You are on page 1of 21

AUDIT SI

COMMENT SUIVRE ET MAITRISER LE NIVEAU DE MATURITE EN SECURITE DE LINFRASTRUCTURE, DES APPLICATIONS, DE LORGANISATION ET DES PROCESSUS ?

QANTARA consulting

Le concept Capability Maturity Model


Modle de maturit que le Software Engineering Institute (SEI), de luniversit Carnegie-Mellon, a conu pour mesurer la capacit dvelopper des logiciels. Le modle prsente 5 niveaux : Inexistant / Initial Optimis Latteinte dun niveau de maturit est conditionn par la mise en uvre de processus cls L valuation du niveau de maturit rpond trois besoins : une mesure relative de la situation actuelle ; une manire efficace de dsigner le but atteindre ; un outil permettant de mesurer la progression vers l'objectif. Le but est gnralement de trouver o se situent les problmes et comment tablir des priorits pour les rsoudre.
2102 QANTARA consulting

Des usages et destinataires diffrents dans la pratique


Assurer le pilotage des processus ; Communiquer et dialoguer avec les responsables de processus, identifier des projets, des dispositifs de contrle .. . Aider identifier, prioriser, arbitrer et optimiser les investissements ; Evaluer la complexit de mise en uvre de plans dactions ou de recommandations daudit ; Illustrer la progression en matire de cration de valeur ; Dmontrer aux sponsors mtier latteinte des objectifs, et illustrer les bnfices obtenus aprs mise en uvre des projets
2102 QANTARA consulting

Modle gnrique du COBITTM: Maturity Model for Internal Control


5 Optimis : Les processus ont atteint le niveau des meilleures pratiques, suite une amlioration
constante et la comparaison avec d'autres entreprises (Modles de Maturit). L'informatique est utilise comme moyen intgr d'automatiser le flux des tches, offrant des outils qui permettent d'amliorer la qualit et l'efficacit et de rendre l'entreprise rapidement adaptable.

4 Gr : Il est possible de contrler et de mesurer la conformit aux procdures et d'agir lorsque certains
processus semblent ne pas fonctionner correctement. Les processus sont en constante amlioration et correspondent une bonne pratique. L'automatisation et les outils sont utiliss d'une manire limite ou partielle.

3 Dfini : On a standardis, document et communiqu des procdures via des sances de formation.
Toutefois, leur utilisation est laisse l'initiative de chacun, et il est probable que des carts seront constats. Concernant les procdures elles-mmes, elles ne sont pas sophistiques mais formalisent des pratiques existantes.

2 Reproductible : Des processus se sont dvelopps jusqu'au stade o des personnes diffrentes
excutant la mme tche utilisent des procdures similaires. Il n'y a pas de formation organise ou de communication des procdures standard, et la responsabilit est laisse l'individu. On se repose beaucoup sur les connaissances individuelles, d'o une probabilit d'erreurs.

1 Initialis : On constate que l'entreprise a pris conscience de l'existence du problme et de la ncessit


de l'tudier. Il n'existe toutefois aucun processus standardis, mais des approches dans ce sens tendent tre appliques individuellement ou au cas par cas. L'approche globale du management n'est pas organise.

2102 QANTARA consulting

0 Inexistant : Absence totale de processus identifiables. L'entreprise n'a mme pas pris conscience qu'il
s'agissait d'un problme tudier.

COBITTM: Des critres dvaluation disponible pour chaque processus IT

2102 QANTARA consulting

Modle du Gartner

2102 QANTARA consulting

Modle IT Security Maturity du NIST PRISMA

IT Security Maturity Level 1: Policies


IT Security Maturity Level 2: Procedures IT Security Maturity Level 2: Implementation IT Security Maturity Level 2: Test

IT Security Maturity Level 2: Integration

2102 QANTARA consulting

Modle de lOpenGroup : O-ISM3

2102 QANTARA consulting

Maturit et Impact sur lAudit Interne

2102 QANTARA consulting

PROTIVITI - 2012 IT Audit Benchmarking Survey

Maturit & Scurit

2102 QANTARA consulting

Investissements de Scurit, Maturit et Risques

2102 QANTARA consulting

2011 Vicente Aceituno Introducing ISM3

Gestion des Risques de Scurit de lInformation


Exemple de dmarche Radars de Maturit

2102 QANTARA consulting

Contexte
Programme mondial de lutte contre la fraude (Rogue Trading) arriv en fin de priode Plusieurs millions deuros dinvestissements en scurit de linformation Renforcement et dploiement mondial de Security Risk Managers

Renforcement de la MOA Scurit


Multiplication des outils, et des contrles

Mais
Changement dquipe et perte de knowledge

Responsabilits oprationnelles dilues


Peu de procdures de contrle documentes

Faible visibilit sur lefficacit des contrles


Plusieurs processus nouveaux mettre en place (IS Risk Strategy, Exceptions Mgt, )

et une nouvelle stratgie dfinir !


2102 QANTARA consulting

Anne 1 Mise en place de la dmarche


Dfinition dune chelle de maturit (5 niveaux) de gestion des risques lis la scurit de linformation Identification des domaines de scurit et des objectifs de scurit associs Slection des principaux axes de reporting (mtier, gographique, risques cls pour le mtier: Confidentialit, Fraude: Rogue Trading, Conformit, Continuit des activits) Conception du modle (outill et paramtrable) Documentation du processus et la mthode dvaluation Identification des personnes contacter pour les interviews Communication des objectifs et processus dvaluation

Ralisation des interviews et collecte de la documentation utile


Analyse des informations collectes et alimentation du modle Evaluation des niveaux de maturit des processus de scurit Pondration des rsultats et prsentation sous forme de radars Discussion des premier du rsultats avec les interviews et correction

Communication des rsultats aux participants et parties prenantes

2102 QANTARA consulting

Anne 1 Principaux lments considrs


Domaines mapps avec Bale II, lISO 27002 et chelle de maturit inspire du COBITTM

Implication des responsables mtier


Lors de lvaluation, prise en compte :

Des rsultats du RCSA (Risk & Control Self Assessment) de lexercice


Des recommandations de scurit ouvertes (audit interne, autres),

De lhistorique des incidents de scurit et pertes oprationnelles


De la contribution (attendue) des initiatives de scurit prvues dans le plan stratgique de scurit Pondration des rsultats par

la contribution des dispositifs en place la rduction des risques de scurit du SI


Le primtre couvert par les activits de contrle identifies (initial et cible connue)
2102 QANTARA consulting

Reprsentation graphique
A - Information Security Governance 10 9 8 7 6 5 4 3 2 1 0

L - HR / End-Users Security

B - Compliance and Controls C - Identity and Access Management

K - Information Security Events

J - Operations

D - Information Availability

Srie1
Srie2

I - Security Logs

E - Information Confidentiality

H - Systems Security G - Network Security

F - Application Security

2102 QANTARA consulting

Anne 1 - Rsultats
Premire mesure partage de la situation actuelle permettant de fixer une cible atteignable Utilisation du modle pour slectionner les projets contribuant fortement latteinte des objectifs de rduction des risques de scurit Amlioration du dialogue avec les lignes mtier et support du Top Mgt ayant conduit une meilleure priorisation et allocation des ressources
Des projets candidats carts au bnfice de ceux contribuant fortement rduire les risques de confidentialit de linformation (SSO, Workstation Security, Server compliance, DLP, eDiscovery, ) Pour raliser des tudes afin dvaluer le niveau de conformit IT, contruire une mthodologie dvaluation des risques lis loutsourcing et offshoring IT, aux JV) Pour mettre en place, en baseline, un dispositif de gouvernance des contrles de scurit Documentation des processus et des contrles Ralisation de test indpendants des conception et defficacit des contrles
2102 QANTARA consulting

Anne 2 Retours dexprience et amlioration du modle


Rduction du nombre des personnes contacter pour les interviews Revue des objectifs de contrle Revue des poids associs

Adaptation des critres de notation


Amlioration de loutil (automatisation et reporting) Mise en place dune frquence de mise jour mensuelle pour tenir compte de lavancement des projets et initiatives de scurit composant le programme de gestion des risques de scurit de linformation Prsentation aux sponsors lors des comits de pilotage du programme

Visibilit plus importante


Prennisation du modle
2102 QANTARA consulting

Situation initiale, actuelle et cible (3 5 ans)


A - Information Security Governance 10 9 8 7 6 5 4 3 2 1 0

B - Compliance and Controls C - Identity and Access Management

L - HR / End-Users Security

K - Information Security Events

D - Information Availability

J - Operations

E - Information Confidentiality

I - Security Logs
H - Systems Security

F - Application Security
G - Network Security

2102 QANTARA consulting

Anne 2 - Rsultats
Nette amlioration du niveau de maturit sur lensemble des domaines de scurit de linformation Dun outil dvaluation de la maturit un outil de pilotage de la stratgie de scurit de linformation

Duplication de la dmarche au niveau de la Direction des Risques Oprationnels pour intgrer lensemble des activits du Groupe et disposer dune vision globale
Adaptation de la dmarche la filiale en charge de la gestion de linfrastructure

2102 QANTARA consulting

Points dattention
Charge importante de mise jour annuelle (20-25j selon limportance de

lorganisation)
Automatiser Disponibilit des interlocuteurs Anticiper les RDVs Possible confusion : Niveau de maturit / Niveau de couverture des risques

Communiquer sur les objectifs et limites du modle

2102 QANTARA consulting