Upload
lamthuy
View
218
Download
0
Embed Size (px)
Citation preview
Full Service Management Solutions © 2012 C2 Innovations Inc. All rights reserved
Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Gestion de la sécurite
et ITIL®
2 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Stratégie
des services
Conception
des services
Transition
des services
Exploitation
des services
Amélioration
continue
des services
Julius Caesar is credited with the invention of the Caesar cipher ca. 50 B.C., which was created in order to
prevent his secret messages from being read should a message fall into the wrong hands, but for the most part
protection was achieved through the application of procedural handling controls. Sensitive information was
marked up to indicate that it should be protected and transported by trusted persons, guarded and stored in a
secure environment or strong box. As postal services expanded governments created official organisations to
intercept, decipher, read and reseal letters (e.g. the UK Secret Office and Deciphering Branch in 1653).
Wow, si j’avais eu ITIL®
V3 et de meilleurs
processus; j’aurais
peut-être vécu plus
longtemps!
Histoire de la sécurité de l’information et ITIL®
3 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Statistiques
4 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Statistiques
• « Le montant total des pertes subies en 2004 par 269 entreprises à la suite d’un incident de sécurité informatique a atteint un total de 141,5 millions de dollars, ce qui fait une moyenne de 526 000 dollars par entreprise. »
Référence : « 2004 CSI/FBI Computer Crime and security Survey » Computer Security Institute, 2004.
• « 93 % des entreprises qui ont éprouvé un désastre et qui n’avaient pas de sauvegarde de leurs informations ont disparu. »
Référence : « Disaster Recovery », Interex 98 Conference, 12 mai 1998.
• « Plusieurs enquêtes ont montré qu’environ la moitié des attaques perpétrées contre des systèmes informatiques provenaient de l’intérieur de l’entreprise concernée. »
Référence : « 2004 CSI/FBI Computer Crime and security Survey » Computer Security Institute, 2004.
5 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Comment gérer et
contrôler la sécurité
de l’information?
Une saine gestion
de la sécurité
doit s’appuyer
sur des
processus
bien établis
ITIL® et
la gestion de la
sécurité de
l’information
7 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
L’historique de la gestion de la sécurité et ITIL®
• Fin des années 80, première version de ITIL® V1
– Gestion de la sécurité presque inexistante.
• 2001 ITIL® V2
– Gestion de la sécurité introduite à l’intérieur du processus de la gestion de la disponibilité.
– La gestion de la sécurité est principalement guidée par le principe que la sécurité des TI assure: Confidentialité, Intégrité et Disponibilité (CIA) de l’information. Plutôt axé sur la technologie.
8 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
L’historique de la gestion de la sécurité et ITIL®
• ITIL® V3 et 2011
– Reconnaissance formelle que la gestion de la sécurité est un processus important dans la gestion des services TI et son cycle de vie.
– Principalement utilisée dans la conception, la transition et les opérations des services TI.
– Axée sur la gestion de service tout au long du cycle de vie.
– Lien créé avec la norme ISO 27001.
9 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
• La GARANTIE d’un service
– Une assurance que certains produits ou services seront fournis ou qu’ils répondront à certaines spécifications.
– (p. ex. : disponible au besoin, dont la qualité et la fiabilité sont suffisantes sur le plan de la continuité et de la sécurité)
= Adaptée à un usage
• La Garantie réduit la
variation de rendement.
• L’UTILITÉ d’un service
– Les attributs du service qui ont un effet positif sur l’exécution des activités, les objets et les tâches associées au résultat escompté.
– Le retrait ou la réduction des contraintes sur l’exécution peut également avoir un effet positif.
= Adaptée aux besoins
• L’Utilité augmente
l’exécution moyenne.
Interprétée comme un élément de garantie
Mais la sécurité est aussi un facteur d’utilité pour une organisation
Concept clé – Éléments de création de valeur : Utilité et garantie
10 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
PERDU/VOLÉ
Objectif : Aligner la sécurité des TI sur la sécurité du business et s’assurer que la
sécurité de l’information est gérée de façon efficace dans tous les services et dans
toutes les activités de Gestion des services
Gestion de la sécurité de l’information – Concepts
• En lien avec ISO/IEC 27001
• N’est pas documentée comme un processus opérationnel, mais plutôt stratégique
• Processus de soutien a tous les autres processus de la Gestion des services TI
11 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Planifier Accords sur les niveaux de service
Contrats de sous-traitance
Accords sur les niveaux
opérationnels
Énoncés de politiques
Mettre en œuvre Sensibilisation
Classification et enregistrement
Sécurité du personnel
Sécurité physique
Réseaux, applications, ordinateurs
Gestion des droits d’accès
Procédures liées aux incidents de sécurité
CONTRÔLER Organiser
Établir un cadre Attribuer les responsabilités
Maintenir Apprendre
Améliorer
Planifier
Mettre en œuvre
Évaluer Audits internes
Audits externes
Auto-évaluations
Incidents de sécurité
Gestion de la sécurité de l’information – Concepts
12 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Phase de la Stratégie Phase de Conception Phase de Transition Phase Exploitation Améliorations continues Finance des TI
Portefeuille des services
Relation d’affaires des TI
Gestion stratégique des TI
Demande
Catalogue des services
Niveau de service
Capacité
Disponibilité
Continuité des services TI
Sécurité de l’information
Fournisseurs
Coordination de la conception
Changement
Configuration et actifs des services
Connaissances
Planification de la transition
Mise en production et déploiement
Validation & essais des services
Événement
Incident
Problème
Accès
Acheminement des demandes
Amélioration en 7 étapes
Légende:
Boites verticales représentent les 5 phases pour la
gestion du cycle de vie de service
Boites horizontales représentent tous les processus
requis pour une gestion efficace des services TI
Le nom des processus indique dans quel livre ils ont été
documentés (non dans quelle phase ils sont utilisés) Les
couleurs des processus indiquent dans quelle phase, ils
sont principalement utilisés.
Problématique
Ce modèle ne démontre pas
que la gestion de la sécurité
est impliquée dans tous les
processus de la GSTI
ITIL® Portée du cadre de travail et les cycles de vie des services
Un point de vue
et suggestions sur
la gestion de la
sécurité de
l’information en
relation avec la
Gestion des
services TI
14 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
La réalité de la gestion de la sécurité de l’information
• Sujet que les affaires voudraient se passer
• Perçu comme un coût et non une valeur
• Les gens qui travaillent dans ce domaine sont parfois considérés comme n’étant pas en lien avec les besoins des affaires
• Le sujet peut endormir quelqu’un en 5.4 secondes…
• Relier les concepts de la gestion de la sécurité à la réalité d’affaire est difficile
15 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Augmenter vos revenus
Rationaliser le coût des services
Rencontrer vos obligations
Rehausser l’expérience client et utilisateur 1
Améliorer l’efficacité interne 2
3
4
5
Pourquoi améliorer la GSTI : les 5 raisons d’affaires
16 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Relier Gestion de la sécurité TI aux grands objectifs de la GSTI • Améliorer l'alignement des services de GI/TI avec la stratégie d'entreprise
– Tous les éléments de la Politique de la GSTI reliés à la politique de sécurité des affaires
• Améliorer les attentes du point de vue des clients et du service interne de GI/TI
– Avoir un catalogue qui relie les services clients aux services techniques de la gestion de la sécurité
• Meilleure compréhension des facteurs de coût associés à la prestation de services de GI/TI
– Relier vos services clients au services techniques de la sécurité pour comprendre le coût réel de la gestion de la sécurité.
– Notre expérience au niveau des coûts additionnels de la gestion de sécurité représente dans plusieurs cas, seulement 0,65% du coût total des requêtes faites au fournisseur
17 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Relier Gestion de la sécurité TI aux grands objectifs de la GSTI • Améliorer l'efficacité du groupe de GI/TI
– Assurer que tout changement d’envergure ait une analyse d’impact reliée à la sécurité
• Permettre la mise en œuvre réussie des accords (ANS, ANO)
– Inclure la valeur de la Sécurité des TI dans les accords
– Exemple: Niveau de service atteint si on mitige les enjeux de la sécurité
18 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Les processus ITIL® (liste partielle) Concepts préconisés
Processus de la GSTI Avantages pour la Gestion de la sécurité
Gestion des incidents Identification des incidents avec impact sur la sécurité. Confirmation de l’utilisation et compréhension de la politique de sécurité
Gestion des changements Tout changement doit avoir une analyse d’impact sur la sécurité
Gestion des configurations Confirmation que la sécurité est un attribut de tous les composants de l’infrastructure
Gestion des niveaux de services La sécurité est un critère de négociation et éléments des accords
Gestion du catalogue des services Visualiser la dépendance des services clients sur les services de la sécurité
19 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Chaîne de prestation de services – Gestion de la Sécurité
Politique de sécurité
des affaires Politique de sécurité des TI
Ligne directrice sur
l’utilisation
des services TI
Accord Livraison/
Soutien
Projets /
Changement Déploiement
Politique de la sécurité de l’organisation
Exécutifs Gestion de compte
Chef de projets Analystes
Architectes Développeurs
Etc…
Opérations Centre de service
Centre d’aide Soutien techniques
Clients affaires
Utilisateurs Consommateurs
20 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Accord Livraison/
Soutien
Projets /
Changement Déploiement
Relier la gestion de la Sécurité à la Chaîne de prestation de services
Quel serait l’effet si l’information
était utilisée par quelqu’un de l’extérieur?
Est-ce en ligne avec la stratégie des TI?
Avons-nous les budgets? Quel serait l’effet si l’information était
utilisée par quelqu’un de l’extérieur?
Quel niveau de sécurité va t-on avoir
besoin pour ce service et quel mécanisme/
technologie devrions-nous utiliser?
Avez-vous été formé sur la politique de
sécurité et sur les éléments de sécurité dans les
procédures?
Est-ce que j’ai le droit de voir
cette information ou d’avoir accès à
cette demande?
Fournisseurs de service Utiliser une approche affaire en parlant de la gestion de la sécurité
Exécutifs Gestion de compte
Chef de projets Analystes
Architectes Développeurs
Etc.
Opérations Centre de service
Centre d’aide Soutien techniques
Clients affaires
Utilisateurs Consommateurs
21 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
ITIL® Portée du cadre de travail et des cycles de vie de service
Phase de la Stratégie Phase de Conception Phase de Transition Phase Exploitation Améliorations continues Finance des TI
Portefeuille des services
Relation d’affaires des TI
Gestion stratégique des TI
Demande
Catalogue des services
Niveau de service
Capacité
Disponibilité
Continuité des services TI
Sécurité de l’information
Fournisseurs
Coordination de la conception
Changement
Configuration et actifs des services
Connaissances
Planification de la transition
Mise en production et déploiement
Validation & essais des services
Événement
Incident
Problème
Accès
Acheminement des demandes
Amélioration en 7 étapes
Éléments
de la sécurité
de l’information
Éléments
de la sécurité
de l’information
Éléments
de la sécurité
de l’information
Éléments
de la sécurité
de l’information
Éléments
de la sécurité
de l’information
La VRAIE INTERPRÉTATION pour une gestion de la
sécurité qui a un maximum de valeur
22 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Catalogue des affaires Solutions automatisées
corporatifs (commun)
Livraison et opérations
Solutions automatisées
Spécifique aux clients
Livraison et opérations
Service aux utilisateurs Solutions des
infrastructures TI
Analy
se d
’aff
aires
Desig
n e
t D
ev.
Impla
nta
tio
n
Surv
eill
ance e
t soutie
n
Acquis
itio
n
Op
tim
isatio
n
Gestio
n d
es a
pplic
atio
ns
Gestio
n d
es a
ccès
Surv
eill
ance e
t soutie
n
Mobili
té
Gestio
n d
e l’im
pre
ssio
n
Fo
ire a
ux q
uestio
ns
Insta
llatio
ns
Courr
iel et
répert
oire
Héberg
em
ent
Inté
gra
tio
n
Té
lécom
munic
atio
n
Ge
stio
n d
es d
ocum
ents
Insta
llatio
ns
Sécurité
Ge
stio
n d
es d
ésastr
es
Gestio
n d
es a
ccès
Catalogue technique Développement et
maintenance
applications
Développement et
maintenance
BD
Déploiement
Intégration
Essai et ingénierie
Certification et mise
en production
Poste de travail
Logiciel de
productivité
Outil de
collaboration
Courriel et
répertoire
Impression
Accès à distance
Protection des
environnements TI
Identification,
authentification &
autorisation
Communications
sécurisées
Services TI
sur demande
Hébergement et gestion
Applications
dédiées
Gestion des
installations
Infrastructure réseau
de données
Réseau des centres de
données Centre de service
Mobilité et
téléphonie
Analy
se d
’aff
aires
Desig
n e
t D
ev.
Impla
nta
tio
n
Surv
eill
ance e
t soutie
n
Acquis
itio
n
Op
tim
isatio
n
Gestio
n d
es a
pplic
atio
ns
Gestio
n d
es a
ccès
Vu
e d
es a
ffaire
s
Vu
e d
es te
ch
no
log
ies
Mettre en évidence les services de la gestion de sécurité dans le catalogue des services: un exemple
23 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés 23
À utiliser pour le développement de procédures et instructions de travail
Tableau d’intégration au processus GSTI d’ ITIL® Processus: Gestion de sécurité
Processus ITIL® Gestion de la sécurité
donné à … Donné à la gestion de la
sécurité …
Incident Barème pour catégoriser un incident comme ayant un impact sur la sécurité
Statistique sur incident de type sécurité
Assistance dans l'investigation et résolution d'incidents de type sécurité
Analyse de résolution d'incidents
24 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Rôles
• Clients / Utilisateurs
• Gestionnaire relation client (GRC)
• Gestionnaire des applications
• Gestion de la sécurité de l’information
• Architecture et planification
• Bureau de gestion de projet
• Centre de service
• Gestion des finances
• Gestion des infrastructures
• Etc.
• « Gestionnaire des relations - sécurité »;
responsable de gérer la relation avec tous les groupes internes du fournisseur et avoir une approche affaire…le pont entre le jargon sécurité et la terminologie affaire. Négocie les accords opérationnels avec les autres secteurs TI et les processus de la GSTI.
25 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
Quelques recommandations
• Créer et assigner le rôle de gestionnaire des relations – sécurité
• Relier les activités de la gestion de la sécurité aux grands objectifs d’affaire de la GSTI
• Impliquer le gestionnaire de la sécurité dans toutes les améliorations de processus de gestion des services
• Inclure les services de la gestion de sécurité dans le catalogue des services et les relier aux services client
• Développer et négocier les accords de niveaux opérationnels (OLA) avec tous les autres secteurs des TI
• Détenir un élément de sécurité dans vos projets d’amélioration de la GSTI. Ex: Dans les documents de processus avoir une section « Intégration à la sécurité de l’information »
26 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés
En conclusion
• ITIL® a contribué et démontré l’importance de la gestion de sécurité
• Pour la GSTI et ITIL ® V3, le processus de la gestion de la sécurité est un élément de contrôle stratégique pour assurer une perspective de sécurité dans les autres processus et activités de la GSTI.
• Il y a toujours une activité de sécurité dans tous les processus de la GSTI
• Une saine gestion de la sécurité devrait être basée sur des processus bien établis dans une organisation
• L’identification d’activités reliées à la sécurité dans tous les processus de la GSTI représentent le succès de la gestion de la sécurité