|
|
|
|
Pascal Antonini
Associé
Ernst&Young |
| Pascal
Antonini "Les
droits d'accès aux applications sont trop permissifs"
Le responsable de l'activité sécurité des
systèmes d'information d'Ernst&Young a répondu aux questions des internautes autour
de la gestion des risques informatiques 10/04/2007 |
|
| |
Que
recouvre la notion de gestion des risques ? La notion de gestion
des risques informatiques recouvre plusieurs thématiques dont les principales
sont : les risques liés à la sécurité des informations, les risques liés aux processus
IT (activités de développement, d`exploitation, etc.) et les risques liés aux
applications informatiques elles-mêmes. Comment
s'y prendre pour mesurer le risque informatique ? La démarche
généralement adoptée consiste à lancer une analyse des risques informatiques.
Ce type d`analyse vise à mettre en évidence les besoins de sécurité et de contrôle
informatique des métiers ainsi que mesurer les dispositifs de contrôle mis en
oeuvre. Cette analyse permet d`identifier un plan d`actions de gestion des risques.
Comment
garantir la bonne mise en uvre des politiques de sécurité dans les entreprises
? L'atteinte d`un bon niveau de sécurité passe par la mise
en place d`un véritable processus sécurité au sein de l`entreprise. La norme ISO
27001 permet de certifier le SMSI (Système de Management de la Sécurité de l`Information)
qui comprend l`ensemble des processus à déployer pour assurer ce niveau de sécurité.
Quels sont les arguments à avancer pour
convaincre la direction générale de débloquer un budget suffisant
pour mettre en place une gestion effective des risques ? Il
est essentiel de sensibiliser le management aux problématiques de gestion des
risques et notamment informatiques. Ceci permet non seulement de garantir la bonne
implication de l`ensemble des collaborateurs mais également de débloquer des lignes
budgétaires adaptées. Les principaux arguments se trouvent dans les impacts
de vulnérabilités ou faiblesses du SI sur l'activité de l'entreprise. Il faut
réaliser une étude spécifique des différents métiers pour mettre en évidence les
arguments les plus convaincants.
| | |
| | Il
est essentiel de sensibiliser le management à la gestion des
risques informatiques" | | D'autres
arguments plus génériques peuvent consister en l`importance de la malveillance
informatique externe et interne, l'activité virale ou les risques de fraude. Il
faut aussi considérer les réglementations selon les secteurs d'activité.
Parmi les lois de conformité, quelles sont celles
qui sont les plus pertinentes ? Les principales lois / réglementations
qui s'imposent aujourd'hui aux décideurs informatiques en fonction de leur domaine
d`activité ou contexte de leur entreprise sont Sarbanes-Oxley, Loi de Sécurité
Financière, Bâle II pour les banques, réglementation CNIL. Chacune d`entre
elles adresse des thématiques spécifiques et convergent toutes vers le renforcement
des dispositifs de sécurité et de contrôle. En ce sens, elles ont nécessairement
un aspect bénéfique pour les entreprises. La
réglementation européenne contraint les banques à accroître
la mise en conformité de leur SI : faut-il l'élargir aux autres
entreprises françaises ? Je comprends la question comme: le
CRBF 9702 est une réglementation obligatoire pour les banques qui ont notamment
dû lancer les chantiers pour s`y conformer. Doit-on contraindre les autres secteurs
d`activité à ce type de contraintes ? Il est certain que l'existence
de réglementation permet aux entreprises qui y sont soumises de progresser significativement
dans les domaines de la gestion des risques et de la sécurité. En cela, ce type
d`obligation est vertueux. Il convient de noter que la dimension systémique des
domaines bancaire et financier impose de réglementer le secteur. Les
autres secteurs n`ont pas tous cette particularité mais le renforcement de l'environnement
réglementaire pourrait également permettre d`avancer. Néanmoins, il est important
de noter que la seule réponse à une réglementation n`est pas toujours suffisante
pour traiter ses propres risques. Qu'est-ce
qui différencie la gestion des risques pour une petite entreprise ou un une grande
? Les menaces seront différentes selon la taille de l`entreprise.
De même, les moyens mis en oeuvre pour gérer les risques seront différents. Par
exemple, s'agissant des menaces, une grande entreprise connue pourra être plus
facilement ciblée par des attaques de hackers mais aura à priori mis en oeuvre
des moyens plus sophistiqués et plus complets qu'une petite entreprise.
| | |
| | Une
stratégie de gestion des risques englobe la sécurité,
le plan de continuité et le contrôle interne des processus" |
| La gestion des risques
présente-t-elle un intérêt pour les entreprises de moins de 50 salariés ?
La gestion des risques présente un intérêt quelle que soit la taille de l`entreprise.
Les risques traités seront adaptés aux enjeux de l`entreprise. Mesurer
les risques informatiques : est-ce avant tout une question de méthode plutôt que
de solutions techniques ? A mon sens, il s'agit essentiellement
d`une question de méthode et d`implication des différents acteurs. Les solutions
techniques viennent en appui des démarches mises en place. En
général, les sociétés réagissent lors de crises. Comment anticiper les besoins
pour se protéger ? Il est effectivement important de se préparer
à faire face à des événements imprévus qui pourraient toucher le SI. Pour ce faire,
il convient d`élaborer une stratégie de gestion des risques informatiques englobant
les notions de sécurité, de continuité d'activité et de contrôle interne des processus
IT et des applications. Un audit des droits
d'accès aux applications est-il un pré-requis pour bien maîtriser les risques
informatiques ? On constate fréquemment que les droits d'accès
aux applications sont trop permissifs. Dans ces conditions, il est effectivement
difficile de disposer d'un bon niveau de maîtrise des risques informatiques.
En effet, les utilisateurs peuvent aisément accéder à des fonctions sensibles
(gestion de flux financiers par exemple) dont ils n'ont pas nécessairement besoin.
Ce sujet des droits d'accès a souvent fait l'objet de points de déficience pour
les entreprises soumises à Sarbanes-Oxley. Une
fois la direction sensibilisée, c`est au tour des utilisateurs. Des méthodes connues
pour sensibiliser ces utilisateurs en douceur ? Dans le domaine
de la sensibilisation des utilisateurs, il existe de nombreux vecteurs couramment
utilisés. On peut citer l'élaboration de plaquettes d'informations, des "goodies"
(stress ball, tapis de souris, des économiseurs d`écran...) rappelant les
règles essentielles, des rubriques sur l`intranet, des quizz permettant de gagner
des lots, des films pédagogiques présentant des réalisations de risques vol de
données sur un portable dans un hôtel, envoi de cartes de voeux...
| | |
| | ll
est illusoire de penser que le RSSI va pouvoir contrôler à tout instant chaque
paramètre de sécurité" | | Quelle
méthodologie appliquer pour qu`un RSSI puisse s`assurer d`avoir toutes les informations
nécessaires pour garantir que le système d`information soit sécurisé ?
Il est illusoire de penser que le RSSI va pouvoir contrôler à tout instant chaque
paramètre de sécurité du SI. Le RSSI doit mettre en place des processus qui vont
lui permettre de s'assurer que les paramètres et les contrôles clés sont bien
configurés. Pour vérifier tout cela, il peut constituer des tableaux
de bord, qui vont lui permettre de visualiser les informations essentielles garantissant
le bon fonctionnement de son système de management de la sécurité. En
quoi consiste votre activité de responsable de l'activité SI chez Ernst&Young
? Nous réalisons des missions de sécurité des systèmes d`informations
pour nos clients. A ce titre, je supervise une équipe qui réalise des missions
d'audits de sécurité et de tests d'intrusion, de définition de stratégie, de politique
et d`organisation de la sécurité, d'assistance au déploiement de projets et d'architecture
de sécurité, de continuité d`activité et de plans de reprise de l`activité.
Comment avez-vous été amené à devenir vice-président
de l'AFAI ? En tant qu'acteur important dans le domaine de
la sécurité des SI, le bureau de l'AFAI m`a confié le pôle sécurité des SI.
| |
Propos recueillis par Dominique
FILIPPONE, JDN Solutions | |
PARCOURS | |
|
|
Pascal Antonini est responsable de l'activité Sécurité des Systèmes d'Information
pour la France et l'Europe du Sud au sein du cabinet Ernst&Young depuis 1994
de 1989 à 1994 : auditeur informatique au sein de l'Inspection Générale
de la succursale française de BarclaysFrance de 1987 à 1989
: développement informatique dans la SSII SG2 (filiale de la Société Générale)
Pascal Antonini est également titulaire d'un diplôme d'ingénieur
et est vice-président de l'Association Française de l'Audit et du
conseil informatique (AFAI) | |
|
| | |
|