26
Full Service Management Solutions © 2012 C2 Innovations Inc. All rights reserved Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés Gestion de la sécurite et ITIL ®

Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

  • Upload
    lamthuy

  • View
    218

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

Full Service Management Solutions © 2012 C2 Innovations Inc. All rights reserved

Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Gestion de la sécurite

et ITIL®

Page 2: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

2 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Stratégie

des services

Conception

des services

Transition

des services

Exploitation

des services

Amélioration

continue

des services

Julius Caesar is credited with the invention of the Caesar cipher ca. 50 B.C., which was created in order to

prevent his secret messages from being read should a message fall into the wrong hands, but for the most part

protection was achieved through the application of procedural handling controls. Sensitive information was

marked up to indicate that it should be protected and transported by trusted persons, guarded and stored in a

secure environment or strong box. As postal services expanded governments created official organisations to

intercept, decipher, read and reseal letters (e.g. the UK Secret Office and Deciphering Branch in 1653).

Wow, si j’avais eu ITIL®

V3 et de meilleurs

processus; j’aurais

peut-être vécu plus

longtemps!

Histoire de la sécurité de l’information et ITIL®

Page 3: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

3 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Statistiques

Page 4: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

4 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Statistiques

• « Le montant total des pertes subies en 2004 par 269 entreprises à la suite d’un incident de sécurité informatique a atteint un total de 141,5 millions de dollars, ce qui fait une moyenne de 526 000 dollars par entreprise. »

Référence : « 2004 CSI/FBI Computer Crime and security Survey » Computer Security Institute, 2004.

• « 93 % des entreprises qui ont éprouvé un désastre et qui n’avaient pas de sauvegarde de leurs informations ont disparu. »

Référence : « Disaster Recovery », Interex 98 Conference, 12 mai 1998.

• « Plusieurs enquêtes ont montré qu’environ la moitié des attaques perpétrées contre des systèmes informatiques provenaient de l’intérieur de l’entreprise concernée. »

Référence : « 2004 CSI/FBI Computer Crime and security Survey » Computer Security Institute, 2004.

Page 5: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

5 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Comment gérer et

contrôler la sécurité

de l’information?

Une saine gestion

de la sécurité

doit s’appuyer

sur des

processus

bien établis

Page 6: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

ITIL® et

la gestion de la

sécurité de

l’information

Page 7: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

7 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

L’historique de la gestion de la sécurité et ITIL®

• Fin des années 80, première version de ITIL® V1

– Gestion de la sécurité presque inexistante.

• 2001 ITIL® V2

– Gestion de la sécurité introduite à l’intérieur du processus de la gestion de la disponibilité.

– La gestion de la sécurité est principalement guidée par le principe que la sécurité des TI assure: Confidentialité, Intégrité et Disponibilité (CIA) de l’information. Plutôt axé sur la technologie.

Page 8: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

8 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

L’historique de la gestion de la sécurité et ITIL®

• ITIL® V3 et 2011

– Reconnaissance formelle que la gestion de la sécurité est un processus important dans la gestion des services TI et son cycle de vie.

– Principalement utilisée dans la conception, la transition et les opérations des services TI.

– Axée sur la gestion de service tout au long du cycle de vie.

– Lien créé avec la norme ISO 27001.

Page 9: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

9 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

• La GARANTIE d’un service

– Une assurance que certains produits ou services seront fournis ou qu’ils répondront à certaines spécifications.

– (p. ex. : disponible au besoin, dont la qualité et la fiabilité sont suffisantes sur le plan de la continuité et de la sécurité)

= Adaptée à un usage

• La Garantie réduit la

variation de rendement.

• L’UTILITÉ d’un service

– Les attributs du service qui ont un effet positif sur l’exécution des activités, les objets et les tâches associées au résultat escompté.

– Le retrait ou la réduction des contraintes sur l’exécution peut également avoir un effet positif.

= Adaptée aux besoins

• L’Utilité augmente

l’exécution moyenne.

Interprétée comme un élément de garantie

Mais la sécurité est aussi un facteur d’utilité pour une organisation

Concept clé – Éléments de création de valeur : Utilité et garantie

Page 10: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

10 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

PERDU/VOLÉ

Objectif : Aligner la sécurité des TI sur la sécurité du business et s’assurer que la

sécurité de l’information est gérée de façon efficace dans tous les services et dans

toutes les activités de Gestion des services

Gestion de la sécurité de l’information – Concepts

• En lien avec ISO/IEC 27001

• N’est pas documentée comme un processus opérationnel, mais plutôt stratégique

• Processus de soutien a tous les autres processus de la Gestion des services TI

Page 11: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

11 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Planifier Accords sur les niveaux de service

Contrats de sous-traitance

Accords sur les niveaux

opérationnels

Énoncés de politiques

Mettre en œuvre Sensibilisation

Classification et enregistrement

Sécurité du personnel

Sécurité physique

Réseaux, applications, ordinateurs

Gestion des droits d’accès

Procédures liées aux incidents de sécurité

CONTRÔLER Organiser

Établir un cadre Attribuer les responsabilités

Maintenir Apprendre

Améliorer

Planifier

Mettre en œuvre

Évaluer Audits internes

Audits externes

Auto-évaluations

Incidents de sécurité

Gestion de la sécurité de l’information – Concepts

Page 12: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

12 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Phase de la Stratégie Phase de Conception Phase de Transition Phase Exploitation Améliorations continues Finance des TI

Portefeuille des services

Relation d’affaires des TI

Gestion stratégique des TI

Demande

Catalogue des services

Niveau de service

Capacité

Disponibilité

Continuité des services TI

Sécurité de l’information

Fournisseurs

Coordination de la conception

Changement

Configuration et actifs des services

Connaissances

Planification de la transition

Mise en production et déploiement

Validation & essais des services

Événement

Incident

Problème

Accès

Acheminement des demandes

Amélioration en 7 étapes

Légende:

Boites verticales représentent les 5 phases pour la

gestion du cycle de vie de service

Boites horizontales représentent tous les processus

requis pour une gestion efficace des services TI

Le nom des processus indique dans quel livre ils ont été

documentés (non dans quelle phase ils sont utilisés) Les

couleurs des processus indiquent dans quelle phase, ils

sont principalement utilisés.

Problématique

Ce modèle ne démontre pas

que la gestion de la sécurité

est impliquée dans tous les

processus de la GSTI

ITIL® Portée du cadre de travail et les cycles de vie des services

Page 13: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

Un point de vue

et suggestions sur

la gestion de la

sécurité de

l’information en

relation avec la

Gestion des

services TI

Page 14: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

14 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

La réalité de la gestion de la sécurité de l’information

• Sujet que les affaires voudraient se passer

• Perçu comme un coût et non une valeur

• Les gens qui travaillent dans ce domaine sont parfois considérés comme n’étant pas en lien avec les besoins des affaires

• Le sujet peut endormir quelqu’un en 5.4 secondes…

• Relier les concepts de la gestion de la sécurité à la réalité d’affaire est difficile

Page 15: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

15 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Augmenter vos revenus

Rationaliser le coût des services

Rencontrer vos obligations

Rehausser l’expérience client et utilisateur 1

Améliorer l’efficacité interne 2

3

4

5

Pourquoi améliorer la GSTI : les 5 raisons d’affaires

Page 16: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

16 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Relier Gestion de la sécurité TI aux grands objectifs de la GSTI • Améliorer l'alignement des services de GI/TI avec la stratégie d'entreprise

– Tous les éléments de la Politique de la GSTI reliés à la politique de sécurité des affaires

• Améliorer les attentes du point de vue des clients et du service interne de GI/TI

– Avoir un catalogue qui relie les services clients aux services techniques de la gestion de la sécurité

• Meilleure compréhension des facteurs de coût associés à la prestation de services de GI/TI

– Relier vos services clients au services techniques de la sécurité pour comprendre le coût réel de la gestion de la sécurité.

– Notre expérience au niveau des coûts additionnels de la gestion de sécurité représente dans plusieurs cas, seulement 0,65% du coût total des requêtes faites au fournisseur

Page 17: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

17 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Relier Gestion de la sécurité TI aux grands objectifs de la GSTI • Améliorer l'efficacité du groupe de GI/TI

– Assurer que tout changement d’envergure ait une analyse d’impact reliée à la sécurité

• Permettre la mise en œuvre réussie des accords (ANS, ANO)

– Inclure la valeur de la Sécurité des TI dans les accords

– Exemple: Niveau de service atteint si on mitige les enjeux de la sécurité

Page 18: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

18 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Les processus ITIL® (liste partielle) Concepts préconisés

Processus de la GSTI Avantages pour la Gestion de la sécurité

Gestion des incidents Identification des incidents avec impact sur la sécurité. Confirmation de l’utilisation et compréhension de la politique de sécurité

Gestion des changements Tout changement doit avoir une analyse d’impact sur la sécurité

Gestion des configurations Confirmation que la sécurité est un attribut de tous les composants de l’infrastructure

Gestion des niveaux de services La sécurité est un critère de négociation et éléments des accords

Gestion du catalogue des services Visualiser la dépendance des services clients sur les services de la sécurité

Page 19: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

19 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Chaîne de prestation de services – Gestion de la Sécurité

Politique de sécurité

des affaires Politique de sécurité des TI

Ligne directrice sur

l’utilisation

des services TI

Accord Livraison/

Soutien

Projets /

Changement Déploiement

Politique de la sécurité de l’organisation

Exécutifs Gestion de compte

Chef de projets Analystes

Architectes Développeurs

Etc…

Opérations Centre de service

Centre d’aide Soutien techniques

Clients affaires

Utilisateurs Consommateurs

Page 20: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

20 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Accord Livraison/

Soutien

Projets /

Changement Déploiement

Relier la gestion de la Sécurité à la Chaîne de prestation de services

Quel serait l’effet si l’information

était utilisée par quelqu’un de l’extérieur?

Est-ce en ligne avec la stratégie des TI?

Avons-nous les budgets? Quel serait l’effet si l’information était

utilisée par quelqu’un de l’extérieur?

Quel niveau de sécurité va t-on avoir

besoin pour ce service et quel mécanisme/

technologie devrions-nous utiliser?

Avez-vous été formé sur la politique de

sécurité et sur les éléments de sécurité dans les

procédures?

Est-ce que j’ai le droit de voir

cette information ou d’avoir accès à

cette demande?

Fournisseurs de service Utiliser une approche affaire en parlant de la gestion de la sécurité

Exécutifs Gestion de compte

Chef de projets Analystes

Architectes Développeurs

Etc.

Opérations Centre de service

Centre d’aide Soutien techniques

Clients affaires

Utilisateurs Consommateurs

Page 21: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

21 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

ITIL® Portée du cadre de travail et des cycles de vie de service

Phase de la Stratégie Phase de Conception Phase de Transition Phase Exploitation Améliorations continues Finance des TI

Portefeuille des services

Relation d’affaires des TI

Gestion stratégique des TI

Demande

Catalogue des services

Niveau de service

Capacité

Disponibilité

Continuité des services TI

Sécurité de l’information

Fournisseurs

Coordination de la conception

Changement

Configuration et actifs des services

Connaissances

Planification de la transition

Mise en production et déploiement

Validation & essais des services

Événement

Incident

Problème

Accès

Acheminement des demandes

Amélioration en 7 étapes

Éléments

de la sécurité

de l’information

Éléments

de la sécurité

de l’information

Éléments

de la sécurité

de l’information

Éléments

de la sécurité

de l’information

Éléments

de la sécurité

de l’information

La VRAIE INTERPRÉTATION pour une gestion de la

sécurité qui a un maximum de valeur

Page 22: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

22 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Catalogue des affaires Solutions automatisées

corporatifs (commun)

Livraison et opérations

Solutions automatisées

Spécifique aux clients

Livraison et opérations

Service aux utilisateurs Solutions des

infrastructures TI

Analy

se d

’aff

aires

Desig

n e

t D

ev.

Impla

nta

tio

n

Surv

eill

ance e

t soutie

n

Acquis

itio

n

Op

tim

isatio

n

Gestio

n d

es a

pplic

atio

ns

Gestio

n d

es a

ccès

Surv

eill

ance e

t soutie

n

Mobili

Gestio

n d

e l’im

pre

ssio

n

Fo

ire a

ux q

uestio

ns

Insta

llatio

ns

Courr

iel et

répert

oire

Héberg

em

ent

Inté

gra

tio

n

lécom

munic

atio

n

Ge

stio

n d

es d

ocum

ents

Insta

llatio

ns

Sécurité

Ge

stio

n d

es d

ésastr

es

Gestio

n d

es a

ccès

Catalogue technique Développement et

maintenance

applications

Développement et

maintenance

BD

Déploiement

Intégration

Essai et ingénierie

Certification et mise

en production

Poste de travail

Logiciel de

productivité

Outil de

collaboration

Courriel et

répertoire

Impression

Accès à distance

Protection des

environnements TI

Identification,

authentification &

autorisation

Communications

sécurisées

Services TI

sur demande

Hébergement et gestion

Applications

dédiées

Gestion des

installations

Infrastructure réseau

de données

Réseau des centres de

données Centre de service

Mobilité et

téléphonie

Analy

se d

’aff

aires

Desig

n e

t D

ev.

Impla

nta

tio

n

Surv

eill

ance e

t soutie

n

Acquis

itio

n

Op

tim

isatio

n

Gestio

n d

es a

pplic

atio

ns

Gestio

n d

es a

ccès

Vu

e d

es a

ffaire

s

Vu

e d

es te

ch

no

log

ies

Mettre en évidence les services de la gestion de sécurité dans le catalogue des services: un exemple

Page 23: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

23 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés 23

À utiliser pour le développement de procédures et instructions de travail

Tableau d’intégration au processus GSTI d’ ITIL® Processus: Gestion de sécurité

Processus ITIL® Gestion de la sécurité

donné à … Donné à la gestion de la

sécurité …

Incident Barème pour catégoriser un incident comme ayant un impact sur la sécurité

Statistique sur incident de type sécurité

Assistance dans l'investigation et résolution d'incidents de type sécurité

Analyse de résolution d'incidents

Page 24: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

24 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Rôles

• Clients / Utilisateurs

• Gestionnaire relation client (GRC)

• Gestionnaire des applications

• Gestion de la sécurité de l’information

• Architecture et planification

• Bureau de gestion de projet

• Centre de service

• Gestion des finances

• Gestion des infrastructures

• Etc.

• « Gestionnaire des relations - sécurité »;

responsable de gérer la relation avec tous les groupes internes du fournisseur et avoir une approche affaire…le pont entre le jargon sécurité et la terminologie affaire. Négocie les accords opérationnels avec les autres secteurs TI et les processus de la GSTI.

Page 25: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

25 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

Quelques recommandations

• Créer et assigner le rôle de gestionnaire des relations – sécurité

• Relier les activités de la gestion de la sécurité aux grands objectifs d’affaire de la GSTI

• Impliquer le gestionnaire de la sécurité dans toutes les améliorations de processus de gestion des services

• Inclure les services de la gestion de sécurité dans le catalogue des services et les relier aux services client

• Développer et négocier les accords de niveaux opérationnels (OLA) avec tous les autres secteurs des TI

• Détenir un élément de sécurité dans vos projets d’amélioration de la GSTI. Ex: Dans les documents de processus avoir une section « Intégration à la sécurité de l’information »

Page 26: Gestion de la sécurite et ITIL · Wow, si j’avais eu ITIL® V3 et de meilleurs processus; j’aurais ... Gestion des incidents Identification des incidents avec impact sur la sé

26 Solutions complètes de gestion des services TI © 2012 C2 Innovations Inc. Tous droits réservés

En conclusion

• ITIL® a contribué et démontré l’importance de la gestion de sécurité

• Pour la GSTI et ITIL ® V3, le processus de la gestion de la sécurité est un élément de contrôle stratégique pour assurer une perspective de sécurité dans les autres processus et activités de la GSTI.

• Il y a toujours une activité de sécurité dans tous les processus de la GSTI

• Une saine gestion de la sécurité devrait être basée sur des processus bien établis dans une organisation

• L’identification d’activités reliées à la sécurité dans tous les processus de la GSTI représentent le succès de la gestion de la sécurité