Jeudi 20 mars 2008

 

  • "Présentation de la solution de gestion de SMSI, gestion des risques, audit et contrôle interne des SI DPCIA" par Georges Ravet, DPCIA
    Le support de cette présentation est disponible ICI
  • "Présentation d'une application de la 27000 à la mesure opérationnelle de l'assurance sécurité" par Bertrand Marquet et Arnaud Ansiaux, Alcatel Lucent

Le support de cette présentation est disponible ICI

Présentation de la solution de gestion de SMSI, gestion des risques, audit et contrôle interne des SI « DPCIA » par Georges Ravet, DPCIA.

DPCIA = Dispositif Permanent de Contrôle Interne Automatisé

A pour objectif de :

  • permettre de gérer le Système de Management de l'entreprise (dont SMQ, SMSI, ...)
  • faciliter le travail collaboratif entre le RSSI, les opérationnels et les auditeurs.

Fonctionnement :

  • basé sur le principe PDCA+R (R = Report),
  • 2 modes possibles : ASP (https) ou interne,
  • référentiels pré intégrés : 27001, 17799, eBios, 27005

Illustration avec le référentiel 27001 :

  • en vis à vis du contenu du référentiel est fourni un pictogramme de conformité,
  • pour un chapitre de la norme, la note de conformité est une moyenne pondérée des niveaux (la pondération est définie par l'entreprise)
  • pour un point de contrôle est précisé
    • la collecte et la justification de l'information
    • l'évaluation est d'une action se fait par pas de 25 : 0 - non traité, 25 - planifiée, 50 - engagée, 75 - non conformité mineure, 100 - conforme.

Les rapports (paramétrables) sont sous forme WEB (destination interne) ou Word (destination externe)

Q : Est-il possible de configurer l'outil en accès consultation uniquement ?
R : Oui, il existe

  • une notion de délégation (visibilité uniquement sur les points de contrôles concernés)
  • plusieurs profils d'habilitation (administrateur, ...)

Q : Système d'alerte ?
R : Non inclus dans l'outil

Q : Date d'échéance sur les plans d'action ?
R : Des critères sont prédéfinis dans l'outil : 'ce jour', 'semaine prochaine', 'mois en cours', 'trimestriel',...

Q : Evolution des normes ? Historique de prise en compte ?
R : Lors de l'évolution des normes, le référentiel (pré-ntégré) doit être complété par l'administrateur (fait partie de son activité).

Q : Comment gère-t-on deux pays ?
R : Utilisation de la notion de sites : inteface adaptée au contenu. Le pilotage à l'international est prévu dans l'outil.

Q : Création d'un SOA ?
R : Oui en utilisant le référentiel 17799 pré intégré.

Q : Existence d'une version de démonstration ?
R : Non. Présentation chez le client (avec le contexte du client car importance du contenu). L'outil est simple mais sa mise en oeuvre nécessite un accompagnement.

Q : Intégration de nouveaux référentiels ?
R : Deux possibilités :

  • le client est autonome (après la formation initiale)
  • ou par l'éditeur.

Q : Coût ?
R : En ASP, au démarrage il faut prévoir 80 euros par mois et par utilisateur de l'outil. Ensuite, un forfait est proposé.

Q : Mode de distribution ?
R : Deux modes :

  • Vente directe par l'éditeur
  • ou par un cabinet (avec l'accompagnement à la mise en oeuvre)

Q : Existe t il des références pour un SMSI ?
R : as encore : logiciel commercialisé depuis septembre 2007. Toutefois, le principe a été validé depuis une dizaine d'années par les banques.

Présentation d'une application de la 27000 à la mesure opérationnelle de l'assurance sécurité, par Bertrand Marquet - Alcatel Lucent

L'application présentée est un prototype réalisé dans le cadre du projet de recherche européen : BUGYO (Building Security Assurance Infrastructures). Projet BUGYO

La méthodologie projet est basée sur 7 étapes :

    1- modéliser le service
    2- choisir les métriques
    3- mesurer
    4- agréer
    5- évaluer
    6- surveiller
    7- améliorer

L'approche est basée sur des normes / référentiels :

  • utilisation de l'approche intiale des critères communs
  • utilisation de la 27004 pour les métriques
  • utilisation de la 27005 pour la supervision
  • la mise en place des points de contrôle est faîte selon une approche PDCA (essentiellement sur les phases Check et Act).

Sur l'aspect métrique :

  • 2 façons de mesurer : boîte noire, boîte blanche (avec hiérarchie)
  • décomposition selon : disponibilité, conformité, vulnérabilité
  • taxonomie (5 niveaux d'assurances).

L'évaluation est basée sur l'impact business (et non lié à l'équipement uniquement).

L'outil est actuellement en 'incubation' chez Alcatel Lucent.
Recherche de alpha testeurs (opérateurs télécoms par exemple).

Q :Mesures automatiques ou manuelles ?
R :Dépend de la métrique définie. Exemple : si la méthode concerne le contrôle d'accès, géré par un tiers, la mesure est manuelle. L'objectif est néanmoins de faire de l'automatisme.

Q :Mesure OK : signification ?
R :OK est lié à l'agréagation des trois critères (disponibilité, conformité, vulnérabilité). Le détail du résultat est accessible.

Q :Finalité ?
R :Rassurer l'opérateur Telecom grâce à cette surveillance des dispositifs de sécurité.

Remarque :application originale de la norme sur les métriques pour modéliser les résultats d'un SIM sur les équipements telecoms.

Points divers

  • Club Paris
    • Prochaine date : jeudi 15 mai chez Unilog
    • Ordre du jour : présentation par ATOS Origin (en anglais) sur la certification 27001
  • Club Rennes
    • Le club est monté, annonce ppublique à venir
  • Club Lyon
    • Pas d'utilisateurs pour le moment.