Upload
trinhngoc
View
212
Download
0
Embed Size (px)
Citation preview
Conseil en organisation,
1
C
Innovation,
Systèmes et Technologies de l’information
franç[email protected]
2
Applications
Infrastructure
Gouvernance – COBIT
Ressources Humaines –
VALIT
RIS
KIT
Management de Projets – PMI, OPM3
Applications
-C
MM
I
Infrastructure -
ITIL
Gestion des Risques,Sécurité, ConformitéISO-27002
Humaines –People CMM
DEVELOPPEMENT PRODUCTION
Qualité ISO-9001
COBIT – Control Objectives for Information and related Technology
CMMI – Capacity Maturity Model Integration
ITIL – Information Technology Infrastructure Library
ISMS - ISO27001 – Information Security Management System
Comment confronter ces 4 standards… alors que rien que le contexte d’un seul standard ressemble à …
3
… et que le contenu d’un seul standard est une collection de nombreux manuels : frameworks, guides, outils …
• Ne sont pas mutuellement exclusifs mais complémentaires
• Ont en commun l’approche structurée par processus et une formalisation revendiquée du QUOI (par opposition au COMMENT)
• Alors, il faut mettre du relief et de la spécialisation : COBIT est au plus haut niveau sans qui rien n’existe, ensuite
• COBIT détaille le contrôle
• CMMIDEV détaille l’acquisition ou le développement de produits
4
COBIT, CMMI, ITIL, ISO27001
• CMMIDEV détaille l’acquisition ou le développement de produits
• ITIL détaille la gestion et la fourniture de services
• ISO27001 détaille la sécurité
COBIT
Un framework 5
Pour auditer …
avec des niveaux de maturité
… l’aspect qualité, sécurité, financier
… une ressourcePour auditer …
Pour implémenter :
… un processus
…
VAL IT
Extension de COBIT vers une maîtrise plus complète de la Gouvernance de la VALEUR
6
Prise en compte de la Sécurité et des Risques dans COBIT-VALIT :
- Les critères de l’information (qualité, sécurité, finance) structurent le modèle- Des processus dédiés : PO9 Assess and manage IT risks, DS5 Ensure systems security, …- Dans les processus, des CO dédiés : PO7 Manage IT Human Resources – 4 Train : Security
awareness, …- Des contrôles génériques sur les processus et sur les données
RISK IT
Extension de COBIT vers une maîtrise plus complète des RISQUES de la Gouvernance
7
RG = Risk GouvernanceRG = Risk Gouvernance
RE = Risk Evaluation
RR = Risk Response
La maturité globale de
l’organisation est en niveaux
Thèmes clé par niveau
Pratiques spécifiques
Pratiques génériques
CMMI DEV
9Un framework structuré en niveaux de maturité globaux et locaux
Maturité du comment
Le Quoi
CMMI pour auditer
�����
CMMI pour guider les améliorations
���� InitialJust do it
���� ReproductibleManagement de projet
���� DéfiniProcessus standard
���� ManagéManagement guidé par les mesures
���� En optimisation Amélioration continue
Amélioration des processus
Contrôle des processus
Objectifs Qualitatifs Objectifs Quantifiés
CMMI-Family
for Services
Extensions for :
Business Development
Human Management
Security System Engineering
BD-CMMPEOPLE-CMM
SSE-CMM
for Acquisition, Outsourcing,
Externalizationfor Product
Development
16 Processus-Clé communs à tous
La sécurité est vue comme des exigences à spécifier et une solution à testerLa qualité de la solution est assurée par la qualité des processus de sa créationL’analyse des risques est un processus à part entière
+eSCM-CL
eSCM-SP
ISMS - ISO27001
• Standard basé sur une approche structurée par processus.• Impose les principes nécessaires à la mise en œuvre d’un système de management
de la sécurité d’un système d’information
11
5Engagements
&Responsabilitésde la Direction
6Audit Interne
SMSI
4.2.1Plan
4.2.2Do
4.2.3Check
4.2.4Act
4.3Docs
de la Direction
7Revue dedirection
8Amelioration
ITILAlignement des services IT avec les exigences métie rs
Amélioration continue de la qualité des servicesLa sécurité • vue comme une assurance de délivrer de la valeur au
client• Assure que les avoirs du client ne seront pas exposés
à certains risques (lors de l’exploitation)
12
• Service Strategy• Financial Management• Service Portfolio Management• Demand Management
• Service Operations• Event Management• Incident Management• Problem Management• Access and Service Request Management• Demand Management
• Service Design• Service Level Management• Availability Management• Capacity Management• IT Service Continuity Management• Information Security Management• Supplier Management
• Service Transition• Change Management• Release and Deployement Management• Service Asset and Configuration Management• Knowledge Management
• Access and Service Request Management
• Continual Service Improvement• 7-Step Improvement Management• Service Reporting Management• Service Measurement Management
ITIL – une approche par le service
Un service est un moyen de délivrer de la valeur au client en facilitant l’obtention des résultats ciblés par le client sans lui transférer les coûts et les risques associés
13
Incubation Analyse Développement ProductionIncubation Analyse Développement Production
Incubation Analyse Développement ProductionGouvernance IT
•POURQUOI PROTEGER -Objectifs métiers
Analyse
•QUOI & COMMENT PROTEGER -spécifications
Développement
•PROTEGER – la solution
Production
•GERER –l’exploitation
Gouvernance d’Entreprise
Contributions des référentielsà la Sécurité
Contrôle : maintien & amélioration
Gouvernance Analyse Développement Production Contrôle
ISMS
COBIT / VAL-IT
CMMI
ITIL
Gouvernance IT et sécurité - Objectif
• Objectifs de la Gouvernance IT selon l’ISACA (CGEIT)• Définir les objectifs d’entreprise• Aligner l’IT sur la stratégie d’entreprise
15
La gouvernance des SI est de la responsabilité des dirigeants et du conseil d’administration, et elle est constituée des struct ures et processus de commandement et de fonctionnement qui conduisent l’ informatique de
l'entreprise à soutenir ses stratégies et ses objec tifs, et à lui permettre de les élargir
• Aligner l’IT sur la stratégie d’entreprise• Délivrer de la valeur• Gérer le risque• Gérer les ressources• Mesurer la performance
Analyse et sécurité – Objectif
• Concevoir les mesures de réduction, transfert ou contournement des risques • Technologies (architectures matérielles et immatérielles)• Activités (processus, procédures, standards,…)• Compétences (formations, sous-traitance)• Assurance & infogérance• Contrats (sous-traitance, DRH,…)
…
16
• …
Développement et sécurité – Objectif
• Mettre en œuvre la sécurité• Au niveau des processus
• Implémenter les mesures• Déploiement organisationnel : responsabilités, …• Plan de contrôle de l’efficacité
• Au niveau des produits à fabriquer ou à acquérirFormaliser les exigences spécifiques
17
• Formaliser les exigences spécifiques• Valider leur prise en compte réelle dans le produit
Production et sécurité – Objectif
• Assurer au quotidien que…• Les niveau de sécurité sont bien identifiés et bien gérés• L’entreprise fonctionne sans interruption notable due à un incident de sécurité
• Notamment lors des mises en production d’évolution ou de changement de système
• En veillant, le cas échéant, à la prise en compte correcte de la sécurité par les tierces parties (tant pour les services offerts que pour les livraisons de produits)
18
tierces parties (tant pour les services offerts que pour les livraisons de produits)• Les règles d’autorisation pour les personnes / les systèmes sont respectées• Les risques de dégradation des valeurs de l’entreprise sont minimisés• Les données et les équipements restent intègres
Contrôle - Objectif
19
• Superviser périodiquement la qualité et les performances des processus relatifs à la sécurité• Contrôler et Améliorer
• Obtenir la confiance en ces processus par des tierces parties fiables et indépendantes
SMSI - contribution à la gestion de la sécurité
• Gouvernance• Plan / Etablissement du SMSI: Définir la PSSI – Approche d’appréciation des
risques – Analyse et évaluation des risques – Traitement des risques – Objectifs de sécurité -> Déclaration d’applicabilité
• Analyse• Do / Mise en œuvre: Elaborer un plan de traitement du risque (actions à engager,
ressources, responsabilités, priorités) – Rédiger les procédures – Former
20
• Développement• Do / Mise en œuvre : Implémenter les mesures de sécurité – Gérer les
opérations du SMSI – Assigner les responsabilités – Définir une méthode d’évaluation de l’efficacité des mesures
• Production• Check / Surveillance et revue du SMSI: Vérification de routine pour permettre à la
direction de déterminer si les activités de sécurité mises en œuvre sont exécutées comme
prévu.
• Act / Mise à jour et amélioration du SMSI
SMSI - application
• Gouvernance• Demande le développement de la stratégie sécurité et la formalisation des objectifs
de sécurité, sans préciser comment faire• Audit et contrôle
• Analyse• Demande d’élaborer un plan de traitement du risque, sans préciser comment faire
-> ISO 27005• S’appuyer sur l’ISO-27002• Audit et contrôle
21
• Audit et contrôle
• Développement• Demande de spécifier les méthodes qui permettent d’implémenter les mesures de
protection
• Production• Focus particulier sur la documentation qui est obligatoire
• Documentation: PSSI, méthodes, ponts de contrôles,…• Enregistrements: preuves de la conformité aux exigences (attention à leur
gestion!)• Le standard propose des points de contrôles (Annexe A)
ITIL - contribution à la gestion de la sécurité
• Gouvernance - Service Strategy• Service IT-Service Métier. Assurance : Continuité – Disponibilité – Sécurité – Capacité• Gestion des risques
• Analyse - Service Design
• Conception des processus : Gestion de la sécurité de l’information (renvoi vers le SMSI) - Aligner la sécurité IT avec la sécurité « métier » – S’assurer que la sécurité de l’information est prise en compte dans tous les services – Clarifier les obligations et responsabilités relatives à la sécurité dans les SLA – Identifier les déclencheurs, interfaces, données d’entrée et de sortie (gestion des changements, des incidents, de
22
interfaces, données d’entrée et de sortie (gestion des changements, des incidents, de la capacité, des niveaux de services, …)
• Mais aussi un ensemble de bonnes pratiques relatives à l’expression des exigences, l’identification des données importantes, l’alignement entre le portefeuille d’applications et les services IT,…
• Développement - Service Transition
• Propose un guide permettant la transition vers l’exploitation de nouveaux services IT. Ces évolutions sont gérés par les changements qui induisent de nouveau processus, procédures, outils, organisation,…
• Production – Service Operation
• Insiste sur la séparation des pouvoirs entre l’exploitation et la gestion de la sécurité• Support, surveillance opérationnelle, sensibilisation/formation, documentation
ITIL - application
• Gouvernance – Service Strategy• Demande la réalisation d’une analyse des risques et la définition des mesures de
sécurité vues comme des moyens d’assurance au service de la stratégie• Développement de la structure du catalogue de service
• Analyse – Service Design• Approche basée sur le processus de gestion de la sécurité et le développement du
23
• Approche basée sur le processus de gestion de la sécurité et le développement du catalogue des services (niveaux de services)
• Développement – Service Transition• Mise en place par la gestion des avoirs (assets) • L’outil comme support au processus, pas comme objectif (!)
• Production – Service Operation• Le rôle clef de la gestion des changements• L’importance de la documentation
COBIT – contribution à la gestion de la sécurité
• Gouvernance• Lien avec les exigences métier et la valeur de l’en treprise – Structure les
activités informatiques selon un modèle de processus largement reconnu –Identifie les principales ressources informatiques à mobiliser – Définit les objectifs de contrôle à prendre en compte
• Analyse• Dans le domaine « Plan and Organize », voir le processus « Assess and Manage
IT Risks » en entier ainsi que de nombreux objectifs de contrôle dans les autres processus
24
processus
• Développement• Dans le domaine « Acquire and Implement », chaque processus contient des
objectifs de contrôle dédiés à la sécurité (« Risk analysis report », « Infrastructure Resource Protection and Availability », …)
• Production• Dans le domaine « Deliver and Support », voir le processus « Ensure Systems
Security » en entier (11 objectifs de contrôle dédiés à la sécurité y sont détaillés) ; voir aussi dans chaque processus, les objectifs de contrôle dédiés à la sécurité.
COBIT – application
• Gouvernance• Demande de prendre en compte la sécurité dès le plus haut niveau par des
processus dédiés ainsi que dans chaque processus par des objectifs de contrôle dédiés (COBIT est explicitement structuré par les aspects qualité, sécurité et financier).
• Analyse
25
• Analyse• Déclinaison de la sécurité au niveau stratégique ( « Plan and Organize » )
• Développement• Déclinaison de la sécurité au niveau des projets de développement ( « Acquire and
Implement » )
• Production• Déclinaison de la sécurité au niveau des services fournis ( « Deliver and Support » )
CMMI – contribution à la gestion de la sécurité
• Gouvernance• Intégrer les exigences de sécurité dans « OPD » (ce processus définit les autres)
• Analyse• Conception des processus : instancier les processus avec les exigences de
sécurité préalablement définies dans « OPD » (structure tous les processus• Démarrer « RSKM » (gestion des risques)
26
Locate risksbefore they
become problems
Evaluate, classify
Monitor risk indicatorsand mitigation actions
Correct deviationsfrom Plan
• Développement• Intégrer les exigences dans « RD » (ce processus développe la compréhension
commune des besoins) ainsi que dans tous les processus de fabrication, d’acquisition de produits, de tests et de validation
• Production• Pour la mise en production, un processus a pour objet de vérifier que le produit et
l’environnement matériel sont prêts, que les utilisateurs sont formés et que la période éventuelle de maintenance est enclenchée. Déployer et Contrôler. Bilan.
• Hormis si l’organisation décide de placer a maintenance sous-contrôle CMMI, pas d’autre contribution.
Evaluate, classifyand prioritize risks
Translate risk informationinto actions and implement them
CMMI - application
• Gouvernance• Ne guide pas une démarche sécurité. En revanche, étant donné une démarche
définie par ailleurs, CMMI donne les moyens pour la mettre aisément en œuvre.• Un processus (RSKM) est dédié à l’analyse des risques.
• Analyse• Les pratiques génériques (= la maturité du « comment » : RACI du processus,
formations, …) guident la construction et l’amélioration des pratiques de l’organisation, notamment la prise en compte des exigences de sécurité
27
l’organisation, notamment la prise en compte des exigences de sécurité • La gestion des risques est contrôlée dès le niveau 2 de maturité, mais sans
cadrage. Au niveau 3, un cadrage méthodologique précis est exigé
• Développement• Tous les cycles de vie sont couverts (Développement et Production en séquence
longue ou en entrelacements courts)
• Production• A décider si la maintenance est dans le périmètre CMMI ou non
Contrôle continu
• Proposé par tous les référentiels, c’est le principe structurant assurant l’efficacité pérenne de la démarche
• ITIL et SMSI s’appuient largement PDCA• CMMI veille à la maturité des mutations organisationnelles et technologiques • COBIT chapeaute SMSI et contrôle son usage
• Déclinaison de la sécurité au niveau des services fournis ( « Monitor and
28
• Déclinaison de la sécurité au niveau des services fournis ( « Monitor and Evaluate » )
• Savoir tirer profit du cycle complet de COBIT : la sécurité est un processus et non une des caractéristiques des systèmes
Difficultés génériques de mise en œuvre des référentiels
• Processus trop bureaucratiques – non respectés• Manque d’une compréhension claire des objectifs des
processus• Difficultés d’appropriation des processus par les équipes• Pas de mise en évidence des bénéfices, des réductions
29
• Pas de mise en évidence des bénéfices, des réductionsde coûts, de l’amélioration de la qualité
• Attentes irréalistes• Inadéquation des moyens et du planning aux objectifs• Résistance aux changements
Facteurs de succès de mise en œuvre des référentiel s
Eviter que de créer des coquilles vides. Leçons apprises :• Personnaliser• Sponsoriser• Prioriser à tous les niveaux• Approche projet• Mesurer
30
• Mesurer• Conduire le changement (impliquer, obtenir
compréhension mutuelle, traiter les attentes, admettre que cela prend du temps et que la démarche est continue)
• “QuickWIn”• Eviter l’approche “check list”• Aligner les référentiels sur leur cible de prédilection