’actions possibles vis-à-
vis des risques. Cette approche permet également d’intégrer des tests de sécurité (sécurité du code,
tests de vulnérabilité, etc.) et de minimiser les incidents de sécurité. Dans ce cas de figure, un posi-
tionnement du coût de la sécurité autour de 5% du montant d’un projet, du budget d’un centre de
profit, ou d’une DSI semble réaliste.
- La prise en compte de la sécurité après l’élaboration et durant l’ensemble du cycle de construction
d’un projet, d’une activité ou d’une DSI. Cette prise en compte en « en cours de route » permet
d’intégrer des tests de sécurité (sécurité du code, tests de vulnérabilité, etc.) et de minimiser les in-
cidents de sécurité. Dans ce cas de figure, un positionnement du coût de la sécurité autour de 10%
du montant d’un projet, du budget d’un centre de profit, ou d’une DSI semble réaliste.
- La prise en compte de la sécurité a postériori, c’est à dire lorsqu’un incident survient, lorsqu’un par-
tenaire l’exige ou encore sous la contrainte de réglementations ou lois non identifiées initialement.
Dans ce cas de figure, le coût de la sécurité se situe autour de 15% du montant d’un projet, du bud-
get d’un centre de profit ou d’une DSI. A ce coût purement « sécurité » il convient d’ajouter les coûts
annexes (ex : perte d’image interne ou externe).
Le graphique suivant illustre un exemple de modèle d’évaluation d’un coût « acceptable » de la sécurité in-
formatique :
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
16/22Simplifiez-vous la sécurité informatique
Points à retenir
Exemples d’ordres de grandeur du coût de la sécurité sur un budget de DSI :
- Au moins 2% du budget sera alloué au Plan de Continuité d’activité (cellule de crise,
tests, mise à jour)
- De 3% à 10% du budget seront alloués à la gestion de la sécurité selon le type
d’activité à sécuriser et la maturité en termes matière de sécurité informatique
Exemples d’ordres de grandeur du coût de la sécurité sur un budget de projet :
- Autour de 5% si la sécurité est « pensée » dès la conception du projet
- Autour de 10% si la sécurité est implémentée durant la mise en œuvre du projet
- Autour de 15% (plus le coût des « dommages collatéraux ») si la sécurité est mise en
œuvre après la recette du projet
8.1. Opportunités de réduction de coûts
Les bonnes pratiques de rationalisation associées aux technologies actuelles telles que la virtualisation des
postes de travail, des serveurs, des réseaux ou des applications permettent de gérer l’automatisation de la
sécurité : dès lors, celle-ci sera portée par les services au fur et à mesure qu’ils sont demandés et provision-
nés.
Par exemple : un catalogue de services comportant 3 types de serveurs (petit, moyen, grand) et 3 types de
postes de travail (bureau, portable, mobile) permet de gérer la sécurité des équipements informatiques en
se limitant à 6 composants. De plus, un processus automatisé permettant de prendre en compte les de-
mandes des utilisateurs via un « self-service utilisateur » permet à la sécurité « technique » d’être provision-
née automatiquement sur chaque composant lors de sa livraison. Les technologies de virtualisation permet-
tent ensuite d’automatiser intégralement les mises à jour de sécurité (montées de versions, patches, etc.).
De ce fait, une gestion de la sécurité de ce type inclut une détection et une élimination automatisées des
vulnérabilités, ce qui engendre de facto une réduction des coûts :
- d’administration du parc d’équipements
- de maintenance des équipements et des chaînes applicatives
- de mises à jour, en permettant notamment une réduction des indisponibilités planifiées et une dimi-
nution drastique des équipes en charge des montées de version
- de helpdesk, par exemple en intégrant au self service utilisateur une gestion automatique des mots
de passe
Enfin, il convient d’analyser les évitements de coûts :
- diminution observable des taux de remplacement de certains matériels
- diminution observable de l’indisponibilité des systèmes
- diminution observable de perte d’image (interne ou externe) du fait de la disparition de certains
types d’incidents (ex : attaque par code malveillant)
En prenant en compte les éléments ci-dessus, il est possible de concevoir des projets de sécurisation avec un
retour sur investissement entre 6 et 18 mois.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
17/22Simplifiez-vous la sécurité informatique
9. Des normes de gestion de risque, pour quoi faire ?
Nous avons recensé ci-dessous un extrait des remarques de nos clients avant de mettre en œuvre la gestion
des risques IT :
- « Appliquer une norme de gestion de risque IT est difficile, même en lisant les bonnes pratiques du
domaine»
- « Nous avons mené une seule campagne d’analyse de risque et après nous nous sommes arrêtés,
c’était trop complexe pour nos collaborateurs dans nos filiales» « Nous ne savons pas par quoi com-
mencer »
- « Je n’ai pas besoin d’analyser mes risques, je possède les dernières technologies de sécurité »
- « Je passe plus de temps à conduire les analyses de risques qu’à traiter les risques »
- « Je ne sais pas comment faire pour mettre en œuvre les solutions et les contrôles de sécurité »
La réponse à ces questions réside dans la nécessité de construire une gestion des risques IT adaptée
à l’activité et au contexte de l’organisation qui va la porter.
Points à retenir
Pour mettre en place une gestion des risques IT « pratico-pratique », les normes, les règle-
ments ou les politiques de sécurité doivent être déclinés dans l’entreprise, c'est-à-dire adap-
tés à chaque activité de l’entreprise. Une entreprise comprenant trois activités distinctes aura
ainsi trois déclinaisons de sa politique de sécurité et le plus souvent trois correspondants de
sécurité répondant au RSSI ou au DSI.
10. Maintenir la sécurité dans le temps
10.1. Security Operating Center
L’acronyme SoC (Security Operating Center) désigne un centre de supervision et d'administration de la sécu-
rité capable de fournir des services de détection et de traitement des incidents de sécurité. Le SoC va no-
tamment réaliser une collecte des traces remontées par les composants de sécurité (exemple : les firewalls),
les analyser, identifier les incidents de sécurité et définir les actions à réaliser pour chaque type de problème
de sécurité rencontré.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
18/22Simplifiez-vous la sécurité informatique
Les exigences réglementaires, la nécessité de maîtriser à tout instant la sécurité du système d’information ou
un besoin de tracer les transactions peuvent conduire à la mise en œuvre d’un SoC.
Enfin, la nécessité de couvrir des périmètres hétérogènes, complexes ou étendus géographiquement pous-
sent souvent les entreprises à se tourner vers des prestataires capables de traiter cette problématique à
moindre coût.
10.2. Conduire soi-même la sécurité
Une organisation plus légère peut être montée pour les périmètres les plus simples. Il n’en reste pas moins
que le cycle R.I.S.C devra être mis en œuvre et suivi dans tous les cas, cette fonction incombant au DSI si
l’entreprise ne souhaite pas créer de poste de RSSI. Attention toutefois, cette option implique que le DSI
passera au minimum de 10 à 25 jours par an à gérer la sécurité.
11. La boîte à outils sécurité
Afin de simplifier encore la mise en œuvre du pilotage de la sécurité, une « boîte à outil sécurité » peut être
définie. Elle permet le partage d’éléments de sécurité informatique simples au sein de l’entreprise (au besoin
traduits dans l’ensemble des langues pertinentes pour l’entreprise).
Nous avons listé ci-dessous quelques exemples d’outils couramment utilisés :
11.1. Echelles de notation pour le pilotage de la sécurité
Cet exemple d’échelle montre combien il est facile de sélectionner la « note » correspondant à la situation
de l’entreprise. Cette notation permettra ensuite d’alimenter des indicateurs de maturité de la sécurité.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
19/22Simplifiez-vous la sécurité informatique
11.2. Indicateurs de pilotage de la sécurité
De la même manière, des indicateurs seront choisis de façon à permettre un pilotage « terrain » de la sécuri-
té. L’exemple ci-dessous montre 4 indicateurs essentiels au suivi du cycle « R.I.S.C »
Code Définition Périodicité Publié par Remarques
Comparaison du nombre
IS-T-1 Evolution des incidents de sécurité T DSI d’incidents de sécurité avec la
période précédente
Pourcentage des collaborateurs
IS-M-2 Sensibilisation à la sécurité M RH sensibilisés à la sécurité sur la
période
Atteinte ou non du nombre d’audits
IS-T-3 Audits internes de sécurité T DSI de sécurités fixés par objectif sur
la période
Atteinte ou non du nombre de tests
IS-A-4 Tests du PCA A EQUIPE PCA de PCA fixés par objectif sur la
période
11.3. Tableau de bord de sécurité
Enfin, le suivi de l’avancement de chaque plan d’action sécurité pourra être piloté par des tableaux de bord
simples et compréhensibles comme celui cité dans l’exemple ci-dessous :
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
20/22Simplifiez-vous la sécurité informatique
12. Conclusion
La sécurité informatique doit être comprise par tous les acteurs de l’entreprise et pilotée par des instru-
ments de suivi simples à mettre en œuvre. Un outillage technologique permet de simplifier ce pilotage et de
réaliser une maîtrise continue des risques informatiques, conduisant à une meilleure maîtrise des coûts.
Ainsi, la mise en œuvre d’une sécurité intégrée à l’IT génère de nombreux bénéfices immédiats et tangibles :
réduction des coûts de support, réduction des indisponibilités, meilleur reporting, simplification et meilleure
« lisibilité » de l’offre IT vis-à-vis des métiers.
Les défis posés par l’interconnexion massive des environnements, l’arrivée du « cloud computing », de nou-
veaux cadres législatifs (Hadopi 2, Loppsi 2, …) et les besoins grandissants d’échanges marchands sur inter-
net exposent les entreprises à de nouveaux risques qu’elles se doivent de devancer et de maîtriser.
L’IT du futur comportera certainement une « Sécurité 2.0 », véritable enjeu stratégique, permettant une
complète maitrise des risques avec des applications, des systèmes et des utilisateurs totalement virtualisés.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
21/22Simplifiez-vous la sécurité informatique
A propos d'Accenture Votre contact
Accenture est une entreprise in- Emmanuel Gazay
ternationale de conseil en mana- Responsable de l’offre sécurité et
gement, technologies et externali- gestion des risques IT France
sation. Combinant son expérience, emmanuel.gazay@accenture.com
son expertise et ses capacités de
recherche et d’innovation déve-
loppées et mises en œuvre auprès Accenture France
des plus grandes organisations du Tél. : 01 53 23 55 55
monde sur l’ensemble des métiers 118, avenue de France
et secteurs d’activités, Accenture 75636 Paris cedex 13
aide ses clients - entreprises et
administrations - à renforcer leur www.accenture.com/fr
performance. Avec plus de
181.000 employés intervenant
dans plus de 120 pays, Accenture
a généré un chiffre d'affaires de
21,58 milliards de dollars au cours
de l'année fiscale clôturée le 31
août 2009. Site Internet :
www.accenture.com/fr
Copyright © 2010 Accenture
Tous droits réservés.
La marque Accenture,
son logo et la signature
« High Performance. Delivered. »
sont la propriété d'Accenture.
© Accenture 2010 - Reproduction interdite sans autorisation écrite préalable
© ACCENTURE – 2009
Reproduction interdite sans autorisation écrite préalable
22/22Vous pouvez aussi lire
