Gestion des risques liés aux systèmes d'information,

dispositif global de gestion des risques, audit.

Quelles synergies ?

gil.delille@forum-des-competences.org
Agenda

 Les enjeux liés aux systèmes d’information

 La gestion des risques liés aux SI
 Les risques liés au SI, la part de la SSI
 RSSI, ligne métier, missions
 Articulation avec le contrôle permanent
 Articulation avec l’audit interne.

Colloque 2012 des banques centrales francophones 2

ENJEUX LIÉS
AU SYSTÈME D’INFORMATION
 Les enjeux du SI dans le tertiaire

 Dématérialisation de l’argent
 Dématérialisation de la connaissance
 information
 processus
 Dématérialisation de la relation client
 Dématérialisation de la mémoire de l’entreprise
 archives
 et même… documents originaux (« dématique »)
 Secteur tertiaire : des hommes, des bâtiments
et… des octets.

Colloque 2012 des banques centrales francophones 4

 Les enjeux du SI dans le tertiaire

 Facteur d’aggravation
 chainage de systèmes d’information
 SI à effet systémique
 hyper réactivité des marchés
 surmédiatisation, dans certaines circonstances.

Des enjeux tels que la SSI mérite

une « union sacrée »
pour le meilleur usage des compétences
dans l’évitement du risque systémique.

Colloque 2012 des banques centrales francophones 5

LES RISQUES LIÉS AUX
SYSTÈMES D’INFORMATION
 Rappels sur l’ensemble des risques liés au SI

 Risques induits par les systèmes construits pour les

métiers
 défaut de confidentialité, erreurs, indisponibilité, manque
d’auditabilité, infractions réglementaires,
 traités par l’analyse de risque des projets et l’application des
politiques de sécurité.
 Risques induits par les infrastructures informatiques
 indisponibilité,
 traité par l’analyse de risque au moment de la conception,
application des meilleures pratiques de résilience, audits.
 Risques induits par les activités des informaticiens
 erreurs, malveillance
 traité par découpage de l’activité en processus normalisés,
cartographie des risques, formalisation des procédures, séparation
des pouvoirs

Colloque 2012 des banques centrales francophones 7

 Rappels sur l’ensemble des risques liés au SI

 Risques induits par les bâtiments

 malveillance liée à des défauts de sécurité physique, accidents
(incendie),
 traités par analyse de risque, adoption des meilleures pratiques,
audits.
 Risques induits par le niveau de performance
économique de l’informatique et la stratégie
 défaut d’agilité des métiers, excédent de charges, mauvais
alignement stratégique
 traités par benchmarks, consultation des métiers, contrôle
budgétaire, gouvernance, consultants extérieurs
 Risques découlant de l’exécution des projets
 non-conformité des livraisons (carences fonctionnelles), retards
 méthodologie d’exécution de projets, audits, formalisation du
pilotage des projets, suivi des projets au niveau requis

Colloque 2012 des banques centrales francophones 8

 Rappels sur l’ensemble des risques liés au SI

 Risques traités par les RSSIs

 Risques induits par les systèmes construits pour les
métiers
 Risques induits par les infrastructures informatiques

 Le périmètre peut varier d’un établissement à

l’autre (nuance fraude vs SSI).

 Ce qui compte, c’est l’exhaustivité de la

couverture des risques par des branches
complémentaires.

Colloque 2012 des banques centrales francophones 9

UN ACTEUR CENTRAL, LE RSSI
 RSSI

 RSSI = acteur spécialisé du contrôle permanent

 pour rappel : Contrôle interne

Contrôle
Contrôle
périodique
permanent

Niv. Contrôle permanent réalisé par

3 Inspection Générale
2.2 Acteur spécialisé indépendant de l’activité considérée RSSI
2.1 Management, contrôleur au sein de l’activité
1 Opérateur

Colloque 2012 des banques centrales francophones 11

 Des missions étendues

 Définir une cartographie des risques

 Énoncer les risques auxquels l’entreprise est exposé
 Définir les traitements prioritaires
 Fixer les règles (politiques de sécurité, notes de
procédures, etc.)
 Animer le dispositif de gouvernance
 Fournir les méthodes (définition, entretien,
formation)
 Alerter et organiser la mise en place et le suivi
de plans d’action
 Définir des plans de contrôle

Colloque 2012 des banques centrales francophones 12

 Des missions étendues

 Exercer des contrôles, évaluer les risques

 Informer les décideurs
 Conseiller les propriétaires de systèmes
d’information et les maîtres d’œuvre
 Mener une veille sur les menaces et les parades
 Animer le processus d’analyse de risque
 Sensibiliser à tous les niveaux de l’entreprise
 Parangonner l’entreprise
 Sponsoriser des projets de sécurité

 Dans les groupes, animer la ligne métier des RSSI.

Colloque 2012 des banques centrales francophones 13

 Des missions variables selon les environnements

 Certains RSSI jouent un rôle opérationnel dans

 la gestion des habilitations,
 l’exploitation de systèmes de sécurité.

 En matière de reprise des activités informatiques, le rôle des RSSI

est défini de manière très variable d’une entreprise à l’autre.
L’allocation précise de cette mission doit être vérifiée.

 Des missions peuvent être réparties sur différentes personnes ou

directions. Ce qui compte est leur exécution.

 L’audit vérifie le fait que

 les missions sont attribuées,
 les moyens permettant de les exécuter sont octroyés,
 les livrables résultant de ces missions existent.

 Lerattachement du RSSI est secondaire par rapport à ces points.

Colloque 2012 des banques centrales francophones 14

QUELLE COMPLÉMENTARITÉ
EN MATIÈRE DE CONTRÔLES ?
 Pourquoi rechercher la complémentarité ?

 Les compétences en SSI sont encore rares,

 demande une connaissance transverse de l’informatique
(systèmes d’exploitation, réseaux, programmation, pratiques
de production, technologies de stockage, de virtualisation) et
des notions juridiques,
 la SSI est assez peu présente dans les cursus des écoles et
universités.

 Les métiers sont excédés par les

sollicitations multiples.

 L’efficience concerne aussi le contrôle qui participe à la

performance des entreprises.

 Dans un environnement bien coordonné, à ressources

égales, on détecte davantage de choses.

Colloque 2012 des banques centrales francophones 16

 Audit vs contrôle permanent

 Le contrôle permanent : forte couverture, certitude moyenne

Contrôles nombreux,
couverture étendue
mais certitude moyenne

Colloque 2012 des banques centrales francophones 17

 Audit vs contrôle permanent

 L’audit : faible couverture, certitude élevée

Périmètre audité réduit

Certitude accrue
sur zone connexe

Colloque 2012 des banques centrales francophones 18

 Audit vs contrôle permanent

 Audits incorrectement répartis

Ressources gaspillées Faible certitude sur une grande partie

de l’univers d’audit

Colloque 2012 des banques centrales francophones 19

 Audit vs contrôle permanent

 Audits correctement répartis

Ressources identiques Réduction de la zone à faible certitude
au cas précédent

Colloque 2012 des banques centrales francophones 20

 Pourquoi rechercher la complémentarité ?

 Le RSSI attendra une bonne répartition des audits

 soit sur une année,
 soit sur plusieurs années.
- qui seront focalisés sur les sujets à forts enjeux
- et s’appuieront donc sur des référentiels qui en
garantiront l’objectivité.

 Cela demande une concertation préalable,

respectueuse des prérogatives de l’auditeur.

 La répétition peut être souhaitable en cas de

constats de déficiences majeures.

Colloque 2012 des banques centrales francophones 21

 Étagement des contrôles, une science pas si simple

 Le contrôle interne : apporteur d’assurance raisonnable, aux

dirigeants, sur le bon équilibre entre
 désir de développement
 et prises de risques.

 Un mauvais étagement des contrôles

 gaspillage de ressources
 sollicitations multiples des opérationnels sur des sujets identiques
: mauvaise acceptation => données de mauvaise qualité.

 Une logique de consolidation

 pas d’assurance raisonnable
 le management n’aura qu’une consolidation de la perception des
opérateurs assurant les contrôles de niveau 1 !
 Perte de vue de la finalité des contrôles !

Colloque 2012 des banques centrales francophones 22

 Quels contrôles de niveau 2.2 (RSSI)

 Des contrôles originaux, pas des consolidations !

 Renouer avec le principe d’assurance raisonnable
 se poser la question de la valeur ajoutée du contrôle (finalité), privilégier la qualité
des assurances apportées,
 introduire une rupture.
 Exemple
 test d’intrusion
 s’affranchit des assurances données par tous les contributeurs à l’élaboration d’un système
(intégrateurs, opérateurs de pare-feux, développeurs, etc),
 apporte un fort niveau de certitude.
 mais coûteux.
 croisements d’information
 utiliser les résultats d’un contrôle à d’autres fins
 statistiques du helpdesk sur le nombre de désinfections de postes
 à confronter aux assurances données par les contrôles de niveau 2.1 alimentés par les consoles de
gestion des antivirus
 Un contrôle de niveau 1 alimente un contrôle de niveau 2.2 pour conforter ou infirmer un contrôle
de niveau 2.1 !

 L’étagement des contrôles doit être révisé régulièrement car la maturité des
opérationnels s’accroît (exemple des scans de vulnérabilité).

Colloque 2012 des banques centrales francophones 23

 Quels contrôles de niveau 2.2 (RSSI)

 Des contrôles validant les efforts et investissements

 KPI (Key Performance Indicators)
 Exemple : combien d’attaques bloquées par mon dispositif de
filtrage Internet ?

 Des contrôles illustrant le niveau d’exposition à des

risques significatifs
 KRI (Key Risk Indicators)
 Exemple : nombre de systèmes « abrités » ayant été atteints
par une tentative d’intrusion.

 Le RSSI attendra, de la part de l’audit, des indicateurs

des deux catégories car il a besoin de justifier les
investissements et niveaux de ressources
 le R.O.I de la sécurité est un sujet délicat : toute aide est
bienvenue.

Colloque 2012 des banques centrales francophones 24

 Répartition des contrôles
Cas d’entreprises multiples

 Dans les groupes, lorsque des services sont rendus entre

entreprises, se pose la question de la répartition des contrôles
 chaque entreprise a son dispositif de contrôle interne, réputé compétent,
 les clients de l’entreprise qui fournit le service ont besoin de garanties
(encore les assurances raisonnables),
 il s’agit d’apporter cette assurance en utilisant au mieux les compétences
disponibles.

 Le RSSI de l’entité faitière conçoit un plan de contrôle réparti.

 Le responsable des contrôles permanents eut être appelé à en

valider la pertinence (répartition).

 L’audit interne ou externe vérifie que, tel que conçu, le plan apporte
bien aux « clients » de la prestation les assurances raisonnables
 cible de l’audit,
 méthodologie employée.

Colloque 2012 des banques centrales francophones 25

 Répartition des contrôles
Cas d’entreprises multiples – Prestations externes

 L’approche sera similaire en matière de prestations

fournies par une entreprise extérieure :
 Un équilibre est à trouver entre
 le recours à la compétence des contrôleurs prestataires
 et la compétence du client.

 La question est : « qui apporte la garantie

d’assurance raisonnable ? »
 auditeur tiers ?
 superviseur ?
 tiers sous la supervision du… superviseur ?
Les choses évoluent rapidement dans ce sens.

Colloque 2012 des banques centrales francophones 26

RÉFÉRENTIELS D’AUDIT
 Recours à un référentiel reconnu
Garantie d’objectivité

 L’audit doit susciter une envie de progresser.

 L’envie de progresser résulte d’un sentiment de
justice des conclusions de l’audit.
 L’objectivité du référentiel employé pour l’audit
est donc un facteur important d’évolution des
pratiques.
 Deux sources de référentiels
 interne,
 externe.

Colloque 2012 des banques centrales francophones 28

 Référentiel interne

 Textes de gouvernance
 sur lesquels l’audit basera ses vérifications sur la bonne mise en œuvre du dispositif
de gouvernance

 Politiques de sécurité
 de nombreuses normes sont applicables à l’entreprise
 peu d’entre elles sont obligatoires (dépend des pays)
 elles peuvent être contradictoires
 elles ne répondent pas toujours à une logique d’analyse de risque

 il reste donc utile qu’existe un jeu de règles propres à l’entreprise

 rapportées, autant que possible, aux normes (ISO 270XX, etc)
 découlant de l’analyse de risque
 ce sont les politiques de sécurité.
 Politiques de sécurité

 L’audit doit valider la qualité du jeu de politiques de sécurité

 couverture (dans l’absolu ou vis-à-vis des normes),
 degré d’abstraction / précision,
 applicabilité.

Colloque 2012 des banques centrales francophones 29

 Référentiel interne

Normes
Normes
Analyse
Analyse dede Normes
Analyse de
risque
risque
risque

Politiques de
sécurité

Standards

Plans de contrôle
Audits
Systèmes &
organisations

Colloque 2012 des banques centrales francophones 30

ANALYSE DE RISQUE
 Objectif du dispositif de maîtrise de la SSI

 Que chaque système dispose du juste niveau de

résistance aux risques
 Donc

préjudice
en cas d’occurrence facilité d’usage,
d’un risque potentiel commercial,
• Disponibilité DICP coût
• Intégrité
• Confidentialité
• Preuve

Colloque 2012 des banques centrales francophones 32

 Une démarche : l’analyse de risque

 Quelle que soit la méthode, deux livrables

essentiels
 des mesures à appliquer
 techniques,
 organisationnelles,
 contractuelles,
 un risque résiduel à faire ratifier par le sponsor du
projet (métier).

 Un enjeu pour le RSSI : une pratique de l’analyse

de risque, au moins sur les projets à enjeux.

Colloque 2012 des banques centrales francophones 33

 Une démarche : l’analyse de risque

 Ce que l’audit apporte : vérification de

 l’existence d’une méthode
 l’existence de conditions d’applications
 du degré d’application
 de la ratification effective du risque résiduel, au bon niveau de
responsabilité
 de l’application réelle des mesures (en conformité avec le
calendrier fixé).
 Audit des projets à l’aune de l’analyse de risque, pas d’un
absolu théorique
 sinon : décrédibilisation de la démarche d’analyse de risque,
porteuse de progrès sécuritaire des entreprises,
 un projet sans analyse de risque est bien plus préjudiciable
qu’un projet analysé et comportant un risque connu et accepté.

Colloque 2012 des banques centrales francophones 34

CONSTITUTION DES PLANS
 Constitution de plans
L’une des missions du RSSI

 Le RSSI produit un plan annuel

Application
Constats du de la
Nouvelles
contrôle politique de
Constats du menaces
périodique sécurité Incidents
contrôle
permanent

Plan
annuel

Colloque 2012 des banques centrales francophones 36

 L’audit au service du plan

 Le plan d’action SSI n’est pas le fruit du hasard :

il résulte de diverses influences.
 L’audit doit s’assurer
 de l’existence d’un plan, régulièrement révisé,
 du rationnel qui a régi la définition du plan,
 de la bonne exécution du plan.
 Du point de vue du RSSI il est préférable que
l’audit renvoie au plan, plutôt que s’y substituer.
 Ainsi, l’audit renforce la cohérence plutôt que
favoriser la dispersion.

Colloque 2012 des banques centrales francophones 37

CONCLUSION
 Conclusion

 Le contrôle périodique amène des certitudes sur une zone

restreinte de l’univers d’audit
 Le contrôle permanent amène une connaissance moins
certaine sur un large périmètre
 L’un compense les faiblesses de l’autre : 1+1=3
 En période contrainte, il faut rechercher les synergies
entre niveaux de contrôle
 pour mieux utiliser l’expertise côté contrôle
 pour mieux focaliser les efforts côté contrôlé.

 La concertation ne remet pas en cause la primauté de

l’audit.
 Le RSSI, est, lui-même, assujetti au contrôle mais, en tant
qu’acteur du contrôle permanent, il a besoin du renfort de
l’audit.

Colloque 2012 des banques centrales francophones 39

 Conclusion

 L’audit, sans dériver vers le laxisme, doit rester

incitatif.
 reconnaître les points positifs
 porter les jugements négatifs sur la base de références
objectives
 internes : politiques de sécurité, textes de gouvernance
 externes :
 normes reconnues et méthodes d’audit,
 pratiques observées sur la Place.

 L’idée est de constituer un éco-système de contrôle

qui ne soit pas antinomique de la performance de
l’entreprise.
 Le contrôle interne peut alors devenir un instrument
de pilotage.

Colloque 2012 des banques centrales francophones 40