Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Dimension: px
Commencer à balayer dès la page:

Download "Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?"

Transcription

1 Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

2 Agenda Les enjeux liés aux systèmes d information La gestion des risques liés aux SI Les risques liés au SI, la part de la SSI RSSI, ligne métier, missions Articulation avec le contrôle permanent Articulation avec l audit interne. Colloque 2012 des banques centrales francophones 2

3 ENJEUX LIÉS AU SYSTÈME D INFORMATION

4 Les enjeux du SI dans le tertiaire Dématérialisation de l argent Dématérialisation de la connaissance information processus Dématérialisation de la relation client Dématérialisation de la mémoire de l entreprise archives et même documents originaux («dématique») Secteur tertiaire : des hommes, des bâtiments et des octets. Colloque 2012 des banques centrales francophones 4

5 Les enjeux du SI dans le tertiaire Facteur d aggravation chainage de systèmes d information SI à effet systémique hyper réactivité des marchés surmédiatisation, dans certaines circonstances. Des enjeux tels que la SSI mérite une «union sacrée» pour le meilleur usage des compétences dans l évitement du risque systémique. Colloque 2012 des banques centrales francophones 5

6 LES RISQUES LIÉS AUX SYSTÈMES D INFORMATION

7 Rappels sur l ensemble des risques liés au SI Risques induits par les systèmes construits pour les métiers défaut de confidentialité, erreurs, indisponibilité, manque d auditabilité, infractions réglementaires, traités par l analyse de risque des projets et l application des politiques de sécurité. Risques induits par les infrastructures informatiques indisponibilité, traité par l analyse de risque au moment de la conception, application des meilleures pratiques de résilience, audits. Risques induits par les activités des informaticiens erreurs, malveillance traité par découpage de l activité en processus normalisés, cartographie des risques, formalisation des procédures, séparation des pouvoirs Colloque 2012 des banques centrales francophones 7

8 Rappels sur l ensemble des risques liés au SI Risques induits par les bâtiments malveillance liée à des défauts de sécurité physique, accidents (incendie), traités par analyse de risque, adoption des meilleures pratiques, audits. Risques induits par le niveau de performance économique de l informatique et la stratégie défaut d agilité des métiers, excédent de charges, mauvais alignement stratégique traités par benchmarks, consultation des métiers, contrôle budgétaire, gouvernance, consultants extérieurs Risques découlant de l exécution des projets non-conformité des livraisons (carences fonctionnelles), retards méthodologie d exécution de projets, audits, formalisation du pilotage des projets, suivi des projets au niveau requis Colloque 2012 des banques centrales francophones 8

9 Rappels sur l ensemble des risques liés au SI Risques traités par les RSSIs Risques induits par les systèmes construits pour les métiers Risques induits par les infrastructures informatiques Le périmètre peut varier d un établissement à l autre (nuance fraude vs SSI). Ce qui compte, c est l exhaustivité de la couverture des risques par des branches complémentaires. Colloque 2012 des banques centrales francophones 9

10 UN ACTEUR CENTRAL, LE RSSI

11 RSSI RSSI = acteur spécialisé du contrôle permanent pour rappel : Contrôle interne Contrôle périodique Contrôle permanent Niv. Contrôle permanent réalisé par 3 Inspection Générale 2.2 Acteur spécialisé indépendant de l activité considérée 2.1 Management, contrôleur au sein de l activité RSSI 1 Opérateur Colloque 2012 des banques centrales francophones 11

12 Des missions étendues Définir une cartographie des risques Énoncer les risques auxquels l entreprise est exposé Définir les traitements prioritaires Fixer les règles (politiques de sécurité, notes de procédures, etc.) Animer le dispositif de gouvernance Fournir les méthodes (définition, entretien, formation) Alerter et organiser la mise en place et le suivi de plans d action Définir des plans de contrôle Colloque 2012 des banques centrales francophones 12

13 Des missions étendues Exercer des contrôles, évaluer les risques Informer les décideurs Conseiller les propriétaires de systèmes d information et les maîtres d œuvre Mener une veille sur les menaces et les parades Animer le processus d analyse de risque Sensibiliser à tous les niveaux de l entreprise Parangonner l entreprise Sponsoriser des projets de sécurité Dans les groupes, animer la ligne métier des RSSI. Colloque 2012 des banques centrales francophones 13

14 Des missions variables selon les environnements Certains RSSI jouent un rôle opérationnel dans la gestion des habilitations, l exploitation de systèmes de sécurité. En matière de reprise des activités informatiques, le rôle des RSSI est défini de manière très variable d une entreprise à l autre. L allocation précise de cette mission doit être vérifiée. Des missions peuvent être réparties sur différentes personnes ou directions. Ce qui compte est leur exécution. L audit vérifie le fait que les missions sont attribuées, les moyens permettant de les exécuter sont octroyés, les livrables résultant de ces missions existent. Lerattachement du RSSI est secondaire par rapport à ces points. Colloque 2012 des banques centrales francophones 14

15 QUELLE COMPLÉMENTARITÉ EN MATIÈRE DE CONTRÔLES?

16 Pourquoi rechercher la complémentarité? Les compétences en SSI sont encore rares, demande une connaissance transverse de l informatique (systèmes d exploitation, réseaux, programmation, pratiques de production, technologies de stockage, de virtualisation) et des notions juridiques, la SSI est assez peu présente dans les cursus des écoles et universités. Les métiers sont excédés par les sollicitations multiples. L efficience concerne aussi le contrôle qui participe à la performance des entreprises. Dans un environnement bien coordonné, à ressources égales, on détecte davantage de choses. Colloque 2012 des banques centrales francophones 16

17 Audit vs contrôle permanent Le contrôle permanent : forte couverture, certitude moyenne Contrôles nombreux, couverture étendue mais certitude moyenne Colloque 2012 des banques centrales francophones 17

18 Audit vs contrôle permanent L audit : faible couverture, certitude élevée Périmètre audité réduit Certitude accrue sur zone connexe Colloque 2012 des banques centrales francophones 18

19 Audit vs contrôle permanent Audits incorrectement répartis Ressources gaspillées Faible certitude sur une grande partie de l univers d audit Colloque 2012 des banques centrales francophones 19

20 Audit vs contrôle permanent Audits correctement répartis Ressources identiques au cas précédent Réduction de la zone à faible certitude Colloque 2012 des banques centrales francophones 20

21 Pourquoi rechercher la complémentarité? Le RSSI attendra une bonne répartition des audits soit sur une année, soit sur plusieurs années. - qui seront focalisés sur les sujets à forts enjeux - et s appuieront donc sur des référentiels qui en garantiront l objectivité. Cela demande une concertation préalable, respectueuse des prérogatives de l auditeur. La répétition peut être souhaitable en cas de constats de déficiences majeures. Colloque 2012 des banques centrales francophones 21

22 Étagement des contrôles, une science pas si simple Le contrôle interne : apporteur d assurance raisonnable, aux dirigeants, sur le bon équilibre entre désir de développement et prises de risques. Un mauvais étagement des contrôles gaspillage de ressources sollicitations multiples des opérationnels sur des sujets identiques : mauvaise acceptation => données de mauvaise qualité. Une logique de consolidation pas d assurance raisonnable le management n aura qu une consolidation de la perception des opérateurs assurant les contrôles de niveau 1! Perte de vue de la finalité des contrôles! Colloque 2012 des banques centrales francophones 22

23 Quels contrôles de niveau 2.2 (RSSI) Des contrôles originaux, pas des consolidations! Renouer avec le principe d assurance raisonnable se poser la question de la valeur ajoutée du contrôle (finalité), privilégier la qualité des assurances apportées, introduire une rupture. Exemple test d intrusion s affranchit des assurances données par tous les contributeurs à l élaboration d un système (intégrateurs, opérateurs de pare-feux, développeurs, etc), apporte un fort niveau de certitude. mais coûteux. croisements d information utiliser les résultats d un contrôle à d autres fins statistiques du helpdesk sur le nombre de désinfections de postes à confronter aux assurances données par les contrôles de niveau 2.1 alimentés par les consoles de gestion des antivirus Un contrôle de niveau 1 alimente un contrôle de niveau 2.2 pour conforter ou infirmer un contrôle de niveau 2.1! L étagement des contrôles doit être révisé régulièrement car la maturité des opérationnels s accroît (exemple des scans de vulnérabilité). Colloque 2012 des banques centrales francophones 23

24 Quels contrôles de niveau 2.2 (RSSI) Des contrôles validant les efforts et investissements KPI (Key Performance Indicators) Exemple : combien d attaques bloquées par mon dispositif de filtrage Internet? Des contrôles illustrant le niveau d exposition à des risques significatifs KRI (Key Risk Indicators) Exemple : nombre de systèmes «abrités» ayant été atteints par une tentative d intrusion. Le RSSI attendra, de la part de l audit, des indicateurs des deux catégories car il a besoin de justifier les investissements et niveaux de ressources le R.O.I de la sécurité est un sujet délicat : toute aide est bienvenue. Colloque 2012 des banques centrales francophones 24

25 Répartition des contrôles Cas d entreprises multiples Dans les groupes, lorsque des services sont rendus entre entreprises, se pose la question de la répartition des contrôles chaque entreprise a son dispositif de contrôle interne, réputé compétent, les clients de l entreprise qui fournit le service ont besoin de garanties (encore les assurances raisonnables), il s agit d apporter cette assurance en utilisant au mieux les compétences disponibles. Le RSSI de l entité faitière conçoit un plan de contrôle réparti. Le responsable des contrôles permanents eut être appelé à en valider la pertinence (répartition). L audit interne ou externe vérifie que, tel que conçu, le plan apporte bien aux «clients» de la prestation les assurances raisonnables cible de l audit, méthodologie employée. Colloque 2012 des banques centrales francophones 25

26 Répartition des contrôles Cas d entreprises multiples Prestations externes L approche sera similaire en matière de prestations fournies par une entreprise extérieure : Un équilibre est à trouver entre le recours à la compétence des contrôleurs prestataires et la compétence du client. La question est : «qui apporte la garantie d assurance raisonnable?» auditeur tiers? superviseur? tiers sous la supervision du superviseur? Les choses évoluent rapidement dans ce sens. Colloque 2012 des banques centrales francophones 26

27 RÉFÉRENTIELS D AUDIT

28 Recours à un référentiel reconnu Garantie d objectivité L audit doit susciter une envie de progresser. L envie de progresser résulte d un sentiment de justice des conclusions de l audit. L objectivité du référentiel employé pour l audit est donc un facteur important d évolution des pratiques. Deux sources de référentiels interne, externe. Colloque 2012 des banques centrales francophones 28

29 Référentiel interne Textes de gouvernance sur lesquels l audit basera ses vérifications sur la bonne mise en œuvre du dispositif de gouvernance Politiques de sécurité de nombreuses normes sont applicables à l entreprise peu d entre elles sont obligatoires (dépend des pays) elles peuvent être contradictoires elles ne répondent pas toujours à une logique d analyse de risque il reste donc utile qu existe un jeu de règles propres à l entreprise rapportées, autant que possible, aux normes (ISO 270XX, etc) découlant de l analyse de risque ce sont les politiques de sécurité. Politiques de sécurité L audit doit valider la qualité du jeu de politiques de sécurité couverture (dans l absolu ou vis-à-vis des normes), degré d abstraction / précision, applicabilité. Colloque 2012 des banques centrales francophones 29

30 Référentiel interne Analyse Analyse de de risque Analyse de risque risque Normes Normes Normes Politiques de sécurité Standards Systèmes & organisations Plans de contrôle Audits Colloque 2012 des banques centrales francophones 30

31 ANALYSE DE RISQUE

32 Objectif du dispositif de maîtrise de la SSI Que chaque système dispose du juste niveau de résistance aux risques Donc Disponibilité Intégrité Confidentialité Preuve préjudice en cas d occurrence d un risque D I C P facilité d usage, potentiel commercial, coût Colloque 2012 des banques centrales francophones 32

33 Une démarche : l analyse de risque Quelle que soit la méthode, deux livrables essentiels des mesures à appliquer techniques, organisationnelles, contractuelles, un risque résiduel à faire ratifier par le sponsor du projet (métier). Un enjeu pour le RSSI : une pratique de l analyse de risque, au moins sur les projets à enjeux. Colloque 2012 des banques centrales francophones 33

34 Une démarche : l analyse de risque Ce que l audit apporte : vérification de l existence d une méthode l existence de conditions d applications du degré d application de la ratification effective du risque résiduel, au bon niveau de responsabilité de l application réelle des mesures (en conformité avec le calendrier fixé). Audit des projets à l aune de l analyse de risque, pas d un absolu théorique sinon : décrédibilisation de la démarche d analyse de risque, porteuse de progrès sécuritaire des entreprises, un projet sans analyse de risque est bien plus préjudiciable qu un projet analysé et comportant un risque connu et accepté. Colloque 2012 des banques centrales francophones 34

35 CONSTITUTION DES PLANS

36 Constitution de plans L une des missions du RSSI Le RSSI produit un plan annuel Constats du contrôle permanent Constats du contrôle périodique Application de la politique de sécurité Nouvelles menaces Incidents Plan annuel Colloque 2012 des banques centrales francophones 36

37 L audit au service du plan Le plan d action SSI n est pas le fruit du hasard : il résulte de diverses influences. L audit doit s assurer de l existence d un plan, régulièrement révisé, du rationnel qui a régi la définition du plan, de la bonne exécution du plan. Du point de vue du RSSI il est préférable que l audit renvoie au plan, plutôt que s y substituer. Ainsi, l audit renforce la cohérence plutôt que favoriser la dispersion. Colloque 2012 des banques centrales francophones 37

38 CONCLUSION

39 Conclusion Le contrôle périodique amène des certitudes sur une zone restreinte de l univers d audit Le contrôle permanent amène une connaissance moins certaine sur un large périmètre L un compense les faiblesses de l autre : 1+1=3 En période contrainte, il faut rechercher les synergies entre niveaux de contrôle pour mieux utiliser l expertise côté contrôle pour mieux focaliser les efforts côté contrôlé. La concertation ne remet pas en cause la primauté de l audit. Le RSSI, est, lui-même, assujetti au contrôle mais, en tant qu acteur du contrôle permanent, il a besoin du renfort de l audit. Colloque 2012 des banques centrales francophones 39

40 Conclusion L audit, sans dériver vers le laxisme, doit rester incitatif. reconnaître les points positifs porter les jugements négatifs sur la base de références objectives internes : politiques de sécurité, textes de gouvernance externes : normes reconnues et méthodes d audit, pratiques observées sur la Place. L idée est de constituer un éco-système de contrôle qui ne soit pas antinomique de la performance de l entreprise. Le contrôle interne peut alors devenir un instrument de pilotage. Colloque 2012 des banques centrales francophones 40

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos:

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos: Gouvernance et sécurité des systèmes d information Avant- propos: Auteur : Kamal HAJJOU Consultant Manager sécurité systèmes d information Cet article tente de dresser un état des lieux sur les approches

Plus en détail

Identification, évaluation et gestion des incidents

Identification, évaluation et gestion des incidents Identification, évaluation et gestion des incidents De la cartographie des risques à la mise en place de la base incidents Xavier DIVAY Responsable de la conformité et du contrôle permanent QUILVEST BANQUE

Plus en détail

S U P E R V I S É PA R N. A B R I O U X

S U P E R V I S É PA R N. A B R I O U X Tableau de bord SSI S U P E R V I S É PA R N. A B R I O U X S. B A L S S A L. B O B E T M. H A L L O U M I J. M A N O H A R A N 1 Plan Présentation Méthodologie d élaboration Cas pratique Conclusion Nom

Plus en détail

Methode Mehari www.ofppt.info

Methode Mehari www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Methode Mehari DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC) LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC) Donnez à votre comité de direction une visibilité à 360, en temps réel, du cadre de Gouvernance d Entreprise REGULATORY COMPLIANCE Rc

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité? Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1 Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr www.lexsi.fr AUDIT CONSEIL CYBERSÉCURITÉ FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN CYBERSÉCURITÉ / PARIS LYON LILLE MONTREAL SINGAPOUR www.lexsi.fr SERVICES LEXSI est actif à l international

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

la conformité LES PRINCIPES D ACTION

la conformité LES PRINCIPES D ACTION La fonction Conformité au sein de BNP Paribas La fonction Conformité a été créée en décembre 2004, en anticipation de nouvelles dispositions du règlement 97-02 sur le contrôle interne des établissements

Plus en détail

Le management des risques de l entreprise Cadre de Référence. Synthèse

Le management des risques de l entreprise Cadre de Référence. Synthèse Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Sécurité des Systèmes d Information

Sécurité des Systèmes d Information Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de

Plus en détail

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI,

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI, Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information Awatef HOMRI, ISO27001 Lead Auditor, ITIL Ingénieur en chef, ANSI Awatef.homri@ansi.tn 1 Agenda Management de la Sécurité

Plus en détail

A. Le contrôle continu

A. Le contrôle continu L audit d achat est une action volontaire décidée par l entreprise avec pour objet d apprécier la qualité de l organisation de sa fonction achats et le niveau de performance de ses acheteurs. L audit achat

Plus en détail

AUDIT CONSEIL CERT FORMATION

AUDIT CONSEIL CERT FORMATION www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

QUELS SONT LES DEFIS DE L OUTSOURCING? 3 INTEGRATION DE L OFFRE PROFECI DANS LE CADRE DE LA MISE EN PLACE D UNE RELATION D OUTSOURCING 6

QUELS SONT LES DEFIS DE L OUTSOURCING? 3 INTEGRATION DE L OFFRE PROFECI DANS LE CADRE DE LA MISE EN PLACE D UNE RELATION D OUTSOURCING 6 QUELS SONT LES DEFIS DE L OUTSOURCING? 3 DEFINIR VOS REGLES DU JEU 3 CONTROLER L APPLICATION DES REGLES 3 VOUS OBLIGER A JOUER LE JEU : «RECONNAITRE ET ACCEPTER LES CONTRAINTES S IMPOSANT A VOUS» 4 CONCLUSION

Plus en détail

Sécurité de l Information Expérience de Maroc Telecom

Sécurité de l Information Expérience de Maroc Telecom Sécurité de l Information Expérience de Maroc Telecom Fouad Echaouni Responsable Adjoint Sécurité de l Information Lead Auditor ISO 27001 CLUSIF / Conférence du 23 octobre 2008 Propriété Maroc Telecom

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

Le modèle SSI actuel et ses limites

Le modèle SSI actuel et ses limites 22 e Colloque annuel 7 décembre 2012 Le modèle SSI actuel et ses limites Olivier Chapron Damien Jullemier RSSI Groupe Société Générale Adjoint du RSSI LCL Introduction Le modèle actuel est challengé car

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER CONTROLE GENERAL ECONOMIQUE ET FINANCIER MISSION AUDIT 3, boulevard Diderot 75572 PARIS CEDEX 12 CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER CHARTE DE L'AUDIT Validée par le comité des audits du 4 avril 2012

Plus en détail

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne Contexte Depuis plusieurs années, les institutions publiques doivent faire face à de nouveaux défis pour améliorer leurs

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Georges Thizon Consultant en sûreté privée et civile

Georges Thizon Consultant en sûreté privée et civile PRÉSENTATION: SERVICES RENDUS POUR ENTREPRISES En tant que consultant en sûreté et intervenant en préven on des risques professionnels [IPRP], il est de mon ressort de m assurer que la protec on des biens

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Etude de mise en place d un système de contrôle de gestion et d évaluation des performances des agences des bassins hydrauliques (ABH) au Maroc

Etude de mise en place d un système de contrôle de gestion et d évaluation des performances des agences des bassins hydrauliques (ABH) au Maroc Etude de mise en place d un système de contrôle de gestion et d évaluation des performances des agences des bassins hydrauliques (ABH) au Maroc Atelier de travail sur les Systèmes d Information de Gestion

Plus en détail

Rapport du Président du Conseil d'administration

Rapport du Président du Conseil d'administration SOCIETE ANONYME DES BAINS DE MER ET DU CERCLE DES ETRANGERS A MONACO (S.B.M.) Société anonyme monégasque au capital de 18 160 490 euros Siège social : Monte-Carlo - Place du Casino, Principauté de Monaco

Plus en détail

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration Bureau du surintendant des institutions financières Audit interne des Services intégrés : Services de la sécurité et de l administration Avril 2014 Table des matières 1. Contexte... 3 2. Objectif, délimitation

Plus en détail

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques. TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

Position de l ASTEE sur l innovation en matière de services d eau et de déchets

Position de l ASTEE sur l innovation en matière de services d eau et de déchets Position de l ASTEE sur l innovation en matière de services d eau et de déchets Les services publics locaux de l environnement : des services discrets mais moteurs de développement Depuis leur mise en

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Organisation des fonctions de contrôle et articulation avec la gouvernance

Organisation des fonctions de contrôle et articulation avec la gouvernance Séminaire EIFR Gouvernance et contrôle des établissements financiers : pour une surveillance des risques et un contrôle efficace Organisation des fonctions de contrôle et articulation avec la gouvernance

Plus en détail

Règles pour les interventions à distance sur les systèmes d information de santé

Règles pour les interventions à distance sur les systèmes d information de santé VERSION V0.3 Règles pour les interventions à distance sur les systèmes d information de santé Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Avril 2014 MINISTÈRE DES AFFAIRES

Plus en détail

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * République Algérienne Démocratique et Populaire * * * * * * * * * * * * * * * * * * * * * * * * * * * * Présidence de le république * * * * * * * * * * * * * Direction Générale de la Fonction Publique

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

dans un contexte d infogérance J-François MAHE Gie GIPS

dans un contexte d infogérance J-François MAHE Gie GIPS Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion

Plus en détail

ITIL V3. Transition des services : Principes et politiques

ITIL V3. Transition des services : Principes et politiques ITIL V3 Transition des services : Principes et politiques Création : janvier 2008 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé

Plus en détail

PROGRAMME DE FORMATION

PROGRAMME DE FORMATION F-5.04 : METHODOLOGIE D UN PROJET DE DEMATERIALISATION ET D ARCHIVAGE ELECTRONIQUE, APPLICATION AUX MAILS /// Objectifs pédagogiques Apporter aux participants les informations essentielles pour aborder

Plus en détail

2012 / 2013. Excellence. Technicité. Sagesse

2012 / 2013. Excellence. Technicité. Sagesse 2012 / 2013 Excellence Technicité Sagesse Audit Conseil >> Présentation d ATHENA ATHENA est une société de services fondée en 2007 offrant des prestations dans les domaines de la sécurité informatique

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique. Introduction Un projet ITIL n est pas anodin Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique. Un projet ITIL ne peut

Plus en détail

Charte d audit du groupe Dexia

Charte d audit du groupe Dexia Janvier 2013 Charte d audit du groupe Dexia La présente charte énonce les principes fondamentaux qui gouvernent la fonction d Audit interne dans le groupe Dexia en décrivant ses missions, sa place dans

Plus en détail

Réussir la Démarche de Management

Réussir la Démarche de Management Formation à la norme ISO 9001, V 2008 Formateur Dr Mohammed Yousfi Formateur Auditeur Consultant QSE Réussir la Démarche de Management Réussir le Projet ISO 9001, Version 2008 1 Programme Introduction

Plus en détail

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015 Optimisation de la gestion des risques opérationnels EIFR 10 février 2015 L ADN efront METIER TECHNOLOGIE Approche métier ERM/GRC CRM Gestion Alternative Approche Technologique Méthodologie Implémentation

Plus en détail

Gestion de la sécurité par la gestion du changement

Gestion de la sécurité par la gestion du changement Gestion de la sécurité par la gestion du changement Jeudi 11 juin 2009 Séminaire Aristote Ecole Polytechnique Palaiseau Daniel DEZULIER Sommaire Le Groupe et sa transformation Etre leader : quelles contraintes?

Plus en détail

Prise en compte des informations de veille et d alerte d

Prise en compte des informations de veille et d alerte d Prise en compte des informations de veille et d alerte d Cert-IST dans un workflow structuré Cert-IST Juin 2006 Agenda Le workflow? Quelles sont les diffusions du Cert-IST concernées Comment a-t-on adapté

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011.

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011. Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT 27 avril 2011 Paris ) ) ) ) Ce document est la propriété de Provadys SAS et ne peut être reproduit

Plus en détail

Appel à candidatures. Audit de l organisation, de la planification et du pilotage des systèmes d information

Appel à candidatures. Audit de l organisation, de la planification et du pilotage des systèmes d information Appel à candidatures Audit de l organisation, de la planification et du pilotage des systèmes d information Version 0.6 20 mars 2015 Statut Validé 1 Introduction 1.1 Présentation de l Agence universitaire

Plus en détail

GUIDE OEA. Guide OEA. opérateur

GUIDE OEA. Guide OEA. opérateur Guide > > Fiche 1 : Pourquoi être certifié? > > Fiche 2 : Les trois types de certificats et leurs critères > > Fiche 3 : La préparation de votre projet > > Fiche 4 : Le questionnaire d auto-évaluation

Plus en détail

PASSI Un label d exigence et de confiance?

PASSI Un label d exigence et de confiance? PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,

Plus en détail

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe

Plus en détail

Le risque opérationnel - Journées IARD de l'institut des Actuaires

Le risque opérationnel - Journées IARD de l'institut des Actuaires Le risque opérationnel - Journées IARD de l'institut des Actuaires 1 er a v r i l 2 0 1 1 Dan Chelly Directeur Métier "Risk management, Audit et Contrôle interne" SOMMAIRE Partie 1 Définition des risques

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

Associations Dossiers pratiques

Associations Dossiers pratiques Associations Dossiers pratiques Le tableau de bord, outil de pilotage de l association (Dossier réalisé par Laurent Simo, In Extenso Rhône-Alpes) Difficile d imaginer la conduite d un bateau sans boussole

Plus en détail

Charte de contrôle interne

Charte de contrôle interne Dernière mise à jour : 05 mai 2014 Charte de contrôle interne 1. Organisation générale de la fonction de contrôle interne et conformité 1.1. Organisation Le Directeur Général de la Société, Monsieur Sébastien

Plus en détail

LE RÉFÉRENTIEL ACTIVITÉS/COMPÉTENCES TRANSVERSES

LE RÉFÉRENTIEL ACTIVITÉS/COMPÉTENCES TRANSVERSES RÉFÉRENTIEL ACTIVITÉS/COMPÉTENCES TRANSVERSES LE RÉFÉRENTIEL ACTIVITÉS/COMPÉTENCES TRANSVERSES Il décline les activités/compétences qui peuvent être partagées par d autres métiers et d autres familles

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

L analyse de risques avec MEHARI

L analyse de risques avec MEHARI L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de

Plus en détail

ITIL V3. Exploitation des services : Les fonctions

ITIL V3. Exploitation des services : Les fonctions ITIL V3 Exploitation des services : Les fonctions Création : juin 2013 Mise à jour : juin 2013 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé en se basant

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information

Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information Bureau du surintendant des institutions financières Novembre 2012 Table des matières 1.

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

ADMINISTRATION CENTRALE, GOUVERNANCE INTERNE, GESTION DES RISQUES

ADMINISTRATION CENTRALE, GOUVERNANCE INTERNE, GESTION DES RISQUES ADMINISTRATION CENTRALE, GOUVERNANCE INTERNE, GESTION DES RISQUES Circulaire CSSF 12/552 21 février 2013 Introduction (1) Développements récents au niveau international Problèmes de gouvernance interne

Plus en détail

Optimiser vos méthodes d organisation (ITIL, COBIT, PRINCE2, ) par la mise en place d un processus de Gestion & Publication des connaissances adapté

Optimiser vos méthodes d organisation (ITIL, COBIT, PRINCE2, ) par la mise en place d un processus de Gestion & Publication des connaissances adapté Optimiser vos méthodes d organisation (ITIL, COBIT, PRINCE2, ) par la mise en place d un processus de Gestion & Publication des connaissances adapté 25/07/06 JJ Mois Année Présentation générale & Présentation

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme Les nouveaux guides de la CNIL Comment gérer des risques dont l impact ne porte pas sur l organisme Matthieu GRALL CLUSIF Colloque «conformité et analyse des risques» 13 décembre 2012 Service de l expertise

Plus en détail

Gestion budgétaire et financière

Gestion budgétaire et financière Élaboration et suivi de la programmation budgétaire Exécution budgétaire et comptable Aide au pilotage et contrôle financier externe Expertise financière et juridique Ministère de la Culture et de la Communication

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton

Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Lyon, le 25 février 2009 Introduction à la gestion des identités et des accès Enjeux et objectifs Les

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Gestion Projet : Cours 2

Gestion Projet : Cours 2 Gestion Projet : Cours 2 Le Système d Information «Ensemble d acteurs humains et/ou applicatifs en interaction les uns avec les autres ayant pour but de traiter, diffuser, persister l information afin

Plus en détail

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI

Plus en détail

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Risk Advisory Février 2014 Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Des points de vue sur vos sujets de préoccupation dans les domaines de la gestion des risques,

Plus en détail

La sécurité applicative

La sécurité applicative La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques

Plus en détail

La sécurité intelligente intégrée pour protéger vos données critiques

La sécurité intelligente intégrée pour protéger vos données critiques IBM Software Livre blanc sur le leadership éclairé Avril 2013 La sécurité intelligente intégrée pour protéger vos données critiques Exploitez des informations décisionnelles afin de réduire les risques

Plus en détail

Le rapport d audit Modifications apportées par la version révisée de la norme ISA 700 applicable à partir du 31/12/2006

Le rapport d audit Modifications apportées par la version révisée de la norme ISA 700 applicable à partir du 31/12/2006 Le rapport d audit Modifications apportées par la version révisée de la norme ISA 700 applicable à partir du 31/12/2006 Introduction : Dans le but d accroître la transparence et la comparabilité des rapports

Plus en détail

des principes à la pratique

des principes à la pratique Le management par les risques informatiques : des principes à la pratique Partie 1 19 janvier 2012 Le management par les risques Opportunité Menace Aider l entreprise à atteindre ses objectifs métier grâce

Plus en détail

L'AUDIT DES SYSTEMES D'INFORMATION

L'AUDIT DES SYSTEMES D'INFORMATION L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION

Plus en détail

Standard de contrôle de sécurité WLA

Standard de contrôle de sécurité WLA Association mondiale des loteries Standard de contrôle de sécurité WLA Standard d intégrité et de sécurité des opérations liées aux loteries et aux jeux WLA-SCS:2012 Édition Septembre 2012 Tous droits

Plus en détail

Rapport standard analyse des risques/stratégie d audit. Sommaire

Rapport standard analyse des risques/stratégie d audit. Sommaire Projet de mise en consultation du 9 septembre 2003 Circ.-CFB 0 / Annexe 1: Rapport standard analyse des risques/stratégie d audit Rapport standard analyse des risques/stratégie d audit Les sociétés d audit

Plus en détail