La Lettre Sécurité. CAC 40 et cybersécurité, vers une prise de conscience des entreprises? Édito. n 34

Dimension: px
Commencer à balayer dès la page:

Download "La Lettre Sécurité. CAC 40 et cybersécurité, vers une prise de conscience des entreprises? Édito. n 34"

Transcription

1 n 34 La Lettre Sécurité Édito Sécurité des SI industriels : rester aux avant-postes! Les attaques récentes l ont mis en avant : le SI industriel est toujours une cible, il est essentiel de monter en compétences rapidement pour prendre en compte l apparition de nouvelles menaces et construire des réponses opérationnelles. CAC 40 et cybersécurité, vers une prise de conscience des entreprises? La communauté sécurité multiplie actuellement les initiatives. Le dernier numéro de MISC pourrait en ce sens être la lecture incontournable de l été nous y retrouvons des conseils pour aborder cette problématique sous toutes ses facettes et la vision des meilleurs experts français du sujet. Signalons également les travaux du CLUSIF qui ont permis l analyse et la sélection des meilleurs référentiels de sécurité à appliquer. Un accélérateur bienvenu pour créer sa propre démarche! Nous faisons le choix d investir sur ce sujet ; à la fois au travers des initiatives ci-dessus mais également sur des travaux en propre, en particulier au travers du Focus «SI industriel et sécurité : oser la transformation» et la publication d un outillage permettant de réaliser des audits plus simplement avec Metasploit. Nous menons en parallèle des missions d application du référentiel de l ANSSI. L été est un moment propice pour gagner en expertise sur de nouveaux sujets, c est maintenant qu il faut le faire sur la sécurité des SI industriels! Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l information La cybersécurité est au cœur de l actualité et de l évolution de la réglementation. Elle constitue un enjeu majeur pour les entreprises qui doivent mettre en place des actions pour se protéger. Comment les plus grandes entreprises françaises s emparentelles du sujet et comment cela se reflète-t-il dans leurs rapports annuels? L Autorité des marchés financiers (AMF) oblige depuis 2009 les entreprises à préciser les facteurs de risques dans leurs rapports annuels. Nous avons donc souhaité mesurer le niveau de prise en compte des risques SI en réalisant pour cela une étude comparative des rapports annuels des entreprises du CAC 40 sur les années 2010 (première année où l obligation a été prise en compte) et 2013 (rapports les plus récents). Une prise en compte de la cybersécurité en forte augmentation mais qui reste timidexxxxxxxxxxxxxxxxxxxx L analyse des rapports montre une prise en compte forte des enjeux cybersécurité par les entreprises dès l année 2010, avec une augmentation en 2013 : 95% des entreprises mentionnent une stratégie SSI contre 73% en Le terme «cyber» en lui-même apparaît dans plus de 50% des rapports annuels. La prise en compte des problématiques cybersécurité en France est donc quasi unanime. En comparaison, au Royaume- Uni, seules 60% des entreprises du FTSE100 mentionnent la problématique des risques SI. Ce chiffre est cependant à nuancer car la base de comparaison de ces deux études est différente (40 entreprises au CAC vs 100 au FTSE). La part des entreprises ayant initié des actions pour faire face aux risques SSI est également croissante : elle est passée de 45% en 2010 à 78% en Malgré cette prise en compte de plus en plus forte, les entreprises sont encore peu loquaces dès lors qu il s agit de mentionner les cyber-incidents dont elles ont pu être victimes. Deux entreprises uniquement le précisent, alors qu elles sont beaucoup plus nombreuses à en avoir été victimes (publiquement ou non). Ce sujet est encore tabou ; l évolution du cadre réglementaire à venir dans les prochaines années devrait changer la donne. Des informations hétérogènes dans les rapports de 2013xxxxxxxxxxxxxxxxxxxxxx Ces rapports mettent en lumière les sujets clés pour les entreprises aujourd hui. Beaucoup mentionnent la nécessité de l ouverture de leurs systèmes d information, de la protection des données personnelles et les évolutions organisationnelles et technologiques que cela pourrait entraîner. Les impacts du Big data, du Cloud computing ou du BYOD sont cités dans plus de la moitié des rapports. Suite en page 2 DÉCRYPTAGES P4 Indisponibilité d un site utilisateur : quelle(s) stratégie(s) de repli? P7 Le programme Hôpital numérique : une opportunité pour les RSSI

2 Dossier Les entreprises précisent également les menaces auxquelles elles doivent faire face. Une trace du passé subsiste car encore beaucoup de rapports mentionnent les virus. Mais pour la majorité des entreprises, l espionnage industriel et l évolution de la cybercriminalité apparaissent comme des craintes fortes : ces deux tendances sont présentées comme des menaces pesant sur l entreprise. À noter, un réalisme de plusieurs acteurs qui indiquent subir ou pouvoir subir des pertes dues à ces menaces, malgré les efforts de protection et la prise en compte de ces risques. Le message semble s être bien diffusé : l invulnérabilité n existe pas en matière de cybercriminalité. Cette prise en compte se manifeste également par la mention de normes, standards internationaux ou recommandations faites par des acteurs comme l Agence Nationale de la Sécurité des Systèmes d Information (ANSSI) ou l Organisation Internationale de Normalisation (ISO), même si seules 5 entreprises déclarent utiliser ces normes. Un chiffre qui peut paraître faible par rapport à la réalité observée sur le terrain. Le sujet de la sécurité des SI industriels reste le parent pauvre des rapports. Alors qu il concerne la moitié des entreprises du CAC 40, seules trois le mentionnent dans leur rapport. Il est également intéressant de relever que la nature de la cible des rapports annuels (actionnaires, investisseurs) modifie la nature des messages. Plus que de projets techniques de sécurisation, les entreprises parlent de gouvernance sécurité et de contrôle interne. Le niveau de prise en compte est également très variable dans le vocabulaire utilisé et la précision des termes employés. Il doit cependant être relativisé considérant le degré d implication des fonctions sécurité dans la rédaction des rapports et la sensibilisation aux problématiques sécurité encore jeune des fonctions communication et financière responsables de ces documents. Les informations communiquées et le niveau de détail des programmes mis en œuvre sont également très variables : de quelques lignes mentionnant le risque, à des extraits des méthodologies utilisées. Quelles évolutions attendre dans les rapports de 2014? Plus personne ne nie aujourd hui l enjeu cybersécurité. Les entreprises semblent de plus en plus conscientes des impacts potentiels et agissent afin de se protéger. Des efforts de transparence sont cependant encore à réaliser, particulièrement concernant la notification des incidents et leur mention. La prise en compte de la cybersécurité devrait encore connaître une augmentation forte entre 2013 et 2014, du fait de la succession des incidents mais aussi de la promulgation de la Loi de Programmation Militaire, qui entraîneront mécaniquement des actions dans les entreprises concernées (notamment les Opérateurs d Importance Vitale). Article rédigé sur la base d une étude réalisée par Oumeima Guessous, Pierre-Alain Pocquet et Victor Stril. 2 La Lettre Sécurité N 34 juillet 2014

3 ENJEUX de sécurité des SI % des entreprises qui en mentionnent l existence 48% 73% % 95% PLAN D ACTION % des entreprises qui en mentionnent l existence mentionnent deus sujets phares des SI, le cloud et le big data évoquent l ANSSI ou des normes et standars (ISO 2700x, ITIL...) seulement évoquent les attaques informatiques dont elles ont été victimes juillet 2014 La Lettre Sécurité N 34 3

4 Dossier Décryptage Indisponibilité d un site utilisateur : quelle(s) stratégie(s) de repli? Vincent Exposito, consultant senior Face à l indisponibilité d un site utilisateur, les réponses des Plans de Continuité d Activité s appuient sur des stratégies diverses. Si le déport d activité peut permettre de répondre à des crises courtes, il doit être en revanche bien encadré du point de vue RH, notamment en raison des impacts en termes de charge sur les collaborateurs concernés. La solution de type Dual Office constitue également une stratégie intéressante. Elle sous-entend cependant la prise en compte de la continuité d activité dès la construction opérationnelle du processus Métier. Le PCA n est plus alors une tâche ponctuelle, il devient une partie intégrante du métier de l organisation, dès sa conception. Enfin, la solution traditionnelle reste la plus répandue : une stratégie de repli sur un ou plusieurs sites alternatifs permettant la reprise progressive des activités métiers en commençant par les plus vitales. Mais comment construire sa stratégie de repli? Quelles solutions retenir? Connaître ses métiers critiques Il est tout d abord nécessaire de réaliser un Bilan d Impact d Activité (Business Impact Analysis ou BIA), qui permettra de cartographier les activités Métiers (notamment en les localisant géographiquement), quantifier l impact de l interruption de ces activités dans le temps sur un référentiel partagé (le BIA permet donc la définition d un chronogramme de reprise des activités du site en cas de sinistre) et enfin de connaître les spécificités opérationnelles des Métiers afin d identifier les contraintes techniques qui devront être prises en compte lors d un éventuel repli (poste de travail spécifique, téléphonie enregistrée, équipement callcenter pour les centres de relation client, lecteur de chèques, ) Identifier exhaustivement les solutions à envisager Une multitude de solutions permettant un repli de collaborateurs existent à l heure actuelle : Site de repli interne dédié : bâtiment possédé par l organisation et dédié au PCA ; Site de repli externe, au travers de positions de travail louées et utilisées en cas de crise, selon deux modèles de location : positions dédiées au souscripteur, positions mutualisées entre plusieurs clients (cette dernière soulevant le risque de non obtention du volume de position souscrite en cas de choc extrême touchant simultanément plusieurs structures) ; Repli croisé entre les sites de l organisation : réquisition de bureaux disponibles et des salles de réunion des bâtiments non sinistrés et déploiement de postes de travail aux collaborateurs repliés par l organisation ; Nomadisme ou travail à distance, grâce à des solutions appropriées permettant aux collaborateurs de travailler de chez eux (postes nomades, accès distants au SI, etc.). Cette solution de repli est relativement bien adaptée aux métiers «prédisposés» au travail à distance, avec une faible spécificité opérationnelle (par ex. les populations commerciales). La stratégie de repli : un portefeuille de solutions à orchestrer La confrontation des solutions de repli (capacité d activation dans le temps, contraintes techniques) au BIA (chronogramme de reprise, spécificités opérationnelles) va permettre la conception d une stratégie globale constituée de la combinaison de solutions unitaires, adaptées à un contexte, des contraintes Métiers et des contraintes de l organisation. Cette association en un portefeuille de solutions permet de répondre efficacement aux enjeux de la reprise d activité. On peut donc, par exemple, envisager un dispositif sous la forme d une «fusée à 2 étages», comme détaillé ci-après. Les activités critiques, dont la reprise très rapide est vitale (reprise en moins de 48h) En général, la reprise de ces activités s envisage sur un site dédié et déjà préparé (postes de travail, raccordement réseau, téléphonie), sur un site de l organisation ou chez un prestataire. On peut notamment penser à des activités de front office, de call-center, ou encore de fonctions supports très sensibles, alliant à un fort besoin de reprise des contraintes opérationnelles complexes à mettre en œuvre rapidement (stations de travail scientifique, téléphonie enregistrée). Les activités moyennement critiques (reprise à partir de 48h) et les activités non critiques (reprise au-delà de 1 à 2 semaines) Le panel de solutions est large : si le repli chez des prestataires reste d actualité, on peut dorénavant penser à des solutions moins coûteuses, mais nécessitant un certain temps de déploiement opérationnel : repli croisé, nomadisme ou encore déport d activité. Il est toutefois important de prendre en compte un certain nombre de contraintes lorsque l on se tourne vers des solutions «internes» (accès réseau, fourniture de postes de travail, ). Cette première réflexion permettra de donner naissance à plusieurs scénarios de repli, qu il conviendra d évaluer selon des critères choisis : coûts de la solution de continuité (investissement, coût récurrent de maintenance annuelle), capacité à répondre au besoin (reprise des activités techniques, capacité d activation, ), couverture de risque (capacité à être utilisable sur plusieurs scénarios de risques, par ex. perte d un bâtiment, pandémie, ), complexité de mise en œuvre de la solution de repli, maintien en conditions opérationnelles - MCO - (complexité et charge du MCO, maintien de la situation dans le temps, ), testabilité de la solution (bascule, ouvertures des accès, ) Enfin, dans le cadre de la mise en place d une solution s appuyant sur du repli, un point d attention est à prendre en compte : la définition de modalités RH. En effet, les conditions de travail des collaborateurs se trouvant modifiées, il est nécessaire de définir un cadre dans lequel s inscrire en situation de crise. En collaboration avec Stéphane Gomez, consultant. 4 La Lettre Sécurité N 34 juillet 2014

5 Décryptage Fuite de données personnelles : comment stopper l hémoragie? Raphaël Brun, consultant senior Le 6 mai dernier, Orange annonçait avoir été victime du vol d un «nombre limité» de données de clients. C est la seconde fois en moins de 6 mois que l opérateur fait la une de l actualité pour des faits similaires. Depuis quelques semaines, c est Domino s Pizza qui est sous les feux de la rampe. Le groupe cybercriminel Rex Mundi réclame une rançon de sous peine de publier les données clients dérobées à Domino s Pizza. Ces récents évènements illustrent les difficultés actuelles des entreprises à lutter efficacement face à une menace cybercriminelle de plus en plus prégnante. Des attaques cybercriminelles d une ampleur jusque-là inégalée Ces attaques se répètent et n épargnent personne. En novembre 2013, l éditeur Adobe déclare avoir été victime du vol de 150 millions de comptes utilisateurs. Quelques semaines plus tard c est au tour du géant américain de la distribution Target de faire les frais d une attaque de grande ampleur avec pour résultat les données bancaires de 110 millions de clients dans la nature. En mai 2014, Ebay annonce que les données personnelles de 145 millions de clients ont été dérobées, sans atteinte cependant aux données bancaires. Si les motivations des cybercriminels peuvent être diverses (idéologiques, ludiques, stratégiques ), ces opérations sont très souvent menées à des fins économiques. La multiplication, la professionnalisation et la diversification de ces attaques mettent en lumière l existence d un véritable marché noir de la donnée personnelle. La protection des données personnelles au cœur du débat L Union Européenne s est saisie du sujet. En mars dernier, le Parlement Européen a adopté le Règlement Européen sur la Protection des Données personnelles (N.B. le Conseil de l UE doit se prononcer dans les prochains mois). Ce nouveau règlement prévoit des règles plus strictes auxquelles devront se plier les entreprises, tout en augmentant drastiquement les sanctions. Si la conformité à la loi devrait permettre de diminuer le risque de fuite de données personnelles, cela ne suffit pas. Pour protéger les données de manière plus efficace, le RSSI doit aller au-delà et proposer des solutions qui permettront d agir à la fois en amont et pendant la crise. Prioriser la détection et la réaction par la supervision sécurité On estime aujourd hui qu environ 80% des entreprises ont été victimes d attaques de type APT. Selon le rapport M-Trend Mandiant 2014, le temps moyen de détection de ces attaques est de 229 jours! L amélioration des capacités de détection est donc un enjeu vital pour protéger les données sensibles. Une solution efficace est la supervision sécurité, qui vise à améliorer et accélérer la détection des activités malicieuses sur le SI de l entreprise. A l initiative du RSSI, l entreprise doit réaliser une analyse de risque qui permettra d identifier les zones les plus sensibles de son SI. La collecte et l analyse des logs des éléments sensibles lui permettront de garder un œil attentif et de réagir en cas d identification de signaux faibles indiquant une compromission. Traiter en priorité le maillon faible de la chaîne cyber-sécurité Les utilisateurs du SI sont le maillon faible de la chaîne cyber-sécurité et apparaissent comme des cibles de choix : l exploitation de failles humaines est à l origine de 70 à 80% des attaques cybercriminelles. Afin de prévenir ces incidents, le RSSI doit s appuyer sur les Ressources humaines et la Communication interne afin d inscrire la sensibilisation SSI dans des actions de communication. à l image d Axa, qui a organisé un concours vidéo sur le thème de la prévention numérique, en partenariat avec l EICAR, une école de création audiovisuelle. Des spots de sensibilisation à la cyber-sécurité (phishing, social engineering) ont été produits, cumulant au total plus d un million de vues. La Société Générale a également mené des actions de sensibilisation de ce type. Réagir à la survenance d un incident Ces mesures permettent-elles pour autant de se prémunir à 100% du risque de fuite de donnée? Non, bien évidemment. La question n est pas de savoir si un tel incident risque de se produire, mais comment faire face quand il se produira. Cette question s adresse principalement au RSSI, qui a la responsabilité de l instanciation du scénario cybercriminalité et de son intégration dans l organisation de gestion de crise globale de l entreprise. Le dispositif de gestion de crise cyber-sécurité peut comprendre des fichesréflexes, des checklists ou encore des éléments de communication (éléments de langage, communiqué de presse, etc.). A ce jour, seulement 20% des grands comptes français sont préparés à gérer une crise cybersécurité. Compte tenu de l accroissement constant du nombre d attaques et de leur ampleur, il y a fort à parier que les RSSI trouveront auprès de la direction générale une oreille attentive pour les appuyer dans la mise en place de solutions destinées tant à prévenir les incidents (supervision, sensibilisation) qu à gérer la crise au moment où, inévitablement, elle surviendra. En collaboration avec Guillaume Bour, consultant. juillet 2014 La Lettre Sécurité N 34 5

6 Décryptage KINECT, ou comment l innovation des jeux vidéo bénéficie à la sécurité Florian Pouchet, manager Dès sa sortie en 2010, les fonctionnalités de KINECT sont prometteuses : le dispositif capte les mouvements des utilisateurs et les retranscrit sur des personnages pour les animer, sans l utilisation de manettes et joysticks. En 2013, la deuxième version de KINECT va plus loin en introduisant un module de reconnaissance faciale permettant d étendre le champ des applications possibles jusqu au domaine de la sécurité? Pour en savoir plus, revenons en détails sur le système KINECT. Un dispositif technologique novateur destiné à la capture de mouvements KINECT offre une alternative aux systèmes intrusifs de capture de mouvements, les systèmes de capture lumineux et les systèmes mécaniques. Bien que coûteux, ces derniers sont utilisés pour leur niveau de performance et leur grande rapidité dans l animation de systèmes robotiques notamment. Les systèmes lumineux, quant à eux, exigent de porter une combinaison utilisant des marqueurs, sorte de petites lampes, émettant de la lumière pour indiquer leur position. Le suivi de posture s effectue alors par triangulation. À titre d exemple, le film «Pirates des Caraïbes» a été réalisé grâce à un système de capture lumineux, les acteurs portant des marqueurs actifs permettant de suivre entre autres les mouvements du visage avec un haut niveau de précision. KINECT, pour sa part, ne nécessite pas de porter un squelette externe ou une combinaison. Le dispositif capture la posture grâce à un système mixte composé d une caméra couleur couplée à un émetteur infrarouge et à son détecteur. Ce système permet d obtenir une carte de profondeur de la scène observée, qui est associée à l image couleur acquise par la caméra pour réaliser une reconstruction en 3D. À titre de comparaison, les systèmes stéréoscopiques classiques utilisent uniquement un ensemble de caméras couleurs pour trianguler la position de chaque élément d une scène. Ce système peut alors subir les ambiguïtés des images, par exemple lorsqu un acteur ne se distingue pas clairement de la couleur du décor. La précision peut être augmentée avec le nombre de caméras, au détriment de la qualité «temps-réel» du suivi. Des applications allant au-delà de l usage initial Dès sa sortie, plusieurs applications utilisant le système KINECT ont été développées en dehors de sa console d origine, la XBOX 360. Par exemple des interfaces gestuelles pour ordinateur ont vu le jour, permettant de faire défiler des images d un simple geste de la main, ou de naviguer sur un site web. Ce n est déjà plus un simple périphérique de jeux vidéo! Dans les années qui ont suivi, des chirurgiens canadiens ont utilisé KINECT dans les blocs opératoires pour manipuler et zoomer directement sur des radiographies numériques, évitant ainsi de les toucher et donc de devoir se laver les mains à nouveau. Dans le domaine de la sûreté, KINECT a été utilisé pour surveiller la zone démilitarisée entre la Corée du Sud et la Corée du Nord, permettant ainsi de distinguer les mouvements d êtres humains de ceux des animaux, contrairement à des détecteurs de mouvements classiques. Avec KINECT 2, des perspectives prometteuses en matière de sécurité En 2013, KINECT 2 a fait son apparition avec des capteurs plus précis et plus sensibles, rendant possible la reconnaissance faciale. Ainsi KINECT 2 promet déjà de nouvelles applications dans le domaine de la sécurité. David Myers, professeur à l Université Loyola (Nouvelle Orléans) prédit que cette technologie se mettra en place très prochainement dans le milieu scolaire «pour s assurer que l étudiant qui se présente à un examen est bien la bonne personne». Par ailleurs, les autorités aéroportuaires de certains pays du Golfe réfléchissent activement à la mise en place de portiques automatiques aux frontières utilisant la reconnaissance faciale notamment par KINECT. Dans le domaine de la téléphonie mobile, on peut imaginer que le rachat en 2013 de PrimeSense, le concepteur de KINECT, par Apple va permettre d améliorer la sécurité concernant l accès utilisateur. Ainsi, l une des options envisagées serait de renforcer le système de reconnaissance d empreintes digitales Touch ID avec la reconnaissance faciale de KINECT. Il se pourrait aussi que la reconnaissance faciale permette d autoriser l affichage, ou non, d informations confidentielles à l écran, sans solliciter explicitement l utilisateur. L appareil pourrait vérifier la présence du visage de son propriétaire avant d afficher les messages électroniques, permettant d augmenter le niveau de sécurité sans impacter le confort de l utilisateur par une demande de mot de passe ou d empreinte digitale supplémentaire. L enjeu d aujourd hui est de permettre aux utilisateurs d accéder et de s approprier ces nouveaux services. Il ne faut pas non plus oublier que l utilisation des technologies biométriques (avec «trace» notamment) est très encadrée en France par la CNIL, les données biométriques pouvant être capturées et exploitées à l insu des individus. Un sujet d actualité notamment par la proposition de loi encadrant les usages de la biométrie, adoptée en première lecture par le Sénat le 27 mai dernier. Affaire à suivre Article rédigé en collaboration avec Mehdi Karray, consultant 6 La Lettre Sécurité N 34 juillet 2014

7 Décryptage Le programme Hôpital numérique : une opportunité pour les RSSI Gabriel Amirault, consultant Au sein du ministère chargé de la santé, la DGOS (Direction Générale de l Offre de Soin) a lancé en novembre 2011 le programme Hôpital numérique qui vise à amener, à horizon 2016, l ensemble des établissements de santé vers un premier niveau de maturité de leurs systèmes d information pour améliorer significativement la qualité, la sécurité des soins et la performance dans des domaines fonctionnels prioritaires, sur un socle assurant la sécurité des données. La mise en œuvre de ce niveau de maturité offre aux hôpitaux des possibilités de financement allant de quelques dizaines de milliers d euros à plusieurs millions. De réelles exigences de sécurité Ce premier palier de maturité défini par le programme compte trois prérequis et cinq domaines fonctionnels (imagerie, dossier patient informatisé et interopérable, prescription électronique, programmation des ressources et agenda du patient, pilotage médico-économique) prioritaires en termes d usage du SI. Les prérequis sont indispensables pour assurer une prise en charge du patient en toute sécurité. Ils fixent les priorités suivantes : identité / mouvement, fiabilité / disponibilité et confidentialité. Le programme impose ainsi la mise en place d un éventail complet de mesures de sécurité allant de la gestion des habilitations, la disponibilité des applications, en passant par la formalisation d une politique de sécurité Afin de mesurer l atteinte des prérequis et de justifier les possibles financements, des indicateurs ont été définis. La majorité (7 sur 12) concerne la sécurité du SI. Dans ce cadre, la DGOS (Direction Générale de l Offre de Soin) propose des fiches pratiques complètes afin d accompagner les établissements dans leur mise en œuvre. Des établissements de santé de plus en plus fortement incités à suivre le programme Hôpital numérique Le programme Hôpital numérique fixe explicitement ses objectifs de sécurité : «les enjeux majeurs de la sécurité sont la qualité et la continuité des soins, le respect du cadre juridique sur l usage des données personnelles de santé». Afin d encourager les établissements à s inscrire dans ce programme, la DGOS et la HAS (Haute Autorité de Santé) ont initié des travaux de rapprochement depuis En effet, les établissements de santé doivent passer et obtenir la certification HAS pour pouvoir exercer. Elle est obligatoire et intervient périodiquement tous les 4 ans. Ainsi, le volet «système d information» de la certification des établissements de santé menée par la HAS a été modifié par étapes afin d intégrer progressivement des indicateurs Hôpital numérique. Le but est que le prochain manuel de certification intègre complétement ces indicateurs. Aujourd hui, ces travaux ont abouti à l intégration de 27 indicateurs du programme Hôpital numérique dans 12 critères de la certification des établissements de santé. À noter que l un des premiers critères pris en compte fut la «sécurité du système d information». Une réelle opportunité pour les RSSI d hôpitaux Aujourd hui, seuls 10% des hôpitaux ont atteint ce premier niveau de maturité et seul un quart des hôpitaux participe au programme Hôpital numérique. Pourtant, l actualité fournit de plus en plus d exemples de failles de sécurité du système d information en milieu hospitalier. Dans un contexte où les professionnels de la santé sont encore peu sensibilisés aux risques informatiques et aux enjeux de sécurisation du système d information de santé, la mise en place des indicateurs Hôpital numérique est un bon levier de sensibilisation et un moyen de faire collaborer les équipes informatiques et le personnel médical. De plus, ces indicateurs portent sur les chantiers prioritaires à mener dans des contextes peu matures : la gouvernance, la continuité d activité et la gestion des identités et des accès. Enfin, les possibilités de financement offertes par l atteinte de ce premier niveau de maturité représentent une réelle opportunité pour les RSSI des hôpitaux de justifier ces investissements. En effet, le volet financement constitue l un des quatre axes du programme Hôpital numérique. Il a pour objectif d accompagner les établissements de santé dans les efforts déployés pour atteindre les objectifs liés aux «échanges et partages d information dans le cadre des processus de soins». Les montants attribués varient de 37 K à 3,4 M. À noter toutefois qu ils reposent principalement sur un financement à l usage par les crédits d aide à la contractualisation, c est-à-dire que les établissements ne percevront les financements qu une fois les systèmes d information mis en œuvre et effectivement utilisés sur l ensemble de l établissement. juillet 2014 La Lettre Sécurité N 34 7

8 L actualité Solucom Assises de la sécurité 2014 : du 1er au 4 octobre. Actualités Solucom : Résultats annuels 2013/14 : Solucom, 2 ème cabinet de conseil indépendant en France. En 2013/14, Solucom a enregistré un chiffre d affaires consolidé de 141,6 M, en croissance de 8%, dont 6% à périmètre constant. Atelier Solucom : Détecter et réagir, oui mais comment? Détection et réaction sont au cœur des nouvelles stratégies de cybersécurité des grandes organisations. Si l ensemble de la communauté s accorde sur l importance de ces actions, il est aujourd hui encore difficile de savoir comment se structurer et s outiller efficacement. Dans ce contexte, quelles tâches peut accomplir le SOC? Faut-il l internaliser ou l externaliser? Comment faire le bon choix de prestataire? Comment articuler les tâches entre CERT et SOC? Qui doit réagir et en mobilisant quelles forces vives? Quels outillages de nouvelle génération peuvent apporter de la valeur ajouté? Autant de questions que nous aborderons dans cette présentation. Lors de cet atelier, M. Yann Tourdot, du Bureau Qualifications et Agréments de l ANSSI, présentera le référentiel de qualification des prestataires de réponse aux incidents de sécurité ainsi que les premières orientations du futur référentiel de qualification des prestataires de détection des incidents de sécurité. Atelier animé par Gérôme Billois (senior manager) et Matthieu Garin (manager) le jeudi 2 octobre à 15 heures. En dépit d un marché toujours difficile, le cabinet a ainsi largement dépassé l objectif de croissance annuelle de 5% qu il s était fixé en début d exercice, chiffre relevé à 6,5% puis 7,5% en cours d année. Cette croissance a été accompagnée d une progression soutenue des effectifs, qui sont passés de à collaborateurs au 31 mars 2014, soit une hausse de 12% en un an, dont 9% à périmètre constant. Grâce à cet exercice dynamique, Solucom est désormais le 2 ème cabinet de conseil indépendant en France (source PAC 2014). Dans ce contexte graduellement plus favorable, Solucom entend maintenir son approche offensive, tant en croissance organique qu en croissance externe, tout en accélérant son déploiement sectoriel vers la banque. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gabriel Amirault, Gérôme Billois, Guillaume Bour, Raphaël Brun, Vincent Exposito, Oumeima Guessous, Stéphane Gomez, Mehdi Karray, Pierre- Alain Pocquet, Florian Pouchet, Victor Stril. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue de la practice Risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense abonnement :

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006 Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité Olivier de Chantérac 08 novembre 2006 PCA, MCO et ROI Une Responsabilité de Direction Générale ou Métier - Disposer d une

Plus en détail

La Lettre Sécurité. Comment adapter votre gestion de crise à la cybercriminalité avancée? Édito. n 32. 1. Prendre du recul face aux incidents

La Lettre Sécurité. Comment adapter votre gestion de crise à la cybercriminalité avancée? Édito. n 32. 1. Prendre du recul face aux incidents n 32 La Lettre Sécurité Édito 2014, que souhaiter pour la sécurité? 2013 aura été une année mouvementée pour la sécurité de l information.les révélations de Mandiant sur les moyens d attaques chinois ont

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

n spécial Assises de la Sécurité 2009

n spécial Assises de la Sécurité 2009 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 23 La Lettre Sécurité Édito L actualité sécurité récente et à venir s avère chargée : la cybercriminalité est sur toutes les lèvres, innovations technologiques et nouvelles réglementations obligent les

Plus en détail

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation?

Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation? n 27 La Lettre Sécurité Édito De la réaction à la détection / réaction, le nécessaire changement de posture du RSSI! Les initiatives sécurité ont lontemps consisté à définir et mettre en œuvre des plans

Plus en détail

Programme Hôpital numérique

Programme Hôpital numérique Programme Hôpital numérique Boite à outils pour l atteinte des pré-requis Fiches pratiques Octobre 2012 Direction générale de l offre de soins Sommaire 1. LE PROGRAMME HOPITAL NUMERIQUE... 3 2. LE SOCLE

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients

La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients n 31 La Lettre Sécurité Édito Cybersécurité, l État investit! Pourquoi les entreprises n en font-elles pas autant? L État prend actuellement à bras le corps le sujet de la cybersécurité. La loi de programmation

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Intégrer l assurance dans la gestion des risques liés à la sécurité des données Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1

Plus en détail

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Quel outil pour le PCA? de sa conception à sa mise en œuvre en situation de crise Introduction

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr www.lexsi.fr AUDIT CONSEIL CYBERSÉCURITÉ FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN CYBERSÉCURITÉ / PARIS LYON LILLE MONTREAL SINGAPOUR www.lexsi.fr SERVICES LEXSI est actif à l international

Plus en détail

La position et la stratégie française Yannick Le Guen, sousdirecteur, Le 03 avril 2014. Direction générale de l offre de soins - DGOS

La position et la stratégie française Yannick Le Guen, sousdirecteur, Le 03 avril 2014. Direction générale de l offre de soins - DGOS La position et la stratégie française Yannick Le Guen, sousdirecteur, DGOS. Le 03 avril 2014 Session Santé Numérique : quelle est la place de la France en Europe? Etat des lieux et comparatifs La position

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 19 - Août 2009 La Lettre Sécurité Édito À l heure où de nombreuses entreprises préfèrent limiter les investissements sur leurs systèmes d information, l actualité montre, au contraire, que l anticipation

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

Charte de contrôle interne

Charte de contrôle interne Dernière mise à jour : 05 mai 2014 Charte de contrôle interne 1. Organisation générale de la fonction de contrôle interne et conformité 1.1. Organisation Le Directeur Général de la Société, Monsieur Sébastien

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

Big Data : se préparer au Big Bang

Big Data : se préparer au Big Bang Big Data : se préparer au Big Bang Initialement confinées au cœur des moteurs de recherche et des réseaux sociaux, les technologies du Big Data s'exportent désormais avec succès dans de nombreux secteurs

Plus en détail

La sécurité informatique, c est votre problème aussi!

La sécurité informatique, c est votre problème aussi! INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique,

Plus en détail

Le Réseau Social d Entreprise (RSE)

Le Réseau Social d Entreprise (RSE) ALTANA CABINET D AVOCATS Le Réseau Social d Entreprise (RSE) Maîtriser les risques de ce nouvel outil numérique d entreprise et déterminer sa stratégie digitale Claire BERNIER Document confidentiel Ne

Plus en détail

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015 Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif

Plus en détail

Division Espace et Programmes Interarméeses. État tat-major des armées

Division Espace et Programmes Interarméeses. État tat-major des armées Division Espace et Programmes Interarméeses LE MINDEF en quelques mots 295 000 personnes, militaires et civils. 7000 personnes engagées en opérations extérieures, 80% au sein d une coalition internationale

Plus en détail

Sujets d actualité, débats, perspectives, enjeux Tendances Achats vous donne la parole et analyse pour vous le monde des Achats.

Sujets d actualité, débats, perspectives, enjeux Tendances Achats vous donne la parole et analyse pour vous le monde des Achats. Sujets d actualité, débats, perspectives, enjeux Tendances Achats vous donne la parole et analyse pour vous le monde des Achats. LE SRM : SOCLE D UN SI ACHATS PERFORMANT Le référentiel fournisseurs ou

Plus en détail

L ORGANISATION DE LA CONTINUITÉ DES FONCTIONS CLÉ DE LA SOCIÉTÉ

L ORGANISATION DE LA CONTINUITÉ DES FONCTIONS CLÉ DE LA SOCIÉTÉ L ORGANISATION DE LA CONTINUITÉ DES FONCTIONS CLÉ DE LA SOCIÉTÉ SNCF SNCF DOCUMENT CONFIDENTIEL PÔLE DÉFENSE CINETIQUE RAPIDE ACCIDENT INDUSTRIEL, ACCIDENT FERROVIAIRE, ATTENTAT, TEMPÊTE 1 SNCF DOCUMENT

Plus en détail

Les PME parlent aux PME

Les PME parlent aux PME Les PME parlent aux PME Retour d expériences de 10 PME ayant mis en place la méthode ULYSSE Préambule Réalisation d une étude exploratoire auprès de 10 PME ayant utilisées au cours des derniers mois la

Plus en détail

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation

Plus en détail

ITSM - Gestion des Services informatiques

ITSM - Gestion des Services informatiques Chapitre 1 - COMPRENDRE LE MARCHÉ ITSM - Gestion des Services informatiques Copyright 2011 CXP. 1 ITSM - Gestion des Services informatiques L'étude a été réalisée par : Dalila Souiah OBJECTIF DU DOCUMENT.

Plus en détail

LA PROFESSIONNALISATION DU COACHING EN ENTREPRISE :

LA PROFESSIONNALISATION DU COACHING EN ENTREPRISE : LA PROFESSIONNALISATION DU COACHING EN ENTREPRISE : DECRYPTAGE ET TEMOIGNAGE Le coaching en entreprise est souvent source de questionnement sur différents aspects : quelles populations concernées? Dans

Plus en détail

ZOOM SUR 10 DEMONSTRATIONS

ZOOM SUR 10 DEMONSTRATIONS ZOOM SUR 10 DEMONSTRATIONS Colombes, jeudi 3 février 2010 UN SYSTEME DE VIDEO SURVEILLANCE GRANDEUR NATURE Thales révolutionne l affichage des systèmes de vidéo surveillance en permettant aux opérateurs

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

Regard sur cloud privé et hybridation

Regard sur cloud privé et hybridation Regard sur cloud privé et hybridation Mai 2014 édito «faire rimer performances et gouvernance!» Toutes les études le confirment, une voie est en train de se dégager en matière de conception des infrastructures

Plus en détail

Organisation d une simulation sur un prototype logiciel workflow et GED. ImmoBiens. 1 - Description du projet de l entreprise

Organisation d une simulation sur un prototype logiciel workflow et GED. ImmoBiens. 1 - Description du projet de l entreprise Organisation d une simulation sur un prototype logiciel workflow et GED ImmoBiens 1 - Description du projet de l entreprise ImmoBiens est une société gestionnaire de biens immobiliers (location et entretien)

Plus en détail

Règles pour les interventions à distance sur les systèmes d information de santé

Règles pour les interventions à distance sur les systèmes d information de santé VERSION V0.3 Règles pour les interventions à distance sur les systèmes d information de santé Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Avril 2014 MINISTÈRE DES AFFAIRES

Plus en détail

Les cyber risques sont-ils assurables?

Les cyber risques sont-ils assurables? Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent

Plus en détail

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR SIMULER ET CONCEVOIR LE TRAVAIL FUTUR Utilisation du logigramme d activité dans un projet informatique, pour simuler les compétences futures, et évaluer la charge de travail. WWW.ANACT.FR OUTIL DE SIMULATION

Plus en détail

GRAS SAVOYE FINEX Lignes Financières ANIA. Les Cyber Risques. 13 avril 2015

GRAS SAVOYE FINEX Lignes Financières ANIA. Les Cyber Risques. 13 avril 2015 GRAS SAVOYE FINE Lignes Financières ANIA Les Cyber Risques 13 avril 2015 Contexte Les Principaux facteurs : Aujourd hui, envoyer un mail, créer des fichiers et les enregistrer dans un répertoire, surfer

Plus en détail

Carestream Vincent Marcé, Directeur GCS TéléSanté Centre LA SÉCURITÉ DANS LE PROJET MUTUALISATION DES IMAGES MÉDICALES EN RÉGION CENTRE

Carestream Vincent Marcé, Directeur GCS TéléSanté Centre LA SÉCURITÉ DANS LE PROJET MUTUALISATION DES IMAGES MÉDICALES EN RÉGION CENTRE Carestream Vincent Marcé, Directeur GCS TéléSanté Centre LA SÉCURITÉ DANS LE PROJET MUTUALISATION DES IMAGES MÉDICALES EN RÉGION CENTRE Le Projet MIRC PACS Archivage Echange & Partage Processus d amélioration

Plus en détail

Conformité et efficience de la délégation de gestion : vers une norme de marché

Conformité et efficience de la délégation de gestion : vers une norme de marché INFO # 28 Conformité et efficience de la délégation de gestion : vers une norme de marché CONTEXTE ACTUEL DE LA DÉLÉGATION DE GESTION Une accélération sensible des mutations autour de l activité de délégation

Plus en détail

Stratégie d investissement responsable

Stratégie d investissement responsable Stratégie d investissement responsable 2 Introduction Dès 2003, le Conseil de surveillance a requis un engagement fort du Fonds de Réserve pour les Retraites dans le domaine de l investissement responsable

Plus en détail

securesphere by EPITA Formation continue de l EPITA en Cybersécurité Management Technique Juridique Comportement

securesphere by EPITA Formation continue de l EPITA en Cybersécurité Management Technique Juridique Comportement Management Technique Juridique Comportement securesphere by EPITA Formation continue de l EPITA en Cybersécurité ECURESPHERE Formation Continue de l EPITA en CyberSécurité La sécurité : une problématique

Plus en détail

AUDIT CONSEIL CERT FORMATION

AUDIT CONSEIL CERT FORMATION www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

De ce fait, les attaques se diversifient, deviennent «plus intelligentes» et plus complexes à éviter. On distingue alors deux grandes familles :

De ce fait, les attaques se diversifient, deviennent «plus intelligentes» et plus complexes à éviter. On distingue alors deux grandes familles : n 30 La Lettre Sécurité Édito Cybercriminalité : think global! La cybercriminalité est sous les feux de la rampe : préoccupation des États et des entreprises, elle fait émerger de nouvelles réglementations

Plus en détail

Regard sur hybridation et infogérance de production

Regard sur hybridation et infogérance de production Regard sur hybridation et infogérance de production Février 2014 édito «comment transformer l hybridation des infrastructures en levier de performances?» Les solutions d infrastructure connaissent depuis

Plus en détail

le management de la continuité d activité

le management de la continuité d activité le management de la continuité d activité Le management de la continuité d activité au service de la performance de votre organisation Les entreprises évoluent dans un environnement de plus en plus complexe

Plus en détail

Release Notes POM v5

Release Notes POM v5 Release Notes POM v5 POM Monitoring http://www.pom-monitoring.com Ce document est strictement réservé à l usage de la société POM Monitoring. Il ne peut être diffusé ou transféré sans l autorisation écrite

Plus en détail

PASSI Un label d exigence et de confiance?

PASSI Un label d exigence et de confiance? PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail

27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité

27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2

Plus en détail

GRAS SAVOYE FINEX Lignes Financières. Forum des Compétences. Protéger l entreprise : le transfert des cyber risques à l assurance 27/03/2015

GRAS SAVOYE FINEX Lignes Financières. Forum des Compétences. Protéger l entreprise : le transfert des cyber risques à l assurance 27/03/2015 GRAS SAVOYE FINEX Lignes Financières Forum des Compétences Protéger l entreprise : le transfert des cyber risques à l assurance 27/03/2015 Contexte Les Principaux facteurs : Aujourd hui, envoyer un mail,

Plus en détail

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS Edito C est grâce à son héritage que SECTRANS-CP Conseils est aujourd hui un acteur majeur dans un domaine en pleine expansion. Notre structure

Plus en détail

Les leviers de performance du pilotage du processus achats/fournisseurs

Les leviers de performance du pilotage du processus achats/fournisseurs Les leviers de performance du pilotage du processus achats/fournisseurs Synthèse Petit-déjeuner «Démat-finance» Octobre 2012 SOMMAIRE I. LA PERFORMANCE DU PROCESSUS ACHATS FOURNISSEURS 2 II. GRANDS ENSEIGNEMENTS

Plus en détail

Présentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Présentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos. Présentation CERT IST 9 Juin 2009 Enjeux et Mise en Œuvre du DLP Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.fr Sommaire Constats, Riques & Enjeux Qu'est ce que le DLP? Quelle Démarche

Plus en détail

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX

Plus en détail

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI

Plus en détail

groupesolucom Devenez architecte d infrastructure

groupesolucom Devenez architecte d infrastructure groupesolucom Devenez architecte d infrastructure Sommaire Le Groupe SoluCom en bref 2 Une approche globale des Infrastructures de Système d Information 6 Un Groupe structuré pour mener des projets complexes

Plus en détail

LES SYNTHÈSES SOLUCOM. n o 47. Observatoire de la transformation des entreprises. Cybercriminalité : comment agir dès aujourd hui

LES SYNTHÈSES SOLUCOM. n o 47. Observatoire de la transformation des entreprises. Cybercriminalité : comment agir dès aujourd hui LES SYNTHÈSES SOLUCOM n o 47 Observatoire de la transformation des entreprises Cybercriminalité : comment agir dès aujourd hui Cybercriminalité Gérôme Billois est senior manager chez Solucom. Diplômé de

Plus en détail

1: Veille sur les vulnérabilités et les menaces

1: Veille sur les vulnérabilités et les menaces Evolution des failles et attaques Bilan de l année 2012 www.cert-ist.com Mars 2013 Philippe Bourgeois Plan de la présentation 1) Veille sur les vulnérabilités et les menaces 2) Evénements majeurs de 2012

Plus en détail

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques. TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Perception et utilisation des solutions de radio-identification (RFID) dans les entreprises françaises

Perception et utilisation des solutions de radio-identification (RFID) dans les entreprises françaises Perception et utilisation des solutions de radio-identification (RFID) dans les entreprises françaises Synthèse de l enquête PricewaterhouseCoopers Mars 2010 Sommaire Page 1 Introduction 1 2 Description

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 SOMMAIRE Synthèse et Conclusion... 1 Introduction... 4 1. La description

Plus en détail

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...

Plus en détail

Réussir l externalisation de sa consolidation

Réussir l externalisation de sa consolidation Réussir l externalisation de sa consolidation PAR ERWAN LIRIN Associé Bellot Mullenbach et Associés (BMA), activité Consolidation et Reporting ET ALAIN NAULEAU Directeur associé Bellot Mullenbach et Associés

Plus en détail

ISO 27001 conformité, oui. Certification?

ISO 27001 conformité, oui. Certification? ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche

Plus en détail

NE PAS EXTERNALISER SA RESPONSABILITÉ

NE PAS EXTERNALISER SA RESPONSABILITÉ NE PAS EXTERNALISER SA RESPONSABILITÉ OUTSOURCING IT Le succès d une opération d outsourcing se mesure au degré de préparation et d implication des parties concernées. Mieux vaut donc faire preuve de pragmatisme

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

MESURE DE L ÉNERGIE ET DES FLUIDES

MESURE DE L ÉNERGIE ET DES FLUIDES MESURE DE L ÉNERGIE ET DES FLUIDES MESURER EN CONTINU TOUTES VOS CONSOMMATIONS D ÉNERGIE ET DE FLUIDES POUR PERMETTRE UNE OPTIMISATION DE VOS PERFORMANCES ENVIRONNEMENTALES Instrumenter vos immeubles à

Plus en détail

Nouveau usages, nouvelle gestion des identités?

Nouveau usages, nouvelle gestion des identités? 28 juin 2013 Nouveau usages, nouvelle gestion des identités? Patrick MARACHE, Manager Sécurité de l Information patrick.marache@solucom.fr Solucom, conseil en management et système d information Cabinet

Plus en détail

Des modules adaptés aux réalités des métiers de la sécurité de l information

Des modules adaptés aux réalités des métiers de la sécurité de l information Catalogue de formations SSI 2015 p. 2/75 ÉDITO Depuis plus de 10 ans, Lexsi délivre des formations auprès des professionnels de la sécurité du SI. Toujours au fait de l actualité, elles s attachent à suivre

Plus en détail

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Classe de terminale de la série Sciences et Technologie du Management et de la Gestion Préambule Présentation Les technologies de l information

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Stratégies opérationnelles SSI Gouvernance et traçabilité des postes CHU Nice

Stratégies opérationnelles SSI Gouvernance et traçabilité des postes CHU Nice Gouvernance et Sécurité des Systèmes d information Marseille- 7 juin 2011 Stratégies opérationnelles SSI Gouvernance et traçabilité des postes CHU Nice Gouvernance et traçabilité des postes? Gouverner

Plus en détail

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015 Manuel Qualité Auteur : Françoise NICOLAS, Responsable Qualité Approuvé par : Michel ROUVELLAT, Président Dernière date de mise à jour : 01 avril 2015 CIS Valley Manuel Qualité- MAQ_V08 page 1/16 Engagement

Plus en détail

Les projets d investissement en PME

Les projets d investissement en PME Le point sur Les projets d investissement en PME Concilier performance économique et conditions de travail L investissement reste un moment clé du développement d une entreprise. C est l occasion de repenser

Plus en détail

FANAF 2015 Cyber criminalité et assurance LE 17/02/2015. Philippe Randon

FANAF 2015 Cyber criminalité et assurance LE 17/02/2015. Philippe Randon FANAF 2015 Cyber criminalité et assurance LE 17/02/2015 Philippe Randon Sommaire Le risque Les solutions assurantielles (garantie, services) Exemples de capacités Argumentaire MARSH Cyber risques Quelques

Plus en détail

> livre blanc. Mettez-vous vos données et celles de vos clients en danger?

> livre blanc. Mettez-vous vos données et celles de vos clients en danger? > livre blanc Mettez-vous vos données et celles de vos clients en danger? QU EST-CE QUE CELA SIGNIFIE? VOTRE ENTREPRISE N EST PAS TROP GRANDE NI TROP PETITE POUR ÊTRE PIRATÉE Revenons dix ans en arrière,

Plus en détail

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos:

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos: Gouvernance et sécurité des systèmes d information Avant- propos: Auteur : Kamal HAJJOU Consultant Manager sécurité systèmes d information Cet article tente de dresser un état des lieux sur les approches

Plus en détail

Les pratiques du sourcing IT en France

Les pratiques du sourcing IT en France 3 juin 2010 Les pratiques du sourcing IT en France Une enquête Solucom / Ae-SCM Conférence IBM CIO : «Optimisez vos stratégies de Sourcing» Laurent Bellefin Solucom en bref Cabinet indépendant de conseil

Plus en détail

La conformité et la sécurité des opérations financières

La conformité et la sécurité des opérations financières La conformité et la sécurité des opérations financières Au service de vos systèmes d information critiques www.thalesgroup.com/security-services Des services financiers plus sûrs, même dans les passes

Plus en détail

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas :

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas : Introduction Le CRM se porte-t-il si mal? Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas : «75 % de projets non aboutis» «La déception du CRM» «Le CRM : des

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail