Cartographie des risques informatiques : exemples, mthodes et outils

8 avril 2010
Gina Gull-Mnez,
Directeur de lAudit des Processus et des Projets SI, Sanofi-Aventis

Vincent Manire
Consultant

Construction dune cartographie des risques : quel modle proposer ?

Agenda

Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions

Cartographie des risques informatiques

8 avril 2010

Introduction
Dans le cadre des activits de lAFAI :
Publier les bonnes pratiques professionnelles
catalogue dune douzaine douvrages, issus du partage dexprience au sein de groupes de travail constitus de professionnels expriments

Faciliter lchange et llaboration collective

des changes professionnels approfondis des groupes de travail constitus linitiative des membres
Dfinir un objectif (un livrable sous 18 mois maximum) : ouvrage, article, enqute Obtenir laccord du CA et engager les travaux
Cartographie des risques informatiques 8 avril 2010

OBJECTIFS DU GROUPE DE TRAVAIL Cartographie des risques informatiques

Etudier les avantages laborer une cartographie des risques informatiques. Mettre en vidence les diffrentes approches pratiques, en fonction des objectifs poursuivis et du point de vue de lutilisateur de la cartographie (Management, Audit interne, Direction de projet, )

Cartographie des risques informatiques

8 avril 2010

ORGANISATION/PARTICIPANTS
Le groupe de travail tait compos de membres permanents issus des grandes entreprises, des cabinets daudits, de consultants, exerant des mtiers diffrents :
Responsable daudit Risk manager Responsable scurit informatique Responsable mthode

Il a bnfici de la prsence dinvits, qui ont apport un angle de vue particulier ou un tmoignage de leur exprience.

Cartographie des risques informatiques

8 avril 2010

DROUL/MODE DE FONCTIONNEMENT
Tmoignages anonymes ayant pour objectif
Restituer de faon standardise les prsentations-tmoignages pour faciliter la perception par le lecteur ; Fournir un cadre structur pour les participants appels tmoigner.

Structure de la fiche Tmoignage:

Objectif de la cartographie Rsultats obtenus Acteurs Dmarche Avantages Inconvnients et difficults

Faire ressortir des enseignements et des facteurs cls de succs pour russir une dmarche cartographie.

Cartographie des risques informatiques

8 avril 2010

Construction dune cartographie des risques : Quel modle proposer ?

Agenda

Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions

Cartographie des risques informatiques

8 avril 2010

Des dfinitions multiples

De nombreuses dfinitions existent qui combinent :
Probabilit Impact Vulnrabilit Menace

Origine Bernoulli
"Le risque est l'esprance mathmatique d'une fonction de probabilit d'vnements". En termes plus simples, il s'agit de la valeur moyenne des consquences d'vnements affects de leur probabilit d'occurrence. Ainsi, un vnement e1 a une probabilit d'occurrence p1 avec une consquence probable C1 ; de mme un vnement en aura une probabilit pn et une consquence Cn, alors le risque vaudra R = p1.C1 + p2.C2 + ... + pn.Cn. Un produit pi.Ci est appel valeur de l'ala i.

Origine IFACI
Risque : possibilit que se produise un vnement qui aura un impact sur la ralisation des objectifs. Le risque se mesure en termes de consquences et de probabilit. Cartographie des risques : positionnement des risques majeurs se lon diffrents axes tels que limpact potentiel, la probabilit de survenance ou le niveau actuel de matrise des risques. Son objectif est de permettre dorienter le plan daudit interne et daider le management prendre en compte la dimension risque dans son pilotage interne.
Cartographie des risques informatiques 8 avril 2010

Elments gnriques sur les risques

Deux tendances principales se dgagent de lhistoire du risque :
Approche mathmatique
Blaise Pascal et Pierre de Fermat en 1654 Loi des grands nombres Bernoulli en 1738 Thorie des Jeux en 1944

Approche management par les risques

Apparue en fin des annes 1950 aux Etats-Unis Gouvernement dentreprise et obligation de contrle des risques COSO II

Cartographie des risques informatiques

8 avril 2010

Elments gnriques sur les risques Tendance COSO II

Le cube COSO visualise la gestion du risque en trois dimensions : du point de vue des objectifs de lentreprise tel le contrle interne, les composantes de la gestion du risque lchelle de lentreprise et lorganisation de lentreprise.

Cartographie des risques informatiques

8 avril 2010

Tendance ISO 2700x

Cartographie des risques informatiques

8 avril 2010

Le risque informatique est-il spcifique ?

Dans Risk IT (ISACA) :
Le risque informatique peut tre dsign comme le risque mtier associ lutilisation, la possession, lexploitation, limplication, linfluence et ladoption de linformatique dans une organisation.

Exemples et Lien risques mtiers

Interruption des activits dune entreprise en raison dune indisponibilit du SI :
panne dun composant du rseau (par exemple un routeur) incendie de la salle machine intrusion dun pirate et destruction des bases de donnes plan de secours nayant pas suivi les volutions rcentes des systmes
Cartographie des risques informatiques 8 avril 2010

Le risque informatique est-il spcifique ?

Exemples et Lien risques mtiers
Fraude sur les systmes de paiement :
accs inappropri aux donnes : possibilit dintervention directe sur les fichiers dinterface, sans supervision absence de contrles au sein des processus achats : 3-way match principle anomalies de sparation des tches au sein de la communaut dutilisateurs : le demandeur nest pas lacheteur pas doutil de dtection danomalies en place sur les donnes : modification des donnes fournisseurs capacit des quipes informatiques intervenir sur le code source des applications et mettre en production sans point de contrle

Cartographie des risques informatiques

8 avril 2010

Construction dune cartographie des risques : quel modle proposer ?

Agenda

Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions

Cartographie des risques informatiques

8 avril 2010

Retours dexprience
Structure des retours dexprience selon la fiche tmoignage :
Contexte de la cartographie Objectif de la cartographie Acteurs concerns Dmarches Reprsentations

Cartographie des risques informatiques

8 avril 2010

Retours dexprience - Contexte de la cartographie

Une rponse la monte des exigences rglementaires concernant les risques Dmarche de scurisation des actifs SI Volont de la Direction Gnrale Structuration des dmarches de gestion des risques et de contrle interne Management oprationnel par les risques

Cartographie des risques informatiques

8 avril 2010

Cartographie des risques Etat de lart

4 types de cartographies identifis cartographie des risques Groupe
pour dcision et action de gestion du responsable du risque pour suivre la matrise des principaux risques de lentreprise

cartographie des risques pour construction du plan daudit

pour identifier lexposition au risque et dfinir le plan daudit

cartographie des risques Scurit de linformation

pour protger au plus efficient les actifs du SI au regard des menaces quils encourent

cartographie des risques propres la Fonction SI

pour piloter les processus, la fonction SI, et la russite des projets

Cartographie des risques informatiques

8 avril 2010

Retours dexprience - Acteurs concerns

Ce sont toujours les mmes, mais plus ou moins impliqus selon les contextes : La fonction SI La filire Scurit LAudit Interne Les Mtiers La Gestion des Risques Le Contrle interne La Direction Gnrale

Cartographie des risques informatiques

8 avril 2010

Retours dexprience - Dmarche (1/3)

Les dmarches sont souvent structures et formalises, Plusieurs dmarches peuvent co-exister au sein dune organisation, mais elles restent gnralement indpendantes, Diffrents impacts lis aux risques SI sont traits : oprationnels, financiers, rglementaires, Des approches Top-Down (pour la DG, pour le rglementaire) ou Bottom-Up (pour la scurit, le pilotage SI),
Cartographie des risques informatiques 8 avril 2010

Retours dexprience - Dmarche (2/3)

Des inputs de plus en plus nombreux
Menaces, incidents, rsultats daudits internes et externes, dires dexperts, statistiques

Lvaluation de limpact financier est rare, Les risques bruts (ou inhrents) et les risques nets (ou rsiduels) sont gnralement pris en compte, Mthodes et rfrentiels : on retrouve les standards du contrle interne SI et de la scurit
Cobit, COSO, ISO 27xxx,

Mais galement des mthodes internes,

Cartographie des risques informatiques

8 avril 2010

Retours dexprience - Dmarche (3/3)

Un outillage divers, plus ou moins sophistiqu
Questionnaires, tableurs, listes de risques, progiciel de gestion des risques

La charge de travail initiale dpend du primtre de lanalyse, mais elle est gnralement consquente
par exemple, 20-25 jours par branche pour une cartographie Direction Gnrale

La frquence de mise jour est souvent annuelle pour les cartographies Groupe et Audit interne et peut-tre trimestrielle pour les cartographies oprationnelles

Cartographie des risques informatiques

8 avril 2010

Retours dexprience - diffrentes reprsentations (1/4)

Par exemple : Schma gnrique Schma Contrle Interne

Probabilit Probabilit doccurrence de la menace

rduction de l impact

Risques forts

Risques moyens rduction de la probabilit probabilit de la menace Risques faibles

Mesure de limpact

Cartographie des risques informatiques

8 avril 2010

Retours dexprience - diffrentes reprsentations (2/4)

Cartographie des risques SI
Probabilit d'occurrence
Frquente
Gestion non matrise des licences informatiques
1 2 7

Allocation des ressources non optimise 2 concernant des projets informatiques

5 3 4

Accs non autoris des donnes 3 confidentielles concernant les salaris Mauvaise gestion des habilitations suite aux mouvements de personnel Risque d'erreurs li es une mauvaise utilisation et connaissance du systme d'information
4 5

Occasionnelle

Risque li l'appauvrissement et la perte de connaissance des outils informatiques 6 Risque daccs linformation stratgique par des personnes internes/externes au 8 service et la socit
8

Erreurs gnres par les outils informatiques supportant la maintenance 9 des quipements

Risque d'accs illicite au systme / piratage de fichiers commerciaux

Rare
Obsolescence de vieilles applications

Perte de continuit de services informatiques

10

11

Impact potentiel sur les objectifs

Fort

Faible

Moyen

Cartographie des risques informatiques

8 avril 2010

Retours dexprience - Diffrentes reprsentations (3/4)

Reprsentation en rosace

Cartographie des risques informatiques

8 avril 2010

Retours dexprience - Diffrentes reprsentations (3/4)

Quantification

Actifs

31
Perte ou altration des preuves empchant toute investigation Dsaccord, sanction des autorits de tutelle ou sanction pnale Perte de certification Intrusion de personne

6 25 16 16 13 18 11 72 15 12

0 0 0 1 1 0 0 3 0 0

Menaces

Menaces physiques (Incendies, inondations, tremblements de terre) Dfaillance des prestations de tiers Interruption des activits mtiers Accs non autioris Abus de droits Reniement d'actions

Cartographie des risques informatiques

Ma tr iel tra Ma ns po tr rta iel ble fixe Su pp ort de Su sto pp cka ort ge sd dy es na toc Lo mi gic kag d'a qu e es dm iel d tati inis e s qu erv tra Ap e ice tio plic n o , de atio us nm Arc yst main m ten hit tie ect e d anc r ure 'ex e L'o plo , se rga t ap itat nis ion plic me Ac atio SI tivi ns ts rs m So eau tier us x -tra s itan Pe t/F rso ou nn rni es sse Ce urs rtif ica /Ind tio us P n, I trie rim ma ls tr ge ep de Se hy ma rvi siq rqu ce ue et m ed Do e la oy nn en Ds es se i n / In ne for rgi ma ee tio tu ns tilit air es

6 0 0 0 0 1 1 0 1 0 0

16 20 1 0 0 0 0 1 0 2 0 1 0 0 0 1 1 0 0 2 0 0

29 1 0 0 0 0 0 0 6 1 2

41 44 16 30 0 0 1 0 0 4 3 12 3 2 0 1 0 0 0 1 0 6 0 0 0 4 4 0 0 3 0 0 2 0 0 1 4 0 0 4 6 7 2 0

1 0 1 0 0 0 0 0 0 0 0

30 31 37 0 5 0 2 1 0 0 3 1 2 3 6 6 0 0 1 0 1 2 2 0 0 0 10 8 0 0 11 0 0

0 151 0 0 0 0 0 0 0 0 0 0 1 7 1 2 1 3 2 18 4 3

8 avril 2010

Construction dune cartographie des risques : Quel modle proposer ?

Agenda

Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions

Cartographie des risques informatiques

8 avril 2010

ENSEIGNEMENTS (1/2)
Difficult de comprhension par les mtiers de certains critres de linformation, notamment Efficacit et Fiabilit Pas dvaluation scientifique Subjectivit dans lidentification et lvaluation des risques Htrognit et granularit des risques

Cartographie des risques informatiques

8 avril 2010

ENSEIGNEMENTS (2/2)
Consolidation difficile Niveaux de maturit ou de sensibilit diffrents Primtre de la dmarche Mobilisation des ressources Vocabulaire : pas de dfinition unique dune entreprise une autre et au sein dune mme entreprise : Menace, risque de scurit, risque mtier, risque oprationnel

Constat gnral : Il ny a pas de cartographie unique et il apparat que cela naurait pas forcment de sens.

Cartographie des risques informatiques

8 avril 2010

Construction dune cartographie des risques : Quel modle proposer ?

Agenda

Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions

Cartographie des risques informatiques

8 avril 2010

Conclusions (1/2)
Concilier diversit et cohrence densemble
Effectuer un travail amont de clarification du vocabulaire et des notions retenus Conserver les initiatives locales rpondant des besoins spcifiques de management oprationnel : scurit, audit interne, contrle interne, DSI, Mtiers Mais, mettre en place un pilotage global de la gestion des risques informatiques
vision globale des initiatives, maintien de la cohrence et pertinence, optimisation des moyens, matrise de la communication et du reporting en matire de risque

Cartographie des risques informatiques

8 avril 2010

Conclusions (2/2)
Concilier diversit et cohrence densemble
Etablir un rfrentiel des risques informatiques Choisir un outil afin de faciliter le partage et la consolidation des risques Avoir une vision intgre des dmarches connexes propres linformatique : Qualit, ITIL, Gouvernance, Scurit, Etablir la contribution de la gestion des risques informatiques la gestion globale des risques de lentreprise

Cartographie des risques informatiques

8 avril 2010

Annexe. Actualit des associations professionnelles

AMRAE : Association pour le management des risques et des assurances de lentreprise
Groupe de travail Cartographie des risques - ouvrage publi en 2007

AFAI : Association Franaise de lAudit Informatique

Baromtre - enqute qui tablit un tat des lieux de la gestion des risques informatiques dans les entreprises, leurs perceptions et les actions entreprises pour les maitriser Groupe de travail Cartographie des risques
Tmoignages et publication dun ouvrage mthodologique courant 2008

IFACI
Enqute Cahier de recherche Cartographie des risques publi en 2003

Cartographie des risques informatiques

8 avril 2010

Backup

Cartographie des risques informatiques

8 avril 2010

DROUL/MODE DE FONCTIONNEMENT
Guide de constitution de louvrage :
Introduction : lancer le sujet et notamment le positionner par rapport la cartographie globale des risques dune organisation Pourquoi la cartographie Justification Dfinition Mthode Quels acteurs ? Comment raliser la cartographie ? Quelle dmarche ? Quels outils mettre en uvre ? Mise jour et priodicit Tmoignages Fiche selon format ci-aprs Glossaire Bibliographie

Cartographie des risques informatiques

8 avril 2010

Le risque informatique est-il spcifique ?

Existe-t-il / Faut-il des catgories de risques informatiques
Recours des catgories facilite le travail sur les risques
guide pour le recensement communication sur les risques informatiques dans un cadre partag

exemple : catgorisation du modle Risk IT de lISACA

les risques portant sur la fourniture du service, lis la disponibilit et la performance des systmes au quotidien ; les risques portant sur la livraison des nouvelles solutions aux utilisateurs, et notamment les projets ; les risques portant sur les opportunits (et notamment les opportunits rates) de rendre plus efficaces les processus mtiers en sappuyant sur les volutions de la technologie.

Cartographie des risques informatiques

8 avril 2010

Conclusion
laborer une cartographie des risques informatiques est possible et les bnfices sont rels. Toutefois, quand des risques ont t exprims et partags au sein dune organisation, on ne peut plus ne rien faire. Lenjeu rel porte donc plus sur lutilisation de la cartographie que sur la cartographie elle-mme. Les risques sont dynamiques (surtout sur un sujet technologique) et la vision que lon en a doit ltre aussi. Cest donc tout un processus de gestion des risques informatiques qui doit donc tre mis en uvre.
Cartographie des risques informatiques 8 avril 2010