La Lettre Sécurité. ISO : un nouvel élan pour la continuité d activité. Édito. n 26

Dimension: px
Commencer à balayer dès la page:

Download "La Lettre Sécurité. ISO 22301 : un nouvel élan pour la continuité d activité. Édito. n 26"

Transcription

1 n 26 La Lettre Sécurité Édito Du décryptage des nouvelles tendances Dans notre société d innovation, pas un mois ne passe sans apporter son lot de nouveautés technologiques et d usages. Le secteur IT impose de comprendre ces tendances - car nul doute que certaines d entre elles deviendront des évolutions à accompagner. La récente actualité a en ce sens été riche ; il nous a semblé intéressant de revenir sur les buzzwords qui agitent et agiteront le monde de la sécurité et de la gestion des risques dans les mois à venir. En premier lieu, saluons la naissance de la norme ISO qui met en avant le concept de système de management de la continuité continuité et s inscrit dans les meilleures pratiques de gouvernance. Autres tendances, autres enjeux : le Big data et la protection de l information, la gamification ou l application des principes du jeu pour mieux sensibiliser et finalement le Recovery-as-a-service permettant l usage du cloud pour construire son PCA de manière plus souple et plus rentable. Le sujet de la dématérialisation revient également sur le devant de la scène avec une volonté européenne de le promouvoir à grande échelle. En attendant de savoir lequel de ces sujets fera votre actualité, nous vous souhaitons un bon été! Gérôme BILLOIS Manager au sein de la practice Sécurité & risk management, cabinet Solucom ISO : un nouvel élan pour la continuité d activité La norme ISO «Sécurité sociétale - État de préparation et systèmes de gestion de la continuité - Exigences» a été publiée le 5 juin Elle était très attendue par les responsables de la continuité d activité et les risk managers. Il existe déjà de nombreux standards édités par des organismes nationaux sur le sujet de la continuité (BPZ 74/700 de l AFNOR en France, NFPA 1600 aux États-Unis, etc.), mais l ISO est le nouveau et seul standard international en la matière. S aligner sur ses recommandations, c est inscrire les Plans de Continuité d Activité (PCA) dans un véritable cycle de vie, et réussir, audelà de l avancement des actions relatives à sa construction, son maintien en condition opérationnelle! Une norme nécessaire pour appuyer les investissements liés à la mise en place d un PCA? La norme met en lumière les bonnes pratiques des PCA mais surtout elle les rend cohérentes les unes par rapport aux autres et elle les légitime grâce à son coté international. Par exemple, l un des points structurants de la norme est de saisir les besoins de l organisation par la conduite d un Bilan d Impact sur l Activité ou Business Impact Analysis (BIA). Cette étape consiste en l identification des activités clés, l analyse de l impact d une indisponibilité, et donc la priorisation des efforts à mener pour se focaliser sur les véritables enjeux, ceux définis par le Top Management. Par ailleurs, l analyse de risques, telle que requise par le standard, permet de s interroger sur les risques à traiter et de mobiliser le management autour de menaces réelles. Quels risques doivent être couverts, et lesquels sont acceptables ou évitables? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent être envisagées? Ces éléments doivent être validés par le management. Si les BIA ont généralement déjà été effectués dans les organisations, la réflexion autour des risques est la nouveauté principale que peut apporter la norme dans la façon d aborder les PCA. Ceux-ci traitent aujourd hui quelques catégories de sinistres majeurs (incendie, inondation, panne électrique, etc.), mais comment peuvent-ils être utilisés pour traiter de nouveaux risques? Un exemple? Les cyberattaques doivent-elles être considérées dans le cadre d un PCA? Les synergies sont en effet nombreuses : processus de gestion de crise, communication, etc. Suite en page 2 DÉCRYPTAGES P3 La gamification : une solution pour sensibiliser la génération Y? P5 Recovery-as-a-service : une révolution pour le secours informatique?

2 Décryptage Mais c est aussi un risque dont le traitement dépasse la problématique de la continuité. BIA et analyse de risques sont donc des exercices d argumentation des coûts qui doivent être vus également comme un axe d optimisation des investissements! Une fois ces investissements consentis par le Management, l enjeu est d en prouver l efficacité Inscrire le PCA dans la durée... Le cœur de la norme consiste à mettre en place un Système de Management de la Continuité d Activité, le fameux SMCA. Il s agit d évaluer régulièrement les dispositifs en place pour les faire progresser au quotidien. Il s agit de répondre à la question «les processus sont-ils fonctionnels et sont-ils efficace?». La norme est bien explicite sur ce point, l évaluation de la performance doit porter sur «la pertinence, l adéquation, et l efficacité» des procédures du PCA.... jusqu à la certification? L alignement peut aisément s imposer comme une évidence pour tout responsable des risques ou de la continuité d activité. En effet, il offre ainsi la garantie d appliquer les bonnes pratiques internationales et par là même valide un certain niveau de qualité. L émergence de cette nouvelle norme ISO amène une reconnaissance internationale au SMCA, et pourra ainsi susciter un intérêt pour la certification. Certifier un périmètre opportun peut être un élément différenciant sur le marché lorsque la continuité est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises à une réglementation, cette certification peut prouver de manière formelle la réponse aux obligations en vigueur. Un des axes de mesure est la conduite des tests et exercices. Cette bonne pratique est d ailleurs d ores et déjà intégrée aux dispositifs mis en œuvre dans le cadre des PCA. Mais au-delà de l analyse des exercices et des plans de tests, s aligner à la norme nécessite de s interroger sur les revues à conduire, d analyser les incidents et d évaluer la performance des solutions. Ainsi la norme motive la mise en place des principes qui permettent d argumenter, mais aussi de pérenniser les investissements réalisés autour des PCA, en cherchant une amélioration continue de son efficience. Amal Boutayeb, consultante senior 2 La Lettre Sécurité N 26 Juillet 2012

3 La gamification : une solution pour sensibiliser la génération Y? Marion Couturier, consultante senior La sensibilisation des utilisateurs est un chantier incontournable du RSSI : sans l adhésion et la collaboration des utilisateurs, les stratégies de sécurisation de l information et des SI restent partielles et inefficaces. Les campagnes de sensibilisation, qui constituent un moyen essentiel pour traiter ce facteur humain, sont donc aujourd hui largement répandues en entreprise. Mais elles souffrent d un certain nombre de limites! Un nouvel enjeu pour la sensibilisation à la sécurité de l information : la génération Y pousse la porte des entreprises La sensibilisation n est pas un chantier sur lequel on peut se reposer une fois la première campagne achevée! Comme toute campagne de prévention, des «piqûres de rappel» doivent être faites régulièrement, en variant la manière de communiquer pour assurer l assimilation des messages dans la durée sans provoquer de lassitude. leur vie personnelle. Leurs usages exposent largement les informations qu ils manipulent : données personnelles, mais aussi professionnelles! Et selon le Connected World Technology report de Cisco, 70% des jeunes employés admettent ne pas respecter les politiques de sécurité bien qu ils en aient connaissance. Plus exigeants que les générations X et baby-boomers, ils sont moins réceptifs à des campagnes de communication traditionnelles que leur aînés sur des sujets avec lesquels ils se sentent familiers et ont encore plus besoin d être convaincus et motivés. La gamification pour renforcer l engagement et la motivation des collaborateurs Face à ce nouvel enjeu, il est nécessaire de diversifier les méthodes et outils de sensibilisation pour assurer leur efficacité. La gamification, phénomène récent, apparaît comme un nouvel outil prometteur pour laquelle de plus en plus d éditeurs (Bunchball, Badgeville, Gamify ) proposent des solutions. Elle a pour principe l application des mécanismes et de la dynamique du jeu à des activités non ludiques : points, niveaux, badges, challenges, statuts sont utilisés pour engager les gens, déclencher la motivation et changer les comportements (par exemple dans le domaine de la protection des données) Initialement utilisée auprès des clients à des fins marketing (Flying Blue, Accor, Starbucks ) ou communautaires (Foursquare, Farmville, Nike+ ), elle peut se transposer aisément au monde de l entreprise et être un outil puissant pour accompagner les campagnes de sensibilisation, conduire le changement ou encore améliorer les performances. Cette technique rencontre un vif succès auprès de la génération Y aux codes de laquelle elle répond par ses dimensions sociale, ludique et technologique. Lancer le challenge sécurité! Il n y a plus qu un pas à faire pour l adapter à la sécurité de l information en entreprise. En premier lieu, il s agit de cibler les utilisateurs et de définir les objectifs. Sur cette base, les compétences (savoir construire un mot de passe complexe ) et actions attendues (changer son mot de passe, suivre une formation, etc.) peuvent être formalisées avant de définir l univers et les mécanismes de jeu qui seront appliqués. C est là que résidera toute la dynamique de la démarche et l adhésion des utilisateurs, il est donc nécessaire de travailler soigneusement cette partie, pour laquelle les solutions du marché offrent de nombreuses possibilités! Par ailleurs, il est nécessaire de prendre en compte les nouveaux arrivants dans l entreprise, qui n ont pas reçu la sensibilisation initiale. Et il ne faut pas oublier que ces nouveaux arrivants sont majoritairement une population avec laquelle le niveau de risque pour la sécurité de l information augmente : la fameuse génération Y. Les digital natives, suréquipés, connectés en permanence, rendent de plus en plus perméable la frontière entre l entreprise et Juillet 2012 La Lettre Sécurité N 26 3

4 Dossier Décryptage Big data : se préparer pour éviter le «Big One» Gérôme Billois, manager Le «big One», c est le tremblement de terre tant redouté par la Californie, une catastrophe majeure qui mettrait à genou un État entier, et par rebond toucherait gravement les États-Unis en impactant son moteur d innovation et de productivité. Qu est ce que le Big data? Le Big data, c est la centralisation de l ensemble des données d une entreprise pour permettre la réalisation d analyses croisées poussées et multiples. Les métiers raffolent de ces concepts, qui ne sont pas si nouveaux, si l on se rappelle des années Business intelligence. Le Big data est donc une évolution de ces solutions et permet d aller plus loin, avec plus de données et de capacité d analyse, plus de rapidité et de simplicité d accès. De par leur rôle stratégique, central dans la prise de décision et pour l innovation, les données et les systèmes composant le Big data doivent être fortement protégés pour éviter le «Big One», l incident qui mettrait à terre le système et par conséquent aurait des impacts forts sur toute l entreprise! Au-delà du projet de transformation globale que représente l adoption du Big data, trois challenges s ouvrent aujourd hui pour la DSI, afin d éviter potentiellement ce «Big One» et tirer le maximum de cette innovation : adaptation, protection, et conformité. Adapter son SI, mais aussi ses équipes Le Big data change radicalement les habitudes de travail de la DSI. Les volumes incroyables de données manipulées nécessitent l emploi de technologies encore peu répandues (Hadoop, NoSQL ) et entraînent la refonte de nombreuses infrastructures de la DSI : réseau, hébergement, sauvegarde, etc. pour supporter la mise à l échelle du Big data. L erreur serait d en faire un chantier exclusivement technologique et de négliger l aspect organisationnel : les équipes de la DSI doivent accompagner ce mouvement afin d assurer la qualité de service et la disponibilité attendue pour ces systèmes clés. La centralisation des données : un risque supplémentaire? Le Big data c est aussi le nouvel eldorado de la fuite d information. Ce système a pour ambition de contenir en un seul lieu de stockage l ensemble des données stratégiques de l entreprise. Un atout pour l entreprise qui peut aussi être une faiblesse : centraliser ses données, cela revient d une certaine manière à en simplifier la localisation. Voilà qui intéresse forcément des groupes malveillants ou agissant pour des raisons idéologiques, tels que les Anonymous ou Wikileaks. La sécurisation et le contrôle des accès aux données est un vrai enjeu du Big data. Données sensibles : anticiper les contraintes réglementaires Conformité, car le Big data va contenir des données sensibles soumises à de nombreuses réglementations, par exemple dans le secteur bancaire ou la santé ou encore des données à caractère personnel. Des engagements clairs devront être pris pour éviter l effet Big Brother vis-à-vis du grand public et obtenir l aval des autorités de contrôle lors de la création de la base. Des mécanismes d isolation de données devront être mis en œuvre pour respecter les principes de séparation des pouvoirs et éviter tous les abus possibles. Ceci dès la mise en place, mais aussi lors des évolutions du Big data pour éviter toute interdiction du service ou fraude potentielle. L arrivée du «Goliath des données» doit donc être préparée, anticipée, avec une stratégie claire centrée avant tout sur les objectifs métiers, mais sans oublier les enjeux pour la DSI. Le Business intelligence a ouvert la voie, il s agit maintenant de se mettre en ordre de marche pour changer de dimension et embrasser au mieux les innovations du Big data! 4 La Lettre Sécurité N 26 Juillet 2012

5 Décryptage Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique? Quel est l intérêt de passer au RaaS? L utilisation du RaaS résulte avant tout d un choix économique. Sur le papier, le secours paraît adapté au modèle de facturation du cloud (pas de sinistre => allocation limitée de ressources => coût d utilisation réduit), alors qu un secours traditionnel implique de stocker, héberger et faire évoluer des infrastructures, des serveurs et des applications sur un site de secours. Néanmoins, deux cas d usage du RaaS émergent pour les organisations concernées : la couverture des applications virtualisées ou éligibles à la virtualisation à coût optimisé, l extension du secours à des périmètres qui n auraient pas pu être intégrés au Plan de Continuité Informatique (PCI) de l organisation, pour une meilleure couverture au meilleur coût. Mickaël Avoledo, consultant Non contents d avoir déjà décliné une bonne partie des lettres de l alphabet à la sauce «As a Service», les fournisseurs de service en ont trouvé un nouveau : le Recovery-asa-Service ou RaaS 1. Arrivées fin 2009 aux États-Unis par le biais de startups, les offres RaaS y sont désormais proposées par les principaux acteurs de la continuité informatique, Sungard Availability Services et IBM BC&RS en tête. Alors le RaaS, révolution ou pas? Le RaaS : fer de lance des Cloud Recovery Services Comme pour beaucoup de ce qui tourne autour du cloud, il est parfois difficile de donner une définition, tant une même appellation peut cacher des offres différentes. Nous utiliserons la définition suivante : «Cloud Recovery Service : secours d un système d information sur une infrastructure virtualisée, hébergée par un tiers, disponible à la demande et facturée à l utilisation». L éventail des possibilités est très large : d une sauvegarde externalisée des données critiques en mode cloud (Backupas-a-Service) en passant par la construction par le client lui-même de son secours sur la base d une prestation de type «IaaS 2» jusqu à une offre complètement managée intégrant le suivi du SI nominal et des mécanismes de bascule planifiés. C est ce type de prestations que l on retrouve sous l appellation Recovery-as-a-Service. Mais à y regarder de plus près, les économies ne sont pas toujours au rendez-vous et varient en fonction des applications. Si certaines d entre elles, peu consommatrices de données, sont les candidates idéales pour le RaaS (des études indépendantes font état d environ 80% d économies 3 ), le ROI pour les applications plus lourdes et / ou pour lesquelles les exigences de continuité sont plus fortes s avère discutable. En effet, plus les RTO (Recovery Time Objectives) et RPO (Recovery Point Objectives) seront exigeants, plus le niveau de service devra être élevé (allocation renforcée de ressources, mécanismes de réplication des données site-àsite, etc.) entraînant une envolée des coûts. Le RaaS s assimile, pour l instant, au mieux à du warm recovery. En effet, il est illusoire de penser que les solutions proposées permettront de la haute-disponibilité : délais d activation, délais relatifs aux opérations de bascule notamment au niveau du réseau, délais de restauration en cas de corruption des données, etc. En outre, le RaaS repose sur des mécanismes de virtualisation de serveurs (le plus souvent restreints aux architectures Intel x86), que ne supportent pas tous les progiciels du marché, a fortiori les applications propriétaires. Ainsi, le fait de vouloir tirer pleinement parti de la compétitivité économique du RaaS tout en répondant aux besoins métiers réduit son utilisation à une certaine catégorie d applications. Ce faisant, il cantonne le RaaS à un rôle de solution complémentaire, ce qui peut devenir une source de complexité, du fait de la cohabitation de deux SI de secours. A qui s adressent les offres RaaS? Étant donné son modèle économique et sa structure technique, le RaaS semble plus adapté aux moyennes structures et notamment à celles qui ont opéré la virtualisation de leur SI. Les études prospectives 4 le montrent : ce sont elles qui tireront la croissance de ce marché dans les prochaines années. Le RaaS : une offre mature? Comme pour nombre de cloud services, le RaaS n a pas encore atteint sa maturité : en témoigne le foisonnement des offres et des prestataires. Au-delà des acteurs historiques de la continuité informatique se positionnent des pure players des cloud recovery services et de plus en plus des hébergeurs informatiques. En termes de couverture de risques, il doit faire ses preuves. Concrètement les infrastructures dévolues au RaaS reposent sur encore peu de datacenters. Le client qui souhaitera se prémunir de sinistres affectant des zones géographiques particulières (ou étendues) devra se rapprocher du fournisseur de service RaaS qui l intéresse pour vérifier que son ou ses sites ne sont pas exposés aux mêmes risques. En France, le marché reste jeune et sans retour d expérience significatif de déploiement. Les grands offreurs français s appuient sur les infrastructures anglo-saxonnes ou nord-américaines de leur maison-mère. Reste donc aux acteurs à démontrer la pertinence de leurs offres, en particulier sur la gamme des services managés, probablement les plus recherchés par les DSI. 1 On rencontre également l acronyme DRaaS (Disaster Recovery-as-a-Service) 2 IaaS : Infrastructure-as-a-Service 3 Disaster Recovery as a Cloud Service : Economic Benefits & Deployment Challenges 4 «Gartner Says 30 Percent of Midsize Companies Will Use Recovery-as-a-Service by 2014» Juillet 2012 La Lettre Sécurité N 26 5

6 Décryptage Dématérialisation : vers une gestion sécurisée de la preuve numérique? Johan Le Billan, consultant La confiance numérique continue à faire parler d elle et s invite à la Commission Européenne. En effet, l Union Européenne a récemment décider d harmoniser ses pratiques en matière de signature électronique par la mise en place de cross-border signature. Si la signature électronique conquiert peu à peu ses lettres de noblesse, les tenants et aboutissants d un de ses usages clés, l archivage à valeur probante, sont encore à éclairer. Aujourd hui, la dématérialisation des documents et des processus est ancrée dans les projets de transformation des SI et représente une véritable priorité pour les DSI. L archivage électronique à valeur probante ou «légal» se distingue de l archivage «classique» par sa capacité à authentifier de manière absolue des documents. Il permet d utiliser ces documents nativement numériques comme preuves dans le cadre de procédures pénales ou administratives. Mais à quels besoins de sécurité répond la mise en place d un tel système d archivage? Quelles sont les réponses techniques pour construire cette gestion de la preuve numérique? Deux piliers de l archivage : garantir la pérennité et l intégrité des données de l entreprise Encadré par le Code civil et le Code du commerce, l archivage des documents est un devoir pour les entreprises françaises. Pour respecter le droit à l oubli imposé par la CNIL, la durée de conservation des documents est limitée dans le temps et varie en fonction de leurs valeurs administratives. Confronté à ces longues durées, il est donc nécessaire de conserver ces documents sous un format pérenne (XML, PDF/A, etc.) dans un Système d Archivage Électronique (SAE). Durant toute la durée de conservation, le SAE doit également garantir l intégrité des documents par un stockage fidèle, sans altération ni destruction (ou modification) possible. Vous l avez compris, c est la signature électronique qui permet de répondre à ce besoin. Signature électronique et horodatage deux réponses techniques à la gestion de la preuve numérique L article 1316 du Code civil (13/03/2000) stipule que «l écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane». Pour répondre à ces besoins d authenticité et de traçabilité, les solutions techniques retenues par les SAE à valeur probante sont respectivement : la signature électronique, préférée à un stockage sur support physique WORM (Write Once Read Many) ; l utilisation de contremarques de temps signées : les jetons d horodatage. L archivage d un document dans ces SAE consiste donc à signer électroniquement ce document d une part et d y apposer un jeton d horodatage d autre part. Ainsi, la signature permet de garantir l intégrité du document mais aussi l identité de la personne ayant réalisé l ar chivage. Le jeton, quant à lui, permet d attester la date à laquelle a eu lieu l archivage. Un cadre normatif : la NF Z La norme NFZ est le référentiel pour tous acteurs du marché, intégrateurs comme fournisseurs en mode SaaS. Cette dernière, très contraignante, spécifie les mesures techniques et organisationnelles à respecter pour concevoir et mettre à disposition un SAE à valeur probante. Cette norme met notamment en exergue la méthodologie à suivre pour un projet : de la création d une politique d archivage aux réponses techniques. En France, les solutions du marché des SAE à valeur probante sont arrivées à maturité et les projets d archivage sont florissants depuis Catalysés par les institutions publiques qui montrent l exemple et le boom de la dématérialisation, le secteur privé a emboité le pas permettant ainsi de se conformer au cadre réglementaire en vigueur, mais aussi d optimiser leurs processus et de réaliser des économies. Ce respect du cadre réglementaire, à l échelle nationale (et bientôt à l échelle européenne?) n est pas le seul facteur clé de réussite d un projet d archivage. Il est tout aussi crucial d impliquer les responsables métiers dès la ligne de départ et d anticiper la peur du changement utilisateurs lors de la prise en main de l outil. Une fois ces éléments en tête, il ne reste plus qu à se lancer. 6 La Lettre Sécurité N 26 Juillet 2012

7 Témoignage Quelle perception du risque dans la société? Patrick Peretti - Wattel Sociologue du risque, INSERM Agrégé en sciences sociales, Patrick Peretti- Watel est docteur en sociologie du risque et statisticien. Il a écrit de nombreux ouvrages sur le risque dans la société et a présenté, lors de l Atelier Solucom, son point de vue sur cette thématique au cœur de nos préoccupations. Dans un monde moins dangereux mais plus risqué, quel comportement adoptet-on face au risque? Alors que notre monde est de moins en moins dangereux, nous avons aujourd hui le sentiment de vivre dans un monde de plus en plus risqué. Risques alimentaires, écologiques, technologiques, financiers, métiers à risques, populations à risques, etc. Le risque est omniprésent et sans cesse mis sur le devant de la scène médiatique. Pour paraphraser le philosophe François Ewald, rien n est en soi un risque, mais tout peut en devenir un. Le risque est plus une façon d appréhender le réel, associée à une volonté de maîtriser l avenir. Cette «mise en risque» progressive du monde est justement ce qui caractérise l histoire du 20 ème siècle. Erving Goffman, sociologue américain, remarquait que les hommes, comme les animaux, oscillent en permanence entre deux états d activité, la veille et l alarme, passant de l un à l autre lorsqu un signal attire leur attention sur un danger dans leur environnement. Pour lui, certains individus sont plus sensibles que d autres à ces signaux et plus prompts à réagir. On pourrait dire que l homme moderne possède les aptitudes perceptives d une biche, toujours prête à s effrayer, mais la réactivité d une vache, lente à se mobiliser. Évidemment, ce décalage est anxiogène! Pourquoi les hommes ressentent-ils le besoin d atteindre le risque zéro? La «mise en risque» progressive du monde a été au 20 ème siècle corrélative d une nouvelle utopie : celle du risque zéro. L expansion continue du risque est portée par un espoir qui peut sembler rétrospectivement un peu naïf : on a longtemps pensé que la science, grâce aux techniques du risque, allait parvenir à éradiquer certains dangers pour nous garantir une sécurité totale. Cependant, les experts ont dû admettre que le risque nul n existe pas, que certains risques sont rémanents, que d autres sont concurrents, et que la réduction des uns peut renforcer les autres. Ces dernières décennies ont également été marquées par ce que l on appelle le principe de précaution qui, dans une certaine mesure, marque une forme de retour à l utopie du risque zéro. Ce principe implique que «l absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l environnement à un coût économiquement acceptable». Aujourd hui est fait un usage galvaudé de ce principe de précaution, ce dernier se transformant en principe d abstention. Il est invoqué à tort et à travers, passe outre les garde-fous posés par la loi, qui fait seulement mention des risques «graves et irréversibles» et n envisage que des mesures «proportionnées», à un coût «économiquement acceptable». Sans ces restrictions de bon sens, ce principe conduit à toujours envisager le pire, et à payer très cher pour viser un «risque zéro» hors d atteinte. Pourquoi le risque zéro est-il utopique et incongru? L intrusion du facteur humain est une des explications de l échec de l utopie du risque zéro. Selon la théorie du risque homéostatique, les individus ne recherchent pas forcément le risque zéro, ils sont même prêts à s exposer à un certain niveau de risque qu ils jugent «acceptable», pour en retirer un bénéfice. Plus généralement, les experts de la sécurité ont souvent tendance à se focaliser sur le risque qu ils ont à gérer, et peinent à se rendre compte que les individus qui sont exposés à ce risque peuvent très bien avoir d autres contraintes, d autres risques. Par ailleurs, ces experts doivent prendre en compte le phénomène de déni du risque qui peut être redoutable. Le déni du risque s appuie souvent sur une stratégie de «bouc émissaire», qui consiste à mettre un risque à distance en estimant que ce risque ne concerne qu une catégorie d individus bien particulière, à laquelle on n appartient pas soi-même. Aujourd hui, la gestion d un risque, dans la société comme au sein d une entreprise, implique au moins deux dimensions interdépendantes. D abord une dimension technique, qui doit déterminer les coûts et les bénéfices attendus, ainsi que le degré d acceptabilité du risque. Ensuite une dimension humaine, qui implique un dialogue avec les personnes concernées, et en particulier, au sein d une entreprise, avec les salariés, avec les métiers, pour que leurs points de vue, leurs besoins et leurs objectifs propres soient pris en compte. Juillet 2012 La Lettre Sécurité N 26 7

8 L actualité Solucom Événements Actualités Solucom OSSIR (11 septembre 2011) Les imprimantes sont un vecteur de risque peu connu et peuvent, outre l atteinte à la confidentialité, permettre à un attaquant dans certains cas de compromettre le SI de l entreprise. La conférence abordera les failles les plus connues de ces systèmes (capture d information, rejeu, accès réseau, rebond, etc.) et les différentes manières de les corriger (impression authentifiée, configuration avancée, protection contre les attaques physiques,etc.). Présentation par Ary KOKOS et Vincent NGUYEN Plus d informations : Assises de la Sécurité - SecApp : réussir la transition vers la sécurité applicative (4 octobre 2012) La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes. Les équipes sécurité, historiquement centrées sur la protection des infrastructures, sont souvent éloignées des problématiques des études, des chefs de projet applicatifs et des développeurs. Les initiatives de sécurisation se multiplient (méthodes de développement, gestion des identités, analyses de risques projets, web application firewall, chiffrement des bases, tests et recettes, etc.) mais montrent rapidement leurs limites du fait de cette distance et des incompréhensions qui en découlent. Comment alors réussir la transition vers une sécurité applicative réelle et efficace? Quelle organisation mettre en place et où la rattacher? Comment l outiller? Ce que nous pouvons d ores et déjà affirmer : 2013 sera l année de la sécurité applicative! Cet atelier sera l occasion de revenir sur les enjeux de la sécurité applicative, sa concrétisation dans les DSI et avec les métiers et de projeter les évolutions d organisation nécessaires. 2011/12, des résultats annuels conformes aux objectifs Le retour à la croissance des effectifs en cours d année et l intensification de l effort commercial ont permis au cabinet de terminer l exercice en croissance organique soutenue et de compenser ainsi le recul de 4% de l activité au 1 er semestre. Sur l ensemble de l année, le chiffre d affaires s est ainsi établi à 108,1 millions d euros, stable par rapport à l exercice précédent. Les effectifs au 31 mars sont de 992 collaborateurs. Présentation par Gérôme BILLOIS et Matthieu GARIN Plus d informations : Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Mickaël Avoledo, Gérôme Billois, Amal Boutayeb, Marion Couturier, Johan Le Billan, Patrick Peretti-Watel. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense abonnement :

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Recovery as a Service

Recovery as a Service Recovery as a Service Quand le Cloud Computing vole au secours des entreprises Membres du groupe : KIRCHHOFER Nicolas BUISSON Marc DJIBRINE Rayanatou DUVAL Fabien JOUBERT Yohan PAQUET Jérôme 1 Coachés

Plus en détail

Les ressources numériques

Les ressources numériques Les ressources numériques Les ressources numériques sont diverses et regroupent entre autres, les applications, les bases de données et les infrastructures informatiques. C est un ensemble de ressources

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 23 La Lettre Sécurité Édito L actualité sécurité récente et à venir s avère chargée : la cybercriminalité est sur toutes les lèvres, innovations technologiques et nouvelles réglementations obligent les

Plus en détail

Regard sur hybridation et infogérance de production

Regard sur hybridation et infogérance de production Regard sur hybridation et infogérance de production Février 2014 édito «comment transformer l hybridation des infrastructures en levier de performances?» Les solutions d infrastructure connaissent depuis

Plus en détail

n spécial Assises de la Sécurité 2009

n spécial Assises de la Sécurité 2009 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif

Plus en détail

NE PAS EXTERNALISER SA RESPONSABILITÉ

NE PAS EXTERNALISER SA RESPONSABILITÉ NE PAS EXTERNALISER SA RESPONSABILITÉ OUTSOURCING IT Le succès d une opération d outsourcing se mesure au degré de préparation et d implication des parties concernées. Mieux vaut donc faire preuve de pragmatisme

Plus en détail

Big Data : se préparer au Big Bang

Big Data : se préparer au Big Bang Big Data : se préparer au Big Bang Initialement confinées au cœur des moteurs de recherche et des réseaux sociaux, les technologies du Big Data s'exportent désormais avec succès dans de nombreux secteurs

Plus en détail

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. IBM Global Services Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. Les services d infrastructure et d intégration IBM Pour une infrastructure informatique qui participe

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

Naturellement SaaS. trésorier du futur. Livre blanc. Le futur des trésoriers d entreprise peut-il se concevoir sans le SaaS?

Naturellement SaaS. trésorier du futur. Livre blanc. Le futur des trésoriers d entreprise peut-il se concevoir sans le SaaS? trésorier du futur Le futur des trésoriers d entreprise peut-il se concevoir sans le SaaS? Le futur des trésoriers d entreprise peut-il se concevoir sans le SaaS? Sommaire 1 Le SaaS : du service avant

Plus en détail

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR INTRODUCTION A la suite de grands scandales financiers qui ont ébranlés le monde des affaires, les instances législatives et réglementaires des Etats Unis ont remis

Plus en détail

I. LE PROJET DE RENOUVELLEMENT DES SUPPORTS D ARCHIVAGE ÉLECTRONIQUE

I. LE PROJET DE RENOUVELLEMENT DES SUPPORTS D ARCHIVAGE ÉLECTRONIQUE SUIVI D UN PROJET D ARCHIVAGE ÉLECTRONIQUE : LES DIFFICULTÉS D APPLICATION DU CADRE NORMATIF DANS LE MONDE BANCAIRE Le poste que j occupe au sein du service d archives du Crédit Lyonnais qui sont désormais

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

ÉTUDE IT FOCUS. Enjeux et perspectives 2013 pour la DSI. En partenariat avec DÉCEMBRE 2012

ÉTUDE IT FOCUS. Enjeux et perspectives 2013 pour la DSI. En partenariat avec DÉCEMBRE 2012 DÉCEMBRE 2012 ÉTUDE IT FOCUS Enjeux et perspectives 2013 pour la DSI En partenariat avec SOMMAIRE INTRODUCTION IT FOCUS...4 MÉTHODOLOGIE...4 BUDGETS ET ORIENTATIONS...5 Disposez-vous d un budget qui vous

Plus en détail

Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation?

Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation? n 27 La Lettre Sécurité Édito De la réaction à la détection / réaction, le nécessaire changement de posture du RSSI! Les initiatives sécurité ont lontemps consisté à définir et mettre en œuvre des plans

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

La Continuité des Activités

La Continuité des Activités Caroline Fabre- Offering Manager BC&RS Ikbal Ltaief Consulting Manager BC&RS La Continuité des Activités Nouveaux enjeux, nouvelles technologies, nouvelles tendances Paris, le 9 juin 2010 Grandes entreprises

Plus en détail

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA) TERMES DE REFERENCE Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA) TDR_Plan de Continuité de l Activité (PCA)

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

de la DSI aujourd hui

de la DSI aujourd hui de la DSI aujourd hui Partout, l industrialisation de l IT est en cours. ITS Group accompagne ce mouvement avec une palette de compétences exhaustives permettant de répondre aux principaux challenges que

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable.

Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable. Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable. Introduction La Gestion Electronique des Documents est la mémoire de l entreprise. La mémoire existante qui

Plus en détail

Outsourcing : la sauvegarde en ligne des données de l entreprise.

Outsourcing : la sauvegarde en ligne des données de l entreprise. Outsourcing : la sauvegarde en ligne des données de l entreprise. Sur quels marchés votre entreprise de Sauvegarde en Ligne évolue t elle? Dans un contexte de montée en puissance de l insécurité, les solutions

Plus en détail

> livre blanc. Mettez-vous vos données et celles de vos clients en danger?

> livre blanc. Mettez-vous vos données et celles de vos clients en danger? > livre blanc Mettez-vous vos données et celles de vos clients en danger? QU EST-CE QUE CELA SIGNIFIE? VOTRE ENTREPRISE N EST PAS TROP GRANDE NI TROP PETITE POUR ÊTRE PIRATÉE Revenons dix ans en arrière,

Plus en détail

Archivage électronique et valeur probatoire

Archivage électronique et valeur probatoire Archivage électronique et valeur probatoire Livre blanc Archivage électronique et valeur probatoire Livre blanc 2 Sommaire 1 Introduction 3 2 Archive et archivage 5 2.1 Qu est-ce qu une archive? 5 2.2

Plus en détail

la conformité LES PRINCIPES D ACTION

la conformité LES PRINCIPES D ACTION La fonction Conformité au sein de BNP Paribas La fonction Conformité a été créée en décembre 2004, en anticipation de nouvelles dispositions du règlement 97-02 sur le contrôle interne des établissements

Plus en détail

Guide pratique à l intention des décideurs avisés MIGRATION VERS WINDOWS 7 : UN RETOUR SUR INVESTISSEMENT RAPIDE ET TANGIBLE.

Guide pratique à l intention des décideurs avisés MIGRATION VERS WINDOWS 7 : UN RETOUR SUR INVESTISSEMENT RAPIDE ET TANGIBLE. Guide pratique à l intention des décideurs avisés MIGRATION VERS WINDOWS 7 : UN RETOUR SUR INVESTISSEMENT RAPIDE ET TANGIBLE. Windows 7 : mal nécessaire ou réel avantage? Au cours des 24 prochains mois,

Plus en détail

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? DEVOPS et le déploiement d application Les Livres Blancs de MARTE Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? L alignement

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

Les sociétés européennes en transition vers des datacenters agiles

Les sociétés européennes en transition vers des datacenters agiles Les sociétés européennes en transition vers des datacenters agiles À travers toute l Europe, des entreprises toujours plus nombreuses cherchent à transformer leurs datacenters. Une nouvelle recherche menée

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace Quatre indices pour identifier une intégration ERP inefficace 1 Table of Contents 3 Manque de centralisation 4 Manque de données en temps réel 6 Implémentations fastidieuses et manquant de souplesse 7

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

Position de l ASTEE sur l innovation en matière de services d eau et de déchets

Position de l ASTEE sur l innovation en matière de services d eau et de déchets Position de l ASTEE sur l innovation en matière de services d eau et de déchets Les services publics locaux de l environnement : des services discrets mais moteurs de développement Depuis leur mise en

Plus en détail

Introduction Que s est-il passé en 2014? Qu attendre de 2015?

Introduction Que s est-il passé en 2014? Qu attendre de 2015? Les grandes tendances Data & Analytics 2015 L épreuve de la réalité janvier 2015 Introduction Que s est-il passé en 2014? Qu attendre de 2015? 2014 a confirmé l intérêt croissant pour la donnée au sein

Plus en détail

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX

Plus en détail

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015 Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif

Plus en détail

P résentation. L ensemble des concepts et des outils de la Gestion des Ressources Humaines. La Gestion des Ressources Humaines (collection Les Zoom s)

P résentation. L ensemble des concepts et des outils de la Gestion des Ressources Humaines. La Gestion des Ressources Humaines (collection Les Zoom s) P résentation L ensemble des concepts et des outils de la Gestion des Ressources Humaines est développé dans le livre rédigé par Chloé Guillot-Soulez et publié dans la même collection : La Gestion des

Plus en détail

ITSM - Gestion des Services informatiques

ITSM - Gestion des Services informatiques Chapitre 1 - COMPRENDRE LE MARCHÉ ITSM - Gestion des Services informatiques Copyright 2011 CXP. 1 ITSM - Gestion des Services informatiques L'étude a été réalisée par : Dalila Souiah OBJECTIF DU DOCUMENT.

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques. TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace

Plus en détail

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Faites évoluer vos ressources informatiques à la demande Choisissez la localisation d hébergement de vos données en Europe Le réseau européen

Plus en détail

PANORAMA DES MENACES ET RISQUES POUR LE SI

PANORAMA DES MENACES ET RISQUES POUR LE SI PANORAMA DES MENACES ET RISQUES POUR LE SI LEXSI > CNIS EVENT CNIS EVENT 05/11/2013 SOMMAIRE Big Data Cloud Computing Virtualisation 2 BIG DATA Définition Chaque jour, 2,5 trillions d octets de données

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT LA SECURITE DU PATRIMOINE NUMERIQUE, DBB Groupe ICT Plan LA SECURITE DU PATRIMOINE NUMERIQUE, Le Patrimoine informationnel Menaces & Conséquences Responsabilité du Chef d Entreprise Comment répondre aux

Plus en détail

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015 Manuel Qualité Auteur : Françoise NICOLAS, Responsable Qualité Approuvé par : Michel ROUVELLAT, Président Dernière date de mise à jour : 01 avril 2015 CIS Valley Manuel Qualité- MAQ_V08 page 1/16 Engagement

Plus en détail

Les Tiers de Confiance

Les Tiers de Confiance ANR LISE - ADIJ Preuve informatique : quelles nouveautés techniques pour quelles évolutions juridiques? Bibliothèque de l Ordre, Paris, 8 décembre 2011 Les Tiers de Confiance Eric A. CAPRIOLI Avocat à

Plus en détail

L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i n f r a m e, un b e s o i n c r u c i a l

L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i n f r a m e, un b e s o i n c r u c i a l Siège social : 5 Speen Street Framingham, MA 01701, É.-U. T.508.872.8200 F.508.935.4015 www.idc.com L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i

Plus en détail

ITIL Gestion de la continuité des services informatiques

ITIL Gestion de la continuité des services informatiques ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Leader de l Actuariat Conseil et de la Gestion des Risques

Leader de l Actuariat Conseil et de la Gestion des Risques Leader de l Actuariat Conseil et de la Gestion des Risques Optimind Winter respecte les meilleurs standards européens sur l ensemble des expertises associées à la chaîne des risques des organismes assureurs,

Plus en détail

Dossier Solution - Virtualisation CA arcserve Unified Data Protection

Dossier Solution - Virtualisation CA arcserve Unified Data Protection Dossier Solution - Virtualisation CA arcserve Unified Data Protection La virtualisation des serveurs et des postes de travail est devenue omniprésente dans la plupart des organisations, et pas seulement

Plus en détail

PERSPECTIVES DES TECHNOLOGIES INFORMATIQUES

PERSPECTIVES DES TECHNOLOGIES INFORMATIQUES PERSPECTIVES DES TECHNOLOGIES INFORMATIQUES Le futur de la Direction des Systèmes d Information à 3 ans Objectifs JEMM Vision propose un séminaire intitulé Perspectives des technologies informatiques Le

Plus en détail

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation) Panorama de l'évolution du cloud et des Datacenters ; La sécurité dans les domaines d'orchestration (cloud et virtualisation) Eric Deronzier (YSOSECURE) Rémi Grivel (SynAApS) 1 L évolution des usages TIC

Plus en détail

Le Plan de Continuité d Activité (PCA / BCP)

Le Plan de Continuité d Activité (PCA / BCP) Le Plan de Continuité d Activité (PCA / BCP) Comment le mettre en œuvre et vérifier qu il restera opérationnel? Bruno KEROUANTON RSSI Clear Channel France - CISSP 16 juin 2004 - Paris Introduction, définitions

Plus en détail

de vue MANAGEMENT ET GESTION DES HOMMES Le rôle de la DRH dans la conduite du changement

de vue MANAGEMENT ET GESTION DES HOMMES Le rôle de la DRH dans la conduite du changement point de vue MANAGEMENT ET GESTION DES HOMMES Le rôle de la DRH dans la conduite du changement La conduite du changement est une dimension essentielle de tout grand projet de transformation des entreprises.

Plus en détail

Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC

Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC Sommaire Résumé analytique.... 3 L improbable n a jamais été aussi probable....

Plus en détail

Quel logiciel DE CRM choisir pour votre force de vente terrain?

Quel logiciel DE CRM choisir pour votre force de vente terrain? Quel logiciel DE CRM choisir pour votre force de vente terrain? plusieurs études démontrent que les projets CRM sont des échecs dans 40 à 80% des cas. Les principales causes d échec sont : Le rejet par

Plus en détail

agility made possible

agility made possible DOSSIER SOLUTION Flexibilité et choix dans la gestion d infrastructure Le SI peut-il répondre aux attentes métier face à la complexité croissante des infrastructures et aux importantes contraintes en termes

Plus en détail

PROTÉGER VOS BASES DE DONNÉES

PROTÉGER VOS BASES DE DONNÉES PRÉVENTION by HISCOX DATA RISKS PROTÉGER VOS BASES DE DONNÉES Préambule La base de données est défi nie par l article L.112-3 du Code de la propriété intellectuelle comme un recueil d œuvres, de données

Plus en détail

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique Les outils «cloud» dédiés aux juristes d entreprises Cadre juridique Présenté par Béatrice Delmas-Linel et Céline Mutz Cabinet De Gaulle Fleurance & Associés 29 juin 2012 1 Introduction La dématérialisation

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

ANALYSE D UN SYSTEME D INFORMATION MES

ANALYSE D UN SYSTEME D INFORMATION MES FC M1 Management 2012/2013 Projet individuel ANALYSE D UN SYSTEME D INFORMATION MES (Manufacturing Execution System) FC M1 Management 2012_2013 / SYSTEMES D INFORMATION / ANALYSE D UN SYSTEME D INFORMATION

Plus en détail

QU EST CE QUE LE CLOUD COMPUTING?

QU EST CE QUE LE CLOUD COMPUTING? En France, on parle plus volontiers d «informatique en nuage» 1 pour décrire ce concept. Apparu au début des années 2000, le cloud computing constitue une évolution majeure de l informatique d entreprise,

Plus en détail

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine

Plus en détail

Sommaire. A la une...2-3. Témoignage client...4. Prochain rendez-vous...6. Syselcom : l actu...7. Contact Us

Sommaire. A la une...2-3. Témoignage client...4. Prochain rendez-vous...6. Syselcom : l actu...7. Contact Us Sommaire A la une...2-3 ¾ L évolution du Cloud Computing et ses défis Témoignage client...4 ¾ OneSolutions SA Les événements SyselCloud...5 ¾ RoadShow SolvAxis - SyselCloud Prochain rendez-vous...6 ¾ SyselCloud

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014 ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing

Plus en détail

Déroulé explicatif Matinales du 16 juin

Déroulé explicatif Matinales du 16 juin Déroulé explicatif Matinales du 16 juin Thème : Saas et Cloud computing : menace ou opportunité? Date : mercredi 16 juin Lieu : Le Cube, centre de création numérique / www.lecube.com Elles s appellent

Plus en détail

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France Sommaire Cloud Computing Retours sur quelques notions Quelques chiffres Offre e need e need Services e need Store

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

UNIFIED. Nouvelle génération d'architecture unifiée pour la protection des données D TA. dans des environnements virtuels et physiques PROTECTION

UNIFIED. Nouvelle génération d'architecture unifiée pour la protection des données D TA. dans des environnements virtuels et physiques PROTECTION UNIFIED Nouvelle génération d'architecture unifiée pour la protection des données D TA dans des environnements virtuels et physiques PROTECTION Unified Data protection DOSSIER SOLUTION CA arcserve UDP

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

La responsabilité sociétale de l entreprise numérique

La responsabilité sociétale de l entreprise numérique La responsabilité sociétale de l entreprise numérique Comme toute organisation, l entreprise numérique génère des attentes fortes en matière de responsabilité sociale, environnementale et de respect des

Plus en détail

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr www.lexsi.fr AUDIT CONSEIL CYBERSÉCURITÉ FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN CYBERSÉCURITÉ / PARIS LYON LILLE MONTREAL SINGAPOUR www.lexsi.fr SERVICES LEXSI est actif à l international

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

Les tendances de la dématérialisation et les besoins des Entreprises

Les tendances de la dématérialisation et les besoins des Entreprises Les tendances de la dématérialisation et les besoins des Entreprises N. Naffah, Directeur Général Prologue De plus en plus, nous constatons l étendue de l usage du numérique dans la vie quotidienne du

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients

La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients n 31 La Lettre Sécurité Édito Cybersécurité, l État investit! Pourquoi les entreprises n en font-elles pas autant? L État prend actuellement à bras le corps le sujet de la cybersécurité. La loi de programmation

Plus en détail

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés Livre blanc La sécurité de nouvelle génération pour les datacenters virtualisés Introduction Ces dernières années, la virtualisation est devenue progressivement un élément stratégique clé pour le secteur

Plus en détail

Comment formaliser une offre Cloud Computing vendable?

Comment formaliser une offre Cloud Computing vendable? Comment formaliser une offre Cloud Computing vendable? Thierry VONFELT Directeur activité SaaS & Infogérance Tel : 03 88 87 86 80 Mobile : 06 75 65 10 78 - Thierry.Vonfelt@esdi.fr Formaliser une offre

Plus en détail

UNIFIED D TA. architecture nouvelle génération pour une restauration garantie (assured recovery ) que les données soient sur site ou dans le cloud

UNIFIED D TA. architecture nouvelle génération pour une restauration garantie (assured recovery ) que les données soient sur site ou dans le cloud UNIFIED architecture nouvelle génération pour une restauration garantie (assured recovery ) D TA que les données soient sur site ou dans le cloud PROTECTION FOURNISSEURS DE SERVICES GÉRÉS DOSSIER SOLUTION

Plus en détail

La dimension humaine du changement

La dimension humaine du changement La dimension humaine du changement Un triptyque indissociable : Responsabilité Engagement Performance Créateur de performance La dimension humaine du changement et les défis de l entreprise Gérer une forte

Plus en détail

D e s c o n s u l t a n t s à v o t r e é c o u t e www. luteams.fr

D e s c o n s u l t a n t s à v o t r e é c o u t e www. luteams.fr D e s c o n s u l t a n t s à vo t re é c o u t e Blue 0821 Présentation Blute@ms Group, créée en 2008, est composée de 3 filiales : Direction de Projets AMOE / AMOA EDI & Flux Développements applicatifs

Plus en détail

La force du partenariat

La force du partenariat La force du partenariat Bienvenue Solutions en informatique de virtualisation et de Cloud Computing leader sur le marché, programmes primés, rentabilité maximale En rejoignant le réseau de partenaires

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

ZOOM SUR. le métier du SFE. N 5 Janvier 2012. Un nouveau regard sur la stratégie opérationnelle de l industrie pharmaceutique

ZOOM SUR. le métier du SFE. N 5 Janvier 2012. Un nouveau regard sur la stratégie opérationnelle de l industrie pharmaceutique Un nouveau regard sur la stratégie opérationnelle de l industrie pharmaceutique N 5 Janvier 2012 Prochain numéro Mai 2012 ZOOM SUR le métier du SFE Magazine réalisé par l équipe de consultants du cabinet

Plus en détail

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.

Plus en détail

ACCOMPAGNEMENT VERS LE CLOUD COMPUTING BIENVENUE

ACCOMPAGNEMENT VERS LE CLOUD COMPUTING BIENVENUE ACCOMPAGNEMENT VERS LE CLOUD COMPUTING BIENVENUE 16 mai 2014 ANIMATEURS OPTIM Ressources/OPTANCE management Yves COUGOUILLE Olivier BARBELET BABOLAT Jean-Marc ZIMMERMANN COMAXESS groupe QUADIX Patrick

Plus en détail