3. INTRODUCTION
Document confidentiel - Advens® 2015 3
• Face au SI éparpillé, nos plans d’audit traditionnels affichent leurs
limites.
› Comment contrôler la sécurité d’infrastructures qui ne nous
appartiennent pas… ou plus ?
› Comment se satisfaire d’un plan d’audit annuel à l’heure où chaque
semaine surgissent vulnérabilités nouvelles et « 0 days » ?
› Comment repenser nos démarches d’audit et de contrôle ?
4. SOMMAIRE
Document confidentiel - Advens® 2015
Comprendre les facteurs d’éparpillement1
Identifier les nouveaux enjeux de l’audit2
Réagir face aux idées reçues3
Pour conclure...4
4
5. UN SI DANS LES NUAGES
Document confidentiel - Advens® 2015
Comprendre les facteurs d’éparpillement
5
• L’un des premiers facteurs d’éparpillement est le recours croissant aux
services « Cloud » et aux différentes formesd’externalisation.
› Les frontières du SI sont de plus en plus floues.
› Les modalités d’accès à l’information sortent du strict cadre de
l’entreprise.
› Les responsabilités en matière de SSI sont diluées dans des
contrats, tantôt trop complexe, tantôt trop superficiels.
6. UN SI À DEUX VITESSES
Document confidentiel - Advens® 2015
Comprendre les facteurs d’éparpillement
6
• Le second facteur est la fameuse transformation numérique, que
vivent de nombreuses organisations, consciemment ou non.
› Le « Digital » bénéficie d’une attention particulière, avec des
budgets conséquents et une vitesse parfois déroutante.
› Le « Legacy » avancent à un autre rythme, pénalisant parfois la DSI
et ses méthodes habituelles.
7. UN SI À L’IMAGE DE L’ORGANISATION
Document confidentiel - Advens® 2015
Comprendre les facteurs d’éparpillement
7
• Et des facteurs plus traditionnels, propres à chaque organisation.
› L’international, des cultures, des référentiels et réglementations
variés et parfois incohérents
› Le périmètre fonctionnel : des entités avec des DSI différents, à la
maturité différentes, avec plus ou moins d’appétence pour le
risque
› Des budgets et une implication à géométrie très variables
8. SOMMAIRE
Document confidentiel - Advens® 2015
Comprendre les facteurs d’éparpillement1
Identifier les nouveaux enjeux de l’audit2
Réagir face aux idées reçues3
Pour conclure...4
8
10. CE QUI A CHANGÉ
Document confidentiel - Advens® 2015
Identifier les nouveaux enjeux de l’audit et du contrôle
10
• « Cloud » ou non, « Digital » ou non… l’écosystème de la Sécurité a
évolué et nécessite de revoir son approche en matière d’audit.
› Les périmètres contrôlés ne sont plus internes ni périmétriques.
› Le risque « Cyber » est de plus en plus identifié : la sécurité est
exposée et peut être amené à rendre des comptes.
› La prise de conscience des métiers, bien que trop lente, se traduit
par leur implication croissante dans les conduites d’audit.
11. CE QUI DOIT CHANGER
Document confidentiel - Advens® 2015
Identifier les nouveaux enjeux de l’audit et du contrôle
11
• Ces quelques évolutions n’apportent pas toutes les réponses. Il faut
s’intéresser à quelquesenjeux forts.
› Le plan d’audit doit s’appuyer sur un outillage complet : du bon
vieux pentest jusqu’à l’audit du nouveau gadget connecté…
› L’audit doit donner une vision sur ce qui importe vraiment : l’usage
prime sur le contenant technique.
› Le RSSI doit être le chef d’orchestre d’une démarche à laquelle
chaque acteur de l’organisation va prendre part.
12. SOMMAIRE
Document confidentiel - Advens® 2015
Comprendre les facteurs d’éparpillement1
Identifier les nouveaux enjeux de l’audit2
Réagir face aux idées reçues3
Pour conclure...4
12
14. IDÉE REÇUE #1
Document confidentiel - Advens® 2015
Retours d’expérience
14
Auto-évaluation : « Ecrire
c’est facile, mais contrôler,
c’est plus difficile »
Stratégie d’externalisation :
« Et ça, on peut le mettre
dans le cloud ? »
Accompagner la transformation numérique
Faciliter mais cadrer
Stratégie Type d’offre R1 R2 R3 R4 R5 R6 R7 R8 R9 R10
Externalisation
« externe »
PaaS Public US 4 3 5 3 4** 2 5 0*
SaaS Public US 5 4 5 4 4** 2 4 0*
PaaS Public UE 3 2 5 3 4** 2 5 0
SaaS Public UE 4 3 5 4 4** 2 4 0
PaaS / SaaS étranger 5 4 5 4 4** 2 5 5***
Externalisation
« interne »
PaaS Privé partenaire 3 2 3 2 4** 2 3 0
SaaS Privé partenaire 3 2 3 2 4** 2 3 0
Internalisation IaaS Interne Oxylane 2 1 3 1 3 2 2 0
15. IDÉE REÇUE #1 : QUELLES BONNES PRATIQUES ?
Document confidentiel - Advens® 2015
Réagir face aux idées reçues
15
Créer un véritable partenariat et une relation de confiance avec les équipes en
charge du numérique et pas uniquement avec la DSI
Proposer des critères simples pour valider le recours au cloud ou à un prestataire
donné
Construire une offre de services Sécurité à destination des projets et des métiers
pour les accompagner dans l’aventure numérique
16. Document confidentiel - Advens® 2015
« On ne peut pas l’auditer,
c’est dans le cloud… »
16
IDÉE REÇUE #2
RÉAGIR FACE AUX IDÉES REÇUES
17. IDÉE REÇUE #2
Document confidentiel - Advens® 2015
Retours d’expérience
17
Auditer les usages et non
pas les infrastructures
Savoir challenger petits et
grands projets
Auditer les services dans le cloud
Choisir ses combats
18. IDÉE REÇUE #2 : QUELLES BONNES PRATIQUES ?
Document confidentiel - Advens® 2015
Réagir face aux idées reçues
18
Définir un catalogue de services d’audit et de contrôle, exhaustif, flexible et au goût
du jour
Anticiper les non-conformités : définir les circuits de traitement des exceptions et
contrôler les plans d’action proposés
Saisir les opportunités suite à un audit
19. Document confidentiel - Advens® 2015
« Il y en a trop…
autant ne rien faire pour l’instant. »
19
IDÉE REÇUE #3
RÉAGIR FACE AUX IDÉES REÇUES
20. IDÉE REÇUE #3
Document confidentiel - Advens® 2015
Retours d’expérience
20
Faire évaluer la sensibilité
par le porteur du projet
Décliner la bonne approche
selon la sensibilité
Auditer les services dans le Cloud
Choisir ses combats
21. IDÉE REÇUE #3 : QUELLES BONNES PRATIQUES ?
Document confidentiel - Advens® 2015
Réagir face aux idées reçues
21
Favoriser, toujours et encore, une approche par les risques
Responsabiliser les métiers dans le plan d’audit et globalement dans les décisions en
matière de sécurité
Déployer un mécanisme simple et transverse d’évaluation de la sensibilité
22. Document confidentiel - Advens® 2015
« Ça, c’est bon,
la DSI maîtrise… »
22
IDÉE REÇUE #4
RÉAGIR FACE AUX IDÉES REÇUES
23. IDÉE REÇUE #4
Document confidentiel - Advens® 2015
Retours d’expérience
23
Piloter la sécurité du SI sur
le périmètre historique
Renforcer la sécurité des
applications
Contrôler le SI « interne »
Les bons partenaires aux bons endroits
25. Document confidentiel - Advens® 2015
« La sécurité,
ça retarde les projets »
25
IDÉE REÇUE #5
RÉAGIR FACE AUX IDÉES REÇUES
IDÉE REÇUE #5
RÉAGIR FACE AUX IDÉES REÇUES
26. IDÉE REÇUE #5
Document confidentiel - Advens® 2015
Retours d’expérience
26
Intégrer la sécurité dans la
méthode Projet
Oser une démarche SSI
Agile
Eviter les mauvaises surprises
S’intégrer avec agilité
27. IDÉE REÇUE #5 : QUELLES BONNES PRATIQUES ?
Document confidentiel - Advens® 2015
Réagir face aux idées reçues
27
Communiquer, toujours plus, toujours mieux
Comprendre les modes de fonctionnement réels et s’y intégrer
Savoir innover pour se développer… ou pour survivre
28. SOMMAIRE
Document confidentiel - Advens® 2015
Comprendre les facteurs d’éparpillement1
Identifier les nouveaux enjeux de l’audit2
Réagir face aux idées reçues3
Pour conclure...4
28
29. LES BONNES RECETTES
Document confidentiel - Advens® 2015
Pour conclure
29
1 2 3 4
Intégrer la sécurité
au cœur des
nouvelles pratiques
liés au numérique
Créer une relation de
confiance et
développer des
partenariats
Parler les langages
de nos interlocuteurs
et s’adapter à leurs
méthodes
Savoir innover et se
mettre en question
sans perdre la face
Construire une offre de services d’audit
Contrôler pour développer la confiance
- Le plan d’audit doit tout couvrir : pour traiter tous les cas de figure, dans toutes les conditions de budget, de planning et de maitrise technique
Auto-évaluation :
- Aller plus loin que les fameuses clauses contractuelles pour gérer le cloud.
Enrichir la démarche avec une auto-évaluation
Stratégie d’externalisation
- Formaliser les critères pour « cloudifier » un service
- En profiter pour cadrer toutes les formes d’externalisation
Auditer les usages et non pas les infrastructures
- Pour des services comme Google Apps ou O365, les solutions dédiées (Elastica, Cloudlock, etc.) proposent des contrôles des usages, à préférer si l’infrastructure est trop grosse pour être challengée.
Un drive ouvert au public fera plus de dégâts qu’un patch manquant sur le 2143ème serveur de Google.
Savoir challenger petits et grands projets
- Un audit de partenaire révélera toujours quelques non-conformités.
- Peut-on être compréhensif ? Faut-il laisser une chance aux partenaires en défaut ?
Faire évaluer la sensibilité par le porteur du projet
Impliquer les métiers au plus tôt dans cette évaluation
Décliner la bonne approche selon la sensibilité
- Adapter l’ampleur de la démarche
- Profiter des bonnes volontés pour aller plus loin
Faire évaluer la sensibilité par le porteur du projet
- Générer les logs et les analyser
- Scanner et traiter les vulnérabilités
- Déployer un SOC
Renforcer la sécurité des applications
- Sensibiliser et former les développeurs
- Intégrer la sécurité et la revue de code au cœur de la chaine de développement
Faire évaluer la sensibilité par le porteur du projet
- S’intégrer dans les bonnes méthodes, celles utilisées, pas nécessairement celles documentés
- Suivre les évolutions et devenir l’ami du PMO
Une démarche SSI Agile
- Utiliser le vocabulaire et les outils de la maison
- Une PSSI dans JIRA et Confluence et non dans un document Word ? Oui, ça existe!