L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06) Dominick Boutet (S3i conseil)

1. Conférence
L'évolution des bonnes pratiques de sécurité de
l'information et de gestion des services TI
ITIL®2011 / ISO/CEI 20000 - COBIT®5
Volet gouvernance
ITIL® :2011 - ISO/CEI 20000

2. Au menu
• Objectifs:
 Démontrer que l’évolution des besoins d’affaires affectent directement
les TI et les bonnes pratiques en la matière;
 Aborder le lien étroit entre les TI et la sécurité de l’information soutenant
les besoins d’affaires;
 Annoncer les nouvelles éditions parues au regard des bonnes pratiques
(ITIL: 2011, ISO/CEI 20000 : 2011, ISO/CEI 27013: 2012 lesquelles font
l’objet de cette présentation;
 Démontrer que ces bonnes pratiques et normes concourent a une
gouvernance des TI
• Table des matières
 Les TI et la sécurité de l’information dans les affaires
 Tendances et prévisions 2013 en technologies de l’information
 L’implantation de la gestion des services
 Les bonnes pratiques et normes en matière de gestion des services et
de sécurité de l’information
 En conclusion

3. LES TECHNOLOGIES DE
L’INFORMATION ET LA SÉCURITÉ
JOUENT UN RÔLE TOUJOURS CROISSANT
EN SOUTIEN AUX AFFAIRES

4. Évolution des TI
• Années 80 apparaissent les ordinateurs personnels
• Années 90 l’ère des communications
• Années 2000 les TI deviennent omniprésentes chez l’individu et dans les
organisations
• En 2013…
 Les TI deviennent des services d’information
 Les TI doivent démontrer la valeur qu’elles apportent aux affaires à travers les services
qu’elles fournissent.
 Les organisations TI s’organisent en unités opérationnelles et stratégiques
 Les directeurs TI deviennent des directeurs de l’innovation.
 Avec l’émergence du BYOD (bring you own device) et du SYOD (support your own device),
les centres de services vont avoir tendance à disparaitre en fusionnant avec NOC (Network
operation center)
 Les technophiles/spécialistes TI plébiscitent les portails d’auto-assistance (self-help portal)
Chaque évolution combinant l’effet subséquent….
Sources : Cefrio : L’innovation et les technologies de l’information et des communications 2011
Gartner, Pink elephant, Forrester

5. LES GRANDES TENDANCES ET
PRÉVISIONS 2013
DES TECHNOLOGIES DE L’INFORMATION

6. La bataille des mobiles

7. développement de la mobilité et entreprise

8. Le Cloud…

9. Le « big data » stratégique

10. L’ENVERS DE LA MÉDAILLE…

11. L’augmentation des risques
• Les statistiques sont ahurissantes
 En 2012, Symantec, a bloqué un total de 5,5 milliards d’attaques de
malware : une augmentation de 80% par rapport à 2010;
 Augmentation de 35% dans les attaques liées aux sites web et 41%
d’augmentation de nouveaux types de malware;
 Vulnérabilité « 0-day »: une faille de sécurité dans une application (java
Internet Explorer) inconnue du publique;
 42% des messageries ciblées par des attaques appartiennent à des
dirigeants d’entreprise ou des collaborateurs clefs;
 La moitiés des attaques en 2011 ciblaient les petites et moyennes
entreprises;
 La vulnérabilité liée aux OS des mobiles à doublé depuis 2010.
Source: http://www.networkworld.com/research/2013/010313-how-to-talk-security-so-265464.htm

12. L’augmentation des coûts
• Augmentation des coûts liés à la gestion
des problèmes de sécurité
 Selon une étude réalisée par l'Institut Ponemon auprès d’organismes
américains privés et publics, les coûts informatiques liés aux
cyberattaques au cours de la dernière année se chiffraient à 8,9
millions de dollars en moyenne par entreprise.
 Facteurs externes des coûts:
 l'interruption de l'activité commerciale, le vol et la destruction
d'informations, la perte de revenus, les dommages matériels.
 Facteurs internes des coûts:
 les outils de détection, l'investigation, le confinement, la
restauration et les efforts subséquents pour parer les attaques
futures.
http://www.lemondeinformatique.fr/actualites/lire-8-9-millions-de-dollars-par-entreprise-pour-reparer-les-degats-lies-aux-cyberattaques-50751.html

13. 2013 priorité #1 - La sécurité des TI
Source : http://www.informationweek.com/global-cio/interviews/6-ways-it-still-fails-the-business/

14. AUJOURD’HUI, LE DÉFI RÉSIDE
DANS LA DÉFINITION ET
L’IMPLANTATION DE LA GESTION
DES SERVICES
COMME UN ACTIF STRATÉGIQUE
POUR L’ORGANISATION

15. Qu’est ce qu’un service?
« La qualité dans un service
ou un produit n'est pas ce
que vous mettez à l’intérieur.
C'est ce que le ou les clients
tire de celui-ci »
Quality – Peter Drucker
Aboutissement d’une Moyen de fournir de
activité, d’un processus, la valeur à des clients
de la fourniture d’un en facilitant les
service informatique, etc. résultats désirés par
Le terme « résultat » fait ceux-ci sans qu’ils
autant référence aux aient la propriété des
résultats escomptés qu’à coûts ou des risques
des résultats réels spécifiques

16. Clients
(Service d’affaires)
Les services TI
Services rehaussés
Ajout à un service de base pour le
rendre plus attrayant
Services de base
Fournit les résultats essentiels attendus
par un ou plusieurs clients
Services de soutien
Requis afin de fournir un service de
base. Peuvent être visibles ou non
des clients

17. La sécurité des technologies de
l’information
• L'intégrité : Les données doivent être celles que l'on s'attend à ce qu'elles soient, et
ne doivent pas être altérées de façon fortuite ou volontaire.
• La confidentialité : Seules les personnes autorisées ont accès aux informations qui
leur sont destinées. Tout accès indésirable doit être empêché.
• La disponibilité : Le système doit fonctionner sans faille durant les plages
d'utilisation prévues, garantir l'accès aux services et ressources installées avec le
temps de réponse attendu.
• La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les
opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne
doit pouvoir s'attribuer les actions d'un autre utilisateur.
• L'authentification : L'identification des utilisateurs est fondamentale pour gérer les
accès aux espaces de travail pertinents et maintenir la confiance dans les relations
d'échange
la sécurité des technologies de l'information (TI) renferme des
« mesures de protection » de la confidentialité, de l'intégrité, la
disponibilité, l'utilisation recherchée et la valeur de l'information
entreposée, traitée ou transmise électroniquement.

18. Qu’est-ce que la gestion de services TI
Stratégie
Outils Politiques
C’est un ensemble
d’aptitudes
organisationnelles
spécialisée, mises
en commun et
destinées à fournir
de la valeur aux
clients sous forme
de service
Personnes Objectifs
Processus

19. AUTANT D’ÉLÉMENTS À PRENDRE
EN COMPTE DANS LE CYCLE DE VIE
DES SERVICES
DEPUIS LA DÉFINITION DES SERVICES JUSQU’À
L’EXPLOITATION DES SERVICES

20. Bonnes pratiques et normes en matière
de gestion des services
Gouvernance
d’entreprise
Normes
Gouvernance des TI
Gestion de la sécurité de l’information  ISO/CEI 27001
Gestion intégrée TI + sécurité information
Cadre de bonnes pratiques ISO/CEI 27013
 ITIL®  ISO/CEI 20000
Fournisseur
(sous-traitant)
Gestion des services

21. ITIL® en résumé
• ITIL est un recueil de volumes traitant des meilleures pratiques
sur la gestion des services de T.I.
 Indépendant
 Non prescriptif
 Met à contribution une communauté internationale d’experts de la
gestion des services de T.I.
• Principaux événements:
1ere 2e 3e Nouvelle Prochaine
publication publication publication édition édition
Fin des
années 80 2001 2007 2011 2011
Cycle de vie des services
Stratégie des services
Relations d’affaires
Évolution des T.I.

22. Structure du cycle de vie des services selon ITIL®:2011

23. Stratégie des services selon ITIL®
• ITIL® aidera à établir un encadrement autour d’une autorité et
établissant comment prendre les décisions, de structures et de
processus organisationnels, mettant l'accent et priorisant les efforts
et investissement en se basant sur les stratégies et objectifs de
l'organisation d’affaires.
• La stratégie des services vise principalement à définir:
 Qui sont les clients des services TI
 Quels sont leur besoins et exigences (SLR)
 Quelle est la valeur attendue des services en soutien aux besoins
d’affaires
 Quels sont les sont les actifs disponibles et la capacité pour soutenir la
livraison des services (ressources et aptitudes)
 Quels sont les risques
 Quels sont les moyens financiers
Tous ces éléments s’inscrivent dans une gouvernance TI

24. Quelques avantages d’ITIL®
• Augmentation de la fiabilité et de la qualité des service TI
en soutien aux services d’affaires
• Des attentes claires entre l’organisation d’affaires et les TI
• Une meilleure intégration, adéquation des niveaux de services en fonction
des besoins et des risques d’affaires (disponibilité, capacité, continuité et
sécurité)
• Une réponse plus rapide aux besoins d’affaires toujours croissants
• Un meilleur positionnement de l’offre de service TI
• Des responsabilités et autorités définies et attribuées
• Des processus cohérents, répétables et mesurables
• Des informations de gestion disponibles facilitant l’amélioration et les
décisions
• Un contrôle des dépenses et des coûts liés au changements et
améliorations aux services

25. Qu’est-ce que l’ISO/CEI 20000 ?

26. Parties et évolution de l’ISO/CEI 20000
• 20000-1: 2011 Service management systems
requirements
Partie 1 • 20000-2: 2012 Guidance on implementation of
service management systems
• 20000-3 :2009 Scope definition and
applicability of ISO/IEC 20000-1
Partie 2 • 20000-4 : 2010 Process reference model
• 20000-5 : 2010 Exemplar implementation plan
for ISO/IEC 20000-1
• 20000-6 : à définir
Partie 3,4,5,…11
• 20000-7 : Guidance on the application of
ISO/IEC 20000-1 to the cloud
• 20000-9 : à définir
Cadres de reference ITIL®, MOF,
COBIT®, CMMI-SCV®, eTOM®, • 20000-10 : Concepts and terminology
eSCM®
• 20000-11 : Guidance on the relationship
between ISO/IEC 20000-1 and related
frameworks
Cadre de gestion interne
Légende
• Actuelle
Page  26
• En cours d’édition

27. Quelques avantages de
l’ISO/CEI 20000
• Alignement des services de technologie de l'information et de la stratégie
d'affaires;
• Création d'un cadre formel pour les projets actuels d'amélioration des
services
• Fournit une comparaison de type « benchmark » avec les meilleures
pratiques
• Crée un avantage concurrentiel via la promotion de services
• Réduction du risque et donc le coût en termes de réception de services
externes
• Grâce à la création d'une approche standard uniforme, aide aux
changements organisationnels majeurs
• Contribue à l’amélioration de la perception des services rendus
• Amélioration des relations entre les différents départements grâce à une
meilleure définition et clarté des responsabilité et de la portée de chacun
• Offre un cadre stable pour la formation des ressources

28. Qu’est ce que l’ISO/CEI 27000 ?
Termonologie
27000
Vue d’ensemble et vocabulaire
Fournit des informations générales, termes et définitions applicables à la famille de normes SGSI
Exigences
générales
27006
27001
Exigences pour les organismes procédant
Exigences
la l’audit et la certification du SGSI
27002 27007 Dans un monde interconnecté,
Code de bonne pratique Guide d’audit du SGSI
l'information et les processus liés,
Guides (orientations)
les systèmes et réseaux sont des
Généraux
27005 atouts essentiels pour les
27003 Gestion des risques
Lignes directrices pour
organisations, un système de
la mise en œuvre du SGSI gestion de l'information de sécurité
27004
est essentiel.
Mesurage
Domaines spécifiques
Guides (orientations)
27011
Organisations domaine des
télécommunications
Normes Guides
27799 Légende: (exigences de informatifs Flèches:
Organisation domaine la norme) (normes) soutien
de la santé
Page  28

29. Parties et évolution de la série 27000
• ISO/IEC WD 27001 - Requirements  ISO/IEC FCD 27033-2 - Network security - Part 2: Guidelines for the
design and implementation of network security
• ISO/IEC NP 27002 - Code of practice for
information security management  ISO/IEC FDIS 27033-3 - Network security - Part 3: Reference
• ISO/IEC FCD 27005 - Information security risk networking scenarios - Threats, design techniques and control issues
management  ISO/IEC WD 27033-4 - Network security - Part 4: Securing
• ISO/IEC CD 27007 - Guidelines for information communications between networks using security gateways -- Risks,
security management systems auditing design techniques and control issues
• ISO/IEC PDTR 27008 - Guidance for auditors on  ISO/IEC NP 27033-5 - Network security - Part 5: Securing virtual private
ISMS control networks - Risks, design techniques and control issues
• ISO/IEC WD 27010 - sector and inter-  ISO/IEC NP 27033-6 - Network security - Part 6: Wireless
organizational communications
 ISO/IEC NP 27033-7 - Network security - Part 7: Wireless
• ISO/IEC WD 27013 - Guidance on the integrated
implementation of ISO/IEC 20000-1 and ISO/IEC  ISO/IEC FCD 27034-1 - Application security - Part 1: Overview and
27001 concepts
• ISO/IEC WD 27014 - Proposal on an Information  ISO/IEC WD 27034-2 - Application security - Part 2: Organization
security governance (ISG) framework normative framework
• ISO/IEC WD 27015 - Proposal on an Information  ISO/IEC NP 27034-3 - Application security - Part 3: Application security
security management guidelines for financial and management process
insurance services
 ISO/IEC NP 27034 - Application security - Part 4: Application security
• ISO/IEC FDIS 27031 - Guidelines for information validation
and communication technology readiness for
business continuity  ISO/IEC NP 27034-5 - Application security - Part 5: Protocols and
application security controls data structure
• ISO/IEC CD 27032 - Guidelines for cyber security
 ISO/IEC FCD 27035 - Information security incident management
 ISO/IEC NP 27036 - Guidelines for security of outsourcing
 ISO/IEC WD 27037 - Guidelines for identification, collection and/or
acquisition and preservation of digital evidence
 ISO/IEC NP 27038 - Specification for Digital Redaction
Page  29

30. Qu’est-ce que l’ISO/CEI 27013 ?
• Cette Norme internationale a été publiée en octobre 2012
• Vise à fournir des orientations pour une mise en œuvre intégrée de la
norme ISO/CEI 27001 et ISO/CEI 20000-1 pour les organisations qui ont
l'intention de soit:
 Mettre en œuvre l'ISO/CEI 27001 lorsque la norme ISO/CEI 20000-1 est déjà
adoptée, ou vice versa
 Mettre en œuvre l'ISO/CEI 27001 et ISO/CEI 20000-1 ensemble
 Aligner l’implantation d’un système de gestion lorsqu’un système de gestion
ISO/CEI 27001 ou ISO/CEI 20000-1 est déjà en place
La relation entre la sécurité de l'information et la gestion des services est si proche
que de nombreuses organisations reconnaissent déjà les avantages de l'adoption de
deux ensembles de normes pour leur gestion de la qualité.
Tiré des travaux ISO-IECJTC1-SC27 27013

31. Cadre intégré de gestion de services TI
Basé sur les normes ISO/CEI 20000: 2011 et ISO/CEI 27013:2012 et le référentiel ITIL® édition 2011

32. Conclusion
La gouvernance des TI, la conformité aux
règlements, la reddition de comptes
améliorée ainsi que la vérification sont
devenues les pierres angulaires dans la
prestation de services informatiques aux
entreprises.
La notion de gestion des services IT (ITSM)
vise à aider les organisations à s'assurer
que les TI et les affaires sont mieux alignés,
et répond aux besoins de l'entreprise d'une
manière transparente, reproductible et
gérable, grâce à des processus et des
procédures.
Edward Carbutt, Directeur exécutif, Marval
SA Johannesburg, 20 Juillet 2010

33. Dominick Boutet
Conseillère séniore en gestion des services
ITIL® gestionnaire des services v2 - Expert v3
Consultant en gestion des services de T.I. - ISO/CEI 20000
TIPA® évaluateur maturité des processus ITIL®
Déléguée canadienne ISO/CEI JTC 1/SC 7/WG 25
s3i@s3iconseil.com
Site web : www.s3iconseil.net