SlideShare una empresa de Scribd logo

Advens - congrès du cesin 2015

Advens
Advens

Le plan d’audit à l’épreuve du SI éparpillé

Empresariales
1 de 30
LE PLAN D’AUDIT À L’ÉPREUVE DU SI ÉPARPILLÉ Congrès 2015 du CESIN, 9 Décembre 2015, Reims 1
LES SPEAKERS Document confidentiel - Advens® 2015 2 Benjamin Leroux Responsable des offres Audit et Conseil Advens RSSI
INTRODUCTION Document confidentiel - Advens® 2015 3 • Face au SI éparpillé, nos plans d’audit traditionnels affichent leurs limites. › Comment contrôler la sécurité d’infrastructures qui ne nous appartiennent pas… ou plus ? › Comment se satisfaire d’un plan d’audit annuel à l’heure où chaque semaine surgissent vulnérabilités nouvelles et « 0 days » ? › Comment repenser nos démarches d’audit et de contrôle ?
SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 4
UN SI DANS LES NUAGES Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement 5 • L’un des premiers facteurs d’éparpillement est le recours croissant aux services « Cloud » et aux différentes formesd’externalisation. › Les frontières du SI sont de plus en plus floues. › Les modalités d’accès à l’information sortent du strict cadre de l’entreprise. › Les responsabilités en matière de SSI sont diluées dans des contrats, tantôt trop complexe, tantôt trop superficiels.
UN SI À DEUX VITESSES Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement 6 • Le second facteur est la fameuse transformation numérique, que vivent de nombreuses organisations, consciemment ou non. › Le « Digital » bénéficie d’une attention particulière, avec des budgets conséquents et une vitesse parfois déroutante. › Le « Legacy » avancent à un autre rythme, pénalisant parfois la DSI et ses méthodes habituelles.
UN SI À L’IMAGE DE L’ORGANISATION Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement 7 • Et des facteurs plus traditionnels, propres à chaque organisation. › L’international, des cultures, des référentiels et réglementations variés et parfois incohérents › Le périmètre fonctionnel : des entités avec des DSI différents, à la maturité différentes, avec plus ou moins d’appétence pour le risque › Des budgets et une implication à géométrie très variables
SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 8
LE CONTRÔLE ET L’AUDIT DEMEURENT DES FONDAMENTAUXDE LA DÉMARCHE SÉCURITÉ. La mise en pratique est inégale… … selon le contexte sectoriel … selon le poids du cadre réglementaire … selon la culture de l’entreprise et de la DSI. Document confidentiel - Advens® 2015 9
CE QUI A CHANGÉ Document confidentiel - Advens® 2015 Identifier les nouveaux enjeux de l’audit et du contrôle 10 • « Cloud » ou non, « Digital » ou non… l’écosystème de la Sécurité a évolué et nécessite de revoir son approche en matière d’audit. › Les périmètres contrôlés ne sont plus internes ni périmétriques. › Le risque « Cyber » est de plus en plus identifié : la sécurité est exposée et peut être amené à rendre des comptes. › La prise de conscience des métiers, bien que trop lente, se traduit par leur implication croissante dans les conduites d’audit.
CE QUI DOIT CHANGER Document confidentiel - Advens® 2015 Identifier les nouveaux enjeux de l’audit et du contrôle 11 • Ces quelques évolutions n’apportent pas toutes les réponses. Il faut s’intéresser à quelquesenjeux forts. › Le plan d’audit doit s’appuyer sur un outillage complet : du bon vieux pentest jusqu’à l’audit du nouveau gadget connecté… › L’audit doit donner une vision sur ce qui importe vraiment : l’usage prime sur le contenant technique. › Le RSSI doit être le chef d’orchestre d’une démarche à laquelle chaque acteur de l’organisation va prendre part.
SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 12
IDÉE REÇUE #1 RÉAGIR FACE AUX IDÉES REÇUES Document confidentiel - Advens® 2015 « Ce que veut le digital, le digital l’aura… et le RSSI consentira ! » 13 IDÉE REÇUE #1 RÉAGIR FACE AUX IDÉES REÇUES
IDÉE REÇUE #1 Document confidentiel - Advens® 2015 Retours d’expérience 14 Auto-évaluation : « Ecrire c’est facile, mais contrôler, c’est plus difficile » Stratégie d’externalisation : « Et ça, on peut le mettre dans le cloud ? » Accompagner la transformation numérique Faciliter mais cadrer Stratégie Type d’offre R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 Externalisation « externe » PaaS Public US 4 3 5 3 4** 2 5 0* SaaS Public US 5 4 5 4 4** 2 4 0* PaaS Public UE 3 2 5 3 4** 2 5 0 SaaS Public UE 4 3 5 4 4** 2 4 0 PaaS / SaaS étranger 5 4 5 4 4** 2 5 5*** Externalisation « interne » PaaS Privé partenaire 3 2 3 2 4** 2 3 0 SaaS Privé partenaire 3 2 3 2 4** 2 3 0 Internalisation IaaS Interne Oxylane 2 1 3 1 3 2 2 0
IDÉE REÇUE #1 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 15 Créer un véritable partenariat et une relation de confiance avec les équipes en charge du numérique et pas uniquement avec la DSI Proposer des critères simples pour valider le recours au cloud ou à un prestataire donné Construire une offre de services Sécurité à destination des projets et des métiers pour les accompagner dans l’aventure numérique
Document confidentiel - Advens® 2015 « On ne peut pas l’auditer, c’est dans le cloud… » 16 IDÉE REÇUE #2 RÉAGIR FACE AUX IDÉES REÇUES
IDÉE REÇUE #2 Document confidentiel - Advens® 2015 Retours d’expérience 17 Auditer les usages et non pas les infrastructures Savoir challenger petits et grands projets Auditer les services dans le cloud Choisir ses combats
IDÉE REÇUE #2 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 18 Définir un catalogue de services d’audit et de contrôle, exhaustif, flexible et au goût du jour Anticiper les non-conformités : définir les circuits de traitement des exceptions et contrôler les plans d’action proposés Saisir les opportunités suite à un audit
Document confidentiel - Advens® 2015 « Il y en a trop… autant ne rien faire pour l’instant. » 19 IDÉE REÇUE #3 RÉAGIR FACE AUX IDÉES REÇUES
IDÉE REÇUE #3 Document confidentiel - Advens® 2015 Retours d’expérience 20 Faire évaluer la sensibilité par le porteur du projet Décliner la bonne approche selon la sensibilité Auditer les services dans le Cloud Choisir ses combats
IDÉE REÇUE #3 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 21 Favoriser, toujours et encore, une approche par les risques Responsabiliser les métiers dans le plan d’audit et globalement dans les décisions en matière de sécurité Déployer un mécanisme simple et transverse d’évaluation de la sensibilité
Document confidentiel - Advens® 2015 « Ça, c’est bon, la DSI maîtrise… » 22 IDÉE REÇUE #4 RÉAGIR FACE AUX IDÉES REÇUES
IDÉE REÇUE #4 Document confidentiel - Advens® 2015 Retours d’expérience 23 Piloter la sécurité du SI sur le périmètre historique Renforcer la sécurité des applications Contrôler le SI « interne » Les bons partenaires aux bons endroits
IDÉE REÇUE #4 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 24 Conserver une bonne hygiène et ne pas oublier les basiques Impliquer la DSI dans la mise en place des solutions de sécurité
Document confidentiel - Advens® 2015 « La sécurité, ça retarde les projets » 25 IDÉE REÇUE #5 RÉAGIR FACE AUX IDÉES REÇUES IDÉE REÇUE #5 RÉAGIR FACE AUX IDÉES REÇUES
IDÉE REÇUE #5 Document confidentiel - Advens® 2015 Retours d’expérience 26 Intégrer la sécurité dans la méthode Projet Oser une démarche SSI Agile Eviter les mauvaises surprises S’intégrer avec agilité
IDÉE REÇUE #5 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 27 Communiquer, toujours plus, toujours mieux Comprendre les modes de fonctionnement réels et s’y intégrer Savoir innover pour se développer… ou pour survivre
SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 28
LES BONNES RECETTES Document confidentiel - Advens® 2015 Pour conclure 29 1 2 3 4 Intégrer la sécurité au cœur des nouvelles pratiques liés au numérique Créer une relation de confiance et développer des partenariats Parler les langages de nos interlocuteurs et s’adapter à leurs méthodes Savoir innover et se mettre en question sans perdre la face Construire une offre de services d’audit Contrôler pour développer la confiance
Q&A

Recomendados

De l'informatique au numérique : maîtriser son passage dans le cloud
De l'informatique au numérique : maîtriser son passage dans le cloudDe l'informatique au numérique : maîtriser son passage dans le cloud
De l'informatique au numérique : maîtriser son passage dans le cloudPh Ris
 
Secure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSecure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSebastien Gioria
 
Le PRN et le Qatar
Le PRN et le QatarLe PRN et le Qatar
Le PRN et le QatarPRN_numerique
 
infographie : les indicateurs de performance marketing B2B
infographie : les indicateurs de performance marketing B2Binfographie : les indicateurs de performance marketing B2B
infographie : les indicateurs de performance marketing B2BSO'xperts
 
8 Outils Qualité pour toutes les fonctions de l'entreprise
8 Outils Qualité pour toutes les fonctions de l'entreprise8 Outils Qualité pour toutes les fonctions de l'entreprise
8 Outils Qualité pour toutes les fonctions de l'entrepriseTOOL_Z
 
Iso QSE 2016
Iso QSE 2016Iso QSE 2016
Iso QSE 2016Yassine Gharbi
 
Synthese iso 9001 2015
Synthese iso 9001 2015Synthese iso 9001 2015
Synthese iso 9001 2015olec kovalevsky
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 

Recomendados

De l'informatique au numérique : maîtriser son passage dans le cloud
De l'informatique au numérique : maîtriser son passage dans le cloudDe l'informatique au numérique : maîtriser son passage dans le cloud
De l'informatique au numérique : maîtriser son passage dans le cloudPh Ris
 
Secure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSecure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSebastien Gioria
 
Le PRN et le Qatar
Le PRN et le QatarLe PRN et le Qatar
Le PRN et le QatarPRN_numerique
 
infographie : les indicateurs de performance marketing B2B
infographie : les indicateurs de performance marketing B2Binfographie : les indicateurs de performance marketing B2B
infographie : les indicateurs de performance marketing B2BSO'xperts
 
8 Outils Qualité pour toutes les fonctions de l'entreprise
8 Outils Qualité pour toutes les fonctions de l'entreprise8 Outils Qualité pour toutes les fonctions de l'entreprise
8 Outils Qualité pour toutes les fonctions de l'entrepriseTOOL_Z
 
Iso QSE 2016
Iso QSE 2016Iso QSE 2016
Iso QSE 2016Yassine Gharbi
 
Synthese iso 9001 2015
Synthese iso 9001 2015Synthese iso 9001 2015
Synthese iso 9001 2015olec kovalevsky
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Unidad 2
Unidad 2Unidad 2
Unidad 2lokotelokote
 
La_Croix_1337843
La_Croix_1337843La_Croix_1337843
La_Croix_1337843David Jonglez
 
E twinning legionnaires
E twinning legionnairesE twinning legionnaires
E twinning legionnaireszloubet
 
1968
19681968
1968Rodrigo Cardoso
 
Présentation détaillée du Baromètre Cultures Services
Présentation détaillée du Baromètre Cultures ServicesPrésentation détaillée du Baromètre Cultures Services
Présentation détaillée du Baromètre Cultures ServicesAcadémie du Service
 
03 expo reforma 2011 matemáticas
03 expo reforma 2011 matemáticas03 expo reforma 2011 matemáticas
03 expo reforma 2011 matemáticasJOSÉ AGUSTÍN LEGARRETA RODRÍGUEZ
 
Résultats présentés le 3 avril au comité de sélection interreg mise en place ...
Résultats présentés le 3 avril au comité de sélection interreg mise en place ...Résultats présentés le 3 avril au comité de sélection interreg mise en place ...
Résultats présentés le 3 avril au comité de sélection interreg mise en place ...henri971
 
Présentation Croisières Liège
Présentation Croisières LiègePrésentation Croisières Liège
Présentation Croisières LiègeBenjamin de Bruijne
 
Formation Maroc Telecom
Formation Maroc Telecom Formation Maroc Telecom
Formation Maroc Telecom Mourad Amalik
 
sgcw
sgcwsgcw
sgcwpasbal
 
La leçon des oies
La leçon des oiesLa leçon des oies
La leçon des oiesRodrigo Cardoso
 
Les monstres diaporama 6e a
Les monstres diaporama 6e aLes monstres diaporama 6e a
Les monstres diaporama 6e acdiclgmathieu
 
Course structure presentation
Course structure presentationCourse structure presentation
Course structure presentationThomas Okon M.Ed.
 
Tableau récapitulatif stèles
Tableau récapitulatif stèlesTableau récapitulatif stèles
Tableau récapitulatif stèlesrobindesboisindre36
 
La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersMarc Rousselet
 
Webinar neosight : Offre fit4 finance
Webinar neosight : Offre fit4 financeWebinar neosight : Offre fit4 finance
Webinar neosight : Offre fit4 financeAxys
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingISlean consulting
 
La mise en place des bonnes pratiques d’Architecture d’Entreprise.
La mise en place des bonnes pratiques d’Architecture d’Entreprise.La mise en place des bonnes pratiques d’Architecture d’Entreprise.
La mise en place des bonnes pratiques d’Architecture d’Entreprise.Demeure0706
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Doper votre entreprise aux nouvelles technologies
Doper votre entreprise aux nouvelles technologiesDoper votre entreprise aux nouvelles technologies
Doper votre entreprise aux nouvelles technologiesLouis-Alexandre Louvet
 

Más contenido relacionado

Destacado

2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
E twinning legionnaires
E twinning legionnairesE twinning legionnaires
E twinning legionnaireszloubet
 
Présentation détaillée du Baromètre Cultures Services
Présentation détaillée du Baromètre Cultures ServicesPrésentation détaillée du Baromètre Cultures Services
Présentation détaillée du Baromètre Cultures ServicesAcadémie du Service
 
Résultats présentés le 3 avril au comité de sélection interreg mise en place ...
Résultats présentés le 3 avril au comité de sélection interreg mise en place ...Résultats présentés le 3 avril au comité de sélection interreg mise en place ...
Résultats présentés le 3 avril au comité de sélection interreg mise en place ...henri971
 
Présentation Croisières Liège
Présentation Croisières LiègePrésentation Croisières Liège
Présentation Croisières LiègeBenjamin de Bruijne
 
Formation Maroc Telecom
Formation Maroc Telecom Formation Maroc Telecom
Formation Maroc Telecom Mourad Amalik
 
Les monstres diaporama 6e a
Les monstres diaporama 6e aLes monstres diaporama 6e a
Les monstres diaporama 6e acdiclgmathieu
 
Course structure presentation
Course structure presentationCourse structure presentation
Course structure presentationThomas Okon M.Ed.
 

Destacado (15)

2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Unidad 2
Unidad 2Unidad 2
Unidad 2
 
La_Croix_1337843
La_Croix_1337843La_Croix_1337843
La_Croix_1337843
 
E twinning legionnaires
E twinning legionnairesE twinning legionnaires
E twinning legionnaires
 
1968
19681968
1968
 
Présentation détaillée du Baromètre Cultures Services
Présentation détaillée du Baromètre Cultures ServicesPrésentation détaillée du Baromètre Cultures Services
Présentation détaillée du Baromètre Cultures Services
 
03 expo reforma 2011 matemáticas
03 expo reforma 2011 matemáticas03 expo reforma 2011 matemáticas
03 expo reforma 2011 matemáticas
 
Résultats présentés le 3 avril au comité de sélection interreg mise en place ...
Résultats présentés le 3 avril au comité de sélection interreg mise en place ...Résultats présentés le 3 avril au comité de sélection interreg mise en place ...
Résultats présentés le 3 avril au comité de sélection interreg mise en place ...
 
Présentation Croisières Liège
Présentation Croisières LiègePrésentation Croisières Liège
Présentation Croisières Liège
 
Formation Maroc Telecom
Formation Maroc Telecom Formation Maroc Telecom
Formation Maroc Telecom
 
sgcw
sgcwsgcw
sgcw
 
La leçon des oies
La leçon des oiesLa leçon des oies
La leçon des oies
 
Les monstres diaporama 6e a
Les monstres diaporama 6e aLes monstres diaporama 6e a
Les monstres diaporama 6e a
 
Course structure presentation
Course structure presentationCourse structure presentation
Course structure presentation
 
Tableau récapitulatif stèles
Tableau récapitulatif stèlesTableau récapitulatif stèles
Tableau récapitulatif stèles
 

Similar a Advens - congrès du cesin 2015

La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersMarc Rousselet
 
Webinar neosight : Offre fit4 finance
Webinar neosight : Offre fit4 financeWebinar neosight : Offre fit4 finance
Webinar neosight : Offre fit4 financeAxys
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingISlean consulting
 
La mise en place des bonnes pratiques d’Architecture d’Entreprise.
La mise en place des bonnes pratiques d’Architecture d’Entreprise.La mise en place des bonnes pratiques d’Architecture d’Entreprise.
La mise en place des bonnes pratiques d’Architecture d’Entreprise.Demeure0706
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Doper votre entreprise aux nouvelles technologies
Doper votre entreprise aux nouvelles technologiesDoper votre entreprise aux nouvelles technologies
Doper votre entreprise aux nouvelles technologiesLouis-Alexandre Louvet
 
veille digimind
veille digimindveille digimind
veille digimindicdes
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Competitic simplifiez le pilotage de votre entreprise avec la business inte...
Competitic simplifiez le pilotage de votre entreprise avec la business inte...Competitic simplifiez le pilotage de votre entreprise avec la business inte...
Competitic simplifiez le pilotage de votre entreprise avec la business inte...COMPETITIC
 
Agilité du point de vue de la gouvernance
Agilité du point de vue de la gouvernanceAgilité du point de vue de la gouvernance
Agilité du point de vue de la gouvernancePyxis Technologies
 
Dématérialisation des processus métiers et GED transverse : La bonne équation?
Dématérialisation des processus métiers et GED transverse : La bonne équation?Dématérialisation des processus métiers et GED transverse : La bonne équation?
Dématérialisation des processus métiers et GED transverse : La bonne équation?Sollan France
 
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésWebinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésAxys
 
ISO 9001:2015 _ Le Point du LIEGE science park _ 28 octobre 2016
ISO 9001:2015 _ Le Point du LIEGE science park _ 28 octobre 2016ISO 9001:2015 _ Le Point du LIEGE science park _ 28 octobre 2016
ISO 9001:2015 _ Le Point du LIEGE science park _ 28 octobre 2016Interface ULg, LIEGE science park
 
Présentation atelier SaaS avec MACSF
Présentation atelier SaaS avec MACSFPrésentation atelier SaaS avec MACSF
Présentation atelier SaaS avec MACSFTalentsoft France
 
L’adéquation des modèles de sourcing pour accélérer la transformation de la DSI
L’adéquation des modèles de sourcing pour accélérer la transformation de la DSIL’adéquation des modèles de sourcing pour accélérer la transformation de la DSI
L’adéquation des modèles de sourcing pour accélérer la transformation de la DSISia Partners
 
Le Marché du Cloud en France
Le Marché du Cloud en FranceLe Marché du Cloud en France
Le Marché du Cloud en FranceTelehouse France
 
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...Devoteam Revolve
 
Gouvernance de l'information RSD (petit déjeuner expert Aproged)
Gouvernance de l'information RSD (petit déjeuner expert Aproged) Gouvernance de l'information RSD (petit déjeuner expert Aproged)
Gouvernance de l'information RSD (petit déjeuner expert Aproged)Aproged
 

Similar a Advens - congrès du cesin 2015 (20)

La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiers
 
Webinar neosight : Offre fit4 finance
Webinar neosight : Offre fit4 financeWebinar neosight : Offre fit4 finance
Webinar neosight : Offre fit4 finance
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consulting
 
La mise en place des bonnes pratiques d’Architecture d’Entreprise.
La mise en place des bonnes pratiques d’Architecture d’Entreprise.La mise en place des bonnes pratiques d’Architecture d’Entreprise.
La mise en place des bonnes pratiques d’Architecture d’Entreprise.
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 
Doper votre entreprise aux nouvelles technologies
Doper votre entreprise aux nouvelles technologiesDoper votre entreprise aux nouvelles technologies
Doper votre entreprise aux nouvelles technologies
 
veille digimind
veille digimindveille digimind
veille digimind
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Competitic simplifiez le pilotage de votre entreprise avec la business inte...
Competitic simplifiez le pilotage de votre entreprise avec la business inte...Competitic simplifiez le pilotage de votre entreprise avec la business inte...
Competitic simplifiez le pilotage de votre entreprise avec la business inte...
 
Agilité du point de vue de la gouvernance
Agilité du point de vue de la gouvernanceAgilité du point de vue de la gouvernance
Agilité du point de vue de la gouvernance
 
Dématérialisation des processus métiers et GED transverse : La bonne équation?
Dématérialisation des processus métiers et GED transverse : La bonne équation?Dématérialisation des processus métiers et GED transverse : La bonne équation?
Dématérialisation des processus métiers et GED transverse : La bonne équation?
 
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésWebinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
 
ISO 9001:2015 _ Le Point du LIEGE science park _ 28 octobre 2016
ISO 9001:2015 _ Le Point du LIEGE science park _ 28 octobre 2016ISO 9001:2015 _ Le Point du LIEGE science park _ 28 octobre 2016
ISO 9001:2015 _ Le Point du LIEGE science park _ 28 octobre 2016
 
Présentation atelier SaaS avec MACSF
Présentation atelier SaaS avec MACSFPrésentation atelier SaaS avec MACSF
Présentation atelier SaaS avec MACSF
 
L’adéquation des modèles de sourcing pour accélérer la transformation de la DSI
L’adéquation des modèles de sourcing pour accélérer la transformation de la DSIL’adéquation des modèles de sourcing pour accélérer la transformation de la DSI
L’adéquation des modèles de sourcing pour accélérer la transformation de la DSI
 
Performance Projets
Performance ProjetsPerformance Projets
Performance Projets
 
Le Marché du Cloud en France
Le Marché du Cloud en FranceLe Marché du Cloud en France
Le Marché du Cloud en France
 
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
 
Gouvernance de l'information RSD (petit déjeuner expert Aproged)
Gouvernance de l'information RSD (petit déjeuner expert Aproged) Gouvernance de l'information RSD (petit déjeuner expert Aproged)
Gouvernance de l'information RSD (petit déjeuner expert Aproged)
 

Advens - congrès du cesin 2015

  • 2. LES SPEAKERS Document confidentiel - Advens® 2015 2 Benjamin Leroux Responsable des offres Audit et Conseil Advens RSSI
  • 3. INTRODUCTION Document confidentiel - Advens® 2015 3 • Face au SI éparpillé, nos plans d’audit traditionnels affichent leurs limites. › Comment contrôler la sécurité d’infrastructures qui ne nous appartiennent pas… ou plus ? › Comment se satisfaire d’un plan d’audit annuel à l’heure où chaque semaine surgissent vulnérabilités nouvelles et « 0 days » ? › Comment repenser nos démarches d’audit et de contrôle ?
  • 4. SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 4
  • 5. UN SI DANS LES NUAGES Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement 5 • L’un des premiers facteurs d’éparpillement est le recours croissant aux services « Cloud » et aux différentes formesd’externalisation. › Les frontières du SI sont de plus en plus floues. › Les modalités d’accès à l’information sortent du strict cadre de l’entreprise. › Les responsabilités en matière de SSI sont diluées dans des contrats, tantôt trop complexe, tantôt trop superficiels.
  • 6. UN SI À DEUX VITESSES Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement 6 • Le second facteur est la fameuse transformation numérique, que vivent de nombreuses organisations, consciemment ou non. › Le « Digital » bénéficie d’une attention particulière, avec des budgets conséquents et une vitesse parfois déroutante. › Le « Legacy » avancent à un autre rythme, pénalisant parfois la DSI et ses méthodes habituelles.
  • 7. UN SI À L’IMAGE DE L’ORGANISATION Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement 7 • Et des facteurs plus traditionnels, propres à chaque organisation. › L’international, des cultures, des référentiels et réglementations variés et parfois incohérents › Le périmètre fonctionnel : des entités avec des DSI différents, à la maturité différentes, avec plus ou moins d’appétence pour le risque › Des budgets et une implication à géométrie très variables
  • 8. SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 8
  • 10. CE QUI A CHANGÉ Document confidentiel - Advens® 2015 Identifier les nouveaux enjeux de l’audit et du contrôle 10 • « Cloud » ou non, « Digital » ou non… l’écosystème de la Sécurité a évolué et nécessite de revoir son approche en matière d’audit. › Les périmètres contrôlés ne sont plus internes ni périmétriques. › Le risque « Cyber » est de plus en plus identifié : la sécurité est exposée et peut être amené à rendre des comptes. › La prise de conscience des métiers, bien que trop lente, se traduit par leur implication croissante dans les conduites d’audit.
  • 11. CE QUI DOIT CHANGER Document confidentiel - Advens® 2015 Identifier les nouveaux enjeux de l’audit et du contrôle 11 • Ces quelques évolutions n’apportent pas toutes les réponses. Il faut s’intéresser à quelquesenjeux forts. › Le plan d’audit doit s’appuyer sur un outillage complet : du bon vieux pentest jusqu’à l’audit du nouveau gadget connecté… › L’audit doit donner une vision sur ce qui importe vraiment : l’usage prime sur le contenant technique. › Le RSSI doit être le chef d’orchestre d’une démarche à laquelle chaque acteur de l’organisation va prendre part.
  • 12. SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 12
  • 13. IDÉE REÇUE #1 RÉAGIR FACE AUX IDÉES REÇUES Document confidentiel - Advens® 2015 « Ce que veut le digital, le digital l’aura… et le RSSI consentira ! » 13 IDÉE REÇUE #1 RÉAGIR FACE AUX IDÉES REÇUES
  • 14. IDÉE REÇUE #1 Document confidentiel - Advens® 2015 Retours d’expérience 14 Auto-évaluation : « Ecrire c’est facile, mais contrôler, c’est plus difficile » Stratégie d’externalisation : « Et ça, on peut le mettre dans le cloud ? » Accompagner la transformation numérique Faciliter mais cadrer Stratégie Type d’offre R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 Externalisation « externe » PaaS Public US 4 3 5 3 4** 2 5 0* SaaS Public US 5 4 5 4 4** 2 4 0* PaaS Public UE 3 2 5 3 4** 2 5 0 SaaS Public UE 4 3 5 4 4** 2 4 0 PaaS / SaaS étranger 5 4 5 4 4** 2 5 5*** Externalisation « interne » PaaS Privé partenaire 3 2 3 2 4** 2 3 0 SaaS Privé partenaire 3 2 3 2 4** 2 3 0 Internalisation IaaS Interne Oxylane 2 1 3 1 3 2 2 0
  • 15. IDÉE REÇUE #1 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 15 Créer un véritable partenariat et une relation de confiance avec les équipes en charge du numérique et pas uniquement avec la DSI Proposer des critères simples pour valider le recours au cloud ou à un prestataire donné Construire une offre de services Sécurité à destination des projets et des métiers pour les accompagner dans l’aventure numérique
  • 16. Document confidentiel - Advens® 2015 « On ne peut pas l’auditer, c’est dans le cloud… » 16 IDÉE REÇUE #2 RÉAGIR FACE AUX IDÉES REÇUES
  • 17. IDÉE REÇUE #2 Document confidentiel - Advens® 2015 Retours d’expérience 17 Auditer les usages et non pas les infrastructures Savoir challenger petits et grands projets Auditer les services dans le cloud Choisir ses combats
  • 18. IDÉE REÇUE #2 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 18 Définir un catalogue de services d’audit et de contrôle, exhaustif, flexible et au goût du jour Anticiper les non-conformités : définir les circuits de traitement des exceptions et contrôler les plans d’action proposés Saisir les opportunités suite à un audit
  • 19. Document confidentiel - Advens® 2015 « Il y en a trop… autant ne rien faire pour l’instant. » 19 IDÉE REÇUE #3 RÉAGIR FACE AUX IDÉES REÇUES
  • 20. IDÉE REÇUE #3 Document confidentiel - Advens® 2015 Retours d’expérience 20 Faire évaluer la sensibilité par le porteur du projet Décliner la bonne approche selon la sensibilité Auditer les services dans le Cloud Choisir ses combats
  • 21. IDÉE REÇUE #3 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 21 Favoriser, toujours et encore, une approche par les risques Responsabiliser les métiers dans le plan d’audit et globalement dans les décisions en matière de sécurité Déployer un mécanisme simple et transverse d’évaluation de la sensibilité
  • 22. Document confidentiel - Advens® 2015 « Ça, c’est bon, la DSI maîtrise… » 22 IDÉE REÇUE #4 RÉAGIR FACE AUX IDÉES REÇUES
  • 23. IDÉE REÇUE #4 Document confidentiel - Advens® 2015 Retours d’expérience 23 Piloter la sécurité du SI sur le périmètre historique Renforcer la sécurité des applications Contrôler le SI « interne » Les bons partenaires aux bons endroits
  • 24. IDÉE REÇUE #4 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 24 Conserver une bonne hygiène et ne pas oublier les basiques Impliquer la DSI dans la mise en place des solutions de sécurité
  • 25. Document confidentiel - Advens® 2015 « La sécurité, ça retarde les projets » 25 IDÉE REÇUE #5 RÉAGIR FACE AUX IDÉES REÇUES IDÉE REÇUE #5 RÉAGIR FACE AUX IDÉES REÇUES
  • 26. IDÉE REÇUE #5 Document confidentiel - Advens® 2015 Retours d’expérience 26 Intégrer la sécurité dans la méthode Projet Oser une démarche SSI Agile Eviter les mauvaises surprises S’intégrer avec agilité
  • 27. IDÉE REÇUE #5 : QUELLES BONNES PRATIQUES ? Document confidentiel - Advens® 2015 Réagir face aux idées reçues 27 Communiquer, toujours plus, toujours mieux Comprendre les modes de fonctionnement réels et s’y intégrer Savoir innover pour se développer… ou pour survivre
  • 28. SOMMAIRE Document confidentiel - Advens® 2015 Comprendre les facteurs d’éparpillement1 Identifier les nouveaux enjeux de l’audit2 Réagir face aux idées reçues3 Pour conclure...4 28
  • 29. LES BONNES RECETTES Document confidentiel - Advens® 2015 Pour conclure 29 1 2 3 4 Intégrer la sécurité au cœur des nouvelles pratiques liés au numérique Créer une relation de confiance et développer des partenariats Parler les langages de nos interlocuteurs et s’adapter à leurs méthodes Savoir innover et se mettre en question sans perdre la face Construire une offre de services d’audit Contrôler pour développer la confiance
  • 30. Q&A

Notas del editor

  1. - Le plan d’audit doit tout couvrir : pour traiter tous les cas de figure, dans toutes les conditions de budget, de planning et de maitrise technique
  2. Auto-évaluation : - Aller plus loin que les fameuses clauses contractuelles pour gérer le cloud. Enrichir la démarche avec une auto-évaluation Stratégie d’externalisation - Formaliser les critères pour « cloudifier » un service - En profiter pour cadrer toutes les formes d’externalisation
  3. Auditer les usages et non pas les infrastructures - Pour des services comme Google Apps ou O365, les solutions dédiées (Elastica, Cloudlock, etc.) proposent des contrôles des usages, à préférer si l’infrastructure est trop grosse pour être challengée. Un drive ouvert au public fera plus de dégâts qu’un patch manquant sur le 2143ème serveur de Google. Savoir challenger petits et grands projets - Un audit de partenaire révélera toujours quelques non-conformités. - Peut-on être compréhensif ? Faut-il laisser une chance aux partenaires en défaut ?
  4. Faire évaluer la sensibilité par le porteur du projet Impliquer les métiers au plus tôt dans cette évaluation Décliner la bonne approche selon la sensibilité - Adapter l’ampleur de la démarche - Profiter des bonnes volontés pour aller plus loin
  5. Faire évaluer la sensibilité par le porteur du projet - Générer les logs et les analyser - Scanner et traiter les vulnérabilités - Déployer un SOC Renforcer la sécurité des applications - Sensibiliser et former les développeurs - Intégrer la sécurité et la revue de code au cœur de la chaine de développement
  6. Faire évaluer la sensibilité par le porteur du projet - S’intégrer dans les bonnes méthodes, celles utilisées, pas nécessairement celles documentés - Suivre les évolutions et devenir l’ami du PMO Une démarche SSI Agile - Utiliser le vocabulaire et les outils de la maison - Une PSSI dans JIRA et Confluence et non dans un document Word ? Oui, ça existe!