La Lettre Sécurité. ISO : un nouvel élan pour la continuité d activité. Édito. n 26

Dimension: px
Commencer à balayer dès la page:

Download "La Lettre Sécurité. ISO 22301 : un nouvel élan pour la continuité d activité. Édito. n 26"

Transcription

1 n 26 La Lettre Sécurité Édito Du décryptage des nouvelles tendances Dans notre société d innovation, pas un mois ne passe sans apporter son lot de nouveautés technologiques et d usages. Le secteur IT impose de comprendre ces tendances - car nul doute que certaines d entre elles deviendront des évolutions à accompagner. La récente actualité a en ce sens été riche ; il nous a semblé intéressant de revenir sur les buzzwords qui agitent et agiteront le monde de la sécurité et de la gestion des risques dans les mois à venir. En premier lieu, saluons la naissance de la norme ISO qui met en avant le concept de système de management de la continuité continuité et s inscrit dans les meilleures pratiques de gouvernance. Autres tendances, autres enjeux : le Big data et la protection de l information, la gamification ou l application des principes du jeu pour mieux sensibiliser et finalement le Recovery-as-a-service permettant l usage du cloud pour construire son PCA de manière plus souple et plus rentable. Le sujet de la dématérialisation revient également sur le devant de la scène avec une volonté européenne de le promouvoir à grande échelle. En attendant de savoir lequel de ces sujets fera votre actualité, nous vous souhaitons un bon été! Gérôme BILLOIS Manager au sein de la practice Sécurité & risk management, cabinet Solucom ISO : un nouvel élan pour la continuité d activité La norme ISO «Sécurité sociétale - État de préparation et systèmes de gestion de la continuité - Exigences» a été publiée le 5 juin Elle était très attendue par les responsables de la continuité d activité et les risk managers. Il existe déjà de nombreux standards édités par des organismes nationaux sur le sujet de la continuité (BPZ 74/700 de l AFNOR en France, NFPA 1600 aux États-Unis, etc.), mais l ISO est le nouveau et seul standard international en la matière. S aligner sur ses recommandations, c est inscrire les Plans de Continuité d Activité (PCA) dans un véritable cycle de vie, et réussir, audelà de l avancement des actions relatives à sa construction, son maintien en condition opérationnelle! Une norme nécessaire pour appuyer les investissements liés à la mise en place d un PCA? La norme met en lumière les bonnes pratiques des PCA mais surtout elle les rend cohérentes les unes par rapport aux autres et elle les légitime grâce à son coté international. Par exemple, l un des points structurants de la norme est de saisir les besoins de l organisation par la conduite d un Bilan d Impact sur l Activité ou Business Impact Analysis (BIA). Cette étape consiste en l identification des activités clés, l analyse de l impact d une indisponibilité, et donc la priorisation des efforts à mener pour se focaliser sur les véritables enjeux, ceux définis par le Top Management. Par ailleurs, l analyse de risques, telle que requise par le standard, permet de s interroger sur les risques à traiter et de mobiliser le management autour de menaces réelles. Quels risques doivent être couverts, et lesquels sont acceptables ou évitables? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent être envisagées? Ces éléments doivent être validés par le management. Si les BIA ont généralement déjà été effectués dans les organisations, la réflexion autour des risques est la nouveauté principale que peut apporter la norme dans la façon d aborder les PCA. Ceux-ci traitent aujourd hui quelques catégories de sinistres majeurs (incendie, inondation, panne électrique, etc.), mais comment peuvent-ils être utilisés pour traiter de nouveaux risques? Un exemple? Les cyberattaques doivent-elles être considérées dans le cadre d un PCA? Les synergies sont en effet nombreuses : processus de gestion de crise, communication, etc. Suite en page 2 DÉCRYPTAGES P3 La gamification : une solution pour sensibiliser la génération Y? P5 Recovery-as-a-service : une révolution pour le secours informatique?

2 Décryptage Mais c est aussi un risque dont le traitement dépasse la problématique de la continuité. BIA et analyse de risques sont donc des exercices d argumentation des coûts qui doivent être vus également comme un axe d optimisation des investissements! Une fois ces investissements consentis par le Management, l enjeu est d en prouver l efficacité Inscrire le PCA dans la durée... Le cœur de la norme consiste à mettre en place un Système de Management de la Continuité d Activité, le fameux SMCA. Il s agit d évaluer régulièrement les dispositifs en place pour les faire progresser au quotidien. Il s agit de répondre à la question «les processus sont-ils fonctionnels et sont-ils efficace?». La norme est bien explicite sur ce point, l évaluation de la performance doit porter sur «la pertinence, l adéquation, et l efficacité» des procédures du PCA.... jusqu à la certification? L alignement peut aisément s imposer comme une évidence pour tout responsable des risques ou de la continuité d activité. En effet, il offre ainsi la garantie d appliquer les bonnes pratiques internationales et par là même valide un certain niveau de qualité. L émergence de cette nouvelle norme ISO amène une reconnaissance internationale au SMCA, et pourra ainsi susciter un intérêt pour la certification. Certifier un périmètre opportun peut être un élément différenciant sur le marché lorsque la continuité est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises à une réglementation, cette certification peut prouver de manière formelle la réponse aux obligations en vigueur. Un des axes de mesure est la conduite des tests et exercices. Cette bonne pratique est d ailleurs d ores et déjà intégrée aux dispositifs mis en œuvre dans le cadre des PCA. Mais au-delà de l analyse des exercices et des plans de tests, s aligner à la norme nécessite de s interroger sur les revues à conduire, d analyser les incidents et d évaluer la performance des solutions. Ainsi la norme motive la mise en place des principes qui permettent d argumenter, mais aussi de pérenniser les investissements réalisés autour des PCA, en cherchant une amélioration continue de son efficience. Amal Boutayeb, consultante senior 2 La Lettre Sécurité N 26 Juillet 2012

3 La gamification : une solution pour sensibiliser la génération Y? Marion Couturier, consultante senior La sensibilisation des utilisateurs est un chantier incontournable du RSSI : sans l adhésion et la collaboration des utilisateurs, les stratégies de sécurisation de l information et des SI restent partielles et inefficaces. Les campagnes de sensibilisation, qui constituent un moyen essentiel pour traiter ce facteur humain, sont donc aujourd hui largement répandues en entreprise. Mais elles souffrent d un certain nombre de limites! Un nouvel enjeu pour la sensibilisation à la sécurité de l information : la génération Y pousse la porte des entreprises La sensibilisation n est pas un chantier sur lequel on peut se reposer une fois la première campagne achevée! Comme toute campagne de prévention, des «piqûres de rappel» doivent être faites régulièrement, en variant la manière de communiquer pour assurer l assimilation des messages dans la durée sans provoquer de lassitude. leur vie personnelle. Leurs usages exposent largement les informations qu ils manipulent : données personnelles, mais aussi professionnelles! Et selon le Connected World Technology report de Cisco, 70% des jeunes employés admettent ne pas respecter les politiques de sécurité bien qu ils en aient connaissance. Plus exigeants que les générations X et baby-boomers, ils sont moins réceptifs à des campagnes de communication traditionnelles que leur aînés sur des sujets avec lesquels ils se sentent familiers et ont encore plus besoin d être convaincus et motivés. La gamification pour renforcer l engagement et la motivation des collaborateurs Face à ce nouvel enjeu, il est nécessaire de diversifier les méthodes et outils de sensibilisation pour assurer leur efficacité. La gamification, phénomène récent, apparaît comme un nouvel outil prometteur pour laquelle de plus en plus d éditeurs (Bunchball, Badgeville, Gamify ) proposent des solutions. Elle a pour principe l application des mécanismes et de la dynamique du jeu à des activités non ludiques : points, niveaux, badges, challenges, statuts sont utilisés pour engager les gens, déclencher la motivation et changer les comportements (par exemple dans le domaine de la protection des données) Initialement utilisée auprès des clients à des fins marketing (Flying Blue, Accor, Starbucks ) ou communautaires (Foursquare, Farmville, Nike+ ), elle peut se transposer aisément au monde de l entreprise et être un outil puissant pour accompagner les campagnes de sensibilisation, conduire le changement ou encore améliorer les performances. Cette technique rencontre un vif succès auprès de la génération Y aux codes de laquelle elle répond par ses dimensions sociale, ludique et technologique. Lancer le challenge sécurité! Il n y a plus qu un pas à faire pour l adapter à la sécurité de l information en entreprise. En premier lieu, il s agit de cibler les utilisateurs et de définir les objectifs. Sur cette base, les compétences (savoir construire un mot de passe complexe ) et actions attendues (changer son mot de passe, suivre une formation, etc.) peuvent être formalisées avant de définir l univers et les mécanismes de jeu qui seront appliqués. C est là que résidera toute la dynamique de la démarche et l adhésion des utilisateurs, il est donc nécessaire de travailler soigneusement cette partie, pour laquelle les solutions du marché offrent de nombreuses possibilités! Par ailleurs, il est nécessaire de prendre en compte les nouveaux arrivants dans l entreprise, qui n ont pas reçu la sensibilisation initiale. Et il ne faut pas oublier que ces nouveaux arrivants sont majoritairement une population avec laquelle le niveau de risque pour la sécurité de l information augmente : la fameuse génération Y. Les digital natives, suréquipés, connectés en permanence, rendent de plus en plus perméable la frontière entre l entreprise et Juillet 2012 La Lettre Sécurité N 26 3

4 Dossier Décryptage Big data : se préparer pour éviter le «Big One» Gérôme Billois, manager Le «big One», c est le tremblement de terre tant redouté par la Californie, une catastrophe majeure qui mettrait à genou un État entier, et par rebond toucherait gravement les États-Unis en impactant son moteur d innovation et de productivité. Qu est ce que le Big data? Le Big data, c est la centralisation de l ensemble des données d une entreprise pour permettre la réalisation d analyses croisées poussées et multiples. Les métiers raffolent de ces concepts, qui ne sont pas si nouveaux, si l on se rappelle des années Business intelligence. Le Big data est donc une évolution de ces solutions et permet d aller plus loin, avec plus de données et de capacité d analyse, plus de rapidité et de simplicité d accès. De par leur rôle stratégique, central dans la prise de décision et pour l innovation, les données et les systèmes composant le Big data doivent être fortement protégés pour éviter le «Big One», l incident qui mettrait à terre le système et par conséquent aurait des impacts forts sur toute l entreprise! Au-delà du projet de transformation globale que représente l adoption du Big data, trois challenges s ouvrent aujourd hui pour la DSI, afin d éviter potentiellement ce «Big One» et tirer le maximum de cette innovation : adaptation, protection, et conformité. Adapter son SI, mais aussi ses équipes Le Big data change radicalement les habitudes de travail de la DSI. Les volumes incroyables de données manipulées nécessitent l emploi de technologies encore peu répandues (Hadoop, NoSQL ) et entraînent la refonte de nombreuses infrastructures de la DSI : réseau, hébergement, sauvegarde, etc. pour supporter la mise à l échelle du Big data. L erreur serait d en faire un chantier exclusivement technologique et de négliger l aspect organisationnel : les équipes de la DSI doivent accompagner ce mouvement afin d assurer la qualité de service et la disponibilité attendue pour ces systèmes clés. La centralisation des données : un risque supplémentaire? Le Big data c est aussi le nouvel eldorado de la fuite d information. Ce système a pour ambition de contenir en un seul lieu de stockage l ensemble des données stratégiques de l entreprise. Un atout pour l entreprise qui peut aussi être une faiblesse : centraliser ses données, cela revient d une certaine manière à en simplifier la localisation. Voilà qui intéresse forcément des groupes malveillants ou agissant pour des raisons idéologiques, tels que les Anonymous ou Wikileaks. La sécurisation et le contrôle des accès aux données est un vrai enjeu du Big data. Données sensibles : anticiper les contraintes réglementaires Conformité, car le Big data va contenir des données sensibles soumises à de nombreuses réglementations, par exemple dans le secteur bancaire ou la santé ou encore des données à caractère personnel. Des engagements clairs devront être pris pour éviter l effet Big Brother vis-à-vis du grand public et obtenir l aval des autorités de contrôle lors de la création de la base. Des mécanismes d isolation de données devront être mis en œuvre pour respecter les principes de séparation des pouvoirs et éviter tous les abus possibles. Ceci dès la mise en place, mais aussi lors des évolutions du Big data pour éviter toute interdiction du service ou fraude potentielle. L arrivée du «Goliath des données» doit donc être préparée, anticipée, avec une stratégie claire centrée avant tout sur les objectifs métiers, mais sans oublier les enjeux pour la DSI. Le Business intelligence a ouvert la voie, il s agit maintenant de se mettre en ordre de marche pour changer de dimension et embrasser au mieux les innovations du Big data! 4 La Lettre Sécurité N 26 Juillet 2012

5 Décryptage Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique? Quel est l intérêt de passer au RaaS? L utilisation du RaaS résulte avant tout d un choix économique. Sur le papier, le secours paraît adapté au modèle de facturation du cloud (pas de sinistre => allocation limitée de ressources => coût d utilisation réduit), alors qu un secours traditionnel implique de stocker, héberger et faire évoluer des infrastructures, des serveurs et des applications sur un site de secours. Néanmoins, deux cas d usage du RaaS émergent pour les organisations concernées : la couverture des applications virtualisées ou éligibles à la virtualisation à coût optimisé, l extension du secours à des périmètres qui n auraient pas pu être intégrés au Plan de Continuité Informatique (PCI) de l organisation, pour une meilleure couverture au meilleur coût. Mickaël Avoledo, consultant Non contents d avoir déjà décliné une bonne partie des lettres de l alphabet à la sauce «As a Service», les fournisseurs de service en ont trouvé un nouveau : le Recovery-asa-Service ou RaaS 1. Arrivées fin 2009 aux États-Unis par le biais de startups, les offres RaaS y sont désormais proposées par les principaux acteurs de la continuité informatique, Sungard Availability Services et IBM BC&RS en tête. Alors le RaaS, révolution ou pas? Le RaaS : fer de lance des Cloud Recovery Services Comme pour beaucoup de ce qui tourne autour du cloud, il est parfois difficile de donner une définition, tant une même appellation peut cacher des offres différentes. Nous utiliserons la définition suivante : «Cloud Recovery Service : secours d un système d information sur une infrastructure virtualisée, hébergée par un tiers, disponible à la demande et facturée à l utilisation». L éventail des possibilités est très large : d une sauvegarde externalisée des données critiques en mode cloud (Backupas-a-Service) en passant par la construction par le client lui-même de son secours sur la base d une prestation de type «IaaS 2» jusqu à une offre complètement managée intégrant le suivi du SI nominal et des mécanismes de bascule planifiés. C est ce type de prestations que l on retrouve sous l appellation Recovery-as-a-Service. Mais à y regarder de plus près, les économies ne sont pas toujours au rendez-vous et varient en fonction des applications. Si certaines d entre elles, peu consommatrices de données, sont les candidates idéales pour le RaaS (des études indépendantes font état d environ 80% d économies 3 ), le ROI pour les applications plus lourdes et / ou pour lesquelles les exigences de continuité sont plus fortes s avère discutable. En effet, plus les RTO (Recovery Time Objectives) et RPO (Recovery Point Objectives) seront exigeants, plus le niveau de service devra être élevé (allocation renforcée de ressources, mécanismes de réplication des données site-àsite, etc.) entraînant une envolée des coûts. Le RaaS s assimile, pour l instant, au mieux à du warm recovery. En effet, il est illusoire de penser que les solutions proposées permettront de la haute-disponibilité : délais d activation, délais relatifs aux opérations de bascule notamment au niveau du réseau, délais de restauration en cas de corruption des données, etc. En outre, le RaaS repose sur des mécanismes de virtualisation de serveurs (le plus souvent restreints aux architectures Intel x86), que ne supportent pas tous les progiciels du marché, a fortiori les applications propriétaires. Ainsi, le fait de vouloir tirer pleinement parti de la compétitivité économique du RaaS tout en répondant aux besoins métiers réduit son utilisation à une certaine catégorie d applications. Ce faisant, il cantonne le RaaS à un rôle de solution complémentaire, ce qui peut devenir une source de complexité, du fait de la cohabitation de deux SI de secours. A qui s adressent les offres RaaS? Étant donné son modèle économique et sa structure technique, le RaaS semble plus adapté aux moyennes structures et notamment à celles qui ont opéré la virtualisation de leur SI. Les études prospectives 4 le montrent : ce sont elles qui tireront la croissance de ce marché dans les prochaines années. Le RaaS : une offre mature? Comme pour nombre de cloud services, le RaaS n a pas encore atteint sa maturité : en témoigne le foisonnement des offres et des prestataires. Au-delà des acteurs historiques de la continuité informatique se positionnent des pure players des cloud recovery services et de plus en plus des hébergeurs informatiques. En termes de couverture de risques, il doit faire ses preuves. Concrètement les infrastructures dévolues au RaaS reposent sur encore peu de datacenters. Le client qui souhaitera se prémunir de sinistres affectant des zones géographiques particulières (ou étendues) devra se rapprocher du fournisseur de service RaaS qui l intéresse pour vérifier que son ou ses sites ne sont pas exposés aux mêmes risques. En France, le marché reste jeune et sans retour d expérience significatif de déploiement. Les grands offreurs français s appuient sur les infrastructures anglo-saxonnes ou nord-américaines de leur maison-mère. Reste donc aux acteurs à démontrer la pertinence de leurs offres, en particulier sur la gamme des services managés, probablement les plus recherchés par les DSI. 1 On rencontre également l acronyme DRaaS (Disaster Recovery-as-a-Service) 2 IaaS : Infrastructure-as-a-Service 3 Disaster Recovery as a Cloud Service : Economic Benefits & Deployment Challenges 4 «Gartner Says 30 Percent of Midsize Companies Will Use Recovery-as-a-Service by 2014» Juillet 2012 La Lettre Sécurité N 26 5

6 Décryptage Dématérialisation : vers une gestion sécurisée de la preuve numérique? Johan Le Billan, consultant La confiance numérique continue à faire parler d elle et s invite à la Commission Européenne. En effet, l Union Européenne a récemment décider d harmoniser ses pratiques en matière de signature électronique par la mise en place de cross-border signature. Si la signature électronique conquiert peu à peu ses lettres de noblesse, les tenants et aboutissants d un de ses usages clés, l archivage à valeur probante, sont encore à éclairer. Aujourd hui, la dématérialisation des documents et des processus est ancrée dans les projets de transformation des SI et représente une véritable priorité pour les DSI. L archivage électronique à valeur probante ou «légal» se distingue de l archivage «classique» par sa capacité à authentifier de manière absolue des documents. Il permet d utiliser ces documents nativement numériques comme preuves dans le cadre de procédures pénales ou administratives. Mais à quels besoins de sécurité répond la mise en place d un tel système d archivage? Quelles sont les réponses techniques pour construire cette gestion de la preuve numérique? Deux piliers de l archivage : garantir la pérennité et l intégrité des données de l entreprise Encadré par le Code civil et le Code du commerce, l archivage des documents est un devoir pour les entreprises françaises. Pour respecter le droit à l oubli imposé par la CNIL, la durée de conservation des documents est limitée dans le temps et varie en fonction de leurs valeurs administratives. Confronté à ces longues durées, il est donc nécessaire de conserver ces documents sous un format pérenne (XML, PDF/A, etc.) dans un Système d Archivage Électronique (SAE). Durant toute la durée de conservation, le SAE doit également garantir l intégrité des documents par un stockage fidèle, sans altération ni destruction (ou modification) possible. Vous l avez compris, c est la signature électronique qui permet de répondre à ce besoin. Signature électronique et horodatage deux réponses techniques à la gestion de la preuve numérique L article 1316 du Code civil (13/03/2000) stipule que «l écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane». Pour répondre à ces besoins d authenticité et de traçabilité, les solutions techniques retenues par les SAE à valeur probante sont respectivement : la signature électronique, préférée à un stockage sur support physique WORM (Write Once Read Many) ; l utilisation de contremarques de temps signées : les jetons d horodatage. L archivage d un document dans ces SAE consiste donc à signer électroniquement ce document d une part et d y apposer un jeton d horodatage d autre part. Ainsi, la signature permet de garantir l intégrité du document mais aussi l identité de la personne ayant réalisé l ar chivage. Le jeton, quant à lui, permet d attester la date à laquelle a eu lieu l archivage. Un cadre normatif : la NF Z La norme NFZ est le référentiel pour tous acteurs du marché, intégrateurs comme fournisseurs en mode SaaS. Cette dernière, très contraignante, spécifie les mesures techniques et organisationnelles à respecter pour concevoir et mettre à disposition un SAE à valeur probante. Cette norme met notamment en exergue la méthodologie à suivre pour un projet : de la création d une politique d archivage aux réponses techniques. En France, les solutions du marché des SAE à valeur probante sont arrivées à maturité et les projets d archivage sont florissants depuis Catalysés par les institutions publiques qui montrent l exemple et le boom de la dématérialisation, le secteur privé a emboité le pas permettant ainsi de se conformer au cadre réglementaire en vigueur, mais aussi d optimiser leurs processus et de réaliser des économies. Ce respect du cadre réglementaire, à l échelle nationale (et bientôt à l échelle européenne?) n est pas le seul facteur clé de réussite d un projet d archivage. Il est tout aussi crucial d impliquer les responsables métiers dès la ligne de départ et d anticiper la peur du changement utilisateurs lors de la prise en main de l outil. Une fois ces éléments en tête, il ne reste plus qu à se lancer. 6 La Lettre Sécurité N 26 Juillet 2012

7 Témoignage Quelle perception du risque dans la société? Patrick Peretti - Wattel Sociologue du risque, INSERM Agrégé en sciences sociales, Patrick Peretti- Watel est docteur en sociologie du risque et statisticien. Il a écrit de nombreux ouvrages sur le risque dans la société et a présenté, lors de l Atelier Solucom, son point de vue sur cette thématique au cœur de nos préoccupations. Dans un monde moins dangereux mais plus risqué, quel comportement adoptet-on face au risque? Alors que notre monde est de moins en moins dangereux, nous avons aujourd hui le sentiment de vivre dans un monde de plus en plus risqué. Risques alimentaires, écologiques, technologiques, financiers, métiers à risques, populations à risques, etc. Le risque est omniprésent et sans cesse mis sur le devant de la scène médiatique. Pour paraphraser le philosophe François Ewald, rien n est en soi un risque, mais tout peut en devenir un. Le risque est plus une façon d appréhender le réel, associée à une volonté de maîtriser l avenir. Cette «mise en risque» progressive du monde est justement ce qui caractérise l histoire du 20 ème siècle. Erving Goffman, sociologue américain, remarquait que les hommes, comme les animaux, oscillent en permanence entre deux états d activité, la veille et l alarme, passant de l un à l autre lorsqu un signal attire leur attention sur un danger dans leur environnement. Pour lui, certains individus sont plus sensibles que d autres à ces signaux et plus prompts à réagir. On pourrait dire que l homme moderne possède les aptitudes perceptives d une biche, toujours prête à s effrayer, mais la réactivité d une vache, lente à se mobiliser. Évidemment, ce décalage est anxiogène! Pourquoi les hommes ressentent-ils le besoin d atteindre le risque zéro? La «mise en risque» progressive du monde a été au 20 ème siècle corrélative d une nouvelle utopie : celle du risque zéro. L expansion continue du risque est portée par un espoir qui peut sembler rétrospectivement un peu naïf : on a longtemps pensé que la science, grâce aux techniques du risque, allait parvenir à éradiquer certains dangers pour nous garantir une sécurité totale. Cependant, les experts ont dû admettre que le risque nul n existe pas, que certains risques sont rémanents, que d autres sont concurrents, et que la réduction des uns peut renforcer les autres. Ces dernières décennies ont également été marquées par ce que l on appelle le principe de précaution qui, dans une certaine mesure, marque une forme de retour à l utopie du risque zéro. Ce principe implique que «l absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l environnement à un coût économiquement acceptable». Aujourd hui est fait un usage galvaudé de ce principe de précaution, ce dernier se transformant en principe d abstention. Il est invoqué à tort et à travers, passe outre les garde-fous posés par la loi, qui fait seulement mention des risques «graves et irréversibles» et n envisage que des mesures «proportionnées», à un coût «économiquement acceptable». Sans ces restrictions de bon sens, ce principe conduit à toujours envisager le pire, et à payer très cher pour viser un «risque zéro» hors d atteinte. Pourquoi le risque zéro est-il utopique et incongru? L intrusion du facteur humain est une des explications de l échec de l utopie du risque zéro. Selon la théorie du risque homéostatique, les individus ne recherchent pas forcément le risque zéro, ils sont même prêts à s exposer à un certain niveau de risque qu ils jugent «acceptable», pour en retirer un bénéfice. Plus généralement, les experts de la sécurité ont souvent tendance à se focaliser sur le risque qu ils ont à gérer, et peinent à se rendre compte que les individus qui sont exposés à ce risque peuvent très bien avoir d autres contraintes, d autres risques. Par ailleurs, ces experts doivent prendre en compte le phénomène de déni du risque qui peut être redoutable. Le déni du risque s appuie souvent sur une stratégie de «bouc émissaire», qui consiste à mettre un risque à distance en estimant que ce risque ne concerne qu une catégorie d individus bien particulière, à laquelle on n appartient pas soi-même. Aujourd hui, la gestion d un risque, dans la société comme au sein d une entreprise, implique au moins deux dimensions interdépendantes. D abord une dimension technique, qui doit déterminer les coûts et les bénéfices attendus, ainsi que le degré d acceptabilité du risque. Ensuite une dimension humaine, qui implique un dialogue avec les personnes concernées, et en particulier, au sein d une entreprise, avec les salariés, avec les métiers, pour que leurs points de vue, leurs besoins et leurs objectifs propres soient pris en compte. Juillet 2012 La Lettre Sécurité N 26 7

8 L actualité Solucom Événements Actualités Solucom OSSIR (11 septembre 2011) Les imprimantes sont un vecteur de risque peu connu et peuvent, outre l atteinte à la confidentialité, permettre à un attaquant dans certains cas de compromettre le SI de l entreprise. La conférence abordera les failles les plus connues de ces systèmes (capture d information, rejeu, accès réseau, rebond, etc.) et les différentes manières de les corriger (impression authentifiée, configuration avancée, protection contre les attaques physiques,etc.). Présentation par Ary KOKOS et Vincent NGUYEN Plus d informations : Assises de la Sécurité - SecApp : réussir la transition vers la sécurité applicative (4 octobre 2012) La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes. Les équipes sécurité, historiquement centrées sur la protection des infrastructures, sont souvent éloignées des problématiques des études, des chefs de projet applicatifs et des développeurs. Les initiatives de sécurisation se multiplient (méthodes de développement, gestion des identités, analyses de risques projets, web application firewall, chiffrement des bases, tests et recettes, etc.) mais montrent rapidement leurs limites du fait de cette distance et des incompréhensions qui en découlent. Comment alors réussir la transition vers une sécurité applicative réelle et efficace? Quelle organisation mettre en place et où la rattacher? Comment l outiller? Ce que nous pouvons d ores et déjà affirmer : 2013 sera l année de la sécurité applicative! Cet atelier sera l occasion de revenir sur les enjeux de la sécurité applicative, sa concrétisation dans les DSI et avec les métiers et de projeter les évolutions d organisation nécessaires. 2011/12, des résultats annuels conformes aux objectifs Le retour à la croissance des effectifs en cours d année et l intensification de l effort commercial ont permis au cabinet de terminer l exercice en croissance organique soutenue et de compenser ainsi le recul de 4% de l activité au 1 er semestre. Sur l ensemble de l année, le chiffre d affaires s est ainsi établi à 108,1 millions d euros, stable par rapport à l exercice précédent. Les effectifs au 31 mars sont de 992 collaborateurs. Présentation par Gérôme BILLOIS et Matthieu GARIN Plus d informations : Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Mickaël Avoledo, Gérôme Billois, Amal Boutayeb, Marion Couturier, Johan Le Billan, Patrick Peretti-Watel. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense abonnement :

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Recovery as a Service

Recovery as a Service Recovery as a Service Quand le Cloud Computing vole au secours des entreprises Membres du groupe : KIRCHHOFER Nicolas BUISSON Marc DJIBRINE Rayanatou DUVAL Fabien JOUBERT Yohan PAQUET Jérôme 1 Coachés

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Les ressources numériques

Les ressources numériques Les ressources numériques Les ressources numériques sont diverses et regroupent entre autres, les applications, les bases de données et les infrastructures informatiques. C est un ensemble de ressources

Plus en détail

La Gestion Electronique des Documents

La Gestion Electronique des Documents La Gestion Electronique des Documents La mise en place d une solution La gestion de l information est devenue un enjeu stratégique majeur à l intérieur des organisations. D après l observation des projets

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Big Data : se préparer au Big Bang

Big Data : se préparer au Big Bang Big Data : se préparer au Big Bang Initialement confinées au cœur des moteurs de recherche et des réseaux sociaux, les technologies du Big Data s'exportent désormais avec succès dans de nombreux secteurs

Plus en détail

La Continuité des Activités

La Continuité des Activités Caroline Fabre- Offering Manager BC&RS Ikbal Ltaief Consulting Manager BC&RS La Continuité des Activités Nouveaux enjeux, nouvelles technologies, nouvelles tendances Paris, le 9 juin 2010 Grandes entreprises

Plus en détail

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris Le 17 avril 2013 Pavillon Dauphine, Paris Le présent document est l analyse d ORSYP Consulting à la demande du CESIT. Nathan SROUR Principal +33 (0) 6 09 06 76 91 Nathan.Srour@orsyp.com Damien CONVERT

Plus en détail

Talents. 7 pratiques RH à la loupe. Performances. Mobilité. Evaluation. Numérique. Compétences. Réseaux sociaux. Engagement

Talents. 7 pratiques RH à la loupe. Performances. Mobilité. Evaluation. Numérique. Compétences. Réseaux sociaux. Engagement COLLECTION > PRATIQUES RH IN THE BUSINESS OF YOUR SUCCESS TM 7 pratiques RH à la loupe Indicateurs Analyses Expertises Perspectives Evaluation Business intelligence Formation Performances Masse salariale

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace Quatre indices pour identifier une intégration ERP inefficace 1 Table of Contents 3 Manque de centralisation 4 Manque de données en temps réel 6 Implémentations fastidieuses et manquant de souplesse 7

Plus en détail

Plan de Continuité d'activité

Plan de Continuité d'activité 9 juin 2010 Plan de Continuité d'activité Bâtir sa stratégie «Plan de Continuité Informatique» Plan de Continuité d Activité (PCA), Plan de Continuité Informatique (PCI) : les normes & les définitions

Plus en détail

Outsourcing : la sauvegarde en ligne des données de l entreprise.

Outsourcing : la sauvegarde en ligne des données de l entreprise. Outsourcing : la sauvegarde en ligne des données de l entreprise. Sur quels marchés votre entreprise de Sauvegarde en Ligne évolue t elle? Dans un contexte de montée en puissance de l insécurité, les solutions

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

I. LE PROJET DE RENOUVELLEMENT DES SUPPORTS D ARCHIVAGE ÉLECTRONIQUE

I. LE PROJET DE RENOUVELLEMENT DES SUPPORTS D ARCHIVAGE ÉLECTRONIQUE SUIVI D UN PROJET D ARCHIVAGE ÉLECTRONIQUE : LES DIFFICULTÉS D APPLICATION DU CADRE NORMATIF DANS LE MONDE BANCAIRE Le poste que j occupe au sein du service d archives du Crédit Lyonnais qui sont désormais

Plus en détail

Étude : les PME à l heure du Cloud

Étude : les PME à l heure du Cloud Étude : les PME à l heure du Cloud Synthèse des principaux enseignements 27 avril 2012 1 FICHE TECHNIQUE DE L ETUDE Echantillon : 301 entreprises de 20 à 499 salariés. Représentativité assurée par des

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR INTRODUCTION A la suite de grands scandales financiers qui ont ébranlés le monde des affaires, les instances législatives et réglementaires des Etats Unis ont remis

Plus en détail

n spécial Assises de la Sécurité 2009

n spécial Assises de la Sécurité 2009 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif

Plus en détail

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité :

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité : Fiche Pratique PRA - PCA Club des Responsables d Infrastructures et de Production L audit de la continuité d activité d un organisme La continuité d activité correspond à la capacité d un organisme (entreprise

Plus en détail

Mise en œuvre. Gestion de projet et conduite du changement. Denis MEINGAN Gilles BALMISSE. Préface de Alain CROZIER, Président de Microsoft France

Mise en œuvre. Gestion de projet et conduite du changement. Denis MEINGAN Gilles BALMISSE. Préface de Alain CROZIER, Président de Microsoft France Mise en œuvre d Office 365 Gestion de projet et conduite du changement Préface de Alain CROZIER, Président de Microsoft France Denis MEINGAN Gilles BALMISSE Table des matières 1 Préface Avant-propos Partie

Plus en détail

Regard sur hybridation et infogérance de production

Regard sur hybridation et infogérance de production Regard sur hybridation et infogérance de production Février 2014 édito «comment transformer l hybridation des infrastructures en levier de performances?» Les solutions d infrastructure connaissent depuis

Plus en détail

K alpa. Documents électroniques, recherchez l équivalence fonctionnelle. Conseils Billling Éditique LIVRE BLANC

K alpa. Documents électroniques, recherchez l équivalence fonctionnelle. Conseils Billling Éditique LIVRE BLANC K alpa Conseils Billling Éditique LIVRE BLANC Documents électroniques, recherchez l équivalence fonctionnelle. NOV. 2015 Introduction Publié il y a presque deux ans, en juillet 2014, la nouvelle réglementation

Plus en détail

Plan de Continuité d Activité, Plan de Reprise d Activité

Plan de Continuité d Activité, Plan de Reprise d Activité Plan de Continuité d Activité, Plan de Reprise d Activité Synthèse de la conférence thématique du CLUSIF du 10 avril 2014. Aujourd hui, toutes les entreprises et organisations, quel que soit leur secteur,

Plus en détail

Management des risques : plaidoyer pour une vision unifiée

Management des risques : plaidoyer pour une vision unifiée LES SYNTHÈSES SOLUCOM n o 42 Observatoire du management des systèmes d information Management des risques : plaidoyer pour une vision unifiée Management des risques : plaidoyer Le Sourcing pour une des

Plus en détail

Mise en œuvre d une DSI agile. Chi Minh BUI UNIPRÉVOYANCE

Mise en œuvre d une DSI agile. Chi Minh BUI UNIPRÉVOYANCE Mise en œuvre d une DSI agile Chi Minh BUI UNIPRÉVOYANCE INTRODUCTION Des problématiques similaires pour des enjeux identiques indépendamment de la taille de l organisation «David contre Goliath» RETOUR

Plus en détail

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine

Plus en détail

La virtualisation par Stéphane Dutot, Chef de produit de Internet Fr

La virtualisation par Stéphane Dutot, Chef de produit de Internet Fr Communiqué de Presse Massy, le 31 Mars 2009 La virtualisation par Stéphane Dutot, Chef de produit de Internet Fr Depuis quelques années, une nouvelle technologie révolutionne l informatique : la virtualisation.

Plus en détail

L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i n f r a m e, un b e s o i n c r u c i a l

L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i n f r a m e, un b e s o i n c r u c i a l Siège social : 5 Speen Street Framingham, MA 01701, É.-U. T.508.872.8200 F.508.935.4015 www.idc.com L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

HÉBERGEMENT INFORMATIQUE

HÉBERGEMENT INFORMATIQUE HÉBERGEMENT INFORMATIQUE Environnement dédié et sécurisé sur mesure Pour les clients exigeants Prix selon consommation Service sur mesure Environnement dédié Introduction L intérêt et l'utilisation du

Plus en détail

PANORAMA DES MENACES ET RISQUES POUR LE SI

PANORAMA DES MENACES ET RISQUES POUR LE SI PANORAMA DES MENACES ET RISQUES POUR LE SI LEXSI > CNIS EVENT CNIS EVENT 05/11/2013 SOMMAIRE Big Data Cloud Computing Virtualisation 2 BIG DATA Définition Chaque jour, 2,5 trillions d octets de données

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

Réalisation d un «Schéma Directeur Informatique»

Réalisation d un «Schéma Directeur Informatique» Réalisation d un «Schéma Directeur Informatique» Qu est ce qu un Schéma Directeur Informatique (SDI)? Un Schéma Directeur Informatique est un document conçu pour préparer l évolution et l adaptation de

Plus en détail

Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC

Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC Sommaire Résumé analytique.... 3 L improbable n a jamais été aussi probable....

Plus en détail

ITSM - Gestion des Services informatiques

ITSM - Gestion des Services informatiques Chapitre 1 - COMPRENDRE LE MARCHÉ ITSM - Gestion des Services informatiques Copyright 2011 CXP. 1 ITSM - Gestion des Services informatiques L'étude a été réalisée par : Dalila Souiah OBJECTIF DU DOCUMENT.

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

Les tendances de la dématérialisation et les besoins des Entreprises

Les tendances de la dématérialisation et les besoins des Entreprises Les tendances de la dématérialisation et les besoins des Entreprises N. Naffah, Directeur Général Prologue De plus en plus, nous constatons l étendue de l usage du numérique dans la vie quotidienne du

Plus en détail

Nos formations sont conçues pour vous permettre de gagner en autonomie sur ces thématiques au coeur de votre quotidien :

Nos formations sont conçues pour vous permettre de gagner en autonomie sur ces thématiques au coeur de votre quotidien : Nouvelles technologies, nouvelles pratiques, nouvelles normes dans un environnement de plus en plus complexe, se former pour maîtriser les concepts clés de l archivage physique, numérique et de la dématérialisation

Plus en détail

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. IBM Global Services Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. Les services d infrastructure et d intégration IBM Pour une infrastructure informatique qui participe

Plus en détail

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Faites évoluer vos ressources informatiques à la demande Choisissez la localisation d hébergement de vos données en Europe Le réseau européen

Plus en détail

Leader de l Actuariat Conseil et de la Gestion des Risques

Leader de l Actuariat Conseil et de la Gestion des Risques Leader de l Actuariat Conseil et de la Gestion des Risques Optimind Winter respecte les meilleurs standards européens sur l ensemble des expertises associées à la chaîne des risques des organismes assureurs,

Plus en détail

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA) TERMES DE REFERENCE Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA) TDR_Plan de Continuité de l Activité (PCA)

Plus en détail

Cloud Computing, discours marketing ou solution à vos problèmes?

Cloud Computing, discours marketing ou solution à vos problèmes? Cloud Computing, discours marketing ou solution à vos problèmes? Henri PORNON 3 avril 2012 IETI Consultants 17 boulevard des Etats-Unis - F-71000 Mâcon Tel : (0)3 85 21 91 91 - fax : (0)3 85 21 91 92-

Plus en détail

QU EST CE QUE LE CLOUD COMPUTING?

QU EST CE QUE LE CLOUD COMPUTING? En France, on parle plus volontiers d «informatique en nuage» 1 pour décrire ce concept. Apparu au début des années 2000, le cloud computing constitue une évolution majeure de l informatique d entreprise,

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 23 La Lettre Sécurité Édito L actualité sécurité récente et à venir s avère chargée : la cybercriminalité est sur toutes les lèvres, innovations technologiques et nouvelles réglementations obligent les

Plus en détail

l esprit libre www.thalesgroup.com/security-services

l esprit libre www.thalesgroup.com/security-services > L infogérance l esprit libre Ou comment contribuer à la performance de l entreprise en externalisant ses systèmes d information critiques www.thalesgroup.com/security-services >> PERFORMANCE ET INFOGERANCE

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 21 - Mars 2010 La Lettre Sécurité Édito Souvenez-vous : en 2007, Solucom publiait son premier Livre Blanc entièrement consacré à la famille de normes ISO 27000 et plus particulièrement à la norme ISO

Plus en détail

Naturellement SaaS. trésorier du futur. Livre blanc. Le futur des trésoriers d entreprise peut-il se concevoir sans le SaaS?

Naturellement SaaS. trésorier du futur. Livre blanc. Le futur des trésoriers d entreprise peut-il se concevoir sans le SaaS? trésorier du futur Le futur des trésoriers d entreprise peut-il se concevoir sans le SaaS? Le futur des trésoriers d entreprise peut-il se concevoir sans le SaaS? Sommaire 1 Le SaaS : du service avant

Plus en détail

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX

Plus en détail

ÉTUDE IT FOCUS. Enjeux et perspectives 2013 pour la DSI. En partenariat avec DÉCEMBRE 2012

ÉTUDE IT FOCUS. Enjeux et perspectives 2013 pour la DSI. En partenariat avec DÉCEMBRE 2012 DÉCEMBRE 2012 ÉTUDE IT FOCUS Enjeux et perspectives 2013 pour la DSI En partenariat avec SOMMAIRE INTRODUCTION IT FOCUS...4 MÉTHODOLOGIE...4 BUDGETS ET ORIENTATIONS...5 Disposez-vous d un budget qui vous

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles Mis en fo Ateliers Cloud Computing / ADIJ / [Atelier n 4 20 janvier 2011] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles Co-animés par Helle Frank Jul-Hansen, Béatrice

Plus en détail

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de 1 2 «Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de Copie, seules les références bibliographiques peuvent

Plus en détail

Outiller la mesure des engagements de service

Outiller la mesure des engagements de service Yphise optimise en Coût Valeur Risque l informatique d entreprise 1 Outiller la mesure des engagements de service Xavier Benmoussa Yphise yphise@yphise.com Tél. 01 44 59 93 00 - Fax 01 44 59 93 09 www.yphise.fr

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? DEVOPS et le déploiement d application Les Livres Blancs de MARTE Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? L alignement

Plus en détail

cycle supérieur de management de L inet master 2 management public territorial

cycle supérieur de management de L inet master 2 management public territorial cycle supérieur de management de L inet master 2 management public territorial INSTITUT NATIONAL DES ÉTUDES TERRITORIALES Conçu pour des cadres expérimentés, le cycle supérieur de management (CSM) vise

Plus en détail

Étude menée par Vanson Bourne Research

Étude menée par Vanson Bourne Research Étude menée par Vanson Bourne Research N o v e m b r e 2013 1 3 200 ENTRETIENS AU TOTAL avec 1 600 décideurs informatiques et 1 600 décideurs métiers 100 DÉCIDEURS INFORMATIQUES et 100 DÉCIDEURS MÉTIERS

Plus en détail

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015 Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

Migration d un logiciel de gestion

Migration d un logiciel de gestion Auteur : David PERRET Publication : 01/11/2015 Toute société utilisatrice de logiciel de gestion est inéluctablement confrontée à des migrations de données. Ces migrations représentent des risques et un

Plus en détail

IBM Global Technology Services Service Management

IBM Global Technology Services Service Management IBM Global Technology Services La voie vers la transformation de l informatique L INFORMATIQUE, UN SOUTIEN AUX MÉTIERS DE L ENTREPRISE Les dirigeants considèrent aujourd hui l informatique comme un levier

Plus en détail

La professionnalisation de la fonction «ressources humaines» au sein des établissements de santé est donc en Ile-de- France un enjeu majeur.

La professionnalisation de la fonction «ressources humaines» au sein des établissements de santé est donc en Ile-de- France un enjeu majeur. Annexe : extrait du programme fonctionnel 1- Périmètre 1.1. Contexte du projet L Agence régionale de santé d Ile de France L Agence Régionale de Santé (ARS) est la clef de voûte de la nouvelle organisation

Plus en détail

Dossier Solution - Virtualisation CA arcserve Unified Data Protection

Dossier Solution - Virtualisation CA arcserve Unified Data Protection Dossier Solution - Virtualisation CA arcserve Unified Data Protection La virtualisation des serveurs et des postes de travail est devenue omniprésente dans la plupart des organisations, et pas seulement

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

NE PAS EXTERNALISER SA RESPONSABILITÉ

NE PAS EXTERNALISER SA RESPONSABILITÉ NE PAS EXTERNALISER SA RESPONSABILITÉ OUTSOURCING IT Le succès d une opération d outsourcing se mesure au degré de préparation et d implication des parties concernées. Mieux vaut donc faire preuve de pragmatisme

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

agility made possible

agility made possible DOSSIER SOLUTION Flexibilité et choix dans la gestion d infrastructure Le SI peut-il répondre aux attentes métier face à la complexité croissante des infrastructures et aux importantes contraintes en termes

Plus en détail

Système d archivage électronique

Système d archivage électronique Les Mémos du CR2PA Système d archivage électronique Comment le choisir? Le bon progiciel d archivage, c'est celui qui répond à la fois à vos besoins et aux exigences légales et/ou réglementaires régissant

Plus en détail

Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC

Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC Le 5 Mars 2015 Version de travail Projet Février 2015-1 Ordre du jour Avancement des travaux Rappel du

Plus en détail

Partie I Organisations, management et systèmes d information... 1

Partie I Organisations, management et systèmes d information... 1 Liste des cas d entreprise............................................................ Liste des figures..................................................................... Liste des tableaux...................................................................

Plus en détail

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT LA SECURITE DU PATRIMOINE NUMERIQUE, DBB Groupe ICT Plan LA SECURITE DU PATRIMOINE NUMERIQUE, Le Patrimoine informationnel Menaces & Conséquences Responsabilité du Chef d Entreprise Comment répondre aux

Plus en détail

Introduction Que s est-il passé en 2014? Qu attendre de 2015?

Introduction Que s est-il passé en 2014? Qu attendre de 2015? Les grandes tendances Data & Analytics 2015 L épreuve de la réalité janvier 2015 Introduction Que s est-il passé en 2014? Qu attendre de 2015? 2014 a confirmé l intérêt croissant pour la donnée au sein

Plus en détail

ANALYSE D UN SYSTEME D INFORMATION MES

ANALYSE D UN SYSTEME D INFORMATION MES FC M1 Management 2012/2013 Projet individuel ANALYSE D UN SYSTEME D INFORMATION MES (Manufacturing Execution System) FC M1 Management 2012_2013 / SYSTEMES D INFORMATION / ANALYSE D UN SYSTEME D INFORMATION

Plus en détail

Cartographie des risques informatiques : exemples, méthodes et outils

Cartographie des risques informatiques : exemples, méthodes et outils : exemples, méthodes et outils Gina Gullà-Ménez, Directeur de l Audit des Processus et des Projets SI, Sanofi-Aventis Vincent Manière Consultant Construction d une cartographie des risques : quel modèle

Plus en détail

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas :

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas : Introduction Le CRM se porte-t-il si mal? Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas : «75 % de projets non aboutis» «La déception du CRM» «Le CRM : des

Plus en détail

de la DSI aujourd hui

de la DSI aujourd hui de la DSI aujourd hui Partout, l industrialisation de l IT est en cours. ITS Group accompagne ce mouvement avec une palette de compétences exhaustives permettant de répondre aux principaux challenges que

Plus en détail

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015 Manuel Qualité Auteur : Françoise NICOLAS, Responsable Qualité Approuvé par : Michel ROUVELLAT, Président Dernière date de mise à jour : 01 avril 2015 CIS Valley Manuel Qualité- MAQ_V08 page 1/16 Engagement

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

Présentation du cabinet

Présentation du cabinet Présentation du cabinet Medi Experts Conseil en Management des Organisations Stratégie, Capital Organisation Humain, Organisation, Ressources Humaines et Systèmes d information. Systèmes d Information

Plus en détail

UNIFIED. Nouvelle génération d'architecture unifiée pour la protection des données D TA. dans des environnements virtuels et physiques PROTECTION

UNIFIED. Nouvelle génération d'architecture unifiée pour la protection des données D TA. dans des environnements virtuels et physiques PROTECTION UNIFIED Nouvelle génération d'architecture unifiée pour la protection des données D TA dans des environnements virtuels et physiques PROTECTION Unified Data protection DOSSIER SOLUTION CA arcserve UDP

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

Recover2Cloud. Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud

Recover2Cloud. Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud Recover2Cloud Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud 2015 Sungard AS. Tous droits réservés. www.sungardas.fr De nos jours, le monde ne dort jamais

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

la conformité LES PRINCIPES D ACTION

la conformité LES PRINCIPES D ACTION La fonction Conformité au sein de BNP Paribas La fonction Conformité a été créée en décembre 2004, en anticipation de nouvelles dispositions du règlement 97-02 sur le contrôle interne des établissements

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

L Essentiel Conférence CRiP Thématique Virtualisation et nouvelles stratégies pour le poste de travail 2011

L Essentiel Conférence CRiP Thématique Virtualisation et nouvelles stratégies pour le poste de travail 2011 Club des Responsables d Infrastructures et de Production L Essentiel Conférence CRiP Thématique Virtualisation et nouvelles stratégies pour le poste de travail 2011 Assistance Editoriale - Renaud Bonnet

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail