Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux

Dimension: px
Commencer à balayer dès la page:

Download "Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux"

Transcription

1 LIVRE BLANC Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux La conformité aux réglementations est une initiative importante pour les entreprises, car la complexité et le poids de l environnement réglementaire ne cessent d augmenter. Avec l augmentation du nombre d attaques informatiques et de menaces internes, les entreprises recherchent désormais une approche plus efficace, plus durable et plus évolutive leur permettant d atteindre leurs objectifs de conformité tout en améliorant leur dispositif de sécurité global. Le présent livre blanc examine certains problèmes auxquels les entreprises modernes sont confrontées dans le cadre de leurs efforts de développement et d adaptation d un programme de conformité pour répondre aux besoins d aujourd hui et aux nouvelles exigences de demain.

2 LIVRE BLANC Table des matières La situation actuelle...1 Les budgets de sécurité continuent d être dictés par la conformité...1 Une pression croissante pour répondre à des réglementations toujours plus strictes...1 L évolution rapide de la nature des menaces de sécurité...1 La sécurité informatique n a pas suivi l évolution des technologies et modèles commerciaux...2 Obtenir une conformité durable...2 Alignement stratégique...2 Harmonisation des contrôles...3 Un bon niveau de sécurité est synonyme de conformité...3 Automatisation, intégration et optimisation...4 Adaptation à l évolution rapide des menaces...4 Évolution des technologies...4 Les nouveaux pirates...5 Évolution des modèles commerciaux...5 Alignement des objectifs de conformité, de sécurité et commerciaux avec les solutions NetIQ de gestion des identités et de la sécurité...6 Conclusion...7 À propos de NetIQ...8 LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux

3 La situation actuelle L actuel environnement réglementaire étant complexe, de nombreuses entreprises éprouvent des difficultés à incorporer des programmes de conformité réglementaire dans leurs opérations quotidiennes de sécurité. Cela peut donner des résultats d audit et des violations de données induisant des mesures coûteuses de réduction des risques, voire des amendes et pénalités. Selon la 2010 Annual Study: U.S. Cost of a Data Breach de Ponemon, le coût organisationnel moyen d une violation de données est d environ 7,2 millions de dollars américains, en hausse de 7 % par rapport à Les programmes de conformité imposant des exigences de plus en plus en lourdes aux ressources informatiques, les entreprises doivent urgemment trouver une approche plus efficace, plus durable et plus évolutive qui leur permettra d atteindre les objectifs de conformité fixés tout en améliorant leur dispositif sécurité global. Le présent livre blanc examine certains problèmes auxquels les entreprises modernes sont confrontées dans le cadre de leurs efforts de développement et d adaptation d un programme de conformité pour répondre aux besoins d aujourd hui et aux évolutions de demain. Les budgets de sécurité continuent d être dictés par la conformité En raison du caractère obligatoire de la conformité réglementaire, assorti de pénalités spécifiques et quantifiables en cas de manquement, une grande part des dépenses globales de sécurité a été consacrée aux initiatives de mise en conformité. Il est difficile de remettre en question cet objectif, car les dépenses de conformité visent à protéger la rentabilité des entreprises et à éviter l augmentation des coûts en cas de manquement ainsi que toute détérioration de l image de marque. Cela dit, lorsque les projets de sécurité sont uniquement axés sur le respect de critères d audit minimaux plutôt que sur la réduction des risques, ce financement perd une grande partie de ses avantages potentiels. Le défi des équipes de sécurité consiste à s assurer que les dépenses de sécurité sont consacrées à un programme complet de réduction des risques aligné sur les objectifs de tolérance au risque et les objectifs commerciaux de l entreprise. Reconnaître et oublier les priorités de sécurité revient à «bachoter». On peut réussir l examen (ou l audit), mais probablement pas retenir les bienfaits qui auraient été obtenus grâce à une étude et à une planification attentives. Réussir un audit PCI-DSS constitue, par exemple, un bon point. Cependant, même la norme PCI-DSS, considérée comme l une des plus strictes, n est qu une norme de sécurité minimale et n offre pas de protection garantie contre les violations de données. Exemple : Heartland Payment Systems et T.J. Maxx avaient tous les deux obtenu la conformité PCI ou étaient en train de l obtenir lorsque leurs systèmes ont été pris pour cibles par un réseau mondial d usurpation d identité, à l origine de deux des plus grandes violations de données de cartes de crédit de l histoire. Cherchez à établir si la conformité guide votre programme de sécurité sans systématiquement renforcer la sécurité. Une pression croissante pour répondre à des réglementations toujours plus strictes Le nombre croissant de réglementations s explique en grande partie par une conscience grandissante du public des mauvaises pratiques des entreprises et des risques de vol de données. Prenant ces craintes en compte, les organismes réglementaires et sectoriels ont réclamé la publication des violations et imposé des contrôles de plus en plus larges assortis de pénalités plus strictes en cas de non-conformité. De plus, alors que les entreprises cherchent à appliquer des normes de conformité en leur sein, elles peuvent imposer des objectifs supplémentaires ou même contradictoires aux administrateurs et responsables de la conformité impliqués dans le processus. À l heure actuelle, bon nombre d entreprises ont du mal à mettre en œuvre un programme de conformité durable capable de respecter l ensemble des réglementations et de s adapter rapidement à leur évolution ou à la création de nouvelles. Votre entreprise peut-elle s adapter rapidement à l évolution des réglementations ou aux nouvelles normes de conformité? L évolution rapide de la nature des menaces de sécurité Les menaces externes, naguère armes de pirates informatiques agissant seuls, sont désormais le fait de groupes organisés et sophistiqués motivés par des gains financiers et politiques. Ces attaques sont souvent financées par des fonds provenant d entreprises internationales, du crime organisé, voire de gouvernements. Compte tenu de ce niveau de soutien, il n est pas surprenant que les violations de sécurité soient facilitées par des technologies de plus en plus sophistiquées et souvent assistées par quelqu un de l intérieur. Les pirates internes sont soudoyés, contraints ou même spécialement recrutés pour rejoindre une entreprise et y voler des informations sensibles. Compte tenu de ces renseignements, savez-vous si votre équipe est prête à se défendre contre ces attaques sophistiquées, et à qui vous pouvez vous fier dans l entreprise? Annual Study: U.S. Cost of a Data Breach, The Ponemon Institute, mars LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 1

4 La sécurité informatique n a pas suivi l évolution des technologies et modèles commerciaux Le personnel représente l un des postes les plus importants des budgets informatiques. Il affiche également l une des hausse les plus rapides. En vue de ralentir cette progression et de contrôler les coûts, des pressions constantes ont été exercées pour externaliser autant que possible, notamment lorsque des compétences spécialisées sont requises. En réalité, cela ne fait que quelques années que l entreprise moyenne dispose exclusivement de ses propres employés. En conséquence, la plupart des entreprises ont mis en place des stratégies et des contrôles pour prendre en charge le personnel temporaire, les partenaires sur site et même les visiteurs. Dans leur volonté de contrôler les coûts, nombreuses sont celles qui ont oublié de tenir compte du fait que l externalisation ne les dégage pas de leurs responsabilités. Si le sous-traitant ne respecte pas les objectifs de contrôle, la responsabilité incombe toujours à l entreprise. Externaliser signifie déléguer, pas renoncer. Comme beaucoup d entreprises ont mis du temps s en rendre compte, leurs stratégies et contrôles n ont pas suivi l externalisation, qu elle soit assurée par un prestataire de services ou un fournisseur d informatique en nuage (cloud computing). Savez-vous qui dans votre entreprise est responsable de garantir que les prestataires de services et fournisseurs d informatique en nuage respectent vos objectifs de contrôle? Prenez-vous les mesures nécessaires pour protéger les informations sensibles? Obtenir une conformité durable La fondation d un programme durable de sécurité et conformité est un cadre commun en phase avec les objectifs de l entreprise, qui répond à l ensemble des directives sectorielles et réglementaires tout en allégeant les risques de sécurité sous-jacents. Si cela est plus facile à dire qu à faire, la solution alternative consiste en un programme coûteux et parfois inefficace qui n améliore en rien la sécurité globale de l entreprise. L alignement avec les objectifs de l entreprise est essentiel pour garantir que les dépenses de sécurité sont consacrées au risque concerné, en fonction de la nature et de la tolérance au risque de l entreprise. À défaut d alignement, il est difficile de prouver l efficacité des dépenses en cours ou de justifier des investissements supplémentaires. Il est impératif de disposer d un cadre commun et harmonisé d objectifs de contrôle pour réduire les coûts et la complexité liés au respect de diverses réglementations. L harmonisation autour d un ensemble commun d objectifs de contrôle n est cependant pas suffisante en soi. Un programme vraiment durable exige d automatiser pour réduire les coûts de main-d œuvre associés à la surveillance suivi, à l application et à la preuve de l efficacité de ces objectifs de contrôle. Alignement stratégique La plus grande reconnaissance de l importance de la sécurité informatique et de la conformité et les coûts élevés connexes ont commencé à influer sur le rôle de directeur de la sécurité. Les responsables de la sécurité informatique (CISO) sont en effet de plus en plus rattachés au PDG ou au responsable financier (CFO) au lieu d occuper une fonction au sein du pôle informatique. Comme l indique un récent rapport Forrester 2, dans 54 % des entreprises, le responsable de la sécurité informatique est directement rattaché à un responsable de niveau C, tandis que dans 42 % des autres, le CISO est rattaché à quelqu un d extérieur au service informatique. Si le rôle des CISO continuera d évoluer au fil du temps, le fait qu ils soient rattachés à des personnes extérieures au service informatique, avec un accès et une participation aux prises de décisions, marque une étape et cette tendance doit se poursuivre. Dans un récent article de CSO Online 3, Eric Cowperthwaite, CSO de Providence Health & Services, Seattle, a également reconnu cette tendance, en déclarant : «[Le] CSO/CISO est devenu un élément permanent de l équipe prenant les décisions relatives à la conduite des affaires de l entreprise. Le CSO dirige les opérations de sécurité dans l entreprise, fonction désormais jugée nécessaire au sein de celle-ci, au lieu de faire l objet de longs discours tout en restant ignorée. Cela constitue selon moi un changement marquant et significatif.» Un alignement stratégique plus étroit permet d intégrer la sécurité plus tôt aux nouvelles initiatives. Les équipes de sécurité peuvent ainsi incorporer la réduction des risques dans la phase de planification au lieu d avoir à déployer de coûteuses solutions de sécurité après coup, qui ralentissent ou bloquent les nouvelles initiatives de l entreprise. 2 «Forrsights: The Evolution Of IT Security,» 2010 à Bill Brenner, Senior Editor, The New CISO: How the role has changed in 5 years, CSO Online, 2 novembre 2010, (consulté le 15 mars 2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 2

5 Un récent exemple de dispositif de sécurité faisant obstacle aux objectifs des entreprises a été donné par une grande société américaine dont les multiples unités commerciales avaient indépendamment adopté des solutions SaaS (Software-as-a- Service). Lors d une opération de routine portant sur les contrôles du provisioning, l équipe d audit a consulté la documentation sur les contrôles et commencé à examiner les preuves montrant que le processus était suivi. L examen s est bien déroulé jusqu à ce que quelqu un demande comment les utilisateurs accédaient aux applications SaaS. Après beaucoup d efforts, l équipe d audit a finalement réussi à recueillir la documentation applicable à chaque processus et aux propriétaires associés. Il y avait assez de documents pour recouvrir entièrement la grande table de la salle de réunion. Après les avoir analysé attentivement, l équipe a détecté de nombreuses incohérences dans les processus et identifié les propriétaires qui avaient changé de poste, ainsi que les cas où les processus n obéissaient pas aux contrôles existants. Ces résultats de l audit interne ont amené l équipe de sécurité à décider qu aucune application SaaS ne pourrait être adoptée jusqu à nouvel ordre. Les situations de ce type peuvent être évitées si l équipe de sécurité est étroitement alignée avec l entreprise et impliquée de manière précoce dans ses initiatives. De plus, cette implication précoce peut permettre de réduire assez les risques pour inclure de nouvelles initiatives dans le coût des efforts de conformité, au lieu d alourdir encore un budget de sécurité déjà largement grevé. Harmonisation des contrôles Un programme de conformité durable doit efficacement répondre aux diverses directives sectorielles et réglementaires auxquelles l entreprise est soumise, et être suffisamment souple pour s adapter à leurs évolutions. Il doit aussi éliminer le sentiment de panique qui saisit l entreprise à l approche des audits annuels ou trimestriels. Les programmes de conformité précoces et inefficaces, ainsi que de nombreux programmes d aujourd hui, ne répondent pas à ces critères. Les programmes sont réactifs et incluent des projets différents pour chaque réglementation ou directive. La plupart des entreprises ont modifié leur approche et disposent désormais d une équipe centrale pour coordonner les contrôles de sécurité et de conformité. La prochaine étape sur la voie menant à un programme durable repose sur un ensemble harmonisé de contrôles informatiques. Cet ensemble est créé sur la base d un cadre de best practices, et des objectifs de contrôle sont définis pour répondre collectivement à toutes les directives réglementaires, sectorielles et internes à l entreprise. Cette approche permet aux équipes de sécurité et de conformité de se concentrer sur un seul ensemble de contrôles, évitant les confusions, conflits de contrôles et dépenses inutiles. Exploiter un ensemble commun de contrôles simplifie les audits et offre un cadre pour les rapports d audit basé sur le niveau de correspondance des contrôles avec une directive donnée. Au fur et à mesure que l environnement réglementaire évolue, des contrôles peuvent être ajoutés à cet ensemble, permettant à l entreprise de rapidement adapter son programme de conformité. Un bon niveau de sécurité est synonyme de conformité Il n est pas simple de rationaliser les activités de conformité au sein d un cadre commun. Les équipes de sécurité et de conformité peuvent impliquer plusieurs groupes de l entreprise, transcendant les frontières organisationnelles et géographiques. Aborder la sécurité et la conformité avec un ensemble de contrôles harmonisés n est efficace que si les contrôles sélectionnés sont en adéquation avec les risques de sécurité de l entreprise. Il importe de se rappeler que les directives réglementaires et sectorielles sont des recommandations minimales et ne garantissent pas la réponse aux problèmes de sécurité de l entreprise. La violation survenue chez Heartland Payment Systems, Inc. en janvier 2009 constitue un bon exemple : Heartland venait de réussir un audit PCI-DSS lorsqu une violation s est produite. Une approche plus efficace consiste à identifier comment traiter les risques de sécurité de l entreprise et en tirer la conformité désirée. Il est clair que Heartland comprend désormais bien cette approche. Kris Herrin, son directeur technique (CTO), a en effet récemment déclaré : «L une des choses les plus importantes pour nous est de veiller à ce que nos contrôles de sécurité soient durables et appliqués en conséquence [ ] Nous ne pouvons pas décider quelque chose en un quart d heure simplement parce que l idée semble bonne, et réaliser un an plus tard que cette solution ne réduit pas le risque qu elle était censée atténuer.» 4 Afin d améliorer leur sécurité à court et long termes, les entreprises doivent veiller à ce que des contrôles et outils appropriés pour gérer le risque de sécurité soient définis et adaptés à un programme complet de réduction des risques prévoyant la planification du déploiement, du personnel et des processus de sécurité, en phase avec la tolérance au risque et les objectifs stratégiques de l entreprise. Par exemple, un taux incroyable de 86 % de 4 Beth Schultz, What s Next for SIEM? SIEM platforms can deliver, if implemented correctly, SC Magazine ebook (2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 3

6 victimes de violations de données disposaient de preuves dans leurs fichiers journaux avant la violation, selon le 2010 Data Breach Investigations Report. En n examinant pas les journaux, ces entreprises ont laissé la porte ouverte à une violation. Ce comportement montre le danger d une approche «pilote automatique» en matière de conformité. Les entreprises recherchant la conformité pour simplement l obtenir sont comme des personnes qui suivent un régime express. Elles peuvent avoir l air de bien se porter pendant un moment, mais n auront probablement pas amélioré leur santé ou véritablement décidé d adopter une meilleure hygiène de vie. La perte de poids ne sera sans doute pas durable. De même, la conformité durable s obtient le mieux en se concentrant sur la sécurité globale de l entreprise. Automatisation, intégration et optimisation L automatisation de tâches routinières nécessitant un personnel nombreux est essentielle pour réduire les coûts de conformité et éviter le sentiment de panique qui saisit l entreprise à l approche des audits annuels ou trimestriels. L automatisation permet d assurer un processus fiable et reproductible ainsi qu un strict respect des directives. Parmi les exemples de tâches convenant à l automatisation figurent la collecte de données, l évaluation, la surveillance et la mise en œuvre de contrôles techniques et manuels. L automatisation peut aussi être exploitée dans le cadre de la capture et de l utilisation de connaissances intégrées sur l entreprise et les best practices, libérant du personnel qualifié pour des tâches plus importantes. En soulageant des ressources surchargées, l automatisation peut contribuer à réduire le nombre d erreurs humaines et les coûts de formation des nouveaux employés. Ce type d automatisation destiné à assurer sécurité et conformité est ce que les solutions de gouvernance des identités et des accès, de gestion de la sécurité, des informations et des événements (Security, Information and Event Management - SIEM), d évaluation de sécurité et autres packages pour entreprises visent à procurer. Veillez à ce que les outils que vous choisissez offrent le niveau d automatisation dont votre entreprise a besoin. Adaptation à l évolution rapide des menaces Un programme de sécurité et de conformité durable doit être structuré pour s adapter à l évolution des directives de conformité et des menaces, notamment aux changements dans la nature et les motivations des attaques et aux nouveaux risques associés à l évolution des technologies et modèles commerciaux. Évolution des technologies La nature des attaques n a pas cessé d évoluer dans le cadre de la «course à l armement» qui oppose les spécialistes de la sécurité et les pirates. Quoi qu il en soit, cette tendance s accélère alors que les principales motivations des attaques sont désormais financières et politiques. La bonne nouvelle est que les spécialistes de la sécurité ont obtenu le droit d être appelés «professionnels de la sécurité». Certains des membres du personnel informatique les plus talentueux appartiennent à des groupes de sécurité, et les programmes de sécurité mûrissent. La mauvaise nouvelle est que les pirates sont également devenus plus professionnels et organisés. Ils recrutent des talents, investissent dans la recherche et le développement et produisent de nouveaux outils plus avancés. Le ver «Stuxnet» est un exemple notable de ce que ces groupes bien financés peuvent produire. Selon le rapport 2010 Data Breach Investigations Report de Verizon Business RISK Team, 32 % des attaques provenaient de groupes organisés, dont 24 % de groupes issus du crime organisé. 5 En termes de dossiers compromis, le rapport a conclu que 85 % des cas étaient attribuables à des organisations criminelles disposant d un solide soutien financier, notamment du crime organisé et des gouvernements. L une des raisons pour lesquelles la plupart des professionnels de l informatique entrent dans ce domaine est l envie de travailler avec les dernières technologies. L industrie, qui ne les a pas déçus, se caractérise par des vagues constantes de nouvelles technologies, chacune apportant son lot de risques de sécurité et parfois de nouveaux modèles commerciaux. La dernière arrivée est la virtualisation, avec l utilisation de périphériques grand public, de services au sein de l entreprise, d infrastructures en nuage et de services logiciels. Les économies opérationnelles associées à la virtualisation et aux services basés sur l informatique en nuage sont telles que dans certaines entreprises, leur adoption a dépassé la compréhension des risques associés, et les équipes de sécurité sont en train de rattraper leur retard en la matière. Veillez à ce que votre entreprise examine continuellement ces tendances et obtienne l aide de tiers si nécessaire. La plupart des attaques, même les plus sophistiquées, peuvent toujours être ralenties ou stoppées par des contrôles relativement simples, sous réserve d être constamment appliqués. 5 Verizon Business RISK Team en collaboration avec United States Secret Service, «2010 Data Breach Investigations Report», Verizon Business, juillet 2010, (consulté le 15 mars 2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 4

7 Les nouveaux pirates Aujourd hui, de nombreuses violations de données sont commises non pas par des pirates externes mais par des pirates internes motivés par des raisons financières et/ou politiques. Selon le 2010 Data Breach Investigations Report, 27 % des violations de données ont été exclusivement commises par des agents internes, 1 % par des agents partenaires et 27 % par plusieurs agents. 6 Compte tenu de ce pourcentage élevé de violations attribuées à des pirates internes, la question est de savoir de qui il s agit exactement. Les entreprises d aujourd hui disposent d un personnel varié et dynamique dont les membres sont de plus en plus nombreux à avoir accès, directement ou indirectement, à des informations et systèmes sensibles. Dans cet environnement dynamique, le risque que l activité des utilisateurs contribue à une violation de données est croissant. Le même rapport de Verizon indique que 90 % des activités internes liées à une violation se sont avérées résulter d actions délibérées, 6 % d activités indésirables et 4 % d activités involontaires. 7 Bien souvent, les erreurs commises par inadvertance peuvent aussi entraîner des arrêts de service, un manque à gagner et des échecs aux audits. Par exemple, un grand détaillant américain a récemment été confronté à une panne lorsqu un nouvel administrateur a modifié les stratégies de groupe Active Directory sans suivre le processus de contrôle des changements. L administrateur a ensuite essayé de masquer ses activités lorsqu il a compris qu il était à l origine de la panne. Ses actions ont directement interrompu les livraisons de produits pendant plusieurs jours tandis que les équipes s efforçaient de restaurer les opérations. Si ses actes n étaient pas malveillants, ils n en étaient pas moins indésirables et se sont avérés extrêmement nuisibles. Or, des contrôles relativement simples peuvent considérablement réduire les risques associés à des activités délibérées, indésirables ou involontaires, que ce soit de la part d un utilisateur final classique, d un responsable ou d un administrateur bénéficiant d un accès privilégié. On peut par exemple appliquer une stratégie visant à garantir la désactivation rapide de comptes d employés lorsqu ils quittent l entreprise, éviter le partage de comptes administrateur, et surveiller l activité des utilisateurs bénéficiant d un accès privilégié (administrateurs ou utilisateurs finaux). La fuite de documents de l U.S. State Department via Wikileaks est un exemple d activité non autorisée mené par un utilisateur autorisé. La violation, qui aurait été commise par le militaire américain Bradley Manning, illustre le conflit entre l accès libre aux informations pour améliorer la communication et l accès très restreint à des fins de sécurité. Même si de nombreux signaux auraient prétendument indiqué qu il ne fallait pas se fier à Bradley Manning en matière d informations sensibles, on a pourtant continué à lui octroyer des accès. Par exemple, alors qu il était posté à Fort Huachuca, dans l Arizona, Bradley Manning a été réprimandé pour avoir partagé avec des amis de banales vidéos sur YouTube dévoilant négligemment des informations sensibles. Peu après, il a pourtant obtenu un diplôme d analyste du renseignement ainsi qu une habilitation de sécurité. 8 La première étape consiste à offrir l accès minimal requis. La seconde étape, critique, consiste à surveiller l utilisation des accès privilégiés. Évolution des modèles commerciaux Outre l évolution de la nature des attaques, les entreprises de sécurité sont également confrontées aux problèmes liés à un périmètre de plus en plus dynamique et sommairement défini. Ceux qui sont considérés comme des pirates internes dans la plupart des entreprises d aujourd hui ne sont pas seulement de simples employés et sous-traitants : il peut s agir de membres du personnel de partenaires et de fournisseurs de services gérés, de services hébergement et d informatique en nuage. Toute personne gérant directement ou indirectement des informations sensibles, ou des systèmes et applications en hébergeant, peut être un pirate interne. Beaucoup n ont que très récemment prêté attention à ce fait. Les entreprises sont en train d apprendre qu en externalisant, elles ont délégué des tâches mais pas leurs responsabilités. En conséquence, l accent est de plus en plus mis sur la négociation de contrôles spécifiques et l exigence d audits de sécurité indépendants. La certification SAS 70 ne suffit tout simplement pas. Les prestataires de services, qui ne considéraient auparavant pas que la sécurité était de leur ressort, ont été contraints d introduire des processus de sécurité élémentaires et des audits de routine dans leurs offres de services de base pour rester compétitifs. Dans cet environnement centré sur les données avec des menaces en évolution et des périmètres sommairement définis, on voit se multiplier les discussions et les initiatives visant à passer à ce que Forrester appelle «The Zero Trust Network Architecture». 9 6 Verizon Business RISK Team en collaboration avec le United States Secret Service, «2010 Data Breach Investigations Report». 7 Verizon Business RISK Team en collaboration avec le United States Secret Service, «2010 Data Breach Investigations Report». 8 Denver Nicks, Private Manning and the Making of Wikileaks, This Land, 23 septembre 2010, (consulté le 15 mars 2010). 9 John Kindervag avec Stephanie Balaouras et Lindsey Coit, «Build Security Into Your Network s DNA: The Zero Trust Network Architecture,», Forrester Research, Inc., 5 novembre 2010, LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 5

8 Avec la virtualisation et la bande passante facilement disponible, l externalisation prend une plus grande envergure tandis que l informatique en nuage permet aux petites comme aux grandes entreprises de réduire les coûts et d augmenter la flexibilité au sein de leur service informatique. Comme pour l externalisation, ces évolutions technologiques ne sont pas toujours déployées en gardant la sécurité à l esprit. Devenant de plus en plus conscientes des risques associés à la consolidation des datacenters et à l informatique en nuage, les entreprises et agences ayant une faible tolérance au risque se montrent de plus en plus réticentes à exploiter ces technologies. Heureusement, des experts de l industrie se sont réunis au sein de groupes comme la Cloud Security Alliance (CSA) pour se pencher sur ce problème. Dans la publication «Security Guidance for Critical Areas of Focus in Cloud Computing», la CSA préconise que les entreprises prennent davantage de mesures clés pour protéger les ressources déployées dans le cloud. Dans ce modèle, l accent est mis sur les données de l intérieur et privilégie le renforcement de la sécurité directement au sein du réseau et des systèmes, plutôt que la réaction après coup. Pour améliorer la sécurité, le périmètre finit par s articuler autour des données. Si faire évoluer nos environnements d entreprise vers un tel modèle prendra du temps, son concept fondamental peut être appliqué dès à présent en passant d une vision centrée sur la localisation des systèmes et informations critiques, à la reconnaissance que les pirates internes disposant d accès ne sont probablement pas tous des employés et que toutes les activités doivent être surveillées. Ne vous fiez à personne. 10 Premièrement, les entreprises envisageant d adopter l informatique en nuage doivent identifier les ressources les plus appropriées pour ce type de déploiement et identifier leur tolérance au risque avant de décider si les économies réalisées compenseraient les risques. S il est décidé d utiliser le cloud, l entreprise doit investir une part des économies associées à l informatique en nuage pour financer le développement, la mise en œuvre et la surveillance des contrôles de sécurité spécifiques aux ressources en nuage. Peut-être plus important encore, avant de signer tout accord contractuel avec un fournisseur d informatique en nuage, il est essentiel de convenir des accords de niveau de service, des contrôles requis et des droits d audit, et d intégrer l accord au contrat final. Alignement des objectifs de conformité, de sécurité et commerciaux avec les solutions NetIQ de gestion des identités et de la sécurité NetIQ offre plusieurs gammes de produits dans son portefeuille de solutions de gestion des identités et de la sécurité pour répondre aux besoins des entreprises cherchant à atteindre leurs objectifs de conformité tout en maintenant un environnement sécurisé et en s alignant avec les objectifs stratégiques énoncés : NetIQ Directory and Resource Administrator gère l accès à Microsoft Active Directory, en limitant les actions de l utilisateur à des affichages spécifiques du répertoire global. Dans le cadre de son offre de gouvernance des identités et des accès, NetIQ prend en charge le provisioning des utilisateurs ainsi que d autres tâches et processus automatisés. Il facilite aussi les efforts de consolidation de répertoires et permet la mise en œuvre des stratégies de sécurité et de séparation des tâches (SoD, Separation of Duties). Les produits NetIQ Change Guardian permettent de surveiller et signaler en temps réel les changements intervenant dans votre environnement distribué, avec un affichage détaillé des fichiers, répertoires, partages de fichiers, clés de registre (sous Windows), processus système, etc. Ils offrent aussi de meilleures informations d audit pour optimiser la fidélité et la clarté des informations que les journaux d événements natifs peuvent fournir, et enregistrer des informations antérieures et postérieures aux changements pour améliorer l analyse des incidents. Outil SIEM complet, NetIQ Sentinel simplifie le déploiement, la gestion et l utilisation quotidienne de la technologie SIEM et s adapte rapidement aux environnements d entreprise dynamiques. De plus, il fournit aux professionnels de la sécurité les renseignements vraiment exploitables dont ils ont besoin pour évaluer rapidement leur dispositif de protection contre les menaces et hiérarchiser les actions à entreprendre. NetIQ Secure Configuration Manager permet l évaluation des changements de configuration du système et la création de rapports périodiques connexes, et fait correspondre cette configuration aux exigences réglementaires et best practices pour assurer la conformité avec les lois et normes SOX, PCI-DSS, HIPAA/HITECH, FISMA, NERC CIP, et bien d autres. Par ailleurs, les rapports sur les droits des utilisateurs de NetIQ Secure Configuration Manager évaluent les permissions d accès des utilisateurs aux informations critiques, en montrant à l entreprise qui dispose de quel accès et quel est le niveau d accès aux informations critiques, contribuant à réduire le nombre de menaces internes. NetIQ offre d autres produits pour répondre aux besoins de protection des données et de conformité réglementaire. Pour en savoir plus, visitez le site 10 Cloud Security Alliance, «Security Guidance for Critical Areas of Focus in Cloud Computing», (consulté le 15 mars 2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 6

9 Conclusion Le défi consistant à élaborer un programme de conformité efficace qui vous permette d atteindre simultanément vos objectifs de conformité, de sécurité et stratégiques est plus complexe que jamais. Respecter des directives réglementaires et sectorielles qui se recoupent, avec souvent le même ensemble de ressources informatiques, prend beaucoup de temps et s avère compliqué. Trop souvent, les équipes de sécurité débordées se contentent simplement de reconnaître puis d oublier les priorités, se laissant guider par un ensemble réduit de critères d audit, au lieu de se consacrer à gérer le risque en cohérence avec la tolérance au risque et les objectifs stratégiques de l entreprise. Outre les pressions liées à la nécessité d obéir à plusieurs exigences et d assurer l utilisation efficace du budget de sécurité, les entreprises sont aujourd hui confrontées à une évolution rapide des menaces. Comme les nouveaux modèles stratégiques tels que l externalisation et l informatique en nuage redessinent le périmètre du réseau et que les attaques motivées par des raisons financières ou politiques sont commises par des groupes organisés sophistiqués ou des pirates internes malveillants, les entreprises doivent rapidement élaborer un programme de sécurité pour éviter les violations. Les entreprises d aujourd hui doivent pouvoir efficacement développer, mettre en œuvre et surveiller des contrôles de sécurité adaptés à leurs informations et infrastructures critiques, quelle que soit leur emplacement. Elles doivent reconnaître que les pirates internes disposant d un accès aux informations critiques ne sont peut-être pas ce qu ils paraissent ; c est pourquoi toutes les activités doivent être surveillées et qu on ne peut vraiment se fier à personne. Dans cet environnement complexe et éprouvant, la meilleure façon de parvenir à la conformité est de bien définir les bases de la sécurité. Appliquez et gérez tout d abord un ensemble harmonisé de contrôles respectant les directives réglementaires et d entreprise auxquelles vous êtes soumis. En mettant en œuvre ces contrôles de sécurité, veillez à ce que les solutions que vous choisissez procurent le niveau d automatisation requis par votre entreprise. L automatisation de tâches routinières nécessitant un personnel nombreux est essentielle pour réduire les coûts de mise en conformité et éviter le sentiment de panique qui saisit l entreprise à l approche des audits car elle assure un processus reproductible et un strict respect des stratégies. Seule une approche intégrée et automatisée de la conformité ancrée dans de solides principes de sécurité se révèle efficace, durable et évolutive, vous permettant d atteindre vos objectifs de conformité et de renforcer le dispositif de sécurité global de votre entreprise. LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 7

10 À propos de NetIQ NetIQ est un fournisseur international de logiciels informatiques d entreprise dont les efforts sont constamment axés sur la réussite de ses clients. NetIQ comble, à moindres frais, les besoins de ses clients et partenaires en matière de protection des informations. De plus, notre société gère les aspects complexes des environnements d applications dynamiques hautement distribués. Notre portefeuille comprend des solutions automatisées et évolutives, spécialisées dans la gestion des identités, de la sécurité et de la gouvernance, ainsi que des opérations informatiques. Les entreprises sont ainsi en mesure de fournir, mesurer et gérer en toute sécurité des services informatiques à l échelle de leurs environnements physiques, virtuels et en nuage (cloud computing). Associées à notre approche pratique et orientée client de la résolution des problèmes informatiques récurrents, ces solutions aident les entreprises à réduire les coûts, la complexité et les risques. Pour en savoir plus sur nos solutions logicielles reconnues par les professionnels de l industrie, visitez le site Ce document est susceptible d inclure des inexactitudes techniques et des erreurs typographiques. Ces informations subissent périodiquement des modifications. De telles modifications peuvent être intégrées aux nouvelles versions de ce document. NetIQ Corporation est susceptible de modifier ou d améliorer à tout moment les logiciels décrits dans ce document. Copyright 2012 NetIQ Corporation et ses affiliés. Tous droits réservés. 562-FR DS 07/12 ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, le logo en forme de cube, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, le logo NetIQ, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt et Vivinet sont des marques commerciales ou des marques déposées de NetIQ Corporation ou de ses filiales aux États-Unis. Tous les autres noms de produits et d entreprises mentionnés sont utilisés à des fins d identification uniquement et sont susceptibles d être des marques commerciales ou des marques déposées de leur société respective. France Tour Franklin 100/101, Quartier Boieldieu Paris la Défense Cedex France Tel: Fax: Pour obtenir la liste complète de nos bureaux d Amérique du Nord, d Europe, du Moyen-Orient, d Afrique, d Asie-Pacifique et d Amérique latine, visitez la page : contacts. Suivez-nous : LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 8

Guide pratique pour planifier la reprise d'activité après sinistre de manière rentable

Guide pratique pour planifier la reprise d'activité après sinistre de manière rentable Guide pratique pour planifier la reprise d'activité après sinistre de manière rentable Aujourd'hui, les entreprises du monde entier considèrent que la reprise d'activité après sinistre joue un rôle de

Plus en détail

LIVRE BLANC. Introduction... 1

LIVRE BLANC. Introduction... 1 LIVRE BLANC Limitez les risques de violation grâce à la surveillance de l intégrité des fichiers, afin d assurer la sécurité des données et la conformité à la norme PCI DSS La fonctionnalité la plus importante

Plus en détail

Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès

Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès LIVRE BLANC Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès Rien n est permanent, sauf le changement. Cette ancienne maxime est encore plus vraie de nos jours.

Plus en détail

Changement dans les achats de solutions informatiques

Changement dans les achats de solutions informatiques Changement dans les achats de solutions informatiques Ce que cela signifie pour l informatique et les Directions Métiers Mai 2014 Le nouvel acheteur de technologies et la nouvelle mentalité d achat Un

Plus en détail

Stratégie Tier 2 : Quels avantages pour votre entreprise?

Stratégie Tier 2 : Quels avantages pour votre entreprise? Stratégie Tier 2 : Quels avantages pour votre entreprise? Les décideurs ont beaucoup à gagner de l intégration des données de gestion externes et internes, afin d assurer la disponibilité des informations

Plus en détail

Services Professionnels Centre de Contacts Mitel

Services Professionnels Centre de Contacts Mitel Services Professionnels Centre de Contacts Mitel Débutez un voyage vers la modernisation et l évolutivité : Elevez le niveau de votre performance commerciale Pour moderniser votre centre de contact : Passez

Plus en détail

IBM Tivoli Identity Manager

IBM Tivoli Identity Manager Automatise la gestion du cycle de vie des identités IBM Tivoli Identity Manager Points forts Gérer l accès aux systèmes hérités et e-business Un moteur de dimensionnement intégré pour automatiser la Permet

Plus en détail

Solution PLM pour la vente au détail de PTC

Solution PLM pour la vente au détail de PTC Solution PLM pour la vente au détail de PTC Solution PLM de PTC pour la vente au détail Dans les délais. À la mode. Dans le budget. La solution PLM de PTC pour la vente au détail transforme la manière

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

entreprendre à la puissance cisco

entreprendre à la puissance cisco entreprendre à la puissance cisco À un moment donné, vous avez vu quelque chose que personne d autre n avait vu. Il s agissait peut-être d une idée ou d une opportunité. Ce «quelque chose» vous a fait

Plus en détail

Cinq raisons d aller encore plus loin avec votre environnement de virtualisation

Cinq raisons d aller encore plus loin avec votre environnement de virtualisation Cinq raisons d aller encore plus loin avec votre environnement de virtualisation Selon une étude, l ajout de puissantes fonctions de gestion améliorerait de 20 à 40 % les mesures de performances clés.

Plus en détail

Le DSI du futur Rapport d'étude

Le DSI du futur Rapport d'étude Le DSI du futur Rapport d'étude Devenir un catalyseur du changement Partagez ce rapport d'étude Le DSI du futur : Devenir un catalyseur du changement Tandis que la plupart des DSI s accordent à dire que

Plus en détail

CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS?

CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS? CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS? Les offres de Cloud public se sont multipliées et le Cloud privé se généralise. Désormais, toute la question est de savoir

Plus en détail

Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services.

Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services. Solutions de Service Management Guide d achat Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services. Aujourd hui, toutes

Plus en détail

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT ORACLE PRIMAVERA PORTFOLIO MANAGEMENT FONCTIONNALITÉS GESTION DE PORTEFEUILLE Stratégie d approche permettant de sélectionner les investissements les plus rentables et de créer de la valeur Paramètres

Plus en détail

Solution de gestion des journaux pour le Big Data

Solution de gestion des journaux pour le Big Data Solution de gestion des journaux pour le Big Data PLATE-FORME ÉVOLUTIVE D INFORMATIONS SUR LES JOURNAUX POUR LA SÉCURITÉ, LA CONFORMITÉ ET LES OPÉRATIONS INFORMATIQUES Plus de 1 300 entreprises de secteurs

Plus en détail

Copyright 2006 Rockwell Automation, Inc. Tous droits réservés. Imprimé aux Etats-Unis.

Copyright 2006 Rockwell Automation, Inc. Tous droits réservés. Imprimé aux Etats-Unis. Publication EMSE00-BR371A-FR-E Avril 2006 Copyright 2006 Rockwell Automation, Inc. Tous droits réservés. Imprimé aux Etats-Unis. EXPERTISE EN GESTION DE PROJET VOUS POUVEZ COMPTER SUR DES SERVICES DE GESTION

Plus en détail

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde Direction Communication 63 rue de Villiers, 92200 Neuilly-sur-Seine Tél. 01 56 57 58 59 Communiqué de presse Contact : PwC, Hélène Coulbault, 01 56 57 88 26, helene.coulbault@fr.pwc.com Neuilly-sur-Seine,

Plus en détail

Note technique d orientation n 2 : Élaboration d un plan de travail ITIE

Note technique d orientation n 2 : Élaboration d un plan de travail ITIE Cette note technique a été publiée par le Secrétariat international de l ITIE en collaboration avec GIZ (Coopération internationale allemande). L'objectif de cette note est de prodiguer des conseils aux

Plus en détail

Risques d accès non autorisés : les atouts d une solution IAM

Risques d accès non autorisés : les atouts d une solution IAM Risques d accès non autorisés : les atouts d une solution IAM Comment l'entreprise peut-elle réduire ses risques informatiques liés aux droits d accès des utilisateurs Livre Blanc Introduction Tous les

Plus en détail

Rationalisez vos processus et gagnez en visibilité grâce au cloud

Rationalisez vos processus et gagnez en visibilité grâce au cloud Présentation de la solution SAP s SAP pour les PME SAP Business One Cloud Objectifs Rationalisez vos processus et gagnez en visibilité grâce au cloud Favorisez une croissance rentable simplement et à moindre

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Comment préparer un dossier d affaires pour système ERP. Un guide étape par étape pour les décideurs de l industrie du plastique

Comment préparer un dossier d affaires pour système ERP. Un guide étape par étape pour les décideurs de l industrie du plastique Comment préparer un dossier d affaires pour système ERP Un guide étape par étape pour les décideurs de l industrie du plastique Comment préparer un dossier d affaires pour système ERP // Introduction Introduction

Plus en détail

Informatique en nuage

Informatique en nuage Services d infrastructure, solutions et services-conseils Solutions Informatique en nuage Jusqu à maintenant, la gestion de l infrastructure des TI consistait à négocier les limites : puissance de traitement,

Plus en détail

Lumesse Avis d expert. Agile Learning Etes-vous prêt au changement?

Lumesse Avis d expert. Agile Learning Etes-vous prêt au changement? Lumesse Avis d expert Agile Learning Etes-vous prêt au changement? Dans l univers sans cesse mouvant de la Gestion des Talents, nous observons un nouveau changement fondamental en matière de développement

Plus en détail

Tous droits réservés. Règles Du Conseil D administration

Tous droits réservés. Règles Du Conseil D administration Règles Du Conseil D administration Table des Matières I. OBJECTIFS... 3 II. FONCTIONS ET RESPONSABILITÉS DU CONSEIL... 3 A. Stratégie et budget... 3 B. Gouvernance... 3 C. Membres du Conseil et des comités...

Plus en détail

Des collaborateurs mobiles sans infrastructure sur site complexe et coûteuse

Des collaborateurs mobiles sans infrastructure sur site complexe et coûteuse Présentation de la solution SAP SAP Afaria, édition cloud Objectifs Des collaborateurs mobiles sans infrastructure sur site complexe et coûteuse Un faible investissement à forte rentabilité Objectifs Un

Plus en détail

CA Mainframe Chorus for Security and Compliance Management version 2.0

CA Mainframe Chorus for Security and Compliance Management version 2.0 FICHE PRODUIT CA Mainframe Chorus for Security and Compliance CA Mainframe Chorus for Security and Compliance Management version 2.0 Simplifiez et rationalisez vos tâches de gestion de la sécurité et la

Plus en détail

CHARTE DU COMITÉ DE GESTION DES RISQUES

CHARTE DU COMITÉ DE GESTION DES RISQUES CHARTE DU COMITÉ DE GESTION DES RISQUES MANDAT Le Comité de gestion des risques (le «Comité») du Conseil d administration (le «Conseil») a pour mandat d assister le Conseil de la Société canadienne d hypothèques

Plus en détail

Présentation du programme de partenariat Conditions de participation au programme de partenariat Avantages du programme Engagement des partenaires

Présentation du programme de partenariat Conditions de participation au programme de partenariat Avantages du programme Engagement des partenaires Guide du programme Arcserve Global Partner destiné aux VAR - EMEA Présentation du programme de partenariat Conditions de participation au programme de partenariat Avantages du programme Engagement des

Plus en détail

Augmentez votre efficacité, réduisez vos coûts et restez conforme à la réglementation grâce à la gamme de services d Iron Mountain

Augmentez votre efficacité, réduisez vos coûts et restez conforme à la réglementation grâce à la gamme de services d Iron Mountain UNE SEULE SOLUTION Optimisez la valeur commerciale de votre information Augmentez votre efficacité, réduisez vos coûts et restez conforme à la réglementation grâce à la gamme de services d Iron Mountain

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014 OFFICE D INVESTISSEMENT DES RÉGIMES DE PENSION («INVESTISSEMENTS PSP») Approuvé par le conseil d administration le 13 novembre 2014 13 novembre 2014 PSP-Legal 1633578-1 Page 2 INTRODUCTION Le conseil d

Plus en détail

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI)

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI) COMMUNIQUÉ 14-COM-002 14 juillet 2014 Lignes directrices relatives à la gouvernance des technologies de l information (TI) L Association des superviseurs prudentiels des caisses (ASPC) a créé un groupe

Plus en détail

CONSEIL STRATÉGIQUE. Services professionnels. En bref

CONSEIL STRATÉGIQUE. Services professionnels. En bref Services professionnels CONSEIL STRATÉGIQUE En bref La bonne information, au bon moment, au bon endroit par l arrimage des technologies appropriées et des meilleures pratiques. Des solutions modernes adaptées

Plus en détail

Profil de la société

Profil de la société Profil de la société Leader de l orchestration des stratégies de sécurité Pionnière de l orchestration des stratégies de sécurité, la société Tufin automatise et accélère les modifications des configurations

Plus en détail

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique La gestion Citrix Du support technique. Désignation d un Responsable de la relation technique Dans les environnements informatiques complexes, une relation de support technique proactive s avère essentielle.

Plus en détail

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences

Plus en détail

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients DOSSIER SOLUTION CA Service Assurance Mai 2010 assurez la qualité et la disponibilité des services fournis à vos clients est un portefeuille de solutions de gestion matures et intégrées, qui contribue

Plus en détail

Révisions ISO. ISO Revisions. ISO 9001 Livre blanc. Comprendre les changements. Aborder le changement

Révisions ISO. ISO Revisions. ISO 9001 Livre blanc. Comprendre les changements. Aborder le changement Révisions ISO ISO 9001 Livre blanc Comprendre les changements Aborder le changement ISO 9001 en bref Comment fonctionne ISO 9001? ISO 9001 peut s appliquer à tous les types et tailles d organisations et

Plus en détail

Tous droits réservés. Règles Du Comité De Gouvernance, Des Ressources Humaines Et De La Rémunération

Tous droits réservés. Règles Du Comité De Gouvernance, Des Ressources Humaines Et De La Rémunération Règles Du Comité De Gouvernance, Des Ressources Humaines Et De La Rémunération Table des Matières I. OBJECTIFS... 3 II. FONCTIONS ET RESPONSABILITÉS... 3 A. Membres du Conseil, principes de gouvernance

Plus en détail

Proposition. Obtenir l approbation du conseil concernant les modifications proposées à la charte du Comité d audit

Proposition. Obtenir l approbation du conseil concernant les modifications proposées à la charte du Comité d audit Proposition N o : 2015-S05f Au : Conseil d administration Pour : DÉCISION Date : 2015-04-22 1. TITRE Modifications à la charte du Comité d audit 2. BUT DE LA PROPOSITION Obtenir l approbation du conseil

Plus en détail

BILAN DE L ANNÉE 2010-2011

BILAN DE L ANNÉE 2010-2011 BILAN DE L ANNÉE 2010-2011 Table des matières Grandes lignes... 1 Revue des activités... 2 Énergie... 4 Transport... 4 Mobilité de la main-d œuvre... 4 Collaboration intergouvernementale... 4 La voie à

Plus en détail

Programme des Nations Unies pour l'environnement

Programme des Nations Unies pour l'environnement NATIONS UNIES EP Programme des Nations Unies pour l'environnement Distr. GENERALE UNEP/OzL.Pro/ExCom/63/57 13 mars 2011 FRANÇAIS ORIGINAL : ANGLAIS COMITE EXECUTIF DU FONDS MULTILATERAL AUX FINS D APPLICATION

Plus en détail

CA Oblicore Guarantee On Demand

CA Oblicore Guarantee On Demand FICHE PRODUIT : CA Oblicore Guarantee on Demand CA Oblicore Guarantee On Demand agility made possible CA Oblicore Guarantee On Demand est une solution de SaaS (Software-as-a-Service) extensible pour la

Plus en détail

Les bonnes pratiques d un PMO

Les bonnes pratiques d un PMO Livre Blanc Oracle Avril 2009 Les bonnes pratiques d un PMO Un plan évolutif pour construire et améliorer votre Bureau des Projets Une construction progressive La première étape consiste à déterminer les

Plus en détail

GROUPE TMX LIMITÉE. (anciennement la Corporation d Acquisition Groupe Maple) (la «société») MANDAT DU CONSEIL

GROUPE TMX LIMITÉE. (anciennement la Corporation d Acquisition Groupe Maple) (la «société») MANDAT DU CONSEIL 1. Généralités GROUPE TMX LIMITÉE (anciennement la Corporation d Acquisition Groupe Maple) (la «société») MANDAT DU CONSEIL Le conseil d administration de la société (le «conseil») a pour principale responsabilité

Plus en détail

La convergence des opérations informatiques Etude sur l intégration et l automatisation des processus de gestion des actifs et des services IT

La convergence des opérations informatiques Etude sur l intégration et l automatisation des processus de gestion des actifs et des services IT WHITE PAPER La convergence des opérations informatiques Etude sur l intégration et l automatisation des processus de gestion des actifs et des services IT TABLE DES MATIERES LA RÉALITÉ D AUJOURD HUI :

Plus en détail

CHARTE DU CONSEIL D ADMINISTRATION

CHARTE DU CONSEIL D ADMINISTRATION CHARTE DU CONSEIL D ADMINISTRATION La présente Charte établit le rôle du Conseil d administration (le «Conseil») d Innergex énergie renouvelable inc. (la «Société») et est assujettie aux dispositions des

Plus en détail

Témoignage client. Optimisation de la performance et gains de productivité

Témoignage client. Optimisation de la performance et gains de productivité Témoignage client Optimisation de la performance et gains de productivité performances Faciliter les revues de La réputation d Imec repose sur la qualité du travail de ses scientifiques, chercheurs, ingénieurs

Plus en détail

Garantir la qualité et la disponibilité des services métier fournis à vos clients

Garantir la qualité et la disponibilité des services métier fournis à vos clients FICHE DE PRÉSENTATION DE LA SOLUTION CA Service Assurance Mai 2010 Garantir la qualité et la disponibilité des services métier fournis à vos clients we can est un portefeuille de solutions de gestion mûres

Plus en détail

RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS

RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS Dernière modification en vigueur le 1 er mars 2014 Ce document a valeur officielle chapitre V-1.1, r. 7.1 RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS A.M.

Plus en détail

Colruyt industrialise sa gestion des risques avec MEGA

Colruyt industrialise sa gestion des risques avec MEGA industrialise sa gestion des risques avec MEGA Principaux objectifs Industrialiser l évaluation, le suivi et le contrôle des risques opérationnels. Disposer d un référentiel unique d informations fiables,

Plus en détail

Renforcez votre entreprise grâce à l expertise d Applied

Renforcez votre entreprise grâce à l expertise d Applied : : A P P L I E D S U P P O R T : : Renforcez votre entreprise grâce à l expertise d Applied Maximisez votre investissement technologique LE SUCCÈS DE VOTRE ENTREPRISE DÉPEND DE LA PERFORMANCE DE VOS CAPACITÉS

Plus en détail

Rapport de vérification interne. Cadre de gestion et de contrôle des demandes d agrément. de la Division des régimes de retraite privés

Rapport de vérification interne. Cadre de gestion et de contrôle des demandes d agrément. de la Division des régimes de retraite privés Rapport de vérification interne du Cadre de gestion et de contrôle des demandes d agrément de la Division des régimes de retraite privés du Bureau du surintendant des institutions financières Novembre

Plus en détail

Rapport de suivi de 2007 sur la vérification de la technologie de l information de janvier 2005

Rapport de suivi de 2007 sur la vérification de la technologie de l information de janvier 2005 Rapport de suivi de 2007 sur la vérification de la technologie de l information de janvier 2005 Conseil de recherches en sciences naturelles et en génie du Canada et Conseil de recherches en sciences humaines

Plus en détail

Livre Blanc Oracle Juin 2009. Gérer avec succès les risques des contrats pour établir une relation «gagnant-gagnant»

Livre Blanc Oracle Juin 2009. Gérer avec succès les risques des contrats pour établir une relation «gagnant-gagnant» Livre Blanc Oracle Juin 2009 Gérer avec succès les risques des contrats pour établir une relation «gagnant-gagnant» Préambule Ce livre blanc met en avant certains risques impliqués dans les travaux liés

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

Le Code Génétique de la Marque

Le Code Génétique de la Marque Le Code Génétique de la Marque Le clé pour identifier et renforcer durablement le modèle de reussite de la marque Société de conseil international en gestion stratégique et opérationnelle des marques 39,

Plus en détail

CHARTE DU COMITÉ DES RESSOURCES HUMAINES DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION

CHARTE DU COMITÉ DES RESSOURCES HUMAINES DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION CHARTE DU COMITÉ DES RESSOURCES HUMAINES DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION Principales responsabilités ~~ Être responsable de l évaluation du rendement, de la rémunération et de

Plus en détail

Lexmark Transforme son Organisation IT avec l aide de CA Agile Operations Suite

Lexmark Transforme son Organisation IT avec l aide de CA Agile Operations Suite Customer success story Juillet 2015 Lexmark Transforme son Organisation IT avec l aide de CA Agile Operations Suite Profil Client Secteur : Services informatiques Société : Lexmark Effectifs : 12 000 Chiffre

Plus en détail

Stratégie Tier 2 : Quels avantages pour votre entreprise?

Stratégie Tier 2 : Quels avantages pour votre entreprise? Stratégie Tier 2 : Quels avantages pour votre entreprise? Les décideurs ont beaucoup à gagner de l intégration des données de gestion externes et internes, afin d assurer la disponibilité des informations

Plus en détail

REJOIGNEZ NOTRE RÉSEAU

REJOIGNEZ NOTRE RÉSEAU REJOIGNEZ NOTRE RÉSEAU PRÉSENTATION DU GROUPE Présent depuis plus de 17 ans en région Rhône Alpes où il a acquis une position de leader sur son marché, le Groupe CFI a élaboré, développé et modélisé avec

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

Développement itératif, évolutif et agile

Développement itératif, évolutif et agile Document Développement itératif, évolutif et agile Auteur Nicoleta SERGI Version 1.0 Date de sortie 23/11/2007 1. Processus Unifié Développement itératif, évolutif et agile Contrairement au cycle de vie

Plus en détail

Optimisez vos environnements Virtualisez assurément

Optimisez vos environnements Virtualisez assurément Optimisez vos environnements Virtualisez assurément Présenté par Jean-Steve Shaker Architecte de solutions - Virtualisation Une approche unique et simplifiée Solutions en Solutions d infrastructure infrastructure

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

Institut de la gestion financière du Canada L examen stratégique du point de vue de la Commission nationale des libérations conditionnelles

Institut de la gestion financière du Canada L examen stratégique du point de vue de la Commission nationale des libérations conditionnelles Institut de la gestion financière du Canada L examen stratégique du point de vue de la Commission nationale des libérations conditionnelles Le 23 novembre 2009 1 Aperçu Examen stratégique du gouvernement

Plus en détail

PRIMAVERA CONTRACTOR FONCTIONNALITÉS DE GESTION DE PROJET SIMPLES ET ABORDABLES.

PRIMAVERA CONTRACTOR FONCTIONNALITÉS DE GESTION DE PROJET SIMPLES ET ABORDABLES. PRIMAVERA CONTRACTOR FONCTIONNALITÉS DE GESTION DE PROJET SIMPLES ET ABORDABLES. Affichage en surbrillance des tâches et des ressources à venir Gestion des références du projet pour gérer les modifications

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel Présentation de la solution SAP SAP Technology SAP Afaria La mobilité d entreprise comme vecteur d avantage concurrentiel des périphériques et des applications des périphériques et des applications La

Plus en détail

eframe pour optimiser les reportings métiers et réglementaires

eframe pour optimiser les reportings métiers et réglementaires eframe pour optimiser les reportings métiers et réglementaires TIME WINDOW DRIVEN REPORTING POUR DES ANALYSES ET DES RAPPORTS COMPLETS ET EXACTS, À TEMPS TOUT LE TEMPS www.secondfloor.com eframe pour optimiser

Plus en détail

Les fonds de répartition de l actif

Les fonds de répartition de l actif Les fonds de répartition de l actif À la fois simples et élaborés La Great-West vous offre deux types de fonds de répartition de l actif : les fonds de répartition de l actif à risque cible et à date cible.

Plus en détail

ITIL Examen Fondation

ITIL Examen Fondation ITIL Examen Fondation Échantillon d examen A, version 5.1 Choix multiples Instructions 1. Essayez de répondre aux 40 questions. 2. Vos réponses doivent être inscrites sur la grille de réponses fournie.

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Brochure Datacenter. www.novell.com. Novell Cloud Manager. Création et gestion d un cloud privé. (Faire du cloud une réalité)

Brochure Datacenter. www.novell.com. Novell Cloud Manager. Création et gestion d un cloud privé. (Faire du cloud une réalité) Brochure Datacenter Novell Cloud Manager Création et gestion d un cloud privé (Faire du cloud une réalité) Novell Cloud Manager : le moyen le plus simple de créer et gérer votre cloud WorkloadIQ est notre

Plus en détail

Emerson montre aux centres de données comment réduire ses coûts énergétiques

Emerson montre aux centres de données comment réduire ses coûts énergétiques Emerson montre aux centres de données comment réduire ses coûts énergétiques Face à des budgets de plus en plus serrés, des inquiétudes sur l empreinte écologique, ainsi que des coûts de plus en plus élevés

Plus en détail

Focus messagerie. Entreprises Serveur de messagerie Logiciel client. Particuliers

Focus messagerie. Entreprises Serveur de messagerie Logiciel client. Particuliers Focus messagerie Particuliers Entreprises Serveur de messagerie Logiciel client Capacité de stockage de 5Go Protection anti virus et anti spam Possibilité de regrouper tous les comptes de messagerie (Orange,

Plus en détail

SUSE Cloud. Devenez le cloud provider de votre entreprise

SUSE Cloud. Devenez le cloud provider de votre entreprise SUSE Cloud Devenez le cloud provider de votre entreprise Et si vous pouviez répondre plus rapidement aux demandes des clients et saisir immédiatement les opportunités commerciales? Et si vous pouviez améliorer

Plus en détail

Comité du programme et budget

Comité du programme et budget F WO/PBC/24/12 ORIGINAL : ANGLAIS DATE : 10 JUILLET 2015 Comité du programme et budget Vingt-quatrième session Genève, 14 18 septembre 2015 RAPPORT FINAL SUR LE PROJET RELATIF AU RENFORCEMENT DES NORMES

Plus en détail

BROCHURE DE SOLUTION POLYCOM Polycom Open Telepresence Experience

BROCHURE DE SOLUTION POLYCOM Polycom Open Telepresence Experience BROCHURE DE SOLUTION POLYCOM Polycom Open Telepresence Experience Bénéficiez d'une qualité HD exceptionnelle, d'un coût total de possession réduit et de 50% d'économies sur la bande passante grâce à la

Plus en détail

Business & High Technology

Business & High Technology UNIVERSITE DE TUNIS INSTITUT SUPERIEUR DE GESTION DE TUNIS Département : Informatique Business & High Technology Chapitre 09 : CC : Cloud Computing Sommaire Introduction... 2 Définition... 2 Les différentes

Plus en détail

Groupe SNC-Lavalin inc. Rév. 6 août 2015 Page 1 MANDAT DU COMITÉ DE GOUVERNANCE ET D ÉTHIQUE

Groupe SNC-Lavalin inc. Rév. 6 août 2015 Page 1 MANDAT DU COMITÉ DE GOUVERNANCE ET D ÉTHIQUE Page 1 MANDAT DU COMITÉ DE GOUVERNANCE ET D ÉTHIQUE Le comité de gouvernance et d éthique («comité») est un comité du conseil d administration de Groupe SNC-Lavalin inc. («Société») qui aide le conseil

Plus en détail

UC4 effectue tout l ordonnancement batch pour Allianz en Allemagne

UC4 effectue tout l ordonnancement batch pour Allianz en Allemagne UC4 effectue tout l ordonnancement batch pour Allianz en Allemagne La société Le groupe Allianz est un des principaux fournisseurs de services globaux dans les domaines de l assurance, de la banque et

Plus en détail

Proposition d orientations nouvelles pour le Dialogue international

Proposition d orientations nouvelles pour le Dialogue international Proposition d orientations nouvelles pour le Dialogue international Document 04 RÉUNION DU GROUPE DE PILOTAGE DU DIALOGUE INTERNATIONAL 4 Novembre 2015, Paris, France Nouvelle orientation du Dialogue international

Plus en détail

Service de migration du centre de données Cisco

Service de migration du centre de données Cisco Service de migration du centre de données Cisco Le service Cisco Data Center Migration Service (service de migration du centre de données Cisco) permet aux entreprises et aux prestataires de services d

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

TOP 3. des raisons de donner une identité unifiée aux initiés

TOP 3. des raisons de donner une identité unifiée aux initiés TOP 3 des raisons de donner une identité unifiée aux initiés Même si le battage médiatique autour de la sécurité informatique concerne, pour la plupart, les pirates et autres attaques externes, les menaces

Plus en détail

Baromètre des investissements numériques en France

Baromètre des investissements numériques en France Baromètre des investissements numériques en France Novembre 2015 Objectifs Baromètre des investissements numériques en France avec pour objectifs : de suivre l évolution de l opinion des responsables informatique

Plus en détail

Experience N 52. Les expériences d ERNI dans l univers du management, des processus et des technologies. Mars 2012

Experience N 52. Les expériences d ERNI dans l univers du management, des processus et des technologies. Mars 2012 Les expériences d ERNI dans l univers du management, des processus et des technologies Experience N 52 Mars 2012 MIGRATIONS Garder la maîtrise lors de migrations GARdER la maîtrise LORS de migrations Lors

Plus en détail

Une société d assurance améliore son service à la clientèle et économise sur ses coûts grâce à un nouvel outil de services d applications pour le Web

Une société d assurance améliore son service à la clientèle et économise sur ses coûts grâce à un nouvel outil de services d applications pour le Web Solution client de Microsoft Étude de cas d une solution client Une société d assurance améliore son service à la clientèle et économise sur ses coûts grâce à un nouvel outil de services d applications

Plus en détail

Vue d ensemble. Initiatives des données. Gestion de la trésorerie. Gestion du risque. Gestion des fournisseurs 2 >>

Vue d ensemble. Initiatives des données. Gestion de la trésorerie. Gestion du risque. Gestion des fournisseurs 2 >> Access MD Online Vue d ensemble Access MD Online fournit aux organisations un accès en temps réel à leurs programmes de carte commerciale au sein d un environnement sécurisé, n importe où et n importe

Plus en détail

Comité du programme et budget

Comité du programme et budget F WO/PBC/18/12 ORIGINAL : ANGLAIS DATE : 12 JUILLET 2011 Comité du programme et budget Dix-huitième session Genève, 12 16 septembre 2011 RAPPORT SUR L ÉTAT D AVANCEMENT DE LA MISE EN ŒUVRE D UN SYSTÈME

Plus en détail

Gouvernance des identités et des accès quand l informatique s aligne sur les besoins des entreprises

Gouvernance des identités et des accès quand l informatique s aligne sur les besoins des entreprises LIVRE BLANC Gouvernance des identités et des accès quand l informatique s aligne sur les besoins des entreprises Sous le joug des menaces informatiques et des réglementations rigoureuses qui lui sont imposées,

Plus en détail

Brevet + Diplôme fédéraux d Informaticienne / Informaticien

Brevet + Diplôme fédéraux d Informaticienne / Informaticien Brevet + Diplôme fédéraux d Informaticienne / Informaticien F i c h e d i n f o r m a t i o n 01.2008 1/8 Brevet fédéral: profil Développement Domaines de qualification Business Engineering Data Management

Plus en détail

Transformation IT de l entreprise COMMENT L EDISCOVERY CHANGE LA GESTION DES DONNÉES

Transformation IT de l entreprise COMMENT L EDISCOVERY CHANGE LA GESTION DES DONNÉES Transformation IT de l entreprise COMMENT L EDISCOVERY CHANGE LA GESTION DES DONNÉES C omment améliorer l efficacité et réduire des coûts de stockage en croissance permanente? Comment mettre en place un

Plus en détail

L expérience des Hommes

L expérience des Hommes L expérience des Hommes audia est un cabinet d expertise comptable et de commissariat aux comptes, fort d une équipe qualifiée et experte installée au Maroc à Casablanca. Notre cabinet vous apportera l

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION

MANDAT DU CONSEIL D ADMINISTRATION DIAGNOCURE INC. (la «Société») MANDAT DU CONSEIL D ADMINISTRATION (le «Conseil») Le rôle du Conseil consiste à superviser la gestion des affaires et les activités commerciales de la Société afin d en assurer

Plus en détail

SÉCURITÉ DES APPLICATIONS WEB LE GUIDE ESSENTIEL

SÉCURITÉ DES APPLICATIONS WEB LE GUIDE ESSENTIEL Un livre blanc d IBM SÉCURITÉ DES APPLICATIONS WEB LE GUIDE ESSENTIEL Danny Allan, analyste spécialisé en recherche stratégique TABLE DES MATIÈRES Introduction... 1 Méthodologie d évaluation... 1 Normes

Plus en détail

4.04 Division des politiques et des services de protection du consommateur

4.04 Division des politiques et des services de protection du consommateur Chapitre 4 Section Ministère des Services aux consommateurs et aux entreprises 4.04 Division des politiques et des services de protection du consommateur (Suivi des vérifications de l optimisation des

Plus en détail