Agile Montréal, profile picture
Téléchargé parAgile Montréal
1,531 vues

La gestion du risque et de la sécurité en mode Agile

Le document traite de l'intégration de la sécurité dans les projets utilisant la méthode agile, soulignant les défis liés à la rapidité du développement et aux exigences de sécurité. Il présente des stratégies pour adapter le niveau de sécurité en fonction des enjeux du projet, en intégrant des contrôles de sécurité dès le départ et en sensibilisant les équipes. La gestion des risques est également abordée, insistant sur l'importance d'évaluer les risques et de proposer des mesures pour les atténuer.

Intégrer la présentation

Téléchargé 35 fois
© 2019 CGI inc. Confidentiel© 2019 Le groupe CGI inc. Gestion du risque et de la sécurité dans les projets Réjean Rhéaume MBA, Adm.A., CISA, CRISC, CGEIT, CCIPA, CCVM, ISO 27001 LA Directeur-conseil – Expert Agile Tour, Montréal, 2019 © 2019 CGI inc.
© 2019 CGI inc. Confidentiel Une diapo pour se souvenir de tout… • Disponibilité • Intégrité • Confidentialité Sécurité « DIC » • Impact • Menace • Vulnérabilité « I*M*V » Risque Action • Détection • Protection • Réponse • Recouvrement « DPR2 » 2 Variantes RIPDICfan Fiabilité Authentification Non répudiation
© 2019 CGI inc. Confidentiel La sécurité en mode Agile… 3 Nous allons essayer quelque chose appelé programmation Agile. Cela signifie moins de planification et de documentation. Commencez juste à écrire du code et à vous plaindre. Je suis content qu'il ait un nom. C’était votre formation.
© 2019 CGI inc. Confidentiel La sécurité vs Agile? • « La méthode Agile est un prétexte pour aller vite et ne pas faire de la gestion de risque… » Est-ce vrai? • « Je suis un expert de sécurité et j’ai de la difficulté à vivre avec la méthode Agile. Cela me frustre. » • « Nous avons des manières de faire éprouvées et la méthode Agile est incompatible avec nos processus… » 4
© 2019 CGI inc. Confidentiel La sécurité vs Agile? • Comment arriver à certifier, avant la livraison finale au client, qu’un système est sécuritaire, qu’il rencontre toutes les exigences de sécurité alors que ce même système va être spécifié, construit, testé et mis en production par morceaux, par étapes ? • Est-ce un problème ou une opportunité pour notre approche de sécurité? • Faudrait-il revoir notre processus d’intégration habituel de la sécurité dans les projets pour le rendre plus vivable? 5
© 2019 CGI inc. Confidentiel Source: http://spiresecurity.com/?p=507 (traduction) Propriétaire Contre-mesure Vulnérabilité Risque ActifsMenace Agent de menace possède veut diminuer diminue impose peut être au courant réduit par amène qui implique qui implique qui accroit qui exploite veut abuser met en œuvre Vraisemblance généralement difficile à évaluer Le grand dessein de sécurité 6 • Expertise? • Motivation? • Opportunité? • Groupe?
© 2019 CGI inc. Confidentiel La sécurité dans les projets c’est quoi? 7 L’intégration de la sécurité dans les projets est une méthode pour réaliser les actions « sécurité » pour s’assurer que les risques soient atténués (ou acceptés) Concevoir ConstruireÉvaluer Maintenir Une analyse de risque formalise… Besoins d’affaires Solution TI Risques bruts à réduire Mesures de sécurité à mettre en œuvre Risques résiduels acceptés par les affaires PDCA
© 2019 CGI inc. Confidentiel La sécurité en « V » 8 Ca tient la route facilement, on suit le courant de la rivière. On se colle sur le cycle de projet et on fait la sécurité en même temps que le reste, on teste en même temps, on livre le tout en même temps. Besoins Conception Implantation Vérification MaintenanceProjet Analyse des besoins de sécurité + conformité Analyse de risque Mise en œuvre des solutions de sécurité Recette globale Gouvernance Audit de sécurité Séparation des tâches Choix des mesures Risques résiduels Sécurité
© 2019 CGI inc. Confidentiel La sécurité en mode Agile 9 Mais en mode Agile ça ne peut pas fonctionner comme ça... AGILE « V » Délai « idéal » de mise en œuvre d’une évolution Court Moyen ou long Stabilité des besoins Instable Stable
© 2019 CGI inc. Confidentiel La sécurité en mode Agile 10 Équipe Scrum Scrum Master Sprint Review MVP Minimal Viable Product Autres (PM, etc.) Rythme d’itérations élevé Absence de compétences sécurité lors des réunions Ils ne se sentent pas impliqués Peu sensibilisée aux bonnes pratiques de sécurité Le produit continue d’évoluer après la livraison Client Fonctionnalités peu connues au début du projet
© 2019 CGI inc. Confidentiel Le grand principe de la solution 11 Adaptez le niveau de sécurité aux enjeux du projet au niveau du MVPx, de façon itérative Le niveau de sécurité va monter progressivement, mais surtout commencer au bon niveau Réajustez les objectifs de sécurité à chaque itération
© 2019 CGI inc. Confidentiel Un exemple (très simple sinon simpliste…) 12 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification file:///Users/CGI/test/test.html Allo! Un « hacker » s'empare de la page? • Impact pour l'entreprise = nul (pour cette page là! Pas pour le reste…) • Système non en production • Sécurité minimum! MVP1
© 2019 CGI inc. Confidentiel Un exemple (très simple sinon simpliste…) • Dans le projet en « V », l'affichage de cette page n'aurait jamais pu se faire • Il aurait fallu que : • l'ensemble du système soit homologué • le système de sécurité complet des serveurs soit mis en place... • Même si cette solution sécuritaire porte sur 1% des fonctions développées… • 99% de fonctions sont encore non développées 13
© 2019 CGI inc. Confidentiel Un exemple (très simple sinon simpliste…) 14 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification MVP2 file:///Users/CGI/test/test.html Allo! https://cgitestexterne.com/test/test.html Allo! Identifiez-vous! Usager: xxxx Mot de passe: xxxx Un « hacker » s'empare de la page? • Impact pour l'entreprise = limité • Serveur externe non relié à nos systèmes en production Un nom d’usager / mot de passe est suffisant!
© 2019 CGI inc. Confidentiel file:///Users/CGI/test/test.html Allo! https://cgi.com/test.html Allo! Identifiez-vous! Usager: xxxx Mot de passe: xxxx Un exemple (très simple sinon simpliste…) 15 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification MVP3 Un « hacker » s'empare de la page? • Impact pour l'entreprise = fort • Serveur relié à nos systèmes en production Un nom d’usager / mot de passe et un 2FA sont nécessaires!
© 2019 CGI inc. Confidentiel ATTENTION! 16 Bâtissez sur vos fondations N’enlevez jamais une brique d’en dessous Faites des tests de régression Intégrez un spécialiste sécurité dès le début
© 2019 CGI inc. Confidentiel 17 En intégrant la sécurité dès le départ… Besoins en contrôle de sécurité MVP1 MVP2 MVP3 Produit final Départ Test 1 Test 2 Test 3 Évolution du projet Un plus grand effort est demandé à la sécurité pour diviser ses contrôles au début du projet
© 2019 CGI inc. Confidentiel Le coût de ne pas le faire tôt? 18 Effort Phases Habilité à influencer les coûts et la capacité fonctionnelle Coûts de changements Source: Patrick MacLeamy (HOK) Épargne potentielle
© 2019 CGI inc. Confidentiel Quelques pistes de solutions 19 • Sensibilisation de l’équipe Projet • Protection des documents Projet et des données de tests • Sécurisation de l’architecture de développement • Déploiement des outils de tests de sécurité • Revue d’architecture • Durcissement de la base • Sécurité de l’hébergement • Intégration de la sécurité dans les ateliers de conception (couvrant au minimum : données, flux, transactions, accès) • Test unitaire de sécurité / revue de code • Correction des codes • Sécuriser la mécanique du projet • Connaître les exigences de sécurité dès le départ • Déterminer la granularité des exigences • Pas de « Big Bang » • La solution de sécurité ne doit pas être disproportionnée vs le MPV 1 2 3
© 2019 CGI inc. Confidentiel Le gros avantage? 20 Vous faites un audit en continue Vous prouvez vos avancements au fil de l’eau…
© 2019 CGI inc. Confidentiel Et maintenant le risque… 21© 2019 CGI inc. Ça, c'est le numéro trente-six. Je ne comprends pas ces risques. Risque 1: Indécision Risque 2: Sur-analyse Risque 3: Ignorance Risque 4: Micro-gestion Risque 5: … Nous aurions besoin d'une analyse de risque sur ce projet avant de pouvoir l'approuver.
© 2019 CGI inc. Confidentiel Définitions… (officielles et « langage courant »…) 22 Le risque se définit comme la probabilité d'un événement et ses conséquences. La gestion des risques est l'utilisation de processus, méthodes et outils pour gérer ces risques. © 2019 CGI inc. Quelque chose de mauvais pourrait arriver… C’est paraître intelligent en prenant des chances
© 2019 CGI inc. Confidentiel Risque = Menace x VulnérabilitéImpact x( ) Risque 23 Un risque c’est…
© 2019 CGI inc. Confidentiel Probabilité, vraisemblance ou « likehood » Rapidité ou « velocity » Risque = Menace x Vulnérabilité ( )Contre-mesure* Contre-mesure* * Contre-mesure = « contrôles » « Valeur » de l’actif attaqué Initiation Succès Efficacité Prédisposition? Sévérité? Omniprésence? Facilité de découverte? Facilité d’exploitation? Connue? Détection de l’intrusion? Risque 24 Impact x Un risque c’est…
© 2019 CGI inc. Confidentiel Probabilité, vraisemblance ou « likehood » Risque = Menace x Vulnérabilité Rapidité ou « velocity » ( )Contre-mesure* Contre-mesure* * Contre-mesure = « contrôles » ?  Risque 25 Impact x Probabilité, vraisemblance ou « likehood » « Valeur » de l’actif attaqué Initiation Succès Efficacité Prédisposition? Sévérité? Omniprésence? Facilité de découverte? Facilité d’exploitation? Connue? Détection de l’intrusion? Un risque c’est…
© 2019 CGI inc. Confidentiel Risque = Impact x Probabilité Productivité Réponse Remplacement Amendes et jugements Avantage compétitif Réputation • Technique ou affaires? • Criticité (DIC) • Coût ou financière • Sensibilité • Embarras • Avantage compétitif • Légal-Règlementaire • Conformité Actif Perte Valeur Risque  26 Un risque c’est…
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 27© 2019 CGI inc.
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 30 • « Humain » • Préjugé • Attitude • Propension naturelle • Biais cognitif* © 2019 CGI inc. * Déviation systématique de la pensée logique et rationnelle par rapport à la réalité • Confiance • Manque d’imagination • Habitudes • Vie compliquée
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 29 1922Niels Bohr L’électron est là! 1) Le risque, c’est précis! (!) L’électron est quelque part par là! Chaque science « exacte » est basée sur des approximations Erwin Schrödinger1922 1933
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 30 2) Souvent, seul le « buffer » est pris en compte dans la solution Cumul des expositions au risque • Avec ce calcul nous finirons par avoir une belle courbe de distribution • Ce qui implique que: soyez assuré que le tiers de vos projets seront soit en retard soit sous- budgété Méthode de la chaîne critique (CCPM ou Critical Chain Project Management) • Le « buffer » est la différence entre le temps « au plus tôt » et le temps « au plus tard » • Le client voudra « au plus tôt », les ressources « au plus tard »… • On montrera au client « au plus tard » et aux les ressources « au plus tôt »… © 2019 CGI inc. Méthode PO4PP6 (« pocat-pépésix » via Planning Poker notamment) « Buffer » = Pessimiste – ((Optimiste + (4 x Probable) + Pessimiste) / 6) Méthode 15% On ajoute 15%
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 31 La prémisse que l’on a est que la valeur des ressources est la même avant le « buffer » qu’après (ou pendant)… C’est faux! “The calculation of buffer size considering activity schedule risk” N. Cui & J. Hao, Huazhong University, 2017 © 2019 CGI inc.
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 32 Analogie avec des travaux routiers • Pourquoi passons-nous devant des travaux routiers où rien ne semble se faire? • Nous attendons en file indienne pour pouvoir passer ces travaux et cela nous enrage… pourquoi? © 2019 CGI inc.
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 33 3) On préfère se dire que la gestion du risque c’est compliqué Il y a 93,75% de chances que la médiane d'une population se situe entre les valeurs les plus petites et les plus grandes dans un échantillon aléatoire de cinq personnes de cette population © 2019 CGI inc. Étant donné le maximum d'incertitude quant à une proportion de la population (telle que vous pensez que la proportion pourrait être comprise entre 0% et 100%, toutes les valeurs étant également vraisemblable), il y a 75% de chances qu'un seul échantillon choisi au hasard appartienne à la majorité de la population. www.hubbardresearch.com La règle du 5 La règle du simple échantillon
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 34 3) On préfère se dire que la gestion du risque c’est compliqué © 2019 CGI inc. www.hubbardresearch.com C’est la vérité mathématique qui contredit l'intuition L’incertitude d’une donnée annule souvent celle d’une autre Le paradoxe des anniversaires Dans un groupe de 25 personnes, il y a plus de 50% de chance que deux personnes aient leur anniversaire le même jour. Pour un groupe de 50 personnes, c’est 95% ! Pour un groupe de 57 personnes, c’est 99% !
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 35 Estimation de Fermi © 2019 CGI inc. Combien d’accordeurs de piano à Chicago ? Population de la région métropolitaine de Chicago 9 000 000 Nombre de foyer (2 personnes/foyer) 4 500 000 Nombre de piano (Un foyer sur 20 possède un piano) 225 000 Nombre d'accordage / an 1 Nombre d'accordage total 225 000 Heures de travail par jour par accordeur 8 Nombre de jours / semaine 5 Nombre de semaines travaillées par an 48 Nombre d'heures travaillées par an par accordeur 1 920 Temps requis (heure) pour l'accordage (incluant transport) 2 Nombre de piano accordé / an / accordeur 960 Nombre d'accordeur de piano total 234 Nombre réel d'accordeur (2009) 290 National Archives Identifier: 558578
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 36 Minimiser les pertes Maximiser les gains 1 10 * Petit sondage à faire… © 2019 CGI inc. Vous recevez 5 000$ tout de suite Pile: Vous recevez 20 000$ Face: Vous payez 10 000$ Même espérance de gain 4) Le votre profil de joueur dans les affaires
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 37 -60 -40 -20 0 20 40 60 80 100 Il faut réduire l’écart-type Factor Analysis of Information Risk (FAIR) modèle pour comprendre, analyser et quantifier les risques liés aux informations en termes financiers. 5) Le risque est trop large ISO31000 Brainstorming Entretiens Delphi Liste de contrôles Analyse préliminaire du danger HAZOP ICHIKAWA 5P/5M/5W Risques environnementaux SWIFT Scénarios Impact sur l’activité Causes profondes Modes de défaillance et leurs effets Arbre de panne Arbres d’événements Causes-conséquences Causes et effets LOPA Monte-Carlo Arbre de décision Fiabilité humaine Nœud papillon Maintenance basée sur la fiabilité Analyse transitoire Markov Réseaux de Bayes Courbes FN Indices de risque Matrice conséquence / probabilité Coût / bénéfice ADCM
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 38 Pensez à utiliser une méthode statistique de gestion de risque telle que la Simulation Monte Carlo* Elle est de plus en plus utilisée de nos jours malgré son âge… * Nicholas Metropolis 1947 © 2019 CGI inc. http://quantmleap.com/blog/2009/10/monte-carlo-simulation-for-dummies/
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 39 • Peu importe la complexité ou la singularité de votre problème de mesure, supposez qu’il a déjà été mesuré auparavant. • Si vous êtes débrouillard, vous pouvez probablement trouver plus de sources de données que vous ne le pensiez au début. • Vous avez probablement besoin de moins de données que votre intuition ne vous le dit. “How to measure anything in cybersecurity risk” D.W. Hubbard & R. Seiersen, Wiley, 2017 © 2019 CGI inc. “If you know almost nothing, almost anything will tell you something.”
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 6) On ne tient pas assez compte du risque intégré… Mettez-vous dans la peau du client, pouvez-vous répondre à ces questions? Puis… des premières questions à nous poser: • Dans quelle mesure le projet est-il en phase avec les préoccupations du client? • Qu'est-ce qui pourrait faire dérailler le projet que nous allons commencer? • Quel risque ai-je tendance à sous-estimer ? • Puis-je nommer trois risques que je veux éviter à tout prix? • Comment je m’assure qu'ils ne se réalisent pas? Puis-je l’expliquer? • Comment mon risque le plus préoccupant a-t’il évolué depuis un an? © 2019 CGI inc. ? 41
© 2019 CGI inc. Confidentiel Les avantages de la gestion du risque 41© 2019 CGI inc.
© 2019 CGI inc. Confidentiel Les avantages de la gestion du risque 1) Identifier les problèmes potentiels 2) Être proactif pour y remédier 3) Ne pas mettre son/sa supérieur (ou son client) dans l’ignorance 4) Vous gardez le contrôle 5) Vous suivez votre projet au fil de l’eau 6) Vous protégez vos arrières 7) Vous faites des choix rationnels 8) Vous protégez les objectifs du projet 42
© 2019 CGI inc. Confidentiel Quelques commentaires en terminant… 43 1) Avez-vous au moins une de vos méthodes de gestion de risque qui fonctionne? 2) Avez-vous quelqu'un dans votre organisation qui le saurait si la gestion du risque ne fonctionnait pas? 3) Si votre gestion du risque ne fonctionne pas, quelles en seraient les conséquences? Une faible gestion du risque est votre plus grand risque © 2019 CGI inc. www.hubbardresearch.com “How to measure anything in cybersecurity risk” D.W. Hubbard & R. Seiersen, Wiley, 2017
© 2019 CGI inc. Confidentiel Questions? 44© 2019 CGI inc. Comment pouvez-vous être sûr qu'il n'y a aucun risque imprévu avec ce plan? Il n'est pas possible de savoir si on a pris en compte tous les risques. Par conséquent, nous ne pouvons jamais être sûrs, Alors ... je peux toujours vous en vouloir pour tous les problèmes qui apparaissent? Oui, cette partie du processus est toujours intacte.
© 2019 CGI inc. Confidentiel Quelques références utiles http://www.PensezCybersecurite.gc.ca http://www.canada.ca/fr/secretariat-conseil-tresor/organisation/gestion-risque.html https://www.tresor.gouv.qc.ca/ressources-informationnelles/publications/ https://www.iso.org Voir la série ISO 27000, 27001, etc… pour la sécurité Voir la série ISO 31000 pour la gestion du risque 45
© 2019 CGI inc. Confidentiel 46 Merci!

Contenu connexe

PPTX
Sécurité des systèmes d'informations
parEmna Tfifha
 
PDF
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
PDF
Sensibilisation sur la cybersécurité
parOUSMANESoumailaYaye
 
PPTX
Gestion du risque dans un projet Agile
parBasile du Plessis
 
DOCX
Rapport PFE Développent d'une application bancaire mobile
parNader Somrani
 
PDF
Rapport de stage PFE - Mémoire master: Développement d'une application Android
parBadrElattaoui
 
PDF
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 
PPTX
Modèle en cascade
parGhodhbane Mohamed Amine
 
Sécurité des systèmes d'informations
parEmna Tfifha
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
Sensibilisation sur la cybersécurité
parOUSMANESoumailaYaye
 
Gestion du risque dans un projet Agile
parBasile du Plessis
 
Rapport PFE Développent d'une application bancaire mobile
parNader Somrani
 
Rapport de stage PFE - Mémoire master: Développement d'une application Android
parBadrElattaoui
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 
Modèle en cascade
parGhodhbane Mohamed Amine
 

Tendances

PDF
Rapport gestion de stock.pdf
parAchrafAntri2
 
PDF
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
PDF
Introduction: Intelligence Artificielle, Machine Learning et Deep Learning
parNcib Lotfi
 
PPTX
Resume rapport de projet E-commerce
parTonySARR1
 
PPTX
Présentation Projet de fin d'études
parSalah Eddine BENTALBA (+15K Connections)
 
PPT
Système d'Information (S.I.) dans l’entreprise
parCommunauté d'agglomération du Pays de Grasse
 
PDF
Gestion des risques
pareGov Innovation Center
 
PPTX
Audit de sécurité informatique
parMohamed Ali Hadhri
 
PDF
Introduction à Scrum
parGuillaume Bladier
 
PPTX
Présentation PFE
parIlef Ben Slima
 
PPSX
diagramme de séquence UML
parAmir Souissi
 
PPTX
c10-adopter-lapproche-agile-resume-theorique-6311e1a767ead.pptx
parSpartRaw
 
PDF
Tests & recette - Les fondamentaux
parCOMPETENSIS
 
PPTX
Diapo PFE
parbhar amenallah
 
PPT
Management des risques
parabdelghani Koura
 
PPTX
Identifier les risques
parCarine Pascal
 
DOCX
Modele rapport pfe esprit
parAmine Chahed
 
PDF
Architectures microservices
parRiadh MNASRI
 
PPT
cours de Gestion des risques - demarche
parRémi Bachelet
 
PPTX
Méthodes agiles
parMohammed Amine Mostefai
 
Rapport gestion de stock.pdf
parAchrafAntri2
 
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
Introduction: Intelligence Artificielle, Machine Learning et Deep Learning
parNcib Lotfi
 
Resume rapport de projet E-commerce
parTonySARR1
 
Présentation Projet de fin d'études
parSalah Eddine BENTALBA (+15K Connections)
 
Système d'Information (S.I.) dans l’entreprise
parCommunauté d'agglomération du Pays de Grasse
 
Gestion des risques
pareGov Innovation Center
 
Audit de sécurité informatique
parMohamed Ali Hadhri
 
Introduction à Scrum
parGuillaume Bladier
 
Présentation PFE
parIlef Ben Slima
 
diagramme de séquence UML
parAmir Souissi
 
c10-adopter-lapproche-agile-resume-theorique-6311e1a767ead.pptx
parSpartRaw
 
Tests & recette - Les fondamentaux
parCOMPETENSIS
 
Diapo PFE
parbhar amenallah
 
Management des risques
parabdelghani Koura
 
Identifier les risques
parCarine Pascal
 
Modele rapport pfe esprit
parAmine Chahed
 
Architectures microservices
parRiadh MNASRI
 
cours de Gestion des risques - demarche
parRémi Bachelet
 
Méthodes agiles
parMohammed Amine Mostefai
 

Similaire à La gestion du risque et de la sécurité en mode Agile

PPT
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
parPMI-Montréal
 
PDF
Sécurité des systèmes d'information
parFranck Franchin
 
PDF
Presentation iso27002
parsoumaila Doumbia
 
PDF
Bien intégrer la cyber-sécurité au développement de vos produits (Decathlon)
parAgile En Seine
 
PPTX
Extr4.0rdinaire cybersécurité : présentation des intervenants
parInfopole1
 
PPTX
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
parissatog9
 
PPT
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 
PPTX
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
PPT
securite-2014-fond-blanc ;concepts et .ppt
parNdiayeMohamadou1
 
PPT
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
PDF
Ichec entrepr ah 2015
parAlain Huet
 
PDF
AMAN - JNS4 Management sécurité 13 Mai 2014
parAbdeljalil AGNAOU
 
PDF
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
parSébastien Rabaud
 
PDF
Gerer_efficacement_risques_CarlGilbert_OIQ_20120503.pdf
parDorraLamouchi1
 
PPTX
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
parWalter Michael TACKA
 
PPTX
Un peu de sécurité dans ce monde de Kiwi
parLaurie-Anne Bourdain
 
PDF
siris1.pdf
parssuserdd27481
 
PPT
securite-2014-fond-blanc (1).ppt
parKhaledabdelilah1
 
PPT
securite-2014-fond-blanc mmmmmmmmmmmmmmm
parMohammedElJabli1
 
PDF
CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015
parprovadys
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
parPMI-Montréal
 
Sécurité des systèmes d'information
parFranck Franchin
 
Presentation iso27002
parsoumaila Doumbia
 
Bien intégrer la cyber-sécurité au développement de vos produits (Decathlon)
parAgile En Seine
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
parInfopole1
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
parissatog9
 
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
securite-2014-fond-blanc ;concepts et .ppt
parNdiayeMohamadou1
 
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
Ichec entrepr ah 2015
parAlain Huet
 
AMAN - JNS4 Management sécurité 13 Mai 2014
parAbdeljalil AGNAOU
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
parSébastien Rabaud
 
Gerer_efficacement_risques_CarlGilbert_OIQ_20120503.pdf
parDorraLamouchi1
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
parWalter Michael TACKA
 
Un peu de sécurité dans ce monde de Kiwi
parLaurie-Anne Bourdain
 
siris1.pdf
parssuserdd27481
 
securite-2014-fond-blanc (1).ppt
parKhaledabdelilah1
 
securite-2014-fond-blanc mmmmmmmmmmmmmmm
parMohammedElJabli1
 
CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015
parprovadys
 

Plus de Agile Montréal

PPTX
ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...
parAgile Montréal
 
PPTX
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
parAgile Montréal
 
PPTX
ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...
parAgile Montréal
 
PPTX
ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...
parAgile Montréal
 
PPTX
ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...
parAgile Montréal
 
PPTX
ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...
parAgile Montréal
 
PPTX
ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...
parAgile Montréal
 
PDF
ATMTL23 - Atelier PNL pour ameliorer la communication par Remi Roche
parAgile Montréal
 
PDF
ATMTL24 - Mad Skills et Agilité: les compétences du futur
parAgile Montréal
 
PDF
ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...
parAgile Montréal
 
PPTX
ATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander Dur
parAgile Montréal
 
PDF
ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...
parAgile Montréal
 
PPTX
ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...
parAgile Montréal
 
PDF
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
parAgile Montréal
 
PPTX
ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...
parAgile Montréal
 
PDF
ATMTL23 - Économie coopérative et agilité par Dominique Pothier
parAgile Montréal
 
PDF
ATMTL23 - La collaboration intergénérationnelle au travail par Apolline Tissier
parAgile Montréal
 
PDF
ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...
parAgile Montréal
 
PPTX
ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...
parAgile Montréal
 
PDF
ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...
parAgile Montréal
 
ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...
parAgile Montréal
 
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
parAgile Montréal
 
ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...
parAgile Montréal
 
ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...
parAgile Montréal
 
ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...
parAgile Montréal
 
ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...
parAgile Montréal
 
ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...
parAgile Montréal
 
ATMTL23 - Atelier PNL pour ameliorer la communication par Remi Roche
parAgile Montréal
 
ATMTL24 - Mad Skills et Agilité: les compétences du futur
parAgile Montréal
 
ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...
parAgile Montréal
 
ATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander Dur
parAgile Montréal
 
ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...
parAgile Montréal
 
ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...
parAgile Montréal
 
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
parAgile Montréal
 
ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...
parAgile Montréal
 
ATMTL23 - Économie coopérative et agilité par Dominique Pothier
parAgile Montréal
 
ATMTL23 - La collaboration intergénérationnelle au travail par Apolline Tissier
parAgile Montréal
 
ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...
parAgile Montréal
 
ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...
parAgile Montréal
 
ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...
parAgile Montréal
 

La gestion du risque et de la sécurité en mode Agile

  • 1.
    © 2019 CGIinc. Confidentiel© 2019 Le groupe CGI inc. Gestion du risque et de la sécurité dans les projets Réjean Rhéaume MBA, Adm.A., CISA, CRISC, CGEIT, CCIPA, CCVM, ISO 27001 LA Directeur-conseil – Expert Agile Tour, Montréal, 2019 © 2019 CGI inc.
  • 2.
    © 2019 CGIinc. Confidentiel Une diapo pour se souvenir de tout… • Disponibilité • Intégrité • Confidentialité Sécurité « DIC » • Impact • Menace • Vulnérabilité « I*M*V » Risque Action • Détection • Protection • Réponse • Recouvrement « DPR2 » 2 Variantes RIPDICfan Fiabilité Authentification Non répudiation
  • 3.
    © 2019 CGIinc. Confidentiel La sécurité en mode Agile… 3 Nous allons essayer quelque chose appelé programmation Agile. Cela signifie moins de planification et de documentation. Commencez juste à écrire du code et à vous plaindre. Je suis content qu'il ait un nom. C’était votre formation.
  • 4.
    © 2019 CGIinc. Confidentiel La sécurité vs Agile? • « La méthode Agile est un prétexte pour aller vite et ne pas faire de la gestion de risque… » Est-ce vrai? • « Je suis un expert de sécurité et j’ai de la difficulté à vivre avec la méthode Agile. Cela me frustre. » • « Nous avons des manières de faire éprouvées et la méthode Agile est incompatible avec nos processus… » 4
  • 5.
    © 2019 CGIinc. Confidentiel La sécurité vs Agile? • Comment arriver à certifier, avant la livraison finale au client, qu’un système est sécuritaire, qu’il rencontre toutes les exigences de sécurité alors que ce même système va être spécifié, construit, testé et mis en production par morceaux, par étapes ? • Est-ce un problème ou une opportunité pour notre approche de sécurité? • Faudrait-il revoir notre processus d’intégration habituel de la sécurité dans les projets pour le rendre plus vivable? 5
  • 6.
    © 2019 CGIinc. Confidentiel Source: http://spiresecurity.com/?p=507 (traduction) Propriétaire Contre-mesure Vulnérabilité Risque ActifsMenace Agent de menace possède veut diminuer diminue impose peut être au courant réduit par amène qui implique qui implique qui accroit qui exploite veut abuser met en œuvre Vraisemblance généralement difficile à évaluer Le grand dessein de sécurité 6 • Expertise? • Motivation? • Opportunité? • Groupe?
  • 7.
    © 2019 CGIinc. Confidentiel La sécurité dans les projets c’est quoi? 7 L’intégration de la sécurité dans les projets est une méthode pour réaliser les actions « sécurité » pour s’assurer que les risques soient atténués (ou acceptés) Concevoir ConstruireÉvaluer Maintenir Une analyse de risque formalise… Besoins d’affaires Solution TI Risques bruts à réduire Mesures de sécurité à mettre en œuvre Risques résiduels acceptés par les affaires PDCA
  • 8.
    © 2019 CGIinc. Confidentiel La sécurité en « V » 8 Ca tient la route facilement, on suit le courant de la rivière. On se colle sur le cycle de projet et on fait la sécurité en même temps que le reste, on teste en même temps, on livre le tout en même temps. Besoins Conception Implantation Vérification MaintenanceProjet Analyse des besoins de sécurité + conformité Analyse de risque Mise en œuvre des solutions de sécurité Recette globale Gouvernance Audit de sécurité Séparation des tâches Choix des mesures Risques résiduels Sécurité
  • 9.
    © 2019 CGIinc. Confidentiel La sécurité en mode Agile 9 Mais en mode Agile ça ne peut pas fonctionner comme ça... AGILE « V » Délai « idéal » de mise en œuvre d’une évolution Court Moyen ou long Stabilité des besoins Instable Stable
  • 10.
    © 2019 CGIinc. Confidentiel La sécurité en mode Agile 10 Équipe Scrum Scrum Master Sprint Review MVP Minimal Viable Product Autres (PM, etc.) Rythme d’itérations élevé Absence de compétences sécurité lors des réunions Ils ne se sentent pas impliqués Peu sensibilisée aux bonnes pratiques de sécurité Le produit continue d’évoluer après la livraison Client Fonctionnalités peu connues au début du projet
  • 11.
    © 2019 CGIinc. Confidentiel Le grand principe de la solution 11 Adaptez le niveau de sécurité aux enjeux du projet au niveau du MVPx, de façon itérative Le niveau de sécurité va monter progressivement, mais surtout commencer au bon niveau Réajustez les objectifs de sécurité à chaque itération
  • 12.
    © 2019 CGIinc. Confidentiel Un exemple (très simple sinon simpliste…) 12 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification file:///Users/CGI/test/test.html Allo! Un « hacker » s'empare de la page? • Impact pour l'entreprise = nul (pour cette page là! Pas pour le reste…) • Système non en production • Sécurité minimum! MVP1
  • 13.
    © 2019 CGIinc. Confidentiel Un exemple (très simple sinon simpliste…) • Dans le projet en « V », l'affichage de cette page n'aurait jamais pu se faire • Il aurait fallu que : • l'ensemble du système soit homologué • le système de sécurité complet des serveurs soit mis en place... • Même si cette solution sécuritaire porte sur 1% des fonctions développées… • 99% de fonctions sont encore non développées 13
  • 14.
    © 2019 CGIinc. Confidentiel Un exemple (très simple sinon simpliste…) 14 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification MVP2 file:///Users/CGI/test/test.html Allo! https://cgitestexterne.com/test/test.html Allo! Identifiez-vous! Usager: xxxx Mot de passe: xxxx Un « hacker » s'empare de la page? • Impact pour l'entreprise = limité • Serveur externe non relié à nos systèmes en production Un nom d’usager / mot de passe est suffisant!
  • 15.
    © 2019 CGIinc. Confidentiel file:///Users/CGI/test/test.html Allo! https://cgi.com/test.html Allo! Identifiez-vous! Usager: xxxx Mot de passe: xxxx Un exemple (très simple sinon simpliste…) 15 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification MVP3 Un « hacker » s'empare de la page? • Impact pour l'entreprise = fort • Serveur relié à nos systèmes en production Un nom d’usager / mot de passe et un 2FA sont nécessaires!
  • 16.
    © 2019 CGIinc. Confidentiel ATTENTION! 16 Bâtissez sur vos fondations N’enlevez jamais une brique d’en dessous Faites des tests de régression Intégrez un spécialiste sécurité dès le début
  • 17.
    © 2019 CGIinc. Confidentiel 17 En intégrant la sécurité dès le départ… Besoins en contrôle de sécurité MVP1 MVP2 MVP3 Produit final Départ Test 1 Test 2 Test 3 Évolution du projet Un plus grand effort est demandé à la sécurité pour diviser ses contrôles au début du projet
  • 18.
    © 2019 CGIinc. Confidentiel Le coût de ne pas le faire tôt? 18 Effort Phases Habilité à influencer les coûts et la capacité fonctionnelle Coûts de changements Source: Patrick MacLeamy (HOK) Épargne potentielle
  • 19.
    © 2019 CGIinc. Confidentiel Quelques pistes de solutions 19 • Sensibilisation de l’équipe Projet • Protection des documents Projet et des données de tests • Sécurisation de l’architecture de développement • Déploiement des outils de tests de sécurité • Revue d’architecture • Durcissement de la base • Sécurité de l’hébergement • Intégration de la sécurité dans les ateliers de conception (couvrant au minimum : données, flux, transactions, accès) • Test unitaire de sécurité / revue de code • Correction des codes • Sécuriser la mécanique du projet • Connaître les exigences de sécurité dès le départ • Déterminer la granularité des exigences • Pas de « Big Bang » • La solution de sécurité ne doit pas être disproportionnée vs le MPV 1 2 3
  • 20.
    © 2019 CGIinc. Confidentiel Le gros avantage? 20 Vous faites un audit en continue Vous prouvez vos avancements au fil de l’eau…
  • 21.
    © 2019 CGIinc. Confidentiel Et maintenant le risque… 21© 2019 CGI inc. Ça, c'est le numéro trente-six. Je ne comprends pas ces risques. Risque 1: Indécision Risque 2: Sur-analyse Risque 3: Ignorance Risque 4: Micro-gestion Risque 5: … Nous aurions besoin d'une analyse de risque sur ce projet avant de pouvoir l'approuver.
  • 22.
    © 2019 CGIinc. Confidentiel Définitions… (officielles et « langage courant »…) 22 Le risque se définit comme la probabilité d'un événement et ses conséquences. La gestion des risques est l'utilisation de processus, méthodes et outils pour gérer ces risques. © 2019 CGI inc. Quelque chose de mauvais pourrait arriver… C’est paraître intelligent en prenant des chances
  • 23.
    © 2019 CGIinc. Confidentiel Risque = Menace x VulnérabilitéImpact x( ) Risque 23 Un risque c’est…
  • 24.
    © 2019 CGIinc. Confidentiel Probabilité, vraisemblance ou « likehood » Rapidité ou « velocity » Risque = Menace x Vulnérabilité ( )Contre-mesure* Contre-mesure* * Contre-mesure = « contrôles » « Valeur » de l’actif attaqué Initiation Succès Efficacité Prédisposition? Sévérité? Omniprésence? Facilité de découverte? Facilité d’exploitation? Connue? Détection de l’intrusion? Risque 24 Impact x Un risque c’est…
  • 25.
    © 2019 CGIinc. Confidentiel Probabilité, vraisemblance ou « likehood » Risque = Menace x Vulnérabilité Rapidité ou « velocity » ( )Contre-mesure* Contre-mesure* * Contre-mesure = « contrôles » ?  Risque 25 Impact x Probabilité, vraisemblance ou « likehood » « Valeur » de l’actif attaqué Initiation Succès Efficacité Prédisposition? Sévérité? Omniprésence? Facilité de découverte? Facilité d’exploitation? Connue? Détection de l’intrusion? Un risque c’est…
  • 26.
    © 2019 CGIinc. Confidentiel Risque = Impact x Probabilité Productivité Réponse Remplacement Amendes et jugements Avantage compétitif Réputation • Technique ou affaires? • Criticité (DIC) • Coût ou financière • Sensibilité • Embarras • Avantage compétitif • Légal-Règlementaire • Conformité Actif Perte Valeur Risque  26 Un risque c’est…
  • 27.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 27© 2019 CGI inc.
  • 28.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 30 • « Humain » • Préjugé • Attitude • Propension naturelle • Biais cognitif* © 2019 CGI inc. * Déviation systématique de la pensée logique et rationnelle par rapport à la réalité • Confiance • Manque d’imagination • Habitudes • Vie compliquée
  • 29.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 29 1922Niels Bohr L’électron est là! 1) Le risque, c’est précis! (!) L’électron est quelque part par là! Chaque science « exacte » est basée sur des approximations Erwin Schrödinger1922 1933
  • 30.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 30 2) Souvent, seul le « buffer » est pris en compte dans la solution Cumul des expositions au risque • Avec ce calcul nous finirons par avoir une belle courbe de distribution • Ce qui implique que: soyez assuré que le tiers de vos projets seront soit en retard soit sous- budgété Méthode de la chaîne critique (CCPM ou Critical Chain Project Management) • Le « buffer » est la différence entre le temps « au plus tôt » et le temps « au plus tard » • Le client voudra « au plus tôt », les ressources « au plus tard »… • On montrera au client « au plus tard » et aux les ressources « au plus tôt »… © 2019 CGI inc. Méthode PO4PP6 (« pocat-pépésix » via Planning Poker notamment) « Buffer » = Pessimiste – ((Optimiste + (4 x Probable) + Pessimiste) / 6) Méthode 15% On ajoute 15%
  • 31.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 31 La prémisse que l’on a est que la valeur des ressources est la même avant le « buffer » qu’après (ou pendant)… C’est faux! “The calculation of buffer size considering activity schedule risk” N. Cui & J. Hao, Huazhong University, 2017 © 2019 CGI inc.
  • 32.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 32 Analogie avec des travaux routiers • Pourquoi passons-nous devant des travaux routiers où rien ne semble se faire? • Nous attendons en file indienne pour pouvoir passer ces travaux et cela nous enrage… pourquoi? © 2019 CGI inc.
  • 33.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 33 3) On préfère se dire que la gestion du risque c’est compliqué Il y a 93,75% de chances que la médiane d'une population se situe entre les valeurs les plus petites et les plus grandes dans un échantillon aléatoire de cinq personnes de cette population © 2019 CGI inc. Étant donné le maximum d'incertitude quant à une proportion de la population (telle que vous pensez que la proportion pourrait être comprise entre 0% et 100%, toutes les valeurs étant également vraisemblable), il y a 75% de chances qu'un seul échantillon choisi au hasard appartienne à la majorité de la population. www.hubbardresearch.com La règle du 5 La règle du simple échantillon
  • 34.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 34 3) On préfère se dire que la gestion du risque c’est compliqué © 2019 CGI inc. www.hubbardresearch.com C’est la vérité mathématique qui contredit l'intuition L’incertitude d’une donnée annule souvent celle d’une autre Le paradoxe des anniversaires Dans un groupe de 25 personnes, il y a plus de 50% de chance que deux personnes aient leur anniversaire le même jour. Pour un groupe de 50 personnes, c’est 95% ! Pour un groupe de 57 personnes, c’est 99% !
  • 35.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 35 Estimation de Fermi © 2019 CGI inc. Combien d’accordeurs de piano à Chicago ? Population de la région métropolitaine de Chicago 9 000 000 Nombre de foyer (2 personnes/foyer) 4 500 000 Nombre de piano (Un foyer sur 20 possède un piano) 225 000 Nombre d'accordage / an 1 Nombre d'accordage total 225 000 Heures de travail par jour par accordeur 8 Nombre de jours / semaine 5 Nombre de semaines travaillées par an 48 Nombre d'heures travaillées par an par accordeur 1 920 Temps requis (heure) pour l'accordage (incluant transport) 2 Nombre de piano accordé / an / accordeur 960 Nombre d'accordeur de piano total 234 Nombre réel d'accordeur (2009) 290 National Archives Identifier: 558578
  • 36.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 36 Minimiser les pertes Maximiser les gains 1 10 * Petit sondage à faire… © 2019 CGI inc. Vous recevez 5 000$ tout de suite Pile: Vous recevez 20 000$ Face: Vous payez 10 000$ Même espérance de gain 4) Le votre profil de joueur dans les affaires
  • 37.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 37 -60 -40 -20 0 20 40 60 80 100 Il faut réduire l’écart-type Factor Analysis of Information Risk (FAIR) modèle pour comprendre, analyser et quantifier les risques liés aux informations en termes financiers. 5) Le risque est trop large ISO31000 Brainstorming Entretiens Delphi Liste de contrôles Analyse préliminaire du danger HAZOP ICHIKAWA 5P/5M/5W Risques environnementaux SWIFT Scénarios Impact sur l’activité Causes profondes Modes de défaillance et leurs effets Arbre de panne Arbres d’événements Causes-conséquences Causes et effets LOPA Monte-Carlo Arbre de décision Fiabilité humaine Nœud papillon Maintenance basée sur la fiabilité Analyse transitoire Markov Réseaux de Bayes Courbes FN Indices de risque Matrice conséquence / probabilité Coût / bénéfice ADCM
  • 38.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 38 Pensez à utiliser une méthode statistique de gestion de risque telle que la Simulation Monte Carlo* Elle est de plus en plus utilisée de nos jours malgré son âge… * Nicholas Metropolis 1947 © 2019 CGI inc. http://quantmleap.com/blog/2009/10/monte-carlo-simulation-for-dummies/
  • 39.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 39 • Peu importe la complexité ou la singularité de votre problème de mesure, supposez qu’il a déjà été mesuré auparavant. • Si vous êtes débrouillard, vous pouvez probablement trouver plus de sources de données que vous ne le pensiez au début. • Vous avez probablement besoin de moins de données que votre intuition ne vous le dit. “How to measure anything in cybersecurity risk” D.W. Hubbard & R. Seiersen, Wiley, 2017 © 2019 CGI inc. “If you know almost nothing, almost anything will tell you something.”
  • 40.
    © 2019 CGIinc. Confidentiel Souvent, c’est quoi le problème? 6) On ne tient pas assez compte du risque intégré… Mettez-vous dans la peau du client, pouvez-vous répondre à ces questions? Puis… des premières questions à nous poser: • Dans quelle mesure le projet est-il en phase avec les préoccupations du client? • Qu'est-ce qui pourrait faire dérailler le projet que nous allons commencer? • Quel risque ai-je tendance à sous-estimer ? • Puis-je nommer trois risques que je veux éviter à tout prix? • Comment je m’assure qu'ils ne se réalisent pas? Puis-je l’expliquer? • Comment mon risque le plus préoccupant a-t’il évolué depuis un an? © 2019 CGI inc. ? 41
  • 41.
    © 2019 CGIinc. Confidentiel Les avantages de la gestion du risque 41© 2019 CGI inc.
  • 42.
    © 2019 CGIinc. Confidentiel Les avantages de la gestion du risque 1) Identifier les problèmes potentiels 2) Être proactif pour y remédier 3) Ne pas mettre son/sa supérieur (ou son client) dans l’ignorance 4) Vous gardez le contrôle 5) Vous suivez votre projet au fil de l’eau 6) Vous protégez vos arrières 7) Vous faites des choix rationnels 8) Vous protégez les objectifs du projet 42
  • 43.
    © 2019 CGIinc. Confidentiel Quelques commentaires en terminant… 43 1) Avez-vous au moins une de vos méthodes de gestion de risque qui fonctionne? 2) Avez-vous quelqu'un dans votre organisation qui le saurait si la gestion du risque ne fonctionnait pas? 3) Si votre gestion du risque ne fonctionne pas, quelles en seraient les conséquences? Une faible gestion du risque est votre plus grand risque © 2019 CGI inc. www.hubbardresearch.com “How to measure anything in cybersecurity risk” D.W. Hubbard & R. Seiersen, Wiley, 2017
  • 44.
    © 2019 CGIinc. Confidentiel Questions? 44© 2019 CGI inc. Comment pouvez-vous être sûr qu'il n'y a aucun risque imprévu avec ce plan? Il n'est pas possible de savoir si on a pris en compte tous les risques. Par conséquent, nous ne pouvons jamais être sûrs, Alors ... je peux toujours vous en vouloir pour tous les problèmes qui apparaissent? Oui, cette partie du processus est toujours intacte.
  • 45.
    © 2019 CGIinc. Confidentiel Quelques références utiles http://www.PensezCybersecurite.gc.ca http://www.canada.ca/fr/secretariat-conseil-tresor/organisation/gestion-risque.html https://www.tresor.gouv.qc.ca/ressources-informationnelles/publications/ https://www.iso.org Voir la série ISO 27000, 27001, etc… pour la sécurité Voir la série ISO 31000 pour la gestion du risque 45
  • 46.
    © 2019 CGIinc. Confidentiel 46 Merci!