La Lettre Sécurité. Comment adapter votre gestion de crise à la cybercriminalité avancée? Édito. n Prendre du recul face aux incidents

Dimension: px
Commencer à balayer dès la page:

Download "La Lettre Sécurité. Comment adapter votre gestion de crise à la cybercriminalité avancée? Édito. n 32. 1. Prendre du recul face aux incidents"

Transcription

1 n 32 La Lettre Sécurité Édito 2014, que souhaiter pour la sécurité? 2013 aura été une année mouvementée pour la sécurité de l information.les révélations de Mandiant sur les moyens d attaques chinois ont déjà près d un an et depuis juin, la NSA et Snowden occupent le devant de la scène. Au-delà de ces deux évènements médiatiques, une succession d annonces d attaques ou d incidents ont rythmé l année passée. La prise de conscience engendrée ne doit pas faire oublier qu un chemin important reste à parcourir! Maintenir une hygiène de base dans le SI demeure un challenge. La question de l application des correctifs en est un exemple frappant. L ANSSI pousse dans ce sens avec ses 40 règles d hygiène. Le vote de la loi de Programmation militaire ne fera que renforcer ces orientations pour les structures concernées. La sécurité de 2014 devra également mieux détecter et réagir aux évènements : les incidents ne peuvent pas tous s éviter, il faut s y préparer et savoir comment agir! Et comme toujours, elle devra accompagner les évolutions technologiques a vu se développer de nombreux objets connectés... et les failles associées, qui doivent être corrigées en amont, avant diffusion massive sera une année clé pour la communauté dans son ensemble avec de fortes évolutions réglementaires à venir. Les directions sont connues et les principes partagés. Leur promotion et leur application se feront sur 2014! Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l information Comment adapter votre gestion de crise à la cybercriminalité avancée? Aujourd hui, les entreprises disposent de processus de gestion des incidents à même de traiter des situations classiques (virus ou indisponibilités). Ces moyens ne sont pas adaptés aux nouveaux scénarios de crise, et en particulier aux attaques ciblées. A contrario, le dispositif de gestion de crise est conçu et mis en place pour adresser des événements «disruptifs» majeurs qui interrompent ou modifient le fonctionnement au quotidien de l organisation. C est un dispositif avant tout managérial, qui repose sur plusieurs briques complémentaires : Des mécanismes d alerte ; Des personnes capables d analyser et qualifier les alertes remontées par les processus de l entreprise ; Des personnes capables de réagir, traiter opérationnellement et prendre des décisions. Faire face à une menace discrète et évolutive : 8 conseils éprouvés pour adapter votre gestion de crise Plusieurs enseignements issus du traitement de crises récentes chez des grands comptes français sont à prendre en compte dès maintenant pour faire évoluer le dispositif de crise et se préparer à une attaque ciblée. 1. Prendre du recul face aux incidents unitaires Les incidents de sécurité font la plupart du temps l objet d un traitement unitaire. Résolus un par un, il est difficile d établir un éventuel lien entre eux. Il faut donc prendre le recul nécessaire afin de détecter des comportements dangereux qui se cachent derrière plusieurs anomalies d apparence bénigne, sans exclure la possibilité d actes de diversion (attaque de manière visible sur des éléments finalement peu sensibles, durant les périodes d inactivité comme la nuit, etc.). 2. Mobiliser les métiers... Il faut absolument éviter de considérer de telles crises comme des incidents purement informatiques : il s agit en réalité d incidents métiers, puisque ce sont principalement eux qui en subissent les impacts. Les métiers doivent donc être en première ligne avec des équipes capables d identifier les systèmes et données critiques. Suite en page 2 DÉCRYPTAGES P5 Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d ignorer P6 Interface avec le SIRH : une opportunité pour l IAM?

2 Décryptage 3. Mettre en place une organisation en miroir des attaquants... Les retours d expérience de crises majeures des dernières années ont montré que les attaquants sont de plus en plus structurés autour de profils distincts avec des expertises variées. Le pilote de l attaque est le «cerveau» qui a la compréhension des enjeux, de la cible et la connaissance de l information recherchée. Les équipes d intrusion sont spécialisées dans l infiltration : leur rôle est d enfoncer les portes du SI. Elles disposent potentiellement de compétences techniques avancées et ont pour but de maintenir leur présence le plus longtemps possible. Les données sont ensuite extraites par une troisième équipe, souvent moins compétente et qui peut parfois réaliser des erreurs très utiles pour comprendre l objectif de l attaque et les moyens mis en œuvre. Il faut donc s organiser en conséquence. Les métiers doivent mettre en place des équipes de réaction dédiées pour identifier les systèmes et données critiques. Côté SI, les équipes forensics ont pour tâche de comprendre le fonctionnement des attaques et donner les éléments techniques d identification, tandis que les équipes de réaction SI doivent penser la reconstruction dans la durée, afin de ne plus subir à nouveau ce type d intrusion. Au cœur du dispositif, il est nécessaire qu une cellule de pilotage coordonne l ensemble de ces acteurs. Notons que de nombreuses fonctions transverses doivent être impliquées : la direction juridique, la communication, la relation client ont notamment un rôle important à jouer durant la crise. 4. Se doter de compétences forensics et d un outillage adapté pour comprendre l attaque... Comprendre la succession d évènements nécessite des équipes dédiées avec des compétences de forensics (investigation numérique). Ces équipes doivent disposer de moyens techniques, outils d analyse de traces, accès aux journaux, plateforme de stockage des éléments techniques, etc. 5. Anticiper dès maintenant une crise au long cours... L un des aspects importants des compromissions avancées est leur durée : il s agit alors de gérer des crises de plusieurs mois, dont il est parfois délicat de discerner le début et la fin. En effet, une fois les attaques jugulées, les efforts sont loin d être terminés : des actions de reconstruction sont nécessaires. Il faut recréer des zones de confiance, en privilégiant d abord les fonctions les plus sensibles de l entreprise. Il faut également mettre sous surveillance ces zones assainies. 6. Éviter le phénomène de la «pyram i d e i n v e r s é e» Enfin, attention à ne pas subir un phénomène de «pyramide inversée» créant des équipes à deux vitesses : les acteurs décisionnels de la gestion de crise en sureffectif par rapport à des acteurs opérationnels du SI, eux submergés. Ceux-ci, seuls à disposer de la connaissance pour réaliser les actions techniques sur le SI, reçoivent souvent trop d ordres contradictoires dans un faible intervalle de temps. 7. Penser des solutions SI dégrad é e s i n d é p e n d a n t e s Il est parfois nécessaire d innover durant ce type de crise, et passer s il le faut par des mesures exceptionnelles, comme l utilisation de moyens informatiques alternatifs. Il s agit par exemple de postes de travail déconnectés du SI compromis, et donc hors de portée des attaques, ou encore d adresses externes à l abri des regards des attaquants en utilisant des services de messagerie Cloud ou grand public. 8. Prévoir les interactions externes Un contact en mesure de conserver les informations relatives à la crise confidentielles doit être identifié au préalable chez chacun des acteurs extérieurs impliqués dans une crise cybercriminalité forces de l ordre, assureurs, autorités de contrôle. Marion Couturier, manager Chadi Hantouche, manager 2 La Lettre Sécurité N 32 janvier 2014

3 Dispositif de gestions de crise et sécurité des SI : que font les grands comptes français? janvier 2014 La Lettre Sécurité N 32 3

4 Dossier Décryptage Cyber-assurance : La souscription est-elle une protection? Gérôme Billois, senior manager La cyber-attaque dont Vodafone Allemagne a récemment été victime n a laissé personne indifférent. Pour mémoire, les noms, adresses, dates de naissance, sexes et coordonnées bancaires de deux millions d abonnés ont été subtilisés par des cybercriminels. Nous pouvons rapidement imaginer le coût de gestion d une telle crise : frais d expertise technique pour endiguer la crise et déterminer les caractéristiques de l attaque, frais de notification client, frais de justice, compensation financière, amendes On peut souhaiter que Vodafone Allemagne ait au préalable souscrit une assurance qui lui aurait indemnisé la plupart de ces frais Qu est ce qu une cyber-assurance? La cyber-assurance se définit comme un produit d assurance visant à permettre à une entreprise d être indemnisée des dommages immatériels qu elle subit ou fait subir à un tiers du fait d une introduction, suppression, altération ou vol de données sur son système d information. Les frais pris en charge sont variés : pertes directes, frais d expertise technique, frais de justice, frais de notification client, frais de préservation / restauration de l image, frais de surveillance des données, frais d extorsion et les montants de garanties sont élevés (environ 20M par assureur et jusqu à 200M en réalisant des montages d assurances). La cyber-assurance a également l attrait de mettre à disposition, chez la plupart des assureurs, un réseau d experts (investigation numérique, communication, avocats ) capable d intervenir rapidement pour gérer la crise, ce qui peut ainsi en diminuer les impacts. Cependant, ces assurances peuvent avoir certaines limites, notamment sur le périmètre de couverture. En effet, s il est prouvé dans le cas de Vodafone qu un prestataire de services a une responsabilité dans le vol des données, il est possible que ce sinistre ne soit pas couvert par la cyber-assurance (l assurance «fraude» prend alors le relai, et n a pas forcément les mêmes garanties). Il est donc important de tester la couverture de la police d assurance en utilisant des scénarios concrets d attaques. De l étude d opportunité à la souscription Quoiqu il en soit, lorsqu une entreprise est potentiellement exposée à ce type d attaque et qu elle gère des données sensibles, la question de la cyber-assurance doit être étudiée. Au même titre que l on peut s assurer contre un incendie, pourquoi ne pas s assurer contre une cyber-attaque? Lors de cette étude d opportunité, il conviendra d effectuer une analyse de risques pour déterminer les risques résiduels et les confronter avec les assurances déjà souscrites par l entreprise, afin de déterminer ce qui est déjà couvert et ce qu il reste à couvrir. Les cas de figure sont alors assez simples. L entreprise a ou pas la capacité d absorber ces coûts. Habituellement, une grande entreprise souhaitera principalement se prémunir contre une attaque majeure dont les coûts associés seraient trop importants pour qu elle puisse les absorber. Dans ce cas, les montants de garanties souscrites et la franchise seront élevés. Les PME souhaiteront quant à elle plutôt s assurer contre tous les types d attaque, de la plus petite à la plus grande, n ayant pas nécessairement les ressources pour absorber l ensemble des coûts. Elles choisiront alors un contrat avec une franchise faible et un apport d expertise. Finalement, dans le contexte de risque actuel, la cyber-assurance apparaît comme une solution intéressante pour de nombreuses entreprises, en apportant une indemnisation financière en cas d attaque, ainsi qu un apport d expertise rapide qui lui permet d en limiter les impacts. Cependant, la souscription requiert un arbitrage entre l exposition de l entreprise, son niveau d expertise sécurité, le risque résiduel à couvrir, les garanties proposées et le montant de la prime annuelle. Pour ce faire, une évaluation devra être menée conjointement par les fonctions de gestion des risques et les responsables sécurité de l information, afin de permettre une décision en toute connaissance de cause par la direction générale. [Article rédigé en collaboration avec Martin Descazeaux] 4 La Lettre Sécurité N 32 janvier 2014

5 Décryptage Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d ignorer Le Cygne Noir de Nassim Nicholas Taleb : théoriser l imprévisible En 2007, Nassim Nicholas Taleb développe la théorie dite du «cygne noir». Elle englobe les «unknown unknowns» et caractérise les évènements imprévisibles aux impacts majeurs de nature à totalement changer l environnement ou le destin d une organisation. Bien que leur nature ne s y prête pas facilement, il est pourtant devenu incontournable de faire rentrer ces risques dans le champ de réflexion des entreprises, et d y apporter des réponses. Le résultat de ce travail montrera sans doute que les Cygnes Noirs ont une fâcheuse tendance à entraîner dans leur sillage la concrétisation de plusieurs risques «classiques» simultanément mais il permettra de faire le lien avec une réalité connue. Florian Carrière, senior manager Parmi les maximes bien connues des risk managers, il y a cette phrase de Donald Rumsfeld en 2002, alors qu il défendait l intervention américaine en Irak : «[ ] there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns the ones we don t know we don t know. And [ ] it is the latter category that tend to be the difficult ones.» Cette citation traduit bien la situation à laquelle les organisations font face : «known knowns» : ce sont les risques maîtrisés, dont l occurrence et les conséquences sont évaluées et connues ; «known unknowns» : ce sont les risques identifiés et recensés que les organisations ont choisis d adresser à court ou moyen terme ; «unknown unknowns» : ce sont les événements qui n ont pas été repérés par le «radar» de la gestion des risques ou dont l occurrence apparaît infime aux regards des autres risques. Mieux appréhender l incertitude : raisonner à partir des impacts Dans un premier temps, il convient sans doute d arrêter de considérer ces risques comme imprévisibles «par nature». Bien souvent, ils n ont été tenus éloignés des réflexions du management que par une posture de déni («impossible que ça arrive, c est trop énorme»), parfois masquée derrière un apparent rationalisme («on a déjà bien d autres risques, beaucoup plus probables, à traiter»). Si l histoire récente a parfois obligé les entreprises à s améliorer sur ce point, il semble possible de progresser encore, en développant une réflexion «inversée» sur les risques, consistant à partir des conséquences (en l occurrence catastrophiques), et à en déduire la liste des causes potentielles. Déjà mise en œuvre dans le domaine financier (reverse stress-testing), et bien connue des experts en continuité d activité, elle permet souvent de «décoincer» les esprits, et par ailleurs d ébaucher une réflexion pertinente sur les modalités de traitement de ces risques. Capitaliser sur le risk management en place, via la notion de «cascade de risques» Il faut ensuite mobiliser le dispositif de gestion des risques déjà en place (les processus d enterprise risk management ERM), qui a généralement permis de cartographier les risques financiers et opérationnels, en laissant souvent de côté nos fameux Cygnes Noirs. Il s agit alors d établir les liens entre ces risques si particuliers et les risques classiques déjà identifiés, en travaillant sur les interdépendances et en faisant apparaître les cascades de risques, qui sont le plus souvent à l origine des vraies catastrophes (cf. l exemple de la défaillance à cause du froid d un joint de la navette Challenger en 1986). Bâtir une organisation résiliente Enfin, puisqu identifier des risques sans les traiter reste un exercice théorique assez vide de sens, la question des solutions doit être posée. La multiplicité des menaces potentielles rend difficile l identification d une solution miracle, mais on peut néanmoins remarquer qu elles sont pour la plupart géographiquement concentrées : dès lors, les solutions classiques de continuité (repli des utilisateurs sur un site distant, redémarrage du SI sur un datacenter distant) peuvent être envisagées. A la difficulté près qu elles sont parfois invalidées par les risques eux-mêmes, et que des solutions alternatives doivent être pensées en amont: par exemple, comment déplacer les équipes quand un ouragan bloque tout le trafic aérien? (élément de réponse : en faisant porter l activité par d autres équipes). Les organisations les plus matures ont déjà intégré cela dans leur réflexion, et bâtissent nativement des processus et organisations résilients entre plusieurs sites distants : certaines banques d investissement ont ainsi réparti leurs desks les plus critiques entre les plates-formes londonienne et parisienne, chaque opérateur disposant d un back-up sur l autre plate-forme. Pour plus de réactivité, un flux vidéo entre les deux est même mis en œuvre, afin de pouvoir rapidement évaluer la nécessité de «reprendre la main» sur les opérations en cours. Dans ce cas, aucun impact si ce n est la capacité à absorber le volume d opérations habituel. Même dans cette situation, attention toutefois à ne pas se sentir totalement protégé : les nouvelles menaces de type cyber-attaques n ont que faire de la localisation de leurs cibles. D autres mesures seront alors à envisager! [Article rédigé en collaboration avec Frédéric Chollet] janvier 2014 La Lettre Sécurité N 32 5

6 Décryptage Interface avec le SIRH : une opportunité pour l IAM? Florian Pouchet, manager Les objectifs d une solution de gestion des identités et des accès (IAM) sont doubles : améliorer la sécurité et l efficacité opérationnelle. L IAM se doit de savoir qui utilise le SI, en accédant à quoi, et ce tout au long du cycle de vie de ses utilisateurs dans l entreprise mais pour cela, encore faut-il disposer des informations nécessaires! Interfacer ma solution d IAM avec le SIRH peut-il répondre à cette problématique? Que peut apporter le SIRH à ma solution IAM? Pour remplir ses objectifs, mon IAM doit être en mesure de répondre à des questions simples en apparence : qui est cet utilisateur, quel est son nom, son prénom, son matricule? Quelle est sa fonction dans l entreprise, et par extension, quelles applications devra-t-il utiliser? Qui est son supérieur hiérarchique, et peut-être futur valideur pour ses demandes d habilitations? Obtenir ces réponses est un 1 er besoin mais n est pas le seul! Ses informations évoluent : un nouveau collaborateur intègre l entreprise dans une semaine, il faut lui donner le plus rapidement possible ses accès SI pour qu il puisse travailler ; M elle Durand, anciennement contrôleuse de gestion, devient responsable de la comptabilité il faut lui donner ses nouveaux accès, certes, mais également supprimer les droits qui lui sont devenus inutiles, voire qui pourraient devenir «dangereux» par rapport à son nouveau poste (SoD). Ces éléments et leurs mises à jour sont généralement présents dans le SIRH d une entreprise, notamment en raison du lien de celui-ci avec la paie, qui a besoin de savoir qui payer (et quand arrêter de payer), qui est responsable des augmentations d untel ou d untel, quelle entité sera facturée, etc. Avec de tels enjeux financiers à la clé, un soin particulier est généralement accordé au maintien à jour de ce référentiel une opportunité pour mon IAM! Des atouts certains mais des limites à avoir en tête Les liens possibles entre SIRH et IAM sont donc bien réels. Mais attention cependant à ne pas oublier un point essentiel : systèmes d information et ressources humaines sont deux univers différents, portés par des métiers différents, avec des enjeux, des objectifs, des vocabulaires différents. Comme nous l avons dit, le référentiel SIRH est souvent lié à la paie, et cette relation permet d illustrer les limites des liens qui pourront, ou non, être tissés entre mon SIRH et mon outil d IAM. Première limite, là où la paie n a besoin d avoir dans son périmètre que les personnes qui seront payées par l entreprise, mon IAM, lui, se doit de connaître tous les utilisateurs de mon SI, qu ils soient prestataires, intérimaires ou salariés. La notion de métier ou encore de hiérarchie n est pas forcément identique dans le SIRH et pour l IAM. Pour le SIRH, Mme Mercier est supérieure hiérarchique de Mlle Durand, car c est elle qui est responsable de ses augmentations mais au quotidien, c est M. Simon son manager! Et c est bien lui qui sera légitime pour valider ses demandes d habilitations. Les priorités ne sont pas non plus toujours les mêmes entre ces deux univers : un nouvel arrivant doit avoir ses accès SI dès son arrivée en revanche, il y a souvent moins d urgence à le créer dans le SIRH, car il ne percevra son premier salaire qu à la fin du mois. Comment s interfacer avec le SIRH? Comme nous l avons vu, le SIRH est capable de fournir énormément d informations structurantes, mais possède des spécificités à ne surtout pas négliger. Afin d en tirer pleinement parti et réussir un interfaçage propre, efficace et limitant au maximum les malentendus entre ces deux mondes, trois éléments sont nécessaires : Dans un premier temps, définir les éléments structurants pour l activité opérationnelle et qui seront exploités par l IAM : les organisations de rattachement des utilisateurs, leurs supérieurs hiérarchiques, les dates d arrivées et de départ, etc. Il est ensuite primordial de se doter de l organisation, des processus et outils d IAM flexibles, capables de s adapter aux différences évoquées précédemment. La solution IAM doit ainsi permettre la création d identités en avance de phase, ou encore la modification manuelle de certains attributs d identité. Elle doit conserver une certaine marge de manœuvre sur la gestion de ses identités, ne pas avoir une dépendance trop rigide vis-à-vis du SIRH. Enfin, une attention particulière doit être portée à la réconciliation entre les identités du SIRH et celles de l IAM. Qu un utilisateur soit créé «en avance» dans l IAM, ou que certains de ses attributs soient modifiés manuellement, le lien avec le SIRH doit être assuré faute de quoi, gare aux doublons et aux identités fantômes. Définir une clé unique de réconciliation entre les identités est indispensable pour un interfaçage efficace et pérenne! Le SI RH peut se révéler d une aide précieuse pour la gestion du cycle de vie des utilisateurs grâce aux informations dont il dispose sur les personnes et sa connaissance des mobilités et départs. À condition toutefois de bien comprendre les processus RH sous-jacents, leurs particularités par rapport au monde du SI, et de s y adapter dans une logique de gestion des identités et de contrôle des accès. [Article rédigé avec Benjamin Pedron, consultant] 6 La Lettre Sécurité N 32 janvier 2014

7 Décryptage Gestion des risques : comment équilibrer opportunités de développement et risques? Etienne Bouet, manager, La gestion des risques ne doit pas être un frein au développement de l entreprise L élaboration d une cartographie des risques peut naître de contraintes règlementaires ou encore d une volonté, pour un responsable, de maîtriser les risques de son périmètre. Dans tous les cas, il est important de rappeler que l élaboration d une telle cartographie a pour objectif premier de mettre en lumière des failles, des points de vulnérabilités, de les prioriser selon leur importance (leurs impacts sur l entreprise) de manière à les traiter de manière structurée. On peut cependant considérer cette vision de la gestion des risques comme «défensive», reflet d une entreprise qui pourrait sur-traiter les risques voire systématiquement les refuser. Or, une entreprise, pour se développer, doit savoir saisir des opportunités et prendre des risques. Conquérir un nouveau marché, adapter son offre commerciale, acquérir une société, sont autant de démarches «risquées» nécessaires à son évolution. Comment intégrer une vision plus «positive» du risque au sein de la cartographie? Ne pas savoir saisir les opportunités peut être considéré comme un risque vis-à-vis de la stratégie de l entreprise. Dès lors, on doit attendre de la cartographie qu elle accompagne cette prise de risques. Prenons l exemple d une entreprise qui souhaite se développer sur un nouveau marché. Cette stratégie pourrait notamment s appuyer sur l acquisition d une société disposant d expertises sur ce marché. On pourrait raisonnablement considérer cette démarche comme intrinsèquement risquée : la société ciblée apportera-t-elle tout le potentiel attendu? La valeur d acquisition sera-t-elle bien évaluée? Son intégration dans la culture de l entreprise sera-t-elle facile? À ne considérer que les risques, la cartographie pourrait inciter à ne pas se lancer dans une démarche d acquisition pourtant nécessaire au développement de l entreprise. La «bonne réponse» passe dès lors par la prise en compte, au sein de la cartographie, non seulement des risques mais également des opportunités. On ne masquera pas les risques car ils nécessitent d être gérés, mais les différents scénarios seront relativisés au regard des bénéfices attendus. La cartographie deviendra alors un vrai outil d aide à la décision permettant d équilibrer la prise de risques. Une vision très dépendante d un contexte évoluant très rapidement La perception et la qualification d un scénario en tant que risque pour l entreprise dépend des objectifs et du contexte (économique, financier, social, ) de celle-ci. Une bonne conjoncture économique, une trésorerie avantageuse, un contrôle interne efficace peuvent être à l origine de la relativisation de certains risques dans la mesure où leurs impacts sur les objectifs de l entreprise pourraient être faibles. Prenons, par exemple, la situation d une entreprise disposant d une forte trésorerie, qui l inciterait peu à chercher des opportunités d optimisation de celle-ci. Au sein de la cartographie, le risque de manque d optimisation financière sera très certainement mineur voire inexistant. Dans un contexte business moins favorable, l argent immobilisé constituera un risque nettement plus conséquent (endettement, pénalités financières, baisse du chiffre d affaire ) pour l atteinte des objectifs de l entreprise. Adopter une approche globale des risques en intégrant les points de vulnérabilités à traiter mais également les opportunités à saisir passe donc nécessairement par la mise à jour très régulière de la cartographie pour adapter cette dernière aux évolutions rapides du contexte de l entreprise. [Article rédigé en collaboration avec Florian Bourdon] janvier 2014 La Lettre Sécurité N 32 7

8 L actualité Solucom Le CERT-Solucom centralise les interventions réalisées par le cabinet conseil en matière de lutte contre la cybercriminalité : étude des menaces, stratégie de défense, gestion de crise (préparation et intervention d urgence), investigation numérique (forensics), veille et innovation. Le CERT-Solucom associe un ensemble d expertises techniques et métier et permet de mobiliser plus de 45 profils expérimentés. Cette organisation s appuie sur une veille de la cybercriminalité active et industrialisée, cette collecte d information faisant ensuite l objet d une publication trimestrielle «Lettre du CERT- Solucom» disponible sur le site de Solucom pour les collaborateurs et clients. Le CERT-Solucom est accrédité par Trusted Introducer au sein de la TF-CSIRT, coordination européenne des équipes CSIRT (Computer Security Incident Response Team). Pour contacter les équipes du CERT Solucom : Actualités Solucom : Solucom et Lumens se rapprochent Créé en 2009, Lumens Consultants est un cabinet de conseil en organisation et management qui accompagne ses clients sur l ensemble de leurs enjeux d excellence opérationnelle, avec une proposition de valeur visant à développer l agilité de l entreprise. Lumens Consultants a ainsi développé un savoir-faire de 1 er plan en matière d accompagnement des projets de transformation ainsi qu une expertise reconnue en matière d organisation et de transformation de la fonction ressources humaines (RH). Au terme d une première phase de développement rapide, Lumens Consultants a fidélisé une clientèle de grandes entreprises, avec une dominante forte dans le secteur bancaire, auprès notamment du Crédit Agricole, de la Société Générale et de la Banque Postale. À l issue de son dernier exercice, clos le 31 mars 2013, la société a réalisé un chiffre d affaires de 3,9 M et une marge opérationnelle supérieure à 8% Ce rapprochement s inscrit dans la droite ligne de la stratégie «Solucom 2015» : devenir un cabinet de conseil champion de la transformation des entreprises, capable d accompagner les mutations de ses clients sous toutes leurs facettes : métiers, organisationnelles, technologiques. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, Etienne Bouet, Florian Bourdon, Florian Carrière, Frédéric Chollet, Marion Couturier, Chadi Hantouche, Benjamin Pedron, Florian Pouchet. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue de la practice risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense abonnement :

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

LES SYNTHÈSES SOLUCOM. n o 47. Observatoire de la transformation des entreprises. Cybercriminalité : comment agir dès aujourd hui

LES SYNTHÈSES SOLUCOM. n o 47. Observatoire de la transformation des entreprises. Cybercriminalité : comment agir dès aujourd hui LES SYNTHÈSES SOLUCOM n o 47 Observatoire de la transformation des entreprises Cybercriminalité : comment agir dès aujourd hui Cybercriminalité Gérôme Billois est senior manager chez Solucom. Diplômé de

Plus en détail

le management de la continuité d activité

le management de la continuité d activité le management de la continuité d activité Le management de la continuité d activité au service de la performance de votre organisation Les entreprises évoluent dans un environnement de plus en plus complexe

Plus en détail

n spécial Assises de la Sécurité 2009

n spécial Assises de la Sécurité 2009 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Les cyber risques sont-ils assurables?

Les cyber risques sont-ils assurables? Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent

Plus en détail

Identification, évaluation et gestion des incidents

Identification, évaluation et gestion des incidents Identification, évaluation et gestion des incidents De la cartographie des risques à la mise en place de la base incidents Xavier DIVAY Responsable de la conformité et du contrôle permanent QUILVEST BANQUE

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

IT Security Boxes l assurance vie des données informatiques

IT Security Boxes l assurance vie des données informatiques IT Security Boxes l assurance vie des données informatiques Sauvegarde et protection des données informatiques au service du Plan de Reprise d Activité (PRA) France Sommaire Pourquoi sauvegarder le patrimoine

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients

La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients n 31 La Lettre Sécurité Édito Cybersécurité, l État investit! Pourquoi les entreprises n en font-elles pas autant? L État prend actuellement à bras le corps le sujet de la cybersécurité. La loi de programmation

Plus en détail

Beyond business performance. Together. Accélération des délais de clôture

Beyond business performance. Together. Accélération des délais de clôture Beyond business performance. Together. Accélération des délais de clôture Enjeux L accélération des délais de clôture ou Fast Close s est tout d abord très largement répandu dans les grandes entreprises

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Quel outil pour le PCA? de sa conception à sa mise en œuvre en situation de crise Introduction

Plus en détail

74 ème Congrès Annuel des Directeurs Généraux des Collectivités Territoriales

74 ème Congrès Annuel des Directeurs Généraux des Collectivités Territoriales 74 ème Congrès Annuel des Directeurs Généraux des Collectivités Territoriales Introduction Une politique des Ressources Humaines est au cœur de défis majeurs. Un réel levier de performance publique. L

Plus en détail

«Identifier et définir le besoin en recrutement»

«Identifier et définir le besoin en recrutement» «Identifier et définir le besoin en recrutement» LES ETAPES DU RECRUTEMENT Le recrutement est une démarche structurée qui comporte plusieurs étapes aux quelles il faut attacher de l importance. La majorité

Plus en détail

Le management des risques de l entreprise Cadre de Référence. Synthèse

Le management des risques de l entreprise Cadre de Référence. Synthèse Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction

Plus en détail

de vue MANAGEMENT ET GESTION DES HOMMES Le rôle de la DRH dans la conduite du changement

de vue MANAGEMENT ET GESTION DES HOMMES Le rôle de la DRH dans la conduite du changement point de vue MANAGEMENT ET GESTION DES HOMMES Le rôle de la DRH dans la conduite du changement La conduite du changement est une dimension essentielle de tout grand projet de transformation des entreprises.

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Chapitre 6 La gestion des incidents Quelles que soient la qualité du système d information mis en place dans l entreprise ou les compétences des techniciens

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 19 - Août 2009 La Lettre Sécurité Édito À l heure où de nombreuses entreprises préfèrent limiter les investissements sur leurs systèmes d information, l actualité montre, au contraire, que l anticipation

Plus en détail

Fiche Pratique. Automatisation. du PRA PRA - PCA. 1. Synthèse. Club des Responsables d Infrastructures et de Production.

Fiche Pratique. Automatisation. du PRA PRA - PCA. 1. Synthèse. Club des Responsables d Infrastructures et de Production. Fiche Pratique Février 2013 PRA - PCA L automatisation du PRA 1. Synthèse Club des Responsables d Infrastructures et de Production Pour assurer la reprise d activité dans des conditions conformes aux objectifs

Plus en détail

Les PME parlent aux PME

Les PME parlent aux PME Les PME parlent aux PME Retour d expériences de 10 PME ayant mis en place la méthode ULYSSE Préambule Réalisation d une étude exploratoire auprès de 10 PME ayant utilisées au cours des derniers mois la

Plus en détail

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Intégrer l assurance dans la gestion des risques liés à la sécurité des données Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1

Plus en détail

PROTÉGER VOS BASES DE DONNÉES

PROTÉGER VOS BASES DE DONNÉES PRÉVENTION by HISCOX DATA RISKS PROTÉGER VOS BASES DE DONNÉES Préambule La base de données est défi nie par l article L.112-3 du Code de la propriété intellectuelle comme un recueil d œuvres, de données

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

De ce fait, les attaques se diversifient, deviennent «plus intelligentes» et plus complexes à éviter. On distingue alors deux grandes familles :

De ce fait, les attaques se diversifient, deviennent «plus intelligentes» et plus complexes à éviter. On distingue alors deux grandes familles : n 30 La Lettre Sécurité Édito Cybercriminalité : think global! La cybercriminalité est sous les feux de la rampe : préoccupation des États et des entreprises, elle fait émerger de nouvelles réglementations

Plus en détail

Le Plan de Continuité d Activité (PCA / BCP)

Le Plan de Continuité d Activité (PCA / BCP) Le Plan de Continuité d Activité (PCA / BCP) Comment le mettre en œuvre et vérifier qu il restera opérationnel? Bruno KEROUANTON RSSI Clear Channel France - CISSP 16 juin 2004 - Paris Introduction, définitions

Plus en détail

Les enjeux et clés de succès des entreprises familiales. kpmg.fr

Les enjeux et clés de succès des entreprises familiales. kpmg.fr Les enjeux et clés de succès des entreprises familiales kpmg.fr 1 Les enjeux et clés de succès des entreprises familiales Les enjeux et clés de succès des entreprises familiales 2 La gestion de la trésorerie,

Plus en détail

Comment réussir son projet de Master Data Management?

Comment réussir son projet de Master Data Management? Comment réussir son projet MDM? Table des matières Comment réussir son projet de Master Data Management?...... 2 Un marché en croissance..... 2 Les démarches qui réussissent... 2 A quels projets métiers

Plus en détail

L Edition Pilotée XL

L Edition Pilotée XL L Edition Pilotée XL Piloter son activité, une nécessité Processus décisionnel: «Exploiter les données de l entreprise dans le but de faciliter la prise de décision» Etre informé en permanence sur l état

Plus en détail

Note Conflagration. Janvier 2010

Note Conflagration. Janvier 2010 Janvier 2010 Note Conflagration De nombreux sinistres de caractère événementiel dans le monde mettent en jeu plusieurs risques en Dommages, sans qu il s agisse d évènements naturels. On parle en général

Plus en détail

Le questionnement pertinent La méthode du Triangle de la découverte

Le questionnement pertinent La méthode du Triangle de la découverte Le questionnement pertinent La méthode du Triangle de la découverte Maitriser le questionnement à 360 Etre pertinent dans ses questions est au moins aussi important que de savoir maîtriser sa présentation

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

Avec Sage HR Management, transformez votre gestion du capital humain en atout stratégique

Avec Sage HR Management, transformez votre gestion du capital humain en atout stratégique Sage HR Management Avec Sage HR Management, transformez votre gestion du capital humain en atout stratégique Face à un marché instable et une concurrence accrue, la Direction Générale a pris conscience

Plus en détail

La Lettre Sécurité. CAC 40 et cybersécurité, vers une prise de conscience des entreprises? Édito. n 34

La Lettre Sécurité. CAC 40 et cybersécurité, vers une prise de conscience des entreprises? Édito. n 34 n 34 La Lettre Sécurité Édito Sécurité des SI industriels : rester aux avant-postes! Les attaques récentes l ont mis en avant : le SI industriel est toujours une cible, il est essentiel de monter en compétences

Plus en détail

Vector Security Consulting S.A

Vector Security Consulting S.A Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante

Plus en détail

Regard sur hybridation et infogérance de production

Regard sur hybridation et infogérance de production Regard sur hybridation et infogérance de production Février 2014 édito «comment transformer l hybridation des infrastructures en levier de performances?» Les solutions d infrastructure connaissent depuis

Plus en détail

Les cybermenaces : que peut-on assurer?

Les cybermenaces : que peut-on assurer? Paris, le 21 mai 2013 Les cybermenaces : que peut-on assurer? Alexandra Gavarone, Directeur du developpement de Beazley France D où viennent les risques? 2 Les failles de nos assurés, reflet des statistiques

Plus en détail

Démarche de prévention des risques psychosociaux à la Banque de France

Démarche de prévention des risques psychosociaux à la Banque de France DIRECTION GÉNÉRALE DES RESSOURCES HUMAINES PARIS, LE 25 JANVIER 2010 DIRECTION DES RELATIONS SOCIALES Démarche de prévention des risques psychosociaux à la Banque de France Dans le cadre de sa responsabilité

Plus en détail

Novembre 2012 Assurance et Réassurance du Crédit Inter-Entreprises

Novembre 2012 Assurance et Réassurance du Crédit Inter-Entreprises Novembre 2012 Assurance et Réassurance du Crédit Inter-Entreprises 1 Sommaire : Situation Assurance et Réassurance Crédit Evolution de l Assurance Crédit Evolution de la Réassurance Crédit Evolution des

Plus en détail

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre 2013. This document is also available in English.

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre 2013. This document is also available in English. Note d orientation : La simulation de crise Établissements de catégorie 2 This document is also available in English. La présente Note d orientation s adresse à toutes les caisses populaires de catégorie

Plus en détail

Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation?

Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation? n 27 La Lettre Sécurité Édito De la réaction à la détection / réaction, le nécessaire changement de posture du RSSI! Les initiatives sécurité ont lontemps consisté à définir et mettre en œuvre des plans

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

Aujourd hui, pas un seul manager ne peut se dire à l abri des conflits que ce soit avec ses supérieurs, ses collègues ou ses collaborateurs.

Aujourd hui, pas un seul manager ne peut se dire à l abri des conflits que ce soit avec ses supérieurs, ses collègues ou ses collaborateurs. MANAGERS : COMMENT PRENEZ-VOUS EN CHARGE LES CONFLITS? AUTO-EVALUEZ-VOUS! Dans un contexte économique morose et qui perdure, nous sommes confrontés à un grand nombre de difficultés et de frustrations.

Plus en détail

Gestion des. Des solutions informatiques enfin accessibles aux PME

Gestion des. Des solutions informatiques enfin accessibles aux PME Gestion des Des solutions informatiques enfin accessibles aux PME RH Gestion des temps Gestion du recrutement Gestion des emplois et des compétences Gestion de la Ce guide a été réalisé à l initiative

Plus en détail

Bulletin statistique de l Observatoire national de la délinquance et des réponses pénales

Bulletin statistique de l Observatoire national de la délinquance et des réponses pénales Grand angle Juillet Bulletin statistique de l Observatoire national de la délinquance et des réponses pénales Directeur de la publication : André-Michel ventre Rédacteur en chef : Christophe soullez n

Plus en détail

Ministère de l intérieur --------

Ministère de l intérieur -------- Ministère de l intérieur -------- Examen professionnel d ingénieur principal des systèmes d information et de communication du ministère de l intérieur Session 2013 Meilleure copie Sujet n 1 - Réseaux

Plus en détail

Optimiser la maintenance des applications informatiques nouvelles technologies. Les 11 facteurs clés de succès qui génèrent des économies

Optimiser la maintenance des applications informatiques nouvelles technologies. Les 11 facteurs clés de succès qui génèrent des économies Application Services France the way we do it Optimiser la maintenance des applications informatiques nouvelles technologies Les 11 facteurs clés de succès qui génèrent des économies Chaque direction informatique

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

L obligation de négocier sur la pénibilité dans les entreprises. Premiers éléments de bilan. Direction générale du travail

L obligation de négocier sur la pénibilité dans les entreprises. Premiers éléments de bilan. Direction générale du travail CONSEIL D ORIENTATION DES RETRAITES Séance plénière du 21 novembre 2012 à 14 h 30 «Pénibilité. Transition emploi-retraite. Elaboration de cas-types pour les projections.» Document N 6 Document de travail,

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

Leader de l Actuariat Conseil et de la Gestion des Risques

Leader de l Actuariat Conseil et de la Gestion des Risques Leader de l Actuariat Conseil et de la Gestion des Risques Optimind Winter respecte les meilleurs standards européens sur l ensemble des expertises associées à la chaîne des risques des organismes assureurs,

Plus en détail

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Risk Advisory Février 2014 Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Des points de vue sur vos sujets de préoccupation dans les domaines de la gestion des risques,

Plus en détail

A. Le contrôle continu

A. Le contrôle continu L audit d achat est une action volontaire décidée par l entreprise avec pour objet d apprécier la qualité de l organisation de sa fonction achats et le niveau de performance de ses acheteurs. L audit achat

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Comment lutter efficacement contre la fraude à l assurance

Comment lutter efficacement contre la fraude à l assurance Comment lutter efficacement contre la fraude à l assurance 1 En cette période de tension sur leur rentabilité et de pression sur les tarifs, les assureurs soulignent la nécessité de renforcer leur dispositif

Plus en détail

Novembre 2013. Regard sur service desk

Novembre 2013. Regard sur service desk Novembre 2013 Regard sur service desk édito «reprenez le contrôle grâce à votre service desk!» Les attentes autour du service desk ont bien évolué. Fort de la riche expérience acquise dans l accompagnement

Plus en détail

Rappelons d abord l événement dans ses grandes lignes.

Rappelons d abord l événement dans ses grandes lignes. Étude de cas : Hydro-Québec et la tempête de verglas par Steve Flanagan Présenté au colloque «Les communications en temps de crise» Organisé par l Université du Québec à Montréal janvier 1999 L analyse

Plus en détail

Développer son expertise en tant que Responsable Formation

Développer son expertise en tant que Responsable Formation 1 Développer son expertise en tant que Responsable Formation Environnement et fondamentaux de la formation professionnelle L environnement de la formation professionnelle revêt un caractère de plus en

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE 22.05.08 RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE Le Conseil d administration de la Société Générale a pris connaissance du rapport ci-joint du Comité spécial qu il a constitué le 30

Plus en détail

Comment me protéger face aux risques liés à ma fonction de dirigeant d'entreprise?

Comment me protéger face aux risques liés à ma fonction de dirigeant d'entreprise? Comment me protéger face aux risques liés à ma fonction de dirigeant d'entreprise? PASS RC des Dirigeants d'entreprise Prévention juridique ASSistance pénale d urgence Responsabilité Civile des Dirigeants

Plus en détail

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise BUSINESS CONTINUITY MANAGEMENT I PLANZER I 2010 BUSINESS CONTINUITY MANAGEMENT Notre plan C pour situations d'urgence et de crise La sécurité n'est pas une valeur absolue. Une gestion de risque peut éventuellement

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Atelier B 06. Les nouveaux risques de la cybercriminalité

Atelier B 06. Les nouveaux risques de la cybercriminalité Atelier B 06 Les nouveaux risques de la cybercriminalité 1 Atelier Cybercriminalité Intervenants Eric Freyssinet Etienne de Séréville Luc Vignancour Guillaume de Chatellus Modérateur Laurent Barbagli Pôle

Plus en détail

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? DEVOPS et le déploiement d application Les Livres Blancs de MARTE Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? L alignement

Plus en détail

FICHE TECHNIQUE : METTRE EN PLACE UNE GPEC

FICHE TECHNIQUE : METTRE EN PLACE UNE GPEC METTRE EN PLACE UNE GPEC Gestion Prévisionnelle des Emplois et des Compétences Cette fiche technique aborde la mise en place d une démarche GPEC sous l angle de la description d un processus. Elle présente

Plus en détail

Référentiels de formation portant sur la prévention des RPS dans la fonction publique

Référentiels de formation portant sur la prévention des RPS dans la fonction publique MINISTÈRE DE LA RÉFORME DE L ÉTAT, DE LA DÉCENTRALISATION ET DE LA FONCTION PUBLIQUE ÉDITION 2014 Référentiels de formation portant sur la prévention des RPS dans la fonction publique OUTILS DE LA GRH

Plus en détail

Association ESSONNE CADRES

Association ESSONNE CADRES Association ESSONNE CADRES 10 avenue du Noyer Lambert - 91300 MASSY : 01 60 12 01 45 Email : competences91@essonnecadres.org Site web : www.essonnecadres.org Besoin d un Professionnel pour une situation

Plus en détail

Le risque opérationnel - Journées IARD de l'institut des Actuaires

Le risque opérationnel - Journées IARD de l'institut des Actuaires Le risque opérationnel - Journées IARD de l'institut des Actuaires 1 er a v r i l 2 0 1 1 Dan Chelly Directeur Métier "Risk management, Audit et Contrôle interne" SOMMAIRE Partie 1 Définition des risques

Plus en détail

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine

Plus en détail

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER Pour les banques, le papier devrait servir à imprimer des billets ; pas à en garder la trace dans

Plus en détail

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Garantir une meilleure prestation de services et une expérience utilisateur optimale LIVRE BLANC Garantir une meilleure prestation de services et une expérience utilisateur optimale Mai 2010 Garantir une meilleure prestation de services et une expérience utilisateur optimale CA Service

Plus en détail

«Quelle solution paie pour votre organisation?»

«Quelle solution paie pour votre organisation?» «Quelle solution paie pour votre organisation?» Internalisée, externalisée, assistée Choisir sa solution paie en fonction de son organisation ou Adapter son organisation à sa solution paie? Quels sont

Plus en détail

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...

Plus en détail

Le régime juridique qui est contractuellement attaché aux

Le régime juridique qui est contractuellement attaché aux La rédaction des clauses relatives aux biens dans les DSP La question des biens au sein des de délégation de service public nourrit de nombreux contentieux devant le juge administratif. L une des problématiques

Plus en détail

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr www.lexsi.fr AUDIT CONSEIL CYBERSÉCURITÉ FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN CYBERSÉCURITÉ / PARIS LYON LILLE MONTREAL SINGAPOUR www.lexsi.fr SERVICES LEXSI est actif à l international

Plus en détail

RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Présentation de solution

RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Présentation de solution RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Présentation de solution D UN COUP D ŒIL Tirez le meilleur parti d une solution intégrée 3 en 1 : analyse des risques et de l impact, planification

Plus en détail

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR SIMULER ET CONCEVOIR LE TRAVAIL FUTUR Utilisation du logigramme d activité dans un projet informatique, pour simuler les compétences futures, et évaluer la charge de travail. WWW.ANACT.FR OUTIL DE SIMULATION

Plus en détail

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI

Plus en détail

NE PAS EXTERNALISER SA RESPONSABILITÉ

NE PAS EXTERNALISER SA RESPONSABILITÉ NE PAS EXTERNALISER SA RESPONSABILITÉ OUTSOURCING IT Le succès d une opération d outsourcing se mesure au degré de préparation et d implication des parties concernées. Mieux vaut donc faire preuve de pragmatisme

Plus en détail

La sécurité informatique, c est votre problème aussi!

La sécurité informatique, c est votre problème aussi! INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique,

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail

L outsourcing de la fonction comptable

L outsourcing de la fonction comptable OCA, Société d Expertise-Comptable 63 avenue de Villiers 75017 PARIS Tel: 01.40.54.98.80 / Fax : 01.47.63.92.75 oca@oca-audit.com www.oca-audit.com L outsourcing de la fonction comptable Sommaire 1. L

Plus en détail

3/ Caractéristiques ET leçons essentielles de la communication de crise. 3 A/ Les caractéristiques de la communication de crise 22/11/2014

3/ Caractéristiques ET leçons essentielles de la communication de crise. 3 A/ Les caractéristiques de la communication de crise 22/11/2014 1/ Communication et organisations 2/ Les théories de la communication et la 3/ Caractéristiques ET leçons essentielles de la communication de 3/ Caractéristiques et leçons essentiellesde la 4/ Communication,

Plus en détail

Améliorer l efficacité de votre fonction RH

Améliorer l efficacité de votre fonction RH Améliorer l efficacité de votre fonction RH Des tendances accentuées par un environnement économique et social en constante évolution La fonction RH doit répondre à des exigences croissantes en termes

Plus en détail

La sécurité intelligente intégrée pour protéger vos données critiques

La sécurité intelligente intégrée pour protéger vos données critiques IBM Software Livre blanc sur le leadership éclairé Avril 2013 La sécurité intelligente intégrée pour protéger vos données critiques Exploitez des informations décisionnelles afin de réduire les risques

Plus en détail