La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients

Dimension: px
Commencer à balayer dès la page:

Download "La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients"

Transcription

1 n 31 La Lettre Sécurité Édito Cybersécurité, l État investit! Pourquoi les entreprises n en font-elles pas autant? L État prend actuellement à bras le corps le sujet de la cybersécurité. La loi de programmation militaire concrétise ces initiatives en apportant des changements importants dans la posture de l État, en particulier en imposant de nouvelles obligations aux opérateurs d importance vitale (OIV) ou encore par une orientation franche vers la lutte informatique défensive. En parallèle, l État se donne les moyens de ses ambitions, malgré des budgets serrés. Les plans de recrutement en sont une illustration, tant au niveau de l ANSSI que du Ministère de la Défense au sens large. Cela démontre une chose : le sujet de la cybersécurite prend une importance cruciale au niveau national. En regard, les grandes entreprises adoptent une approche encore trop timorée et réductrice face à l évolution des menaces. Et si certaines ont su avancer, c est bien souvent après avoir été durement touchées par un incident. Il est aujourd hui temps que les directions générales prennent conscience de la situation et des menaces qui pèsent sur leur entreprise et qu elles aussi fassent de la cybersécurité une priorité pour leurs investissements. Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l information Comment démystifier les risques du Cloud computing? La sécurité est un sujet récurrent lorsque l on parle de Cloud, à tel point qu elle est devenue pour de nombreux fournisseurs un argument de vente. La question de la protection des données transmises, traitées et sauvegardées apparaît notamment comme cruciale. Ces points préoccupent aujourd hui les experts techniques, les managers d information, et parfois même les directions des entreprises. Le Cloud est-il sûr? Que risque-t-on en l adoptant? Comment y assurer la sécurité de ses données? Un service moins cher n est pas forcément moins sécurisé Il faut voir les risques liés au Cloud comme proches de ceux existants sur l externalisation et la virtualisation avec en particulier la perte de contrôle de ses données et les risques liés aux technologies utilisées (virtualisation des systèmes et des réseaux, automatisation d un certain nombre de tâches, etc.). Pourtant, de manière générale, nous constatons en France que le niveau moyen de sécurité des services Cloud est au-dessus du niveau moyen de sécurité des entreprises. Plusieurs facteurs expliquent cela. Le fait de fournir un service informatique à l état de l art (et donc sécurisé) est le métier des acteurs du Cloud. Chez la plupart d entre eux, la mise en place et le respect des procédures de sécurité fait l objet d une attention particulière. Par ailleurs, ils proposent un service industrialisé à de nombreux clients : les bonnes pratiques exigées par l un peuvent souvent être appliquées à tous. Ces fournisseurs sont, enfin, plus exposés que la moyenne des entreprises, et ont de vrais enjeux en termes d image : la découverte de faiblesses de sécurité amène en général à une correction rapide. Inversement, si un mécanisme de sécurité n est pas offert par un fournisseur (de base ou en option), il sera malheureusement difficile de l obtenir : en sécurité comme pour les autres fonctionnalités, les offres Cloud manquent souvent de souplesse. Attention cependant, contrairement à une idée répandue, toutes les offres Cloud ne se valent pas : de véritables différences peuvent exister d un fournisseur à un autre. Suite en page 2 DÉCRYPTAGES P4 Loi de programmation militaire : de réelles avancées pour la cybersécurité P6 La sécurité de l information, au service de la relation clients

2 Décryptage Des outils dédiés existent pour évaluer ses risques de sécurité D un point de vue sécurité, la démarche est celle classique de l analyse de risque. Le but est ici d accompagner les projets de mise en œuvre ou de migration vers le Cloud, et pas de les interdire. Dans le cas du Cloud, un outillage spécifique commence à apparaître pour réaliser cette analyse. En France, l ANSSI (Agence Nationale de la Sécurité des Systèmes d Information) a publié un guide pour accompagner les démarches de type Cloud computing. Au niveau européen, l ENISA (European Network and Information Security Agency) fournit une analyse générique mais complète des risques liés au Cloud. Outre-Atlantique, l association Cloud Security Alliance regroupant les acteurs majeurs du Cloud a mis au point son outil Cloud Controls Matrix3, qui permet de comparer de nombreux fournisseurs sur des critères de sécurité très précis. Si elle est basée sur les seules déclarations desdits fournisseurs, cette matrice peut néanmoins s avérer utile. Les comparaisons théoriques ne suffisent pas Il est parfois difficile de distinguer ce qui est présenté de ce qui est réellement fait en termes de sécurité. Plusieurs critères permettent d évaluer les fournisseurs. Ils peuvent tout d abord se prévaloir de différentes certifications : ISO (très adoptée et quasiment obligatoire aujourd hui) et ISAE 3402/SAE 16 (très adoptées également, requises pour les groupes cotés aux États-Unis, dans la ligne de SoX). Des démarches spécifiques existent aussi dans certains domaines, comme pour les données de santé en France, ou PCI-DSS pour les données de cartes bancaires. Pour autant, ces certifications ne sont pas toujours une assurance d un niveau de sécurité adapté. Lors de la phase de choix des fournisseurs ou durant le projet, il apparaît nécessaire de poser des questions très précises, sans laisser de place à des réponses trop larges ou ambiguës. Un certain nombre d acteurs du Cloud accepteront d ailleurs de fournir des détails sur le fonctionnement de leur solution, après signature d un accord de non-divulgation. Des visites de datacenters sont aussi toujours très instructives, et permettent parfois de se forger un avis sur la maturité du niveau de sécurité de l offre proposée. Certains fournisseurs sont réticents à fournir des informations très précises préalablement à la signature du contrat, ils peuvent alors proposer l ajout d une clause permettant de dénoncer le contrat ultérieurement. Mais attention à ce mécanisme, une fois la mise en œuvre démarrée, faire marche arrière est presque impossible Enfin, la possibilité de contrôler le prestataire Cloud est un critère intéressant. Sa capacité à accepter un audit diligenté par ses clients est en effet une preuve de transparence, voire de confiance en son propre niveau de sécurité. Les risques d accès aux données sont réels, depuis longtemps Si l actualité récente a fait éclater l affaire PRISM, la réalité des accès aux données est pourtant connue depuis de nombreuses années. Les quelques années de recul et d expérience sur le Cloud montrent que les craintes quant à l accès aux données hébergées à l étranger sont justifiées. L exemple le plus souvent cité est celui du USA Patriot Act : sur requête du gouvernement américain et après contrôle par un juge, toute entreprise américaine, ou située sur le sol américain, ainsi que tout citoyen américain (où qu il soit), se doivent de fournir aux autorités un accès aux données auxquelles ils ont accès. Dans le cas d une entreprise de droit américain, l obligation s étend en dehors du territoire national : si ses infrastructures sont situées en Union Européenne, la loi s applique. 2 La Lettre Sécurité N 31 octobre 2013

3 Le Syntec Numérique a publié un éclairage intéressant sur le sujet en avril On y précise notamment qu un contrôle par un juge peut être réalisé avant la divulgation des données Ou après, donc trop tard pour l empêcher. Cette loi pose donc en théorie le problème de la confidentialité des données. Dans la réalité, ces craintes se justifient principalement si les données manipulées ont un niveau de sensibilité très élevé : étatiques (administrations, défense, etc.), stratégiques pour l entreprise dans un environnement à forts enjeux concurrentiels, géopolitiques, etc. Pour autant, et c est un aspect moins connu, la majorité des gouvernements mondiaux disposent de prérogatives équivalentes. Le cabinet d avocats Hogan Lovells a publié une étude à ce sujet en 2012, incluant notamment un comparatif des législations de 10 grands pays sur l accès aux données Cloud : beaucoup (dont la France) disposent de prérogatives similaires, parfois plus larges et moins contrôlées. Pourquoi alors se focalise-t-on généralement sur le USA Patriot Act? Principalement car les acteurs majeurs du Cloud sont aujourd hui américains, donc soumis à la législation américaine. Cependant, ne considérer que l aspect strictement légal est encore trop réducteur : l entreprise doit également se demander si le pays sur le sol duquel ses données critiques sont hébergées a des intérêts allant dans le même sens que les siens. Dans tous les cas, les conseils de juristes spécialisés sont indispensables pour avoir une position précise et adaptée. Les fournisseurs français de Cloud computing, solution du problème? Sur le papier, stocker ou traiter ses données chez un prestataire de droit français sur le sol français semble la solution idéale en théorie seulement. En effet, de nombreux fournisseurs français ont des centres de traitement et de stockage dans le monde entier. Même si vos données n y sont ni stockées ni traitées, ceux-ci pourraient être connectés aux centres situés sur le sol français (et donc permettre d y donner accès à distance). Au-delà des données, se pose la question des équipes décentralisées : un Cloud hébergé en France, mais dont les équipes d administration sont situées aux quatre coins du monde (par exemple pour fournir un support 24/7) doit également faire l objet d attentions. Une fois encore, tous ces risques sont à relativiser : ils ne concernent que les données réellement sensibles. Entre protections juridiques et solutions techniques, la bonne parade reste encore à trouver Un moyen de se protéger des divulgations indésirables pourrait consister en l ajout de clauses contractuelles interdisant à son fournisseur de le faire. Malheureusement, ce dernier risque de ne tenir aucun compte desdites clauses lorsqu une demande officielle de son gouvernement lui parviendra. Pire, dans le cas des lois américaines, il peut lui être interdit d avertir le propriétaire des données que celles-ci ont été transmises (il s agit du principe de gag order). Dans certains cas, il est possible de prendre des précautions très spécifiques. Nous conseillons parfois à nos clients de demander l isolation de leurs données dans le datacenter du fournisseur, dans une salle sous alarme dont seule l entreprise détient la clé. Là encore, cela n empêchera pas un accès aux données, mais permettra au moins à l entreprise d en avoir connaissance. Une véritable solution pourrait provenir de la technologie : un chiffrement adéquat des données permettrait de s assurer que même en cas d accès aux données, celles-ci sont correctement protégées. Cela nécessite des technologies de chiffrement de confiance (par exemple en France, qualifiées par l ANSSI), afin que les données soient sécurisées sur tout leur parcours : pendant leur transmission sur le réseau, au moment de leur utilisation, et lorsqu elles sont stockées dans le Cloud. À ce titre, le chiffrement dit «homomorphique» constitue une perspective d avenir intéressante. Chadi Hantouche, manager octobre 2013 La Lettre Sécurité N 31 3

4 Dossier Décryptage Loi de programmation militaire 2013 : de réelles avancées pour la cybersécurité Gérôme Billois, senior manager Le projet de loi de programmation militaire a été présenté au Conseil des ministres le 2 août. En attendant de disposer du texte complet, un dossier résumant les points clés a été publié par le Ministère de la Défense. Ce dernier est plein d enseignements sur les évolutions à venir en matière de cyberdéfense et de cybersécurité. Il met en particulier l ANSSI au cœur de la future stratégie de la France dans ce domaine en renforçant ses pouvoirs et sa capacité d action. La majorité de ces points étaient connus ou envisagés depuis la publication du livre blanc Défense et Sécurité nationale 2013, mais ce document donne plus de détails sur les moyens déployés et les orientations à venir. Les opérateurs d importance vitale (OIV), sous le contrôle rapproché de l ANSSI Le texte prévoit que le Premier ministre, avec l aide de l ANSSI, puisse imposer aux OIV, sur leurs périmètres sensibles, la mise en place de mesures de sécurité, la qualification des systèmes de détection et la réalisation d audit par l ANSSI. Comme prévu, la notification des incidents est intégrée au texte. Elle se définit par l obligation de fournir «des informations sur les attaques qu ils peuvent subir». Au delà du guide d hygiène informatique qui pourrait être la base des mesures imposées, l ANSSI travaille actuellement sur d autres référentiels, par exemple sur les systèmes industriels ou sur le Cloud. En cas de non-respect de ces obligations, des sanctions pénales sont prévues. Il se posera alors la difficile question des moyens à disposition pour respecter ces obligations. Aujourd hui, même si la sécurité est souvent préservée des coupes budgétaires, les budgets alloués sont souvent trop faibles au regard des enjeux et des risques. Espérons que cette réglementation, au-delà de paraître «intrusive», aura des vertus pédagogiques et fera prendre conscience aux dirigeants des OIV des réels enjeux de sécurité et permettra le déblocage de ressources. La lutte informatique défensive dans le champ d action de l ANSSI Le récent rapprochement «géographique» entre le CALID (centre d analyse en lutte informatique défensive) du Ministère de la Défense et le COSSI (centre opérationnel en sécurité SI) de l ANSSI le laissait présager : Il y a aujourd hui une volonté de renforcer les capacités de lutte informatique défensive au sein de l Etat. L ANSSI sera ainsi en mesure «d accéder à un serveur informatique à l origine d une attaque afin d en neutraliser les effets». C est une première dans ce domaine. Des dispositifs juridiques sont prévus pour que ces actions ne rentrent pas dans le champ des articles 323-1, 2 et 3 du code pénal qui répriment des actions de ce type. Le volet militaire n est pas en reste : recrutements et investissements sont prévus. De nombreuses autres évolutions sont prévues, en particulier dans le domaine du développement des capacités de cyberdéfense militaire avec la mise en place d une chaîne opérationnelle unifiée, centralisée et spécialisée. Le projet de loi prévoit la mise en place des capacités défensives mais aussi offensives pour préparer ou accompagner les opérations militaires. Les moyens humains seront renforcés et des investissements sont également prévus en particulier pour mieux surveiller les systèmes critiques. La DGA sera en charge de la composante technique de cette organisation. L Etat investit dans la cybersécurité mais les entreprises restent à convaincre Nous ne sommes qu au début du processus législatif et les débats au Parlement et au Sénat amèneront certainement des modifications. Cependant, l orientation est claire et tout cela va dans la bonne direction pour renforcer nos capacités de défense face à des attaquants de plus en plus virulents et pointus. Enfin, ce projet de loi démontre que l État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. Espérons que cela sera un électrochoc pour les organisations privées, aujourd hui en retrait face aux évolutions de la cybercriminalité. 4 La Lettre Sécurité N 31 octobre 2013

5 Décryptage Supply chain : le maillon faible? Le résultat est là aussi sans appel : 75 % des entreprises interrogées ont connu au moins un incident majeur lors des deux dernières années, avec des conséquences parfois dévastatrices. Des solutions de bon sens À l issue de cette analyse, de nombreuses propositions d amélioration sont envisageables : Le recours, autant que possible, à des partenaires locaux. Cela permet en effet une meilleure communication (même fuseaux horaires, facilitation des rencontres) et l élimination des ruptures dues aux incompréhensions. En outre, les temps de transport réduits limitent l impact des ruptures de stock (délais de réapprovisionnement plus courts). Florian Carrière, senior manager Regroupant tous les acteurs, internes et externes, impliqués dans la production et la distribution, la supply chain est devenue la colonne vertébrale de l entreprise. Quel rôle pour le Risk manager? Dans ce contexte, le Risk manager peut (doit) travailler main dans la main avec le responsable de la supply chain pour sensibiliser le management aux risques encourus (considérés comme «à très faible probabilité», ils sont rarement présents dans le top 10 suivi à haut niveau), et pour apporter aux décideurs L utilisation d un SI partagé entre les différents acteurs de la supply chain, pour faciliter la diffusion de l information à l ensemble des maillons. Une diffusion rapide des prévisions de commandes limite en effet le risque de rupture de stock, et permet de réduire les stocks de sécurité des maillons les plus amont. Au final, le Risk manager et le responsable «75 % des entreprises interrogées ont connu au moins un incident majeur lors des deux dernières années» Rationalisée et optimisée depuis des années, elle est souvent devenue moins apte à résister aux chocs violents : un cas d école pour le risk manager qui doit démontrer que la croissance n a de sens que si elle est durable. Une recherche de performance centrée sur le gain à court terme Pour faire face à un environnement concurrentiel exacerbé, la supply chain a été parmi les premières fonctions mises à contribution pour réduire les coûts, via la rationalisation des canaux de distribution, le sourcing et l offshoring. Avec des résultats indéniablement à la hauteur des espérances et dont la presse économique se fait régulièrement l écho. Mais ce faisant, les supply chains ont insensiblement et progressivement été fragilisées. Ainsi, ces cinq dernières années : 74% des entreprises ont allongé géographiquement leur supply chain ; 70% ont réduit le nombre de fournisseurs sollicités pour une même fourniture ; 63% ont eu recours à des fournisseurs implantés dans des régions à risque, régulièrement théâtres de perturbations majeures (tsunamis, ouragans, guerres civiles, etc.). les éléments poussant à des arbitrages plus équilibrés entre rentabilité court terme et résilience. Ces éléments d arbitrage découlent du plan d action «classique» de maîtrise des risques : Analyse du fonctionnement global de la supply chain pour en identifier les vulnérabilités, et en déduire les scénarios de risque les plus probables et redoutés ; Ajout des informations «risque» (sur l environnement, par exemple) dans le référentiel partenaires, en ouvrant si possible le panel aux acteurs alternatifs potentiels ; Vérification de leurs plans de continuité (participation aux tests dans l idéal, au moins en tant qu observateur) ; Simulation des scénarios de risque, pour évaluer la résistance globale de la supply chain. de la supply chain ont donc une partition à 4 mains à jouer intelligemment, pour mettre ce sujet à l ordre du jour du Comité des Risques et faire en sorte que le prochain tsunami en Asie ne bloque pas nécessairement la production de voitures en Europe! [Article rédigé en collaboration avec Jean- Charles Pezeril] octobre 2013 La Lettre Sécurité N 31 5

6 Décryptage La sécurité de l information, au service de la relation client Amal Boutayeb, manager À l heure du multi-canal, et même du cross-canal, bâtir une relation de «confiance numérique» est un enjeu clé pour les entreprises privées, mais aussi les organismes du service public (déclaration d impôts, espaces personnels sur le site de Pôle emploi ). Ils se doivent de montrer la sécurité de l ensemble de leurs canaux pour accompagner le développement de la relation client sur les médias numériques. La sécurité de l information, un prérequis sur les canaux numériques La protection des données est aujourd hui une préoccupation évidente des clients et usagers. C est ce que révèle un sondage de l Economist Intelligence Unit en 2013, dans lequel 90% des sondés affirment penser que leurs données utilisées en ligne peuvent être volées, notamment pour détourner de l argent. C est également une préoccupation des pouvoirs publics qui renforcent les obligations en termes de sécurité. Attirer les clients sur les canaux digitaux est une nécessité pour beaucoup d entreprises. La sécurité est un prérequis indispensable à cette transition. D une part, Il faut rassurer les clients, et pour cela démontrer de manière visible que des mesures de sécurité existent pour protéger les données critiques et éviter notamment les fraudes financières. Une création de compte, une transaction, un changement de RIB... Une bonne sécurisation, organisationnelle ou technique, peut conforter les clients dans leur confiance dans le canal numérique pour ces actions. D autre part, en cas d incident, la capacité à bien réagir, tant pour résoudre l incident le plus rapidement possible, que pour communiquer clairement et rassurer les clients concernés est un élément clé. L évolution de la réglementation autour de la notification des incidents poussera d ailleurs les organisations à développer ce point. Enfin, il est important de relayer cette position au travers des acteurs de la relation client sur le terrain (vendeurs, conseillers, etc.) en les sensibilisant pour qu ils portent également ces messages en magasins, agences, etc. La sécurité de l information, un facteur de différenciation et de compétitivité Démontrer un réel engagement dans la sécurité de l information peut être un élément différentiant sur le marché. Pour ce faire, des solutions de sécurité avancées peuvent être proposées. Des banques comme Société Générale ou HSBC proposent ainsi un logiciel à installer gratuitement pour renforcer la sécurité du terminal de l utilisateur lorsqu il utilise leur site. D autres, comme Natwest et Barclays mettent à disposition de leurs clients des moyens d authentification renforcés. Au-delà des solutions techniques, certains acteurs vont jusqu à sensibiliser leurs clients et usagers sur l importance du respect de bonnes pratiques de sécurité. AXA a ainsi publié le «Le guide du bon sens numérique» et encore Le Groupe La Poste a communiqué sur des bonnes pratiques à adopter sur les réseaux sociaux. Les services marketing doivent donc travailler en collaboration avec les équipes de sécurité à la fois pour innover et proposer des solutions de sécurité, mais aussi pour écouter et savoir tenir compte des attentes des consommateurs. La sécurité de l information, une offre à part entière? Et si de centre de coûts, la sécurité devenait une source de gains? En étant attentifs aux attentes des clients, différentes entreprises se sont posées cette question et lancent aujourd hui des offres de sécurité en tant que telles... Plusieurs secteurs se sont d ores et déjà lancés : celui de l assurance par exemple. Cyberassurance ou encore protection de l identité numérique, des assurances comme AIG, AXA ou Swiss Life, ont entendu l intérêt que portent leurs clients à la sécurité de l information, B2B comme B2C. Autre exemple, les opérateurs télécoms qui proposent un anti-virus avec les abonnements d accès à internet. Ou encore, d autres opérateurs, d un tout autre secteur, celui des jeux en ligne, mettent à disposition de l authentification renforcée pour leurs clients. Ainsi, au-delà d être un prérequis la sécurité de l information peut devenir un avantage concurrentiel, voire représenter une offre à part entière. C est à chaque organisation de choisir la posture qu elle souhaite adopter! 6 La Lettre Sécurité N 30 octobre 2013

7 Décryptage La pré-production constitue-t-elle la meilleure solution de continuité informatique? Raphaël Brun, consultant senior La mise en place d un Plan de Continuité Informatique (PCI) est souvent vue comme un poste de coût supplémentaire, une forme d assurance pour couvrir des évènements rares. Dès lors, le bon sens conduit souvent à vouloir en réduire les coûts et donc à favoriser le secours sur des serveurs existant «hors production» (développement, recette, qualification, intégration, test, formation, pré-production) et notamment ceux de pré-production (plus proches de l environnement réel). Mettre ainsi à profit des ressources qu on ne juge pas essentielles en cas de crise semble permettre d optimiser leur usage et au final les coûts du PCI. Cette assertion mérite cependant d être confrontée au contexte de chaque organisation. Un tel secours est-il vraiment une source d économie? Réellement plus simple à mettre en œuvre? Éligible pour toutes les applications? Prendre en compte les contraintes applicatives pour évaluer la complexité de mise en œuvre Les environnements «hors-production» peuvent présenter des enjeux aussi forts pour les métiers que leur environnement de production, notamment lorsque : Les applications doivent évoluer rapidement ou régulièrement ; Les incidents applicatifs nécessitant correctifs sont fréquents. Ces besoins métiers entrent ainsi en concurrence avec ceux liés à la mise en place du secours (construction du PCI, recette, tests, etc.). Si le métier est en charge de définir les priorités d utilisation de ces environnements, il y a fort à parier que le planning de mise en œuvre du PCI devra être défini en fonction des plages d usage laissées vacantes par les autres besoins. Autant dire que pour les applications évoluant souvent ou victimes d incidents à répétition, le projet de secours sera complexifié ; les phases de construction et de test du secours ne pouvant être déroulées, le métier exigeant la disponibilité de ces ressources pour d autres besoins plus prioritaires à ses yeux. Contrainte d autant plus forte dans un contexte au sein duquel la mise en production (MEP) ne serait pas complètement industrialisée. Dès lors, la mise en œuvre d un secours sur pré-production ne peut être envisagée sereinement que pour des organisations au sein desquelles la DSI priorise seule l accès et l utilisation des ressources hors-production. Il conviendra alors de privilégier les applications les mieux maîtrisées et les plus stables, afin de réduire au maximum les conflits avec les chantiers d évolution applicative ou de correction de problèmes. Ne pas conclure trop vite à une économie substantielle en évaluant les coûts cachés Si le secours sur pré-production est considéré comme moins coûteux, c est qu il réduit le volume des investissements et la mise en œuvre de serveurs. Mais cette vision apparaît réductrice dès qu on identifie les autres coûts à prendre en considération. En effet, la majeure partie des coûts d un projet de secours informatique réside souvent dans le pilotage, les études, les travaux d infrastructures et le secours des données. Au final, les serveurs ne représentent parfois que 10 à 20% de l investissement total. L économie réalisée n est donc pas nécessairement conséquente. Par ailleurs, le secours sur pré-production peut également impliquer des coûts spécifiques. Bien souvent il s agira de déménager les serveurs de pré-production, en général situés à proximité de ceux de production, et de les mettre à niveau en termes de configuration avec ces derniers. Il s agira également d études techniques complémentaires (ex : comment faire cohabiter des environnements de pré-production et de secours sur un même serveur?) pouvant nécessiter des enveloppes de charges supplémentaires. Enfin, en cas de coordination avec les métiers pour prise en compte de leurs contraintes (application en cours d évolution, correction de bugs récurrents, etc.) des charges de gestion de projet complémentaires sont à prévoir. Autant de points pouvant rendre le secours sur pré-production aussi voire plus onéreux qu une solution dédiée de secours. Il convient donc de bien évaluer son coût en fonction de ces différents paramètres et de le comparer aux coûts des autres solutions envisagées. Ne pas réduire le secours sur préproduction à sa composante économique «La solution du bon sens est la dernière à laquelle songent les spécialistes» citait l éditeur Bernard Grasset. Nous l avons vu, et contrairement à ce que le bon sens nous le laissait imaginer, le secours sur préproduction n est pas une garantie d économie. Cette solution est à privilégier dans des contextes matures (maîtrise forte du processus de mise en production et des environnements hors production par la DSI), pour des applications stables (n évoluant pas ou peu) et des environnements techniques adaptés. Autant d éléments à prendre en compte avant d acter ou non la mise en œuvre de cette solution, notamment à l aide de projets de virtualisation des environnements octobre 2013 La Lettre Sécurité N 31 7

8 L actualité Solucom Événements Les assises de la sécurité (2 au 5 octobre 2013) Solucom sera présent aux Assises de la sécurité. Retrouvez-nous sur le Forum!... Atelier «Cybercriminalité : gestion de crise, cyberassurance et notification clients, think global!» Cybercriminalité, notification des incidents, cyberassurance, détection et réaction face aux attaques Autant de sujets que le RSSI doit adresser dans un programme cohérent de lutte contre la cybercriminalité. L enjeu principal? Impliquer les métiers, de la communication au juridique en passant par la relation client, pour limiter les impacts au maximum. Dans le cadre de notre atelier nous présenterons comment revoir sa gestion de crise et mettre en œuvre une stratégie complète face à ces nouvelles menaces. Atelier animé par Gérôme Billois, Marion Couturier et Christophe Batbedat (responsable de la gestion de crise cybercriminalité chez SFR)... Table ronde PCA et cybercriminalité Continuité d activité, résilience et cybercriminalité : quelles opportunités? Quelles limites? Vol de données, destruction logique de postes de travail, dénis de service La cybercriminalité défraie la chronique avec des scénarios d attaques poussés qui remettent en cause la viabilité et l intégrité du système d information. Ces risques sont dans le radar des Responsables continuité d activité. Mais attention, aujourd hui les mécanismes de continuité habituels peuvent atteindre rapidement leurs limites. Quelles sont-ils? Comment le RPCA / RSSI doit-il positionner ses actions dans ce contexte? Quels engagements peut-il prendre? Et quelle approche innovante adopter dès maintenant? Table ronde animée par Gérôme Billois, avec les interventions de : Emmanuel Adeline, Deputy CISO, Société Générale Pascal Basset Responsable Conformité et Sécurité des SI, PMU Pierre-Dominique Lansard, Directeur Mission Infrastructures Vitales, France Telecom et Président du Club de la Continuité d Activité Plus d informations : Actualités Solucom Pour mieux porter ses ambitions à horizon 2015, Solucom a adopté une nouvelle configuration au 1 er juillet Pour réussir les transformations d entreprise, la maîtrise simultanée des enjeux business et technologiques est souvent indispensable. Solucom a décidé de répondre à cet impératif en combinant, au sein d une proposition de valeur unique, compétences sectorielles et expertises technologiques, faisant notamment émerger 2 practices business transformation tournées vers les premiers secteurs où Solucom a développé son savoir-faire de conseil en management, avec l ambition de devenir le champion de la transformation. Cette offre de conseil est ainsi portée par 6 practices : Business transformation Banque Assurance, Business transformation Energie Transports Telcos, Excellence opérationnelle & IT, risk management & sécurité de l information, Innovation digitale, Architecture des systèmes d information. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, Amal Boutayeb, Rapahël Brun, Florian Carrière, Chadi Hantouche, Jean-Charles Pezeril. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue de la practice risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense abonnement :

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Cloud Computing*: questions juridiques

Cloud Computing*: questions juridiques 07 Juin 2011 CERT Ist - Forum 2011 Cloud Computing*: questions juridiques Jean-Marie Job Avocat associé de Gaulle Fleurance & Associés jmjob@dgfla.com * Informatique en nuage Ateliers ADIJ Solutions aux

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Plan de Continuité d Activité, Plan de Reprise d Activité

Plan de Continuité d Activité, Plan de Reprise d Activité Plan de Continuité d Activité, Plan de Reprise d Activité Synthèse de la conférence thématique du CLUSIF du 10 avril 2014. Aujourd hui, toutes les entreprises et organisations, quel que soit leur secteur,

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Étude : les PME à l heure du Cloud

Étude : les PME à l heure du Cloud Étude : les PME à l heure du Cloud Synthèse des principaux enseignements 27 avril 2012 1 FICHE TECHNIQUE DE L ETUDE Echantillon : 301 entreprises de 20 à 499 salariés. Représentativité assurée par des

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français L opinion des consommateurs français sur : Le niveau de sécurité des données personnelles pour chaque industrie Les organisations collectant des données personnelles via les appareils connectés Les recherches

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

LES AVANTAGES DU CLOUD

LES AVANTAGES DU CLOUD 1 INTRODUCTION Toutes les entreprises ont un point en commun : la volonté d accroître leurs revenus et leur productivité. Mais beaucoup d entreprises ne profitent pas des ressources à leur disposition

Plus en détail

Au cœur du marché de la cybersécurité. Incubateur de technologies innovantes & Business accelerator

Au cœur du marché de la cybersécurité. Incubateur de technologies innovantes & Business accelerator Au cœur du marché de la cybersécurité Incubateur de technologies innovantes & Business accelerator Le Contexte Les entreprises et les institutions doivent sans cesse adapter leurs moyens de détection et

Plus en détail

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques. TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace

Plus en détail

Regard sur hybridation et infogérance de production

Regard sur hybridation et infogérance de production Regard sur hybridation et infogérance de production Février 2014 édito «comment transformer l hybridation des infrastructures en levier de performances?» Les solutions d infrastructure connaissent depuis

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 21 - Mars 2010 La Lettre Sécurité Édito Souvenez-vous : en 2007, Solucom publiait son premier Livre Blanc entièrement consacré à la famille de normes ISO 27000 et plus particulièrement à la norme ISO

Plus en détail

Donnez une impulsion à votre carrière

Donnez une impulsion à votre carrière Donnez une impulsion à votre carrière Devenir le 1 er cabinet de conseil indépendant en France Un métier de conseil en management & IT Solucom, un cabinet coté sur NYSE Euronext environ 1 200 collaborateurs

Plus en détail

Performance 2010. Eléments clés de l étude

Performance 2010. Eléments clés de l étude Advisory, le conseil durable Consulting / Operations Performance 2010 Eléments clés de l étude Ces entreprises qui réalisent deux fois plus de croissance. Une enquête sur les fonctions ventes et marketing.

Plus en détail

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Risk Advisory Février 2014 Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Des points de vue sur vos sujets de préoccupation dans les domaines de la gestion des risques,

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

SERVICES DE RENSEIGNEMENTS ET DE SÉCURITÉ

SERVICES DE RENSEIGNEMENTS ET DE SÉCURITÉ COMITÉ PERMANENT DE CONTRÔLE DES SERVICES DE RENSEIGNEMENTS ET DE SÉCURITÉ Enquête de contrôle 2007.181 Conclusions et recommandations de l enquête sur la manière dont les services belges de renseignement

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

Formation et SSI. Éric Jaeger, ANSSI/SDE/CFSSI Colloque ARCSI du 25 janvier 2014, École Militaire

Formation et SSI. Éric Jaeger, ANSSI/SDE/CFSSI Colloque ARCSI du 25 janvier 2014, École Militaire Formation et SSI Éric Jaeger, ANSSI/SDE/CFSSI Colloque ARCSI du 25 janvier 2014, École Militaire Plan 1 Formation et ANSSI 2 Vous avez dit sécurité? 3 Le stage RSSI 4 La formation ESSI 5 La SSI dans les

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Consulting Infrastructure Stratégie & Planning Réseaux Applications Operation s

Consulting Infrastructure Stratégie & Planning Réseaux Applications Operation s Consulting Dans un environnement de plus en plus concurrentiel et mouvant, votre société doit anticiper de nouveaux risques, des ruptures technologiques ou l arrivée de challengers venus d autres régions

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

ÉTUDE IT FOCUS. Enjeux et perspectives 2013 pour la DSI. En partenariat avec DÉCEMBRE 2012

ÉTUDE IT FOCUS. Enjeux et perspectives 2013 pour la DSI. En partenariat avec DÉCEMBRE 2012 DÉCEMBRE 2012 ÉTUDE IT FOCUS Enjeux et perspectives 2013 pour la DSI En partenariat avec SOMMAIRE INTRODUCTION IT FOCUS...4 MÉTHODOLOGIE...4 BUDGETS ET ORIENTATIONS...5 Disposez-vous d un budget qui vous

Plus en détail

Présentation ORSYP. L Innovation au service de la Performance. Alexandra Sommer. Directeur Marketing ORSYP Labs

Présentation ORSYP. L Innovation au service de la Performance. Alexandra Sommer. Directeur Marketing ORSYP Labs Présentation ORSYP L Innovation au service de la Performance Alexandra Sommer Directeur Marketing ORSYP Labs 1 Le groupe ORSYP Au service de la Performance & de la Productivité des Opérations IT +25 ans

Plus en détail

Paroles d expert. ITIL V3, accélérateur de la stratégie de services

Paroles d expert. ITIL V3, accélérateur de la stratégie de services 33 3 3 3 ITIL V3, accélérateur de la stratégie de Dans le référentiel ITIL V2, les ouvrages Business Perspective, Plan to Implement, et ceux traitant des processus eux-mêmes, ont, à divers degrés, abordé

Plus en détail

SERVICES PARTAGÉS RÉUSSIR LA MISE EN PLACE DE VOTRE CENTRE DE

SERVICES PARTAGÉS RÉUSSIR LA MISE EN PLACE DE VOTRE CENTRE DE 15 SE LIT EN MINUTES RÉUSSIR LA MISE EN PLACE DE VOTRE CENTRE DE SERVICES PARTAGÉS Ou comment la dématérialisation dans le cloud vous assiste dans vos initiatives de gestion globale. RÉUSSIR LA MISE EN

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Quels risques, quelles approches pour sécuriser? Chadi HANTOUCHE chadi.hantouche@solucom.fr Notre mission : Accompagner les grands comptes dans la maîtrise des risqueset la conduite

Plus en détail

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles Mis en fo Ateliers Cloud Computing / ADIJ / [Atelier n 4 20 janvier 2011] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles Co-animés par Helle Frank Jul-Hansen, Béatrice

Plus en détail

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier Sécurité Active Analyser l Renforcer l Maîtriser l Étudier Analyser l Renforcer l Maîtriser l Étudier L offre Sécurité Active évalue et fortifie les systèmes d information vis-à-vis des meilleures pratiques

Plus en détail

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

Ministère de l intérieur --------

Ministère de l intérieur -------- Ministère de l intérieur -------- Examen professionnel d ingénieur principal des systèmes d information et de communication du ministère de l intérieur Session 2013 Meilleure copie Sujet n 1 - Réseaux

Plus en détail

La notation en matière de sécurité

La notation en matière de sécurité La notation en matière de sécurité Août 2008 Le CDSE Le Club des Directeurs Sécurité d Entreprise est l association des directeurs de sécurité d entreprise et de leurs collaborateurs. Il fédère des entreprises

Plus en détail

Guide pratique à l intention des décideurs avisés MIGRATION VERS WINDOWS 7 : UN RETOUR SUR INVESTISSEMENT RAPIDE ET TANGIBLE.

Guide pratique à l intention des décideurs avisés MIGRATION VERS WINDOWS 7 : UN RETOUR SUR INVESTISSEMENT RAPIDE ET TANGIBLE. Guide pratique à l intention des décideurs avisés MIGRATION VERS WINDOWS 7 : UN RETOUR SUR INVESTISSEMENT RAPIDE ET TANGIBLE. Windows 7 : mal nécessaire ou réel avantage? Au cours des 24 prochains mois,

Plus en détail

6ème édition du Baromètre des investissements informatiques en France

6ème édition du Baromètre des investissements informatiques en France 6ème édition du Baromètre des investissements informatiques en France Objectifs Baromètre des investissements informatiques en France avec pour objectifs : de suivre l évolution de l opinion des responsables

Plus en détail

AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015

AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015 AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015 Déroulement Rappel : qu est-ce que Syntec Numérique? Une définition du Cloud Computing Les caractéristiques du Cloud Computing Les

Plus en détail

Contexte : une infrastructure vieillissante qui n était plus en adéquation avec les besoins actuels et futurs de Swiss Life.

Contexte : une infrastructure vieillissante qui n était plus en adéquation avec les besoins actuels et futurs de Swiss Life. Communiqué de presse 3 décembre 2013 Cas d application Swiss Life France rénove entièrement ses Datacenter de Roubaix et Levallois avec MTI Technology. Une mise en conformité à un haut niveau de disponibilité.

Plus en détail

Leader de l Actuariat Conseil et de la Gestion des Risques

Leader de l Actuariat Conseil et de la Gestion des Risques Leader de l Actuariat Conseil et de la Gestion des Risques Optimind Winter respecte les meilleurs standards européens sur l ensemble des expertises associées à la chaîne des risques des organismes assureurs,

Plus en détail

La situation du Cloud Computing se clarifie.

La situation du Cloud Computing se clarifie. Résumé La situation du Cloud Computing se clarifie. Depuis peu, le Cloud Computing est devenu un sujet brûlant, et à juste titre. Il permet aux entreprises de bénéficier d avantages compétitifs qui leur

Plus en détail

Cloud Computing, discours marketing ou solution à vos problèmes?

Cloud Computing, discours marketing ou solution à vos problèmes? Cloud Computing, discours marketing ou solution à vos problèmes? Henri PORNON 3 avril 2012 IETI Consultants 17 boulevard des Etats-Unis - F-71000 Mâcon Tel : (0)3 85 21 91 91 - fax : (0)3 85 21 91 92-

Plus en détail

La sécurité informatique, c est votre problème aussi!

La sécurité informatique, c est votre problème aussi! INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique,

Plus en détail

INTRODUCTION A LA VEILLE METHODE ET OUTILS. Christophe GINESY - Cyril PEREIRA

INTRODUCTION A LA VEILLE METHODE ET OUTILS. Christophe GINESY - Cyril PEREIRA INTRODUCTION A LA VEILLE METHODE ET OUTILS Christophe GINESY - Cyril PEREIRA PLAN GENERAL I INTRODUCTION Définition : veille, IE, recherches d information II NOTRE APPROCHE Constats, retours d expérience

Plus en détail

n spécial Assises de la Sécurité 2009

n spécial Assises de la Sécurité 2009 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif

Plus en détail

RAPPORT. 1. Appréciation générale des problématiques de cybersécurité

RAPPORT. 1. Appréciation générale des problématiques de cybersécurité Réponse de la France à la résolution 68/243 relative aux «Développements dans le domaine de l information et des télécommunications dans le contexte de la sécurité internationale» RESUME ANALYTIQUE A titre

Plus en détail

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization)

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization) Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization) Préparé par : Zeus Kerravala Les cinq raisons majeures pour déployer SDN et NFV NetworkWorld,

Plus en détail

Stratégies gagnantes pour la fabrication industrielle : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour la fabrication industrielle : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Stratégies gagnantes pour la fabrication industrielle : Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Stratégies gagnantes pour l industrie : Synthèse Jusqu ici, les

Plus en détail

avec Etude exclusive Le Club des Annonceurs & l Institut QualiQuanti «Le Brand Content : au cœur du pilotage de la marque»

avec Etude exclusive Le Club des Annonceurs & l Institut QualiQuanti «Le Brand Content : au cœur du pilotage de la marque» avec Communiqué de presse Paris, le 22 octobre 2014 Etude exclusive Le Club des Annonceurs & l Institut QualiQuanti «Le Brand Content : au cœur du pilotage de la marque» «A l heure où la marque devient

Plus en détail

Recovery as a Service

Recovery as a Service Recovery as a Service Quand le Cloud Computing vole au secours des entreprises Membres du groupe : KIRCHHOFER Nicolas BUISSON Marc DJIBRINE Rayanatou DUVAL Fabien JOUBERT Yohan PAQUET Jérôme 1 Coachés

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

L'intérêt de la 27001 pour le CIL

L'intérêt de la 27001 pour le CIL HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet L'intérêt de la 27001 pour le CIL Frédéric Connes

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris Le 17 avril 2013 Pavillon Dauphine, Paris Le présent document est l analyse d ORSYP Consulting à la demande du CESIT. Nathan SROUR Principal +33 (0) 6 09 06 76 91 Nathan.Srour@orsyp.com Damien CONVERT

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Big Data : se préparer au Big Bang

Big Data : se préparer au Big Bang Big Data : se préparer au Big Bang Initialement confinées au cœur des moteurs de recherche et des réseaux sociaux, les technologies du Big Data s'exportent désormais avec succès dans de nombreux secteurs

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Les pratiques du sourcing IT en France

Les pratiques du sourcing IT en France 3 juin 2010 Les pratiques du sourcing IT en France Une enquête Solucom / Ae-SCM Conférence IBM CIO : «Optimisez vos stratégies de Sourcing» Laurent Bellefin Solucom en bref Cabinet indépendant de conseil

Plus en détail

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December 2014. M elle Rafia BARKAT. Chargée d Etudes Experte

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December 2014. M elle Rafia BARKAT. Chargée d Etudes Experte The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December 2014 M elle Rafia BARKAT Chargée d Etudes Experte Quels sont les avantages du Cloud Computing? Quels sont les risques et les principales

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

Etude des stratégies de distribution multi-canal des assureurs français

Etude des stratégies de distribution multi-canal des assureurs français Etude des stratégies de distribution multi-canal des assureurs français Copyright Copyright 2010 2010 Accenture All Rights All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine

Plus en détail

ITIL v3. La clé d une gestion réussie des services informatiques

ITIL v3. La clé d une gestion réussie des services informatiques ITIL v3 La clé d une gestion réussie des services informatiques Questions : ITIL et vous Connaissez-vous : ITIL v3? ITIL v2? un peu! beaucoup! passionnément! à la folie! pas du tout! Plan général ITIL

Plus en détail

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006 Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité Olivier de Chantérac 08 novembre 2006 PCA, MCO et ROI Une Responsabilité de Direction Générale ou Métier - Disposer d une

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 02/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Préventeur (trice) en cybersécurité des

Plus en détail

Déterminer quelle somme dépenser en matière de sécurité des TI

Déterminer quelle somme dépenser en matière de sécurité des TI Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement

Plus en détail

L Application Performance Management pourquoi et pour quoi faire?

L Application Performance Management pourquoi et pour quoi faire? Management pourquoi et pour quoi faire? Un guide pratique pour comprendre l intérêt des solutions d Application Management, à l heure où les systèmes d information sont au cœur de l efficacité opérationnelle

Plus en détail

Le pilotage des RH dans le secteur IT Tendances et thèmes clés. Les transformations du management RH en DSI et prestataires de services

Le pilotage des RH dans le secteur IT Tendances et thèmes clés. Les transformations du management RH en DSI et prestataires de services Le pilotage des RH dans le secteur IT Tendances et thèmes clés Les transformations du management RH en DSI et prestataires de services Executive summary (1) Les transformations des DSI L entreprise et

Plus en détail

Avantage d'une migration vers une solution EDI externalisée

Avantage d'une migration vers une solution EDI externalisée Avantage d'une migration vers une solution EDI externalisée Description Problématique Infrastructure Ressources Logiciel Maintenance Conclusion Avantages d une migration vers une solution EDI externalisée

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

Outsourcing : la sauvegarde en ligne des données de l entreprise.

Outsourcing : la sauvegarde en ligne des données de l entreprise. Outsourcing : la sauvegarde en ligne des données de l entreprise. Sur quels marchés votre entreprise de Sauvegarde en Ligne évolue t elle? Dans un contexte de montée en puissance de l insécurité, les solutions

Plus en détail

3 ème. 280 000 salariés gérés. collaborateurs. de bulletins produits par mois. partenaires. en france. acteur de. distributeurs

3 ème. 280 000 salariés gérés. collaborateurs. de bulletins produits par mois. partenaires. en france. acteur de. distributeurs Intelligence RH 1 Yourcegid Ressources Humaines Spécialiste des logiciels de gestion de la Paie et des Ressources Humaines, Cegid répond aux exigences de l entreprise d aujourd hui, quel que soit le secteur

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

Position du CIGREF sur le Cloud computing

Position du CIGREF sur le Cloud computing Position du CIGREF sur le Cloud computing Septembre 2010 Cette position est le fruit d un groupe de réflexion ayant rassemblé les Directeurs des Systèmes d Information de grandes entreprises, au premier

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

Livre Blanc. L hébergement à l heure du Cloud. Comment faire son choix?

Livre Blanc. L hébergement à l heure du Cloud. Comment faire son choix? Comment faire son choix? Document conçu et rédigé par le cabinet de conseil et d études Pierre Audoin Consultants Mars 2014 www.pac-online.com blog.pac-online.com Sommaire Un nouveau paradigme... 3 L'hébergement

Plus en détail

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr www.lexsi.fr AUDIT CONSEIL CYBERSÉCURITÉ FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN CYBERSÉCURITÉ / PARIS LYON LILLE MONTREAL SINGAPOUR www.lexsi.fr SERVICES LEXSI est actif à l international

Plus en détail

LES SOLUTIONS D HEBERGEMENT INFORMATIQUE

LES SOLUTIONS D HEBERGEMENT INFORMATIQUE LES SOLUTIONS D HEBERGEMENT INFORMATIQUE SOMMAIRE Qu est ce que le Cloud? De nouvelles offres? Approche économique Freins, moteurs et Avantages Des réponses concrètes : Les offres NC² SOMMAIRE Qu est ce

Plus en détail

LE LIVRE BLANC Le Cloud, nouvelle source de performance pour votre entreprise. [ NetExplorer, partage de fichier et travail collaboratif ]

LE LIVRE BLANC Le Cloud, nouvelle source de performance pour votre entreprise. [ NetExplorer, partage de fichier et travail collaboratif ] LE LIVRE BLANC Le Cloud, nouvelle source de performance pour votre entreprise. [ NetExplorer, partage de fichier et travail collaboratif ] LE CLOUD, UNE NOUVELLE SOURCE DE PERFORMANCE POUR VOTRE ENTREPRISE.

Plus en détail

Le Plan de Continuité d Activité (PCA / BCP)

Le Plan de Continuité d Activité (PCA / BCP) Le Plan de Continuité d Activité (PCA / BCP) Comment le mettre en œuvre et vérifier qu il restera opérationnel? Bruno KEROUANTON RSSI Clear Channel France - CISSP 16 juin 2004 - Paris Introduction, définitions

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

Baromètre des investissements numériques en France

Baromètre des investissements numériques en France Baromètre des investissements numériques en France Novembre 2015 Objectifs Baromètre des investissements numériques en France avec pour objectifs : de suivre l évolution de l opinion des responsables informatique

Plus en détail

Auditer son environnement Telecom Un des fondements du projet TEM

Auditer son environnement Telecom Un des fondements du projet TEM Auditer son environnement Telecom Un des fondements du projet TEM Sommaire Introduction... 3 Les éléments internes essentiels à auditer... 4 Le dimensionnement de l infrastructure... 4 Les factures...

Plus en détail