Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Dimension: px
Commencer à balayer dès la page:

Download "Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés."

Transcription

1 VOLET N 2 1 Définition des objectifs de sécurité Principes fondamentaux de la sécurité du système d information Scenarios génériques de menaces Méthodes et bonnes pratiques de l analyse de risques Plan d actions sécurité et budgets : exemples, retour d expérience 2 1

2 Principes fondamentaux de la sécurité Sécurité générale : protection des biens et des personnes «Une protection adéquate dépend de la valeur des biens à protéger.» 4 niveaux de mesures de sécurité : Prévention: Empêcher vos biens d être endommagés. Ex: Serrures sur toutes les portes Détection: Se rendre compte que vos biens ont été endommagés, comment et par qui Ex: Système d alarme sur une maison, vidéo surveillance Réaction: Recouvrir vos biens ou réparer le dommage causé par leur perte. Ex: Appeler la police, Assurance Reprise : reprendre le fonctionnement normal Ex : Véhicule de prêt 3 Principes fondamentaux de la sécurité Les aspects fondamentaux de la sécurité du système d information : Confidentialité : Propriété d une information qui n est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés ISO (1989). AFNOR Disponibilité : Propriété d être accessible et utilisable sur demande par une entité autorisée. La disponibilité est une des quatre propriétés essentielles qui constituent la sécurité. ISO (1999). AFNOR Intégrité : Propriété des données dont l exactitude et la cohérence sont préservées à travers toute modification illicite. Prévention de toute modification non autorisée de l information ISO/IEC IS (1998). AFNOR. Auditabilité Capacité pour une autorité compétente, à fournir la preuve que la conception et le fonctionnement du système et de ses contrôles internes sont conformes aux exigences de sécurité Garantir une maîtrise complète et permanente sur le système et en particulier pouvoir retracer tous les évènements au cours d une certaine période. AFNOR Les Risques: les atteintes et impacts DISPONIBILITE INTEGRITE CONFIDENTIALITE AUDITABILITE Continuité Fiabilité Exactitude Inaltérabilité Contrôle d'accès Non divulgation Preuves Contrôles 4 2

3 Principes fondamentaux de la sécurité Vue de quelques acteurs du système d information Intervenants en amont dans la conception et la réalisation des environnements Entreprise LAN / station de travail Fournisseurs de services - Opérateurs Télécom - Hébergeurs, - Paiement sécurisé, - Sites de sauvegarde et secours Equipements de sécurité Prestataires de services Personnel Fournisseur d accès Serveurs infogérance Environnement Général : EDF Environnement Informatique et télécom 5 Principes fondamentaux de la sécurité Vue de quelques mesures de préventions et de protections Données Application Hôte Réseau interne Périmètre Sécurité physique Stratégies, procédures, & sensibilisation ACL, Chiffrement, Sauvegarde Renforcement de la sécurité des applications, antivirus, contrôle des développements et des saisies Renforcement de la sécurité du système d'exploitation, gestion des mises à jour, authentification, sonde HIDS Segments réseau, systèmes de détection d'intrusion réseau NIDS Firewall, VPN IPSec, SSL, VLAN Protections, verrous, dispositifs de suivi, contrôle par badges Formation/Sensibilisation des utilisateurs 6 3

4 Scénarii génériques de menaces Origines AEM Accident Erreur Malveillance Accident physique Malveillance physique Perte de servitudes essentielles Perte de données Indisponibilité d'origine logique Divulgation d'informations en interne Divulgation d'informations en externe Abus ou usurpation de droits Fraude Reniement d'actions Non-conformité à la législation Erreurs de saisie ou d'utilisation Erreurs d exploitation, de conception Perturbation sociale Attaque logique du réseau 7 Etude CLUSIF 2008 Typologie des incidents de sécurité 8 4

5 Analyse de risques La première étape du management de la sécurité des systèmes d'information doit rendre intelligible les risques qui visent une organisation, l analyse de risques Objectifs recherchés Cartographier l ensemble des risques qui pèsent sur l entreprise afin de prendre les décisions stratégiques adaptées Enclencher les actions associées par ordre de priorité L analyse des risques répond à un besoin de gouvernance des risques et représente un outil de pilotage / d aide à la décision. 9 Analyse de risques Les grands risques Incendie d une banque : le crédit lyonnais Explosion d un site industriel : AZF Fraude à la carte bancaire Cyclone Katrina 2005 Les préoccupations Vol de données Programmes malveillants Chantage extorsion, racket sur Internet Cyber terrorisme Mobilité 10 5

6 Analyse de risques Les nouvelles formes de risques : Intégration renforcée (supply chain, Erp,..) Diversité des intervenants dans le SI Moindres compétences (IT) de certains acteurs Cadre juridique et réglementaire Visibilité sur le web et perte d image de marque 11 Analyse de risques Définitions MENACES : Événement d'origine accidentelle ou délibérée, capable s'il se réalise de causer un dommage au sujet étudié VULNERABILITE : Faiblesse dans le système qui peut être exploitée par une menace («perméabilité»). La vulnérabilité est intrinsèque au système d information de l entreprise. 12 6

7 Analyse de risques Définitions POTENTIALITE EXPOSITION AU RISQUE : (plausibilité/possibilité) : Facteurs de risques favorisent ou non l'occurrence de l'agression. Ils s'intéressent aux CAUSES et permettent de qualifier sa POTENTIALITE. Exposition au risque (Potentialité) : P = menace x vulnérabilité La potentialité permet d exprimer une évaluation du caractère plausible d une menace (compte tenu des vulnérabilités, notamment en prévention, des supputations sur la force des agressions, des agresseurs ). 13 Analyse de risques Définitions IMPACT : Les facteurs de risques influent sur la nature des CONSEQUENCES de l'agression, ils permettent de qualifier l IMPACT. L Impact est analysé selon les critères d impact en rapport direct avec les objectifs d entreprise (compte tenu des vulnérabilités, notamment en protection, des «valeurs» des objets concernés, du type et du niveau de l agression ). Les critères d impacts peuvent être définis de la manière suivante : Impact sur l image de marque de la société auprès de clients, des partenaires Impact financier ou pertes financières Impact sur l activité de l entreprise Impact sur les responsabilités (juridique) : engagement de responsabilités 14 7

8 Analyse de risques Définitions Vulnérabilités RISQUE Impact Menaces UN RISQUE : Combinaison de l exposition au risque d'un événement de sécurité et de son IMPACT et qualifie le niveau de danger associé à un scénario de sinistre, tel que perçu par l'entreprise Niveaux de risques : Risque insignifiant Risque acceptable - Risque toléré Risque inadmissible (bien que tolérable) Risque insupportable (parce que n ayant pas les moyens de faire face à ses conséquences) Risque (ou Gravité du risque) = Exposition au risque X Impact 15 Analyse de risques L objectif de la gestion de risques, c est : SE PREMUNIR CONTRE DES RISQUES INACCEPTABLES POUR L ENTREPRISE CIBLER LES EFFORTS ET INVESTISSEMENTS EN MATIERE DE SECURITE L objectif de l identification des services de sécurité, c est : SPECIFIER FONCTIONNELLEMENT LES MOYENS ORGANISATIONNELS, TECHNIQUES, OU HUMAINS A METTRE EN ŒUVRE POUR RENDRE ACCEPTABLES LES RISQUES QUI PESENT SUR LES ACTIVITES CLES DE L ENTREPRISE 16 8

9 Analyse de risques Système d information existant Nouvelle architecture technique S.I. Caractérisation du S.I. (ressources fonctionnelles et techniques) Nouveau système d information Nouvelle activité de l entreprise Identification des enjeux Analyse de la menace Identification des vulnérabilités potentielles majeures Identification des risques majeurs Quels moyens engager? SERVICES DE SECURITE Profils fonctionnels de sécurité Procédures Mécanismes techniques Plans 17 Analyse de risques Typologie des méthodes d analyse de risques Point commun Visent à exprimer le risque en terme d impact potentiel et de probabilité de survenance. Différences Par la mesure de l historique Estimation financière des incidents des x derniers mois Par la mesure des risques «intrinsèques» Analyser l exposition naturelle de l entreprise face à des menaces et les impacts métiers de la survenance d un incident 18 9

10 Analyse de risques Méthodes d analyse de risques MEHARI (MEthode Harmonisée d'analyse de RIsques) : https://www.clusif.asso.fr/fr/production/mehari/ Développé depuis 1995 issue du monde associatif «Compatible» BS 7799 / ISO / ISO Cible : Administration & grands comptes & PME-PMI Aide au management des risques Logiciel RISCARE disponible par le biais du CLUSIF Approche normative : Norme ISO Enumère des domaines où le contrôle peut s'exercer. Ne représente pas une méthode d analyse de risques Mais peut être utilisée comme une table des matières permettant de ne rien oublier pour la sélection des parades. 19 Analyse de risques Méthodes d analyse de risques EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), Mise au point par la ANSSI en 1995 (Direction Centrale de la Sécurité des Systèmes d'information) ; Logiciel EBIOS disponible gratuitement sur le site de la ANSSI «Compatible» ISO Langue Française Cible : Administration & grands comptes La version d EBIOS 2010 sera basée sur la démarche proposée par ISO/CEI

11 Analyse de risques EBIOS en 5 étapes 21 Analyse de risques Etape N 1 : Etude du contexte Vision globale et explicite du système étudié, des enjeux, des contraintes et référentiels applicables Objectif Fixer le périmètre et les caractéristiques du système d information étudié, afin d identifier les activités et les ressources entrant dans le champ de l analyse des risques. préparer les métriques et critères de gestion des risques qui seront utilisés dans l appréciation du risques, Fixer le périmètre de l étude : Identifier les activités : Activités principales, Activités de support Identifier les ressources : Ressources humaines, Matériels informatiques, Logiciels, Réseaux Identifier les contraintes et obligations réglementaires. Métriques Critères de sécurité et échelle de besoins, Critères de vraisemblance, d impact et de gestion de risques. Eléments - Entités Eléments : fonctions informations Entités : supports des éléments, matériel, logiciels, réseaux, organisations, personnels 22 11

12 Analyse de risques Etape N 2 : étude des événements redoutés détermination des événements redoutés en positionnant des éléments à protéger (patrimoine informationnel) en terme de disponibilité, intégrité, confidentialité et mise en évidence des impacts en cas de sinistre Objectif identifier de manière systématique les scénarios génériques que l'on souhaite éviter concernant le périmètre de l'étude : les événements redoutés. Elle permet également aux utilisateurs du système d'exprimer leurs besoins en matière de sécurité pour les fonctions et informations qu'ils manipulent. Les enjeux de sécurité sont déterminés A partir d une évaluation des conséquences qu auraient, sur l activité, la matérialisation de risques potentiels prenant naissance au sein du système d information En utilisant une échelle d évaluation d impact (image de marque, financière ) Attribuer un besoin de sécurité par critère de sécurité (disponibilité, intégrité, confidentialité ) à chaque élément essentiel. 23 La sensibilité d une ressource est celle de l activité la plus sensible qui l utilise. Analyse de risques Etape N 3 : Etude des menaces Recensement des scénarios pouvant porter atteinte aux composants (techniques ou non) du SI Objectif Formaliser les menaces en identifiant leurs composants : les méthodes d'attaque auxquelles l'organisme est exposé, les éléments menaçants qui peuvent les employer, les vulnérabilités exploitables sur les entités du système et leur niveau. Elément menaçant Un élément menaçant peut être caractérisé selon son type (naturel, humain ou environnemental) et selon sa cause (accidentelle ou délibérée)

13 Analyse de risques Etape N 3 : Etude des menaces Les vulnérabilités à prendre en considération peuvent être déterminées : en se référant à une typologie de vulnérabilités et en se basant, si possible, sur la connaissance qu à l entreprise de ses forces et faiblesses en sécurité : Application aux ressources du système cible des vulnérabilités connues (ou perçues) au sein des ressources communes à d autres activités de l entreprise (par exemple, messagerie, accès Internet, ) Extrapolation aux ressources du système cible des vulnérabilités génériques connues (par exemple, faiblesse de la protection des locaux, manque de robustesse des mots de passe, ) en se basant sur les résultats d un audit éventuel (cas d un système d information existant) Audit organisationnel et technique pour garantir la cohérence Tests d intrusions 25 Analyse de risques Etape N 4 : étude de risques Mise en évidence des risques réels et expression de la volonté de les traiter en cohérence avec le contexte particulier de l organisme Objectif Déterminer les risques réels pesant sur le système cible - confrontation des menaces aux événements redoutés permet de retenir et hiérarchiser les risques qui sont véritablement susceptibles de porter atteinte aux éléments essentiels. Déterminer les objectifs de sécurité en terme d évitement, d acceptation,de transfert et de réduction de risques Déterminer les risques résiduels Représente le Cahier des charges de la MOA pour la MOE 26 13

14 Analyse de risques Etape N 5 : Etude des mesures de sécurité Spécification des mesures concrètes à mettre en œuvre pour traiter les risques sur la base d une négociation argumentée - mesures de prévention (ex : anonymisation d une base de données), mesure protection (pare-feux), mesure récupération (ex : PRA ). Objectifs Sélectionner des mesures de sécurité cohérentes pour réduire ou transférer le risque - mesure à mettre en œuvre pour fournir un niveau de sécurité conforme aux besoins spécifiés et en respectant les principes énoncés au sein de la politique cadre de sécurité. Disposer d un cadre d orientation des solutions de sécurité à mettre en œuvre qui tienne compte de la spécificité de l entreprise Enumération des mesures de sécurité et associées aux risques correspondants SOA State Of Applicabilité Représente la réponse de la MOE à la MOA 27 Analyse de risques 28 14

15 Logiciels du marché : analyse de risques EBIOS : Mehari : https://www.clusif.asso.fr/fr/production/mehari/ DPCIA 5.01 Global System Management : logiciel orienté gestion du SMSI que gestion des risques Modulo Risk Manager : produit sud américain dont IBM se servirait pour ses propres besoins. Ce produit intègre OCTAVE ainsi que d autres normes RA2 : (voir la démo) ou par les auteurs de la 27001, Real ISMS : il y a une vidéo sur le module de risk management qu ils proposent 29 Audit de sécurité Un audit de sécurité permet d évaluer le niveau de sécurité d une entité à un moment donné. L audit de sécurité positionne rapidement le niveau de sécurité de votre entreprise et identifie les chantiers prioritaires de sécurité du système d'information à mettre en œuvre. L audit de sécurité se base sur des référentiels de sécurité telles que les normes ISO et ISO

16 Audit de sécurité Audit organisationnel et technique pour garantir la cohérence Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE, SERVICE JURIDIQUE ) et techniques du SI Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques) Audit du référentiel technique (existence de systèmes de sécurité, redondance, sauvegarde, etc ) Basé sur une approche normative ISO ISO Avantage - Positionnement rapide du niveau de sécurité par rapport à un référentiel 31 Tests d intrusions Objectifs des tests d intrusions Stigmatiser les aspects techniques Matérialiser les vulnérabilités identifiées lors de l audit. Référentiels : OWASP, OSSTMM Accord entre un prestataire et une société sur : Un périmètre d action : les serveurs, les sous-réseaux, équipements et/ou applications concernées Une période de temps : durée de l autorisation des tests d intrusion. Une limite de tests : pas de perturbation de la production ni de corruption de données. Focus sur les aspects juridiques Objet du contrat d audit : entre obligations et responsabilités La licéité de l exécution de la prestation d audit Les risques inhérents à l audit La confidentialité 32 16

17 Plan d actions sécurité et budgets Un plan d actions peut découler : d une analyse de risques d un audit de sécurité organisationnel ou technique Les objectifs de sécurité se déclinent en plan d actions et projets : Plan de continuité, PKI (Public Key Infrastructure), SSO (Single Sign On), VPN (Virtual Private Network), Messagerie sécurisée 33 Plan d actions sécurité et budgets Élaborer un plan d actions cohérent : Traiter en priorité les risques inacceptables Promouvoir une approche transversale de la sécurité du système d information Critères de priorisation et identification des socles en fonction du niveau de maturité sécurité constaté du contexte organisationnel de l entreprise et bien sûr de votre budget sécurité Conseils Présenter au maximum de 10 mesures, actions ou projets Certains projets sont stratégiquement à positionner au début Décomposer entre 3 socles 34 17

18 Exemple de cartographie des priorités Très important Analyse de risques Exemple : Socle 1 -Mise en œuvre d un plan de continuité informatique - Contrôle d accès logique Socle 2 Moyennement important - Respect de la réglementation interne et externe - Intégration de la sécurité dans les projets informatiques Socle 3 Peu important - Sécurité physique et sécurité de l environnement Peu urgent Moyennement Copyright Société urgent PRONETIS Droits d'utilisation ou de reproduction 35 Très urgent Plan d actions et budgets Exemple de plan d actions Type de risque : Juridique, financier, image de marque etc Risque identifié s il n y a pas d action ou de projet Contribution sécurité Contribution du projet par rapport à la situation actuelle de la sécurité dans l entreprise Complexité : Complexité de mise en œuvre organisationnelle ou technique Coût : Ordre de grandeur en investissement et en jour.homme du projet Priorité proposée : En fonction de la criticité socle 1, socle 2 et socle 3 Par rapport à la situation actuelle de la sécurité informatique Type de projet : Organisationnel et/ou Technique 36 18

19 Plan d actions et budgets Exemple de plan d actions Sécurité 37 Plan d actions et budgets - les projets SSI Les sujets biens traités en général Sécurisation des applications critiques, sécurisation du réseau, sécurisation s, Backup, Sécurisation des accès distants, Mise en conformité réglementaire, Sécurisation des applis web, Les sujets en retrait Formation et sensibilisation du personnel Plan de Reprise d Activité (PRA), Plan de Continuité d Activité (PCA) Source IDC

20 Plan d actions et budgets Budget informatique alloué à la sécurité (source CLUSIF 2008) Le niveau de dépense des entreprises en matière de sécurité est très hétérogène 30% des entreprises (de plus de 200 salariés) ne semblent pas identifier ou mesurer cette dépense. Ce budget n a pas encore une définition très claire et une périmètre bien délimité 39 Plan d actions et budgets Budget informatique alloué à la sécurité (source CLUSIF 2008) Que représente votre budget sécurité par rapport au budget informatique total? 40 20

21 Plan d actions et budgets Budget informatique alloué à la sécurité (source CLUSIF 2008) Les contraintes organisationnelles et le budget freinent le RSSI Difficile de faire passer un projet sécurité dans votre entreprise? les contraintes organisationnelles. le manque de budget. la réticence de la hiérarchie, des services ou des utilisateurs. le manque de personnel qualifié. la réticence de la Direction des Systèmes d Information. 41 Plan d actions et budgets Le périmètre : le recentrage des enjeux (analyse effectuée en Assises de la sécurité) 42 21

22 Plan d actions et budgets Le périmètre : le recentrage des enjeux par secteur d activité (analyse effectuée en Assises de la sécurité) 43 Plan d actions et budgets Les actions de pilotage : typologie des actions 44 (analyse effectuée Assises de la sécurité) 22

23 Plan d actions et budgets Les actions de pilotage sur le plan opérationnel (analyse effectuée début Assises de la sécurité) 45 (analyse effectuée 2009 Copyright - Assises Société de la PRONETIS sécurité) Droits d'utilisation ou de reproduction réservés. Retour sur investissement (ROI) un exercice difficile en SSI Quelles sont les difficultés pour évaluer et calculer le ROI? Source IDC octobre

24 Management de la sécurité Périmètre de la sécurité et les axes stratégiques Fiche de poste du RSSI Organisation de la sécurité Difficultés de la sécurité des systèmes d information Communication et formation autour de la sécurité Tableau de bord du RSSI 47 Périmètre et les axes stratégiques de la sécurité Une problématique complexe Concevoir et manager un dispositif de sécurité adapté est une mission complexe qui nécessite : Une bonne connaissance / évaluation des risques Une approche globale et transversale faisant interagir les fonctions Direction Générale, Direction de la Sécurité des Systèmes d'information, Direction du Contrôle Interne et Direction de l'audit Un modèle de conception dynamique qui intègre l évolution des architectures et des menaces

25 Périmètre et les axes stratégiques de la sécurité La sécurité du SI doit être abordée d une manière globale avec une volonté affichée et un appui de la direction Les seules réponses techniques à la problématique sécurité sont insuffisantes si elles ne sont pas sous-tendues par une approche structurée intégrant les composantes : Stratégique Économique Organisationnelle Humaine Il s agit pour les organisations de passer d une politique sécurité basée sur la juxtaposition de briques techniques hétérogènes à une politique visant l optimisation des processus et la rationalisation des investissements. Les priorités portent désormais davantage sur les aspects d organisation et de management. 49 Système de management de la sécurité de l'information : SMSI Norme ISO

26 Système de management de la sécurité de l'information : SMSI Phase PLAN Périmètre du SMSI Politique de sécurité et/ou politique du SMSI Identification et évaluation des risques Plan de gestion des risques (méthode traitement des risques) Objectifs de sécurité et mesures de sécurité Phase DO Allocation et gestion de ressources Personnes, temps, argent Rédaction de la documentation et des procédures Formation du personnel concerné Gestion du risque (mise en œuvre des mesures de traitement des risques) 51 Système de management de la sécurité de l'information : SMSI Phase CHECK Vérification de routine Apprendre des autres Audit du SMSI : Audits réguliers sur la base de docs, logs, tests techniques Conduit à Constatation des mesures correctives - Identification de nouveaux risques non traités Phase ACT Prendre les mesures résultant des constatations faites lors de la phase de vérification Actions possibles : Passage à la phase de planification Si de nouveaux risques ont été identifiés Passage à la phase d'action Si la phase de vérification en montre le besoin Si constatation de non-conformité Actions correctives ou préventives 52 26

27 Système de management de la sécurité de l'information : SMSI Focus sur la partie Audit de Sécurité Audit interne : audit commandité par l entreprise pour se contrôler elle-même. Dans les sociétés disposant d une structure d audit interne, il peut être réaliser par du personnel interne, mais rien n empêche de commander un audit interne à un cabinet spécialisé. Audit seconde partie : audit dans lequel le commanditaire est une partie prenante (un client, par exemple), et l audité un fournisseur. Ce type d audit est extrêmement courant. Les auditeurs sont, soit des employés du commanditaire, soit ils travaillent dans un cabinet fournissant une prestation d audit pour le compte du commanditaire. Audit tierce partie : couramment appelé audit de certification. Le commanditaire et l audité font partie de la même entité. En revanche, l auditeur travaille obligatoirement pour un organisme de certification indépendant. 53 Taille moyenne des équipes de sécurité (analyse effectuée Assises de la sécurité) 54 27

28 Fiche de poste du RSSI Mission transverse du Responsable de la sécurité des Systèmes d Information Sa mission est de piloter et de coordonner la mise en œuvre, l application et l évolution de la politique de sécurité du système d information Structure de la fonction sécurité Structure de concertation, de pilotage et de contrôle Ou bien structure opérationnelle Êtes-vous positionné en maîtrise d ouvrage ou maîtrise d œuvre? Temps plein ou temps partiel affecté à la sécurité? 55 La fonction de RSSI Définition des principes ou règles applicables Coordination des actions Animation du réseau de correspondants Evaluation régulière du niveau de sécurité Intégration de la sécurité dans les projets Evaluation des risques Veille sécuritaire Surveillance gestion des incidents Promotion de la politique de sécurité Coordination des actions de sensibilisation Conseil en matière de sécurité 56 28

29 (analyse effectuée Assises de la sécurité) RSSI Aptitudes Fonctions clés Ses aptitudes Capacité d écoute Culture Sécurité Esprit critique et de synthèse Bon Relationnel et force de proposition 57 La fonction de RSSI Actions transverses du RSSI Les actions transverses Elaboration de la politique Mise en œuvre de la politique Définition des rôles / organisation Mise en place de la conformité juridique Plan de continuité des activités Formation / sensibilisation Mise en conformité SOX, LSF, Bâle II Architecture et standards de sécurité Pilotage de projets «sécurité» globaux Intégration de la sécurité dans les projets Plan d'audit de sécurité Veille en Sécurité SI Pilotage global des budgets SSI Certification 58 29

30 Fiche de poste du RSSI Les éléments à prendre en compte L histoire de la sécurité dans l entreprise historique de la sécurité - sinistres, culture du management La perception de la dépendance du SI de l équipe dirigeante La création de la fonction sécurité Ses moyens : le RSSI a-t-il un budget dont il est responsable? 59 Organisation de la sécurité Rôle du comité de sécurité? Approuve la politique de sécurité Suivi du tableau de bord général de sécurité Fixer les grandes orientations en fonction du schéma directeur Arbitrage en cas conflit d intérêt Cellule de crise en cas d incidents ayant un impact critique ou catastrophique sur la continuité et la qualité des services délivrés (Plan de continuité d activité) 60 30

31 Organisation de la sécurité Quelle structure? Comité de sécurité (3 ou 4 par an) et incident grave Composée des différents responsables de l entreprise (DG,DAF, RH, Qualité, référents métier) Revue des scénarii et/ou audit annuel Les métiers informatiques tels que le responsable IT, responsable d application, l expert réseau, l administrateur système et de base de données, qualité, viennent en support au RSSI dans sa mission transverse 61 Organisation de la sécurité Comité de Sécurité Fixe les grandes orientations Approuve la politique de sécurité Suit le tableau de bord général de sécurité Arbitre en cas conflit d intérêt Cellule de crise en cas d incidents critique Politique Securité RSSI 62 Définit de la politique de sécurité du SIH Gère les projets sécurité Contrôle l application de la sécurité Sensibilise, forme et conseille Responsable IT, experts, système, réseau, responsable applications métier Actualise le tableau de bord Sécurité 31

32 Organisation de la sécurité Positionnement du RSSI? Champ SI : DSI, audit Champ «entreprise» : secrétaire général, direction générale Ou mixte Le positionnement du RSSI dépend également du positionnement de la DSI Est-ce que la DSI est positionnée uniquement en maîtrise d œuvre? Ou la DSI a-t-elle aussi une mission de maîtrise d ouvrage déléguée? 63 Organisation de la sécurité Positionnement du RSSI (analyse effectuée Assises de la sécurité) Une représentativité quasi identique d année en année avec néanmoins une proportion croissante des Directions Sécurité / Sûreté (10% en 2008)

33 Rémunération du RSSI (analyse effectuée Assises de la sécurité) Une répartition des salaires qui varie peu avec un salaire moyen quasi stable à 73,8 k contre 73,4 k en Les difficultés rencontrées en SSI Les usagers ont des besoins spécifiques en sécurité SI, mais en général ils ont aucune expertise dans le domaine Performance et confort d utilisation Versus Sécurité Les mécanismes de sécurité consomment des ressources additionnelles La sécurité interfère avec les habitudes de travail des usagers Ouverture vers le monde extérieur en constante progression Les frontières de l entreprise sont virtuelles ex : télétravail, télémaintenance L ouverture du commerce en ligne sur Internet, (e-business, e- procurement, la dématérialisation des appels d offre publics, ) 66 33

34 Les difficultés rencontrées en SSI Centre de coût versus centre de profit La justification des dépenses en matière de sécurité n est pas évidente Le retour sur investissement en sécurité est un exercice parfois difficile La sécurité n est pas une fin en soi mais résulte d un compromis entre : un besoin de protection un besoin opérationnel qui prime sur la sécurité (coopérations, interconnexions ) des fonctionnalités toujours plus tentantes offertes par les technologies (sans fil, VoIP ) un besoin de mobilité (technologies mobiles ) des ressources financières limitées et des limitations techniques 67 Communication et formation autour de la sécurité Marketing de la sécurité en interne Éclairer les principes du risque Communiquer sur la dépendance technologique Organiser des séminaires session de sensibilisation Faire remonter les incidents internes et externes et leurs conséquences Communiquer en externe Vos actions auront des répercutions en interne renforcer votre crédibilité Rédiger des articles revues spécialisées Etre interviewé revues spécialisées Participer à des associations et forums de sécurité 68 34

35 Communication et formation autour de la sécurité Communiquer sur les attaques externes pour vendre correctement les contraintes Intranet, lettre, plaquette interne, événement annuel,.. Communiquer sur incident (après résolution): Communiquer en interne si provenance A, E ou M externe Décrire les mesures en place ou les nouvelles mesures Rappeler les règles en usage Relancer l implication des utilisateurs Mettre à jour l intranet, les procédures, etc.. 69 Communication et formation autour de la sécurité Formation Formation permanente des acteurs de la sécurité Organiser des réunions de veilles technologiques sur les produits sécurité avec les équipes opérationnelles Sensibilisation Organiser régulièrement des séances de sensibilisation des usagers Lors de l arrivée d un nouvel embauché etc Lors d une formation bureautique, introduisez des notions de sécurité 70 35

36 Tableau de bord Sécurité Aide et support pour le suivi de l activité Sécurité au sein d une entreprise Dispositif de contrôle et de pilotage de l activité sécurité. Contrôle la conformité du dispositif de sécurité par rapport aux objectifs de sécurité ainsi que son efficacité en regard de l évolution des architectures techniques et des menaces. 71 Tableau de bord Des objectifs par niveau 72 36

37 Tableau de bord Sécurité Les incidents et risques AEM, synthèse des journaux techniques (FW), et descriptifs (photos) Les indicateurs de pilotage Risques actuels par gravité Rosace d audit (à utiliser avec précautions) Coût (formation, projet, incidents, mesures de sécurité) État des projets Les indicateurs d exploitation Comptes logiques,. Indisponibilité, attaques virales, sauvegardes, 73 Tableau de bord Sécurité Etudes Réseaux Etude Sécurité Etudes MCO Mise en Œuvre Réseaux Mise en Œuvre Sécurité Archi logique LAN VLAN ATM Routage - QoS Adressage Intégrité Performance Confidentialité Disponibilité Traçabilité Evolutivité 74 37

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

L analyse de risques avec MEHARI

L analyse de risques avec MEHARI L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de

Plus en détail

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

Mise en œuvre de la certification ISO 27001

Mise en œuvre de la certification ISO 27001 Mise en œuvre de la certification ISO 27001 1 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO 27001 4. Implémentation 5. Surveillance et audit

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

S U P E R V I S É PA R N. A B R I O U X

S U P E R V I S É PA R N. A B R I O U X Tableau de bord SSI S U P E R V I S É PA R N. A B R I O U X S. B A L S S A L. B O B E T M. H A L L O U M I J. M A N O H A R A N 1 Plan Présentation Méthodologie d élaboration Cas pratique Conclusion Nom

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011 Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION

TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION Nous adaptons votre système d information à vos besoins LES SEMINAIRES INTERNATIONAUX DE MIWIS TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION Saly, Sénégal : 19-20 21 et 22 Mars 2013 Hôtel Saly

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Cartographie des risques informatiques : exemples, méthodes et outils

Cartographie des risques informatiques : exemples, méthodes et outils : exemples, méthodes et outils Gina Gullà-Ménez, Directeur de l Audit des Processus et des Projets SI, Sanofi-Aventis Vincent Manière Consultant Construction d une cartographie des risques : quel modèle

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Rex: Déploiement de la ToIP sur Lyon-Saint Exupéry Mercredi 16 Décembre 2009 Dominique MACHU (RSSI)

Rex: Déploiement de la ToIP sur Lyon-Saint Exupéry Mercredi 16 Décembre 2009 Dominique MACHU (RSSI) Rex: Déploiement de la ToIP sur Lyon-Saint Exupéry Mercredi 16 Décembre 2009 Dominique MACHU (RSSI) dominique.machu@lyonaeroports.com 34 Présentation de Lyon-Saint Exupéry 35 Présentation de Lyon-Saint

Plus en détail

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 2012-2013 Formations Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 01/11/2012 Table des Matières Présentation du Cabinet CESSI... 3 1- ISO 27001 Foundation... 5 2- ISO 27001 Lead Auditor...

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Utilisation de la méthode EBIOS :

Utilisation de la méthode EBIOS : Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université

Plus en détail

Gérer concrètement ses risques avec l'iso 27001

Gérer concrètement ses risques avec l'iso 27001 SMSI Oui! Certification? Peut être Gérer concrètement ses risques avec l'iso 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 23 octobre 2008 Agenda 1. L'ISO 27001 : pour

Plus en détail

L USAGE PAISIBLE DE L INFORMATIQUE. La gestion des risques du Système d Information pour la performance de l entreprise

L USAGE PAISIBLE DE L INFORMATIQUE. La gestion des risques du Système d Information pour la performance de l entreprise L USAGE PAISIBLE DE L INFORMATIQUE La gestion des risques du Système d Information pour la performance de l entreprise Une nouvelle démarche originale Livrer et facturer en toutes circonstances Une Vision

Plus en détail

SOMMAIRE. Constat CLUSIF 2008: la mise en œuvre des politiques de sécurité reste un vœu pieux: Pourquoi?

SOMMAIRE. Constat CLUSIF 2008: la mise en œuvre des politiques de sécurité reste un vœu pieux: Pourquoi? SOMMAIRE Constat CLUSIF 2008: la mise en œuvre des politiques de sécurité reste un vœu pieux: Pourquoi? Comment arriver à la non régression de la sécurité de l information? Pourquoi l ISO 27001? Comment

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI,

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI, Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information Awatef HOMRI, ISO27001 Lead Auditor, ITIL Ingénieur en chef, ANSI Awatef.homri@ansi.tn 1 Agenda Management de la Sécurité

Plus en détail

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation) Panorama de l'évolution du cloud et des Datacenters ; La sécurité dans les domaines d'orchestration (cloud et virtualisation) Eric Deronzier (YSOSECURE) Rémi Grivel (SynAApS) 1 L évolution des usages TIC

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 02/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Préventeur (trice) en cybersécurité des

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité :

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité : Fiche Pratique PRA - PCA Club des Responsables d Infrastructures et de Production L audit de la continuité d activité d un organisme La continuité d activité correspond à la capacité d un organisme (entreprise

Plus en détail

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015 Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos:

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos: Gouvernance et sécurité des systèmes d information Avant- propos: Auteur : Kamal HAJJOU Consultant Manager sécurité systèmes d information Cet article tente de dresser un état des lieux sur les approches

Plus en détail

(Démarche et méthode)

(Démarche et méthode) Altaïr Conseil Transformation Gouvernance - Risques Elaborer la cartographie des risques (Démarche et méthode) 33, rue Vivienne, 75 002 Paris 01 47 33 03 12 www.altairconseil.fr contact@altairconseil.fr

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Quel audit de Sécurité dans quel contexte?

Quel audit de Sécurité dans quel contexte? Emplacement du logo client Quel audit de Sécurité dans quel contexte? Hervé Morizot (herve.morizot@solucom.fr) 09 avril 2002 Agenda Quel audit? Selon quelle démarche et avec quels outils? Une "stratégie

Plus en détail

Sécurité de l Information Expérience de Maroc Telecom

Sécurité de l Information Expérience de Maroc Telecom Sécurité de l Information Expérience de Maroc Telecom Fouad Echaouni Responsable Adjoint Sécurité de l Information Lead Auditor ISO 27001 CLUSIF / Conférence du 23 octobre 2008 Propriété Maroc Telecom

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

Principes de base et aspects techniques

Principes de base et aspects techniques HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques

Plus en détail

Le Référentiel Management/Encadrement

Le Référentiel Management/Encadrement répertoire des métiers Le Référentiel Management/Encadrement Le management/encadrement est vu comme une fonction transversale liée à l organisation et à l ensemble des familles professionnelles. Le référentiel

Plus en détail

FAIRE FACE A UN SINISTRE INFORMATIQUE

FAIRE FACE A UN SINISTRE INFORMATIQUE FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation

Plus en détail

Gestion des risques du SI

Gestion des risques du SI Gestion des risques du SI SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe 29280 Plouzané Tel 02 90 820 888 Fax 02 22 44 20 96 Mobile 06 75 31 51 20 Capital 11 000 - Siret : 512 380

Plus en détail

Gestion des risques dans la santé

Gestion des risques dans la santé HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des risques dans la santé Illustration avec le DMP1 CNSSIS,

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

Sécurité des informations. Comment évaluer ses risques

Sécurité des informations. Comment évaluer ses risques Le 22 Avril 2009 Sécurité des informations Cartographie des risques Comment évaluer ses risques Pierre-Yves DUCAS Jean-Louis MARTIN Page 0 Quelques rappels de BSP (*) Le risque informatique n existe que

Plus en détail

Catalogue Formations. Sûreté Protection des Personnes Protection des Biens Risques Plans de Continuité d Activité PPMS, PPE, POI...

Catalogue Formations. Sûreté Protection des Personnes Protection des Biens Risques Plans de Continuité d Activité PPMS, PPE, POI... Crédits photos Fotolia Catalogue Formations L-EBORE SAS 25 rue du Val 78126 AULNAY SUR MAULDRE Téléphone : +33 (0)9 81 23 74 02 Messagerie : contact@l-ebore.fr www.l-ebore.fr Sûreté Protection des Personnes

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard

Plus en détail

L'intérêt de la 27001 pour le CIL

L'intérêt de la 27001 pour le CIL HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet L'intérêt de la 27001 pour le CIL Frédéric Connes

Plus en détail

CHARTE ACTION LOGEMENT SUR :

CHARTE ACTION LOGEMENT SUR : CHARTE ACTION LOGEMENT SUR : LA GESTION DES RISQUES LE CONTROLE INTERNE L AUDIT INTERNE Validée par le Conseil de surveillance du 18 septembre 2013 1/22 SOMMAIRE INTRODUCTION... 3 I. LE CADRE DE REFERENCE...

Plus en détail

Étude des métiers du contrôle dans la banque

Étude des métiers du contrôle dans la banque Observatoire des métiers, des qualifications et de l égalité professionnelle entre les femmes et les hommes dans la banque Étude des métiers du contrôle dans la banque Paris, le 15 décembre 2009 0 Table

Plus en détail

Quelques réflexions sur les normes

Quelques réflexions sur les normes EBIOS et normes internationales Présentation pour le colloque ARS sur la gouvernance de la sécurité des systèmes d information 7 juin 2011 1 Quelques réflexions sur les normes Les normes sont avant tout

Plus en détail

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 D une PSSI d unité de recherche à la PSSI d établissement Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 SOMMAIRE 2 1. Eléments de contexte 2. Elaboration d une PSSI d

Plus en détail

Conseil Audit Management Expertise informatique

Conseil Audit Management Expertise informatique Votre management informatique sur mesure Conseil Audit Management Expertise informatique La société CAMEX'IN vous propose le management informatique à la demande Pour qui? Professions libérales PME PMI

Plus en détail

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information Copyright Fidens 2013 - All rights reserved 04/04/13 1 2! Consultant sécurité des SI et Co-fondateur de Fidens Chef

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Enjeux prudentiels des données utilisées par les entreprises d assurance : le point de vue du superviseur

Enjeux prudentiels des données utilisées par les entreprises d assurance : le point de vue du superviseur Enjeux prudentiels des données utilisées par les entreprises d assurance : le point de vue du superviseur Atelier «Information et assurance» Institut de Science Financière et d Assurances ISFA Université

Plus en détail

Retours d expérience de mise en œuvre de WebPCA pour la conception et le maintien en conditions opérationnelles du PCA.

Retours d expérience de mise en œuvre de WebPCA pour la conception et le maintien en conditions opérationnelles du PCA. Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Gérer le Plan de Continuité d Activité avec WebPCA Retours d expérience de mise en œuvre

Plus en détail

Urbanisation des Systèmes d'information

Urbanisation des Systèmes d'information Urbanisation des Systèmes d'information Les Audits de Systèmes d Information et leurs méthodes 1 Gouvernance de Système d Information Trois standards de référence pour trois processus du Système d Information

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

systèmes PMI Isabelle Hebert Roux, INEO Com Anthony Côme, CPS Technologies Pascal Vincent, M2GS Ludovic d Anchald, Apex

systèmes PMI Isabelle Hebert Roux, INEO Com Anthony Côme, CPS Technologies Pascal Vincent, M2GS Ludovic d Anchald, Apex La sécurité des systèmes d information i en PME PMI Isabelle Hebert Roux, INEO Com Anthony Côme, CPS Technologies Pascal Vincent, M2GS Ludovic d Anchald, Apex CLUSIF / CLUSIR Rha La SSI en PME Page 0 Constats

Plus en détail

ISO 27001 conformité, oui. Certification?

ISO 27001 conformité, oui. Certification? ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

L'AUDIT DES SYSTEMES D'INFORMATION

L'AUDIT DES SYSTEMES D'INFORMATION L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION

Plus en détail

Plan de Continuité d Activité, Plan de Reprise d Activité

Plan de Continuité d Activité, Plan de Reprise d Activité Plan de Continuité d Activité, Plan de Reprise d Activité Synthèse de la conférence thématique du CLUSIF du 10 avril 2014. Aujourd hui, toutes les entreprises et organisations, quel que soit leur secteur,

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances? Maîtriser les risques au sein d une d PME-PMI PMI Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances? Ces documents demeurent la propriété du cercle GASPAR Techdays MICROSOFT

Plus en détail

Règles pour les interventions à distance sur les systèmes d information de santé

Règles pour les interventions à distance sur les systèmes d information de santé VERSION V0.3 Règles pour les interventions à distance sur les systèmes d information de santé Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Avril 2014 MINISTÈRE DES AFFAIRES

Plus en détail

3. Rapport du Président du conseil d administration

3. Rapport du Président du conseil d administration 3. Rapport du Président du conseil d administration Conformément aux dispositions de l article L.225-37 du code de commerce, le président du conseil d administration rend compte, au terme de ce rapport,

Plus en détail

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail