Conseil en organisation,

1

C

Innovation,

Systèmes et Technologies de l’information

françois.charbonneau@altran.com

jean-pierre.radoux@altran.com

2

Applications

Infrastructure

Gouvernance – COBIT

Ressources Humaines –

VALIT

RIS

KIT

Management de Projets – PMI, OPM3

Applications

-C

MM

I

Infrastructure -

ITIL

Gestion des Risques,Sécurité, ConformitéISO-27002

Humaines –People CMM

DEVELOPPEMENT PRODUCTION

Qualité ISO-9001

COBIT – Control Objectives for Information and related Technology

CMMI – Capacity Maturity Model Integration

ITIL – Information Technology Infrastructure Library

ISMS - ISO27001 – Information Security Management System

Comment confronter ces 4 standards… alors que rien que le contexte d’un seul standard ressemble à …

3

… et que le contenu d’un seul standard est une collection de nombreux manuels : frameworks, guides, outils …

• Ne sont pas mutuellement exclusifs mais complémentaires

• Ont en commun l’approche structurée par processus et une formalisation revendiquée du QUOI (par opposition au COMMENT)

• Alors, il faut mettre du relief et de la spécialisation : COBIT est au plus haut niveau sans qui rien n’existe, ensuite

• COBIT détaille le contrôle

• CMMIDEV détaille l’acquisition ou le développement de produits

4

COBIT, CMMI, ITIL, ISO27001

• CMMIDEV détaille l’acquisition ou le développement de produits

• ITIL détaille la gestion et la fourniture de services

• ISO27001 détaille la sécurité

COBIT

Un framework 5

Pour auditer …

avec des niveaux de maturité

… l’aspect qualité, sécurité, financier

… une ressourcePour auditer …

Pour implémenter :

… un processus

…

VAL IT

Extension de COBIT vers une maîtrise plus complète de la Gouvernance de la VALEUR

6

Prise en compte de la Sécurité et des Risques dans COBIT-VALIT :

- Les critères de l’information (qualité, sécurité, finance) structurent le modèle- Des processus dédiés : PO9 Assess and manage IT risks, DS5 Ensure systems security, …- Dans les processus, des CO dédiés : PO7 Manage IT Human Resources – 4 Train : Security

awareness, …- Des contrôles génériques sur les processus et sur les données

RISK IT

Extension de COBIT vers une maîtrise plus complète des RISQUES de la Gouvernance

7

RG = Risk GouvernanceRG = Risk Gouvernance

RE = Risk Evaluation

RR = Risk Response

COBIT, VAL IT, RISK IT : une vision intégrée

La maturité globale de

l’organisation est en niveaux

Thèmes clé par niveau

Pratiques spécifiques

Pratiques génériques

CMMI DEV

9Un framework structuré en niveaux de maturité globaux et locaux

Maturité du comment

Le Quoi

CMMI pour auditer

�����

CMMI pour guider les améliorations

���� InitialJust do it

���� ReproductibleManagement de projet

���� DéfiniProcessus standard

���� ManagéManagement guidé par les mesures

���� En optimisation Amélioration continue

Amélioration des processus

Contrôle des processus

Objectifs Qualitatifs Objectifs Quantifiés

CMMI-Family

for Services

Extensions for :

Business Development

Human Management

Security System Engineering

BD-CMMPEOPLE-CMM

SSE-CMM

for Acquisition, Outsourcing,

Externalizationfor Product

Development

16 Processus-Clé communs à tous

La sécurité est vue comme des exigences à spécifier et une solution à testerLa qualité de la solution est assurée par la qualité des processus de sa créationL’analyse des risques est un processus à part entière

+eSCM-CL

eSCM-SP

ISMS - ISO27001

• Standard basé sur une approche structurée par processus.• Impose les principes nécessaires à la mise en œuvre d’un système de management

de la sécurité d’un système d’information

11

5Engagements

&Responsabilitésde la Direction

6Audit Interne

SMSI

4.2.1Plan

4.2.2Do

4.2.3Check

4.2.4Act

4.3Docs

de la Direction

7Revue dedirection

8Amelioration

ITILAlignement des services IT avec les exigences métie rs

Amélioration continue de la qualité des servicesLa sécurité • vue comme une assurance de délivrer de la valeur au

client• Assure que les avoirs du client ne seront pas exposés

à certains risques (lors de l’exploitation)

12

• Service Strategy• Financial Management• Service Portfolio Management• Demand Management

• Service Operations• Event Management• Incident Management• Problem Management• Access and Service Request Management• Demand Management

• Service Design• Service Level Management• Availability Management• Capacity Management• IT Service Continuity Management• Information Security Management• Supplier Management

• Service Transition• Change Management• Release and Deployement Management• Service Asset and Configuration Management• Knowledge Management

• Access and Service Request Management

• Continual Service Improvement• 7-Step Improvement Management• Service Reporting Management• Service Measurement Management

ITIL – une approche par le service

Un service est un moyen de délivrer de la valeur au client en facilitant l’obtention des résultats ciblés par le client sans lui transférer les coûts et les risques associés

13

Incubation Analyse Développement ProductionIncubation Analyse Développement Production

Incubation Analyse Développement ProductionGouvernance IT

•POURQUOI PROTEGER -Objectifs métiers

Analyse

•QUOI & COMMENT PROTEGER -spécifications

Développement

•PROTEGER – la solution

Production

•GERER –l’exploitation

Gouvernance d’Entreprise

Contributions des référentielsà la Sécurité

Contrôle : maintien & amélioration

Gouvernance Analyse Développement Production Contrôle

ISMS

COBIT / VAL-IT

CMMI

ITIL

Gouvernance IT et sécurité - Objectif

• Objectifs de la Gouvernance IT selon l’ISACA (CGEIT)• Définir les objectifs d’entreprise• Aligner l’IT sur la stratégie d’entreprise

15

La gouvernance des SI est de la responsabilité des dirigeants et du conseil d’administration, et elle est constituée des struct ures et processus de commandement et de fonctionnement qui conduisent l’ informatique de

l'entreprise à soutenir ses stratégies et ses objec tifs, et à lui permettre de les élargir

• Aligner l’IT sur la stratégie d’entreprise• Délivrer de la valeur• Gérer le risque• Gérer les ressources• Mesurer la performance

Analyse et sécurité – Objectif

• Concevoir les mesures de réduction, transfert ou contournement des risques • Technologies (architectures matérielles et immatérielles)• Activités (processus, procédures, standards,…)• Compétences (formations, sous-traitance)• Assurance & infogérance• Contrats (sous-traitance, DRH,…)

…

16

• …

Développement et sécurité – Objectif

• Mettre en œuvre la sécurité• Au niveau des processus

• Implémenter les mesures• Déploiement organisationnel : responsabilités, …• Plan de contrôle de l’efficacité

• Au niveau des produits à fabriquer ou à acquérirFormaliser les exigences spécifiques

17

• Formaliser les exigences spécifiques• Valider leur prise en compte réelle dans le produit

Production et sécurité – Objectif

• Assurer au quotidien que…• Les niveau de sécurité sont bien identifiés et bien gérés• L’entreprise fonctionne sans interruption notable due à un incident de sécurité

• Notamment lors des mises en production d’évolution ou de changement de système

• En veillant, le cas échéant, à la prise en compte correcte de la sécurité par les tierces parties (tant pour les services offerts que pour les livraisons de produits)

18

tierces parties (tant pour les services offerts que pour les livraisons de produits)• Les règles d’autorisation pour les personnes / les systèmes sont respectées• Les risques de dégradation des valeurs de l’entreprise sont minimisés• Les données et les équipements restent intègres

Contrôle - Objectif

19

• Superviser périodiquement la qualité et les performances des processus relatifs à la sécurité• Contrôler et Améliorer

• Obtenir la confiance en ces processus par des tierces parties fiables et indépendantes

SMSI - contribution à la gestion de la sécurité

• Gouvernance• Plan / Etablissement du SMSI: Définir la PSSI – Approche d’appréciation des

risques – Analyse et évaluation des risques – Traitement des risques – Objectifs de sécurité -> Déclaration d’applicabilité

• Analyse• Do / Mise en œuvre: Elaborer un plan de traitement du risque (actions à engager,

ressources, responsabilités, priorités) – Rédiger les procédures – Former

20

• Développement• Do / Mise en œuvre : Implémenter les mesures de sécurité – Gérer les

opérations du SMSI – Assigner les responsabilités – Définir une méthode d’évaluation de l’efficacité des mesures

• Production• Check / Surveillance et revue du SMSI: Vérification de routine pour permettre à la

direction de déterminer si les activités de sécurité mises en œuvre sont exécutées comme

prévu.

• Act / Mise à jour et amélioration du SMSI

SMSI - application

• Gouvernance• Demande le développement de la stratégie sécurité et la formalisation des objectifs

de sécurité, sans préciser comment faire• Audit et contrôle

• Analyse• Demande d’élaborer un plan de traitement du risque, sans préciser comment faire

-> ISO 27005• S’appuyer sur l’ISO-27002• Audit et contrôle

21

• Audit et contrôle

• Développement• Demande de spécifier les méthodes qui permettent d’implémenter les mesures de

protection

• Production• Focus particulier sur la documentation qui est obligatoire

• Documentation: PSSI, méthodes, ponts de contrôles,…• Enregistrements: preuves de la conformité aux exigences (attention à leur

gestion!)• Le standard propose des points de contrôles (Annexe A)

ITIL - contribution à la gestion de la sécurité

• Gouvernance - Service Strategy• Service IT-Service Métier. Assurance : Continuité – Disponibilité – Sécurité – Capacité• Gestion des risques

• Analyse - Service Design

• Conception des processus : Gestion de la sécurité de l’information (renvoi vers le SMSI) - Aligner la sécurité IT avec la sécurité « métier » – S’assurer que la sécurité de l’information est prise en compte dans tous les services – Clarifier les obligations et responsabilités relatives à la sécurité dans les SLA – Identifier les déclencheurs, interfaces, données d’entrée et de sortie (gestion des changements, des incidents, de

22

interfaces, données d’entrée et de sortie (gestion des changements, des incidents, de la capacité, des niveaux de services, …)

• Mais aussi un ensemble de bonnes pratiques relatives à l’expression des exigences, l’identification des données importantes, l’alignement entre le portefeuille d’applications et les services IT,…

• Développement - Service Transition

• Propose un guide permettant la transition vers l’exploitation de nouveaux services IT. Ces évolutions sont gérés par les changements qui induisent de nouveau processus, procédures, outils, organisation,…

• Production – Service Operation

• Insiste sur la séparation des pouvoirs entre l’exploitation et la gestion de la sécurité• Support, surveillance opérationnelle, sensibilisation/formation, documentation

ITIL - application

• Gouvernance – Service Strategy• Demande la réalisation d’une analyse des risques et la définition des mesures de

sécurité vues comme des moyens d’assurance au service de la stratégie• Développement de la structure du catalogue de service

• Analyse – Service Design• Approche basée sur le processus de gestion de la sécurité et le développement du

23

• Approche basée sur le processus de gestion de la sécurité et le développement du catalogue des services (niveaux de services)

• Développement – Service Transition• Mise en place par la gestion des avoirs (assets) • L’outil comme support au processus, pas comme objectif (!)

• Production – Service Operation• Le rôle clef de la gestion des changements• L’importance de la documentation

COBIT – contribution à la gestion de la sécurité

• Gouvernance• Lien avec les exigences métier et la valeur de l’en treprise – Structure les

activités informatiques selon un modèle de processus largement reconnu –Identifie les principales ressources informatiques à mobiliser – Définit les objectifs de contrôle à prendre en compte

• Analyse• Dans le domaine « Plan and Organize », voir le processus « Assess and Manage

IT Risks » en entier ainsi que de nombreux objectifs de contrôle dans les autres processus

24

processus

• Développement• Dans le domaine « Acquire and Implement », chaque processus contient des

objectifs de contrôle dédiés à la sécurité (« Risk analysis report », « Infrastructure Resource Protection and Availability », …)

• Production• Dans le domaine « Deliver and Support », voir le processus « Ensure Systems

Security » en entier (11 objectifs de contrôle dédiés à la sécurité y sont détaillés) ; voir aussi dans chaque processus, les objectifs de contrôle dédiés à la sécurité.

COBIT – application

• Gouvernance• Demande de prendre en compte la sécurité dès le plus haut niveau par des

processus dédiés ainsi que dans chaque processus par des objectifs de contrôle dédiés (COBIT est explicitement structuré par les aspects qualité, sécurité et financier).

• Analyse

25

• Analyse• Déclinaison de la sécurité au niveau stratégique ( « Plan and Organize » )

• Développement• Déclinaison de la sécurité au niveau des projets de développement ( « Acquire and

Implement » )

• Production• Déclinaison de la sécurité au niveau des services fournis ( « Deliver and Support » )

CMMI – contribution à la gestion de la sécurité

• Gouvernance• Intégrer les exigences de sécurité dans « OPD » (ce processus définit les autres)

• Analyse• Conception des processus : instancier les processus avec les exigences de

sécurité préalablement définies dans « OPD » (structure tous les processus• Démarrer « RSKM » (gestion des risques)

26

Locate risksbefore they

become problems

Evaluate, classify

Monitor risk indicatorsand mitigation actions

Correct deviationsfrom Plan

• Développement• Intégrer les exigences dans « RD » (ce processus développe la compréhension

commune des besoins) ainsi que dans tous les processus de fabrication, d’acquisition de produits, de tests et de validation

• Production• Pour la mise en production, un processus a pour objet de vérifier que le produit et

l’environnement matériel sont prêts, que les utilisateurs sont formés et que la période éventuelle de maintenance est enclenchée. Déployer et Contrôler. Bilan.

• Hormis si l’organisation décide de placer a maintenance sous-contrôle CMMI, pas d’autre contribution.

Evaluate, classifyand prioritize risks

Translate risk informationinto actions and implement them

CMMI - application

• Gouvernance• Ne guide pas une démarche sécurité. En revanche, étant donné une démarche

définie par ailleurs, CMMI donne les moyens pour la mettre aisément en œuvre.• Un processus (RSKM) est dédié à l’analyse des risques.

• Analyse• Les pratiques génériques (= la maturité du « comment » : RACI du processus,

formations, …) guident la construction et l’amélioration des pratiques de l’organisation, notamment la prise en compte des exigences de sécurité

27

l’organisation, notamment la prise en compte des exigences de sécurité • La gestion des risques est contrôlée dès le niveau 2 de maturité, mais sans

cadrage. Au niveau 3, un cadrage méthodologique précis est exigé

• Développement• Tous les cycles de vie sont couverts (Développement et Production en séquence

longue ou en entrelacements courts)

• Production• A décider si la maintenance est dans le périmètre CMMI ou non

Contrôle continu

• Proposé par tous les référentiels, c’est le principe structurant assurant l’efficacité pérenne de la démarche

• ITIL et SMSI s’appuient largement PDCA• CMMI veille à la maturité des mutations organisationnelles et technologiques • COBIT chapeaute SMSI et contrôle son usage

• Déclinaison de la sécurité au niveau des services fournis ( « Monitor and

28

• Déclinaison de la sécurité au niveau des services fournis ( « Monitor and Evaluate » )

• Savoir tirer profit du cycle complet de COBIT : la sécurité est un processus et non une des caractéristiques des systèmes

Difficultés génériques de mise en œuvre des référentiels

• Processus trop bureaucratiques – non respectés• Manque d’une compréhension claire des objectifs des

processus• Difficultés d’appropriation des processus par les équipes• Pas de mise en évidence des bénéfices, des réductions

29

• Pas de mise en évidence des bénéfices, des réductionsde coûts, de l’amélioration de la qualité

• Attentes irréalistes• Inadéquation des moyens et du planning aux objectifs• Résistance aux changements

Facteurs de succès de mise en œuvre des référentiel s

Eviter que de créer des coquilles vides. Leçons apprises :• Personnaliser• Sponsoriser• Prioriser à tous les niveaux• Approche projet• Mesurer

30

• Mesurer• Conduire le changement (impliquer, obtenir

compréhension mutuelle, traiter les attentes, admettre que cela prend du temps et que la démarche est continue)

• “QuickWIn”• Eviter l’approche “check list”• Aligner les référentiels sur leur cible de prédilection

31

Source ITSMF France

ECHANGES

32