Accès à l Information ~ Gestion des risques

Dimension: px
Commencer à balayer dès la page:

Download "Accès à l Information ~ Gestion des risques"

Transcription

1 C O N S U L T I N G & S E R V I C E S Accès à l Information ~ Gestion des risques Olivier Luxereau NetExpert SA Chemin de la Crétaux 2 CH 1196 Gland mai 2009

2 Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et/ou fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 2

3 Données Informations Documents Données Description élémentaire, (souvent codée), d'une chose, d'une transaction d'affaire, d'un événement, etc Information Rassemblement de données structurées, devant être traitées et interprétées pour fournir une information utile Renseignement ou élément de connaissance susceptible d'être représenté sous une forme adaptée à une communication, un enregistrement ou un traitement Document Enregistrement [Record] Contenant de toute forme d informations mots Phrases Pixels Chiffres Calculs Sons images L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Transformation Mise en relation Interprétation Agrégation Page 3

4 La société de l information Toute entité, quelles que soient la taille, la localisation ou l activité Organismes publics Entreprises privées Secteur de la santé Banques-Finances Assurances Services Industries L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 4

5 La société de l information Croissance annuelle du volumedes données: 50-70% Variété des types Données Brevets Variété d usages Publiques Localisations Périodes de rétention Données Liste de Augmentation des vulnérabilités + menaces = Risques Professionnelles Comptables Prix Données Techniques Finances Privées Propriété Données Personnelles intellectuelle d entreprise Données Etudes Personnel Intimes R&D L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 5

6 La société de l information Données Sensibles Critiques Vitales Utiles Entreprise Financières / Comptables Concernant le personnel Org. / Fusions-Acquisitions Reporting -BI Propriété intellectuelle Conception / R&D Code / source Spécifications produits Listes de prix Personnelles Informations nominatives N sécurité sociale N carte de crédit Infos médicales Comment les stocker? Comment les archiver? Comment les protéger? Comment gérer les flux? Comment gérer les accès? L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 6

7 Rôles et responsabilités Approche ARCI (RACI) Autorité Responsable Consulté Informé PROPRIETAIRE DETENTEUR + mode de fonctionnement sur des cycles de vie Information, système de gestion (PDCA, PO-AI-DS-ME ou autre) sur des relations Arbitre Décisionnaire Conseilleur Approbateur Contrôleur, auditeur RH DSI Finances IT DG Achats Risk Mgt Conformité Ventes Audit interne L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 7

8 L information ISO/IEC 27002:2005 Imprimée ou écrite sur du papier Stockée électroniquement Transmise par courrier ou par un moyen électronique Exposée sur des vidéos Communiquée lors de conversations L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 8

9 La sécurité de l information L information (digitale) est une ressource, (stratégique) = un patrimoine (vivant) L information participe à la productivité, la rentabilité, la conformité légale, la réputation... La forte dépendance induit la vulnérabilité Les risques sont multiples Interprétation ISO/IEC 27002:2005 L ouverture et l interconnexion des SI multiplie les risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 9

10 Qu est-ce que la sécurité de l information? ISO/IEC 27002:2005 Le but = préservation de : La Confidentialité Assurer que l information est accessible uniquement aux personnes disposant d une autorisation d accès La Disponibilité Assurer l accès à l information lorsque nécessaire L Intégrité Protéger l'exactitude et de la complétude de l'information et des méthodes d exécution par un contrôle d accès L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 10

11 Autres critères de contrôle de protection Préservation : L «Auditabilité» ou la Preuve «Traçabilité», imputabilité, la non-répudiation Du caractère privé [Privacy] Assurer le droit aux individus de conserver la confidentialité de leurs données personnelles (=autorisation d accès) Conformité : Légale (+ règlementaires et contractuelle) aux objectifs La Fiabilité (CobiT) Fourniture d «informations» pertinentes pour le fonctionnement de l'entité et l'exercice des responsabilités sur le plan des finances et des rapports de conformité L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 11

12 L information et les risques Menaces A E M D mots Chiffres Impacts Valeursur Phrases Sons Calculs D I C A L Vulnérabilités Pixels images Risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 12

13 Cycles de vie pour l information Gestion des évolutions dans le temps! La valeur de l information changent Nouvelles menaces et vulnérabilités Les supports se modifient se dégradent le cadre légal bouge Flux de données complexes Les exigences de protection doivent s adapter L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 13

14 Quelles sont les menaces? fraudes intrusions via sans-fil sabotage physique intrusions atteinte à l'image divulgation attaques logiques ciblées chantage pertes services pannes internes événement naturel pertes services accident physique virus erreurs utilisation erreur conception / mise en œuvre SWprocédure vol / disparition matériel malveillance accident pannes internes virus attaques logiques ciblées vol / disparition matériel divulgation erreur événement naturel atteinte à l'image intrusions accident physique sabotage physique erreur conception / mise en œuvre SW-procédure erreurs utilisation fraudes intrusions via sans-fil chantage Adaptation de l étude de sinistralité CLUSIF Source : Michel MARTI (Etat de Genève) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 14

15 Statistiques «Data Loss Prevention» Dans les entreprises : 0,4% des messages contiennent des informations confidentielles 2% des fichiers stockés sur les serveurs sont accessibles (sans autorisation ) 81% ont perdu des données stockées sur des PC portables 52% ont perdu des données stockées sur des médias amovibles (clés USB) les conséquences (les priorités): Sources : éditeurs des solutions DLP / Etude de sinistralité Clusif / Melani Finances + Réputation S.M.S.I. Propriété Intellectuelle Conformité Audit Externe et Interne L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 15

16 Risques - 6 ème enquête Sécurité 2008 Causes des risques (%) : 27 mai 2009 Page 16

17 Pourquoi la SSI est indispensable? ISO/IEC 27002:2005 «Beaucoup de systèmes d'information n'ayant pas été conçus pour être sécurisés, la mise en œuvre de moyens techniques de protection a un impact limité et doit être soutenue par une organisation appropriée et des procédures» «Si vous pensez que les technologies peuvent résoudre tous vos problèmes, alors vous n avez rien compris à vos problèmes,... ni aux technologies» Bruce Schneier, CTO Counterplane Author of Applied Cryptography, and an award winner at the EFF Pioneer 2007 L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 17

18 Études de sinistralité (menaces) MELANI : Centrale d'enregistrement et d'analyse pour la sûreté de l'information Rapport semestriel - Situation en Suisse et à l international Instituts américains : CERT, NIST, SANS, GAO, L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 18

19 Principes de sécurité Pour le contrôle d accès (à l information ) Responsabilisation des acteurs Défense en profondeur Moindre privilège Ségrégation des tâches Durcissement Traiter les risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 19

20 Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 20

21 Cadre de référence de gestion des risques Information Security Risk Management ISO/IEC Établir le contexte Communication sur le risque Appréciation du risque Analyse de risque Identification des risques Estimation des risques Évaluation des risques Décision 1 Appréciation Traitement des risques O N Surveillance et réexamen du risque Activités principales du processus de gestion des risques liés aux traitements de l information Décision 2 Traitement O N Acceptation des risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 21

22 Approche Inventaire et classification des données (sur tout leur cycle de vie) Identification des risques (sur la base de scénarios de menaces - AEM / DICAL) Processus systématique d amélioration continue jusqu à l acception du niveau de risques résiduel Estimation des risques (sur la base d un audit contrôle des accès) Evaluation des risques (sur la base du niveau actuel de protection / P.P.T) Traitement des risques (sur la base de recommandations d amélioration Acceptation du risque L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 22

23 Quelles sont les principales menaces? Le processus (même) de gestion / contrôle d accès aux données inapproprié! Inventaire incomplet et non maintenu Classification non gérée Permissions d accès non maintenu ( Autorisation Révocation) par usager ou par groupe / Cycle de vie de l information / Besoin de protection dans le temps Contrôle (permanents) insuffisants (Log Management) des identifiants et des accès des espaces de stockage mise en œuvre et efficacité des mesures de sécurité par le propriétaire par le gestionnaire des accès L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 23

24 Quelles sont les principales menaces? Le vol de données La fuite d information Traitement de données erronées ou obsolètes Déficience de protection de données inutilisées (oubliées) Préservation des droits d accès aux données archivées (liste non exhaustive) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 24

25 Risques - 6 ème enquête Sécurité 2008 Prévision des menaces prévues dans les 12 mois - % des répondants Risque Elevé Moyen Faible L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 25

26 Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 26

27 ISO : Contrôle d accès [ 11 ] 11.1 Exigences métier relatives au contrôle d accès Politique de contrôle d accès 11.2 Gestion de l accès utilisateur Enregistrement des utilisateurs Gestion des privilèges Gestion du mot de passe utilisateur Réexamen des droits d accès utilisateurs 11.3 Responsabilités utilisateurs Utilisation du mot de passe Matériel utilisateur laissé sans surveillance Politique du bureau propre et de l écran vide 11.4 Contrôle d accès au réseau Politique relative à l utilisation des services en réseau Authentification de l utilisateur pour les connexions externes Identification des matériels en réseau Protection des ports de diagnostic et de configuration à distance Cloisonnement des réseaux Mesure relative à la connexion réseau Contrôle du routage réseau L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 27

28 ISO : Contrôle d accès 11.5 Contrôle d accès au système d exploitation Ouverture de sessions sécurisées Identification et authentification de l utilisateur Système de gestion des mots de passe Emploi des utilitaires système Déconnexion automatique des sessions inactives Limitation du temps de connexion 11.6 Contrôle d accès aux applications et à l information Restriction d accès à l information Isolement des systèmes sensibles 11.7 Informatique mobile et télétravail Informatique mobile et télécommunications Télétravail L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 28

29 Autres normes et standards ISO ISO/IEC 2700x : Information Security Management ISO/IEC : Risk Management ISO/IEC : Record Management ISO/IEC 5th WD Framework for identity management ISO/IEC :2006/PDAM 1 - Digital signatures with appendix -- Part 3: Discrete logarithms based mechanisms ISO/IEC Message authentication codes (MACs) -- Mechanisms using a universal hash-function ISO/IEC 1st WD Entity authentication -- Part 6: Mechanisms using manual data transfer ISO/IEC 2nd WD Signcryption ISO/IEC :2005 (1st ed.) -- Encryption algorithms -- Part 4: Stream ciphers ISO/IEC CD Non-repudiation -- Part 2: Mechanisms using symmetric techniques > 100 normes du SC27 L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 29

30 Autres références Codes de pratiques GAISP Generally Accepted Information Security Principles Information Systems Security Association (ISSA) ISF - Standard of Good Practice for Information Security Information Security Forum BSI (D) IT Baseline Protection Manual, BSI (UK) BS NIST SP800-14(GASSP) et 100 Suisses Européens C L U S I F Canada Australie/Nouvelle Zélande L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 30

31 Autres références Guides méthodologiques ou sectoriels ITIL - the IT Implementation Library COBIT et Security Baseline, OECD Security Guidelines ISO Financial services-infosec guidelines PCI payment Card Industrie) ETSI FDA (CFR21 part 11) BCI DRii et risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 31

32 CobiT: assurer la sécurité des S.I [DS 5] DS5.1 Gestion de la Sécurité du SI (SSI) DS5.2 Programme/Système de gestion de la SSI DS5.3 Gestion des identités DS5.4 Gestion des comptes utilisateurs DS5.5 Test, contrôle et surveillance de la sécurité DS5.6 Définition et communication sur les incidents potentiels DS5.7 Protection des technologies de sécurité DS5.8 Gestion des clés cryptographiques DS5.9 Prévention des incidents (anti-virus, IDS/IPS, Firewall ) DS5.10 Sécurité des réseaux DS5.11 Echange de données sensibles L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 32

33 Objectifs du DS5 de CobiT IT Processus Activités Assurer que les informations critiques et confidentielles sont détenues et utilisées par ceux qui peuvent (sont autorisés) à y accéder Assurer que les transactions automatisées et les échanges d informations sont de confiance Maintenir l intégrité de l information et des infrastructures de traitement Responsabiliser [account] à et assurer la protection des actifs informationnels Set Permettre l accès aux données critiques et sensibles exclusivement aux utilisateurs autorisés Identifier, surveiller et rapporter les vulnérabilités et les incidents Détecter et résoudre les accès non autorisés à l information, aux applications et aux infrastructures Minimiser les impacts dus aux vulnérabilités et aux incidents Set Comprendre les exigences de sécurité, les vulnérabilités et les menaces Gérer les identités des usagers et les autorisations de manière standardisée Définir quels sont les incidents de sécurité Tester / Eprouver régulièrement (les mesures) de sécurité Assurer que les services TIC et les infrastructures peuvent résister et être reconstruire suite à un dysfonctionnement dû à une erreur, à une attaque ou un incident [disaster] L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 33

34 Loi (F) Protection des Données Sphère privée, «Privacité» Fondements (juridiques) protection données DUDH Art. 12: (1948) + CEDH Art. 8: (1950) Convention 108 du CE (1981) + Traité sur l UE (1992) LPD Art. 1: (RS 235.1; ) Loi visant à protéger la personnalité et les droits fondamentaux des personnes qui font l objet d un traitement de données. LPD Art. 3a: Données personnelles + Art. 3b: Personne concernée Art. 3c: Données personnelles sensibles Art 11 L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 34

35 Autres lois Loi fédérale sur l archivage (LAr) du 26 juin 1998 Loi fédérale sur le droit d auteur et les droits voisins LDA Loi fédérale sur la protection des données (LPD) Guide pour le traitement des données personnelles dans le secteur du travail - Traitement par des personnes privées : par le Préposé Fédéral à la Protection des données + Lois Genevoises (LIPAD, LITAO, Archives, ) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 35

36 Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 36

37 Sécurité de l information dans dans votre monde ouvert Forces itinérantes Organisation virtuelles Globalisation Médias de stockages Bandes passantes L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 37

38 Sécurité (protection) des données Avez-vous déployé? PPSG Usage / Contrôle Accès Gestion IAM PKI IPS/IDS Firewall Système de destruction Cryptographie Gestion des périphériques + Gestion des sauvegardes / + Archives L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 38

39 Comment appréhender la protection des informations? Êtes-vous inquiet de la perte de vos données? L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 39

40 Protection (automatisée) des données (critiques / sensibles) Bloquer Les s Les Ports USB Les lecteurs/graveurs Crypter les fichiers et les messages Mise en quarantaine des s Copier (relocaliser) les données Sauvegarder Archiver / ne pas Archiver Notifier Classifier Information Right Management (IRM) Chaque minute, 19 personnes sont victimes de VOL d identité, dû à un manque de protection des données. (Identity Theft Resource Center, 2007) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 40

41 Information Rights Management (IRM) Technologie de protection persistante des fichiers qui permet de protéger la propriété intellectuelle numérique contre une utilisation non autorisée. Permet aux utilisateurs de spécifier l identité des personnes autorisées à accéder aux documents ou messages électroniques et à les utiliser, et qui les aide à protéger cette propriété intellectuelle numérique contre la copie, le transfert ou l impression non autorisés. Permet de contrôler les actions non autorisées, par exemple le transfert, le collage ou l impression en désactivant ces fonctions dans les documents et messages électroniques protégés. Protection des données SENSIBLES Critères : CONFIDENTIALITE, INTEGRITE, AUDITABILITE et CONFORMITE LEGALE L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 41

42 Information Rights Management Recherches sur : Wikipedia Microsoft IRM Adobe Lifecycle RM EMC documentum IRM Six key criteria for providing persistent document security L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 42

43 Conclusion Les 5 étapes de la protection des données : Identifier et Apprécier les Risques Identifier et Classifier Les données et informations Concevoir les mesures de protection des données + Etablir les PPSG Déployer les technologies qui renforcent la protection et assurent la conformité Communiquer Former et Sensibiliser Créer une Culture de risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 43

44 Conclusion Le CONTENU doit conduire la classification - protection CONTROLER l accès à la donnée, pas juste au «contenant» La SECURITE doit voyager avec les données Protéger les utilisateurs contre les actions malencontreuses» Laisser disponible les données qui doivent être partagées, de manière sécurisée L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 44

45 Questions? «Ne pas prévoir, c est déjà souffrir» Léonard de Vinci L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 45

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité IT - Une précaution vitale pour votre entreprise Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Quels risques, quelles approches pour sécuriser? Chadi HANTOUCHE chadi.hantouche@solucom.fr Notre mission : Accompagner les grands comptes dans la maîtrise des risqueset la conduite

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

La sécurité - Pourquoi? Pourquoi la sécurité? (suite) Confiance Affaires. Pourquoi parler de sécurité? La sécurité informatique, une entrée en matière

La sécurité - Pourquoi? Pourquoi la sécurité? (suite) Confiance Affaires. Pourquoi parler de sécurité? La sécurité informatique, une entrée en matière Pourquoi parler de sécurité Si vous ne pouvez expliquer un concept à un enfant de six ans, c est que vous ne le comprenez pas complètement - Albert Einstein La sécurité - Pourquoi Pourquoi la sécurité

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents

Plus en détail

Comment protéger ses données? Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor )

Comment protéger ses données? Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor ) Comment protéger ses données? Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor ) 1 27 Septembre 2013 OpenSphere // Sommaire La protection des données 1. De quoi parlons-nous? 2.

Plus en détail

Gouvernance de la sécurité des systèmes d information

Gouvernance de la sécurité des systèmes d information Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

RECUEIL POLITIQUE DES

RECUEIL POLITIQUE DES RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) Adoptée par le Conseil d'administration

Plus en détail

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI)

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI) POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI) Date : 15.06.2011 Version : 1.0 Auteur : DSI Statut : Approuvé Classification : Publique Destinataires : ACV TABLE DES MATIÈRES 1 RESUME

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

Sécurité des systèmes informatiques

Sécurité des systèmes informatiques Sécurité des systèmes informatiques Sécurité et procédures Olivier Markowitch Sécurisation matérielle Sécurisation matérielle des stations de travail permission de l accès au clavier ou à l écran tactile

Plus en détail

CONSERVATION DES DOCUMENTS ELECTRONIQUES SANS SYSTEME D ARCHIVAGE ELECTRONIQUE

CONSERVATION DES DOCUMENTS ELECTRONIQUES SANS SYSTEME D ARCHIVAGE ELECTRONIQUE Cadre législatif et règlementaire Code du patrimoine Code général des collectivités territoriales Décret n 79-1037 du 3 décembre 1979 modifié relatif à la compétence des services d publics et à la coopération

Plus en détail

Gestion des incidents

Gestion des incidents HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence

Plus en détail

La sécurité informatique

La sécurité informatique La sécurité informatique SOMMAIRE 1. Présentation générale a. La SARL Invesys b. Pourquoi la sécurité informatique? c. Qu est-ce qu un audit de sécurité? 2. Espionnage industriel a. Définition b. Enjeux

Plus en détail

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM) Bonnes pratiques de la gestion des identités et des accès au système d information (IAM) Lionel GAULIARDON Solutions techniques et Organisations SOMMAIRE IAM Qu est-ce que c est et à quoi cela sert Cas

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

En quoi consiste la gestion des dossiers et de l information (GDI)?

En quoi consiste la gestion des dossiers et de l information (GDI)? OBJET Les dossiers et l information sont d importants biens stratégiques pour une organisation et, comme c est le cas d autres éléments organisationnels (ressources humaines, capital et technologie), ils

Plus en détail

Comment protéger ses systèmes d'information légalement et à moindre coût?

Comment protéger ses systèmes d'information légalement et à moindre coût? Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

dans un contexte d infogérance J-François MAHE Gie GIPS

dans un contexte d infogérance J-François MAHE Gie GIPS Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion

Plus en détail

Panorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection

Panorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection Jean-ierre Lacombe Animateur Afnor CN SSI GE1-2 anorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection www.fidens.fr jean-pierre.lacombe@fidens.fr Travaux normatifs

Plus en détail

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME Les petits déjeuner du CT M Réunion n 4 du Club de Laboratoires Accrédités Dématérialisation des données Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Evaluation Gouvernance de la Sécurité de l'information

Evaluation Gouvernance de la Sécurité de l'information CLUSIS Association suisse de sécurité des systèmes d'information Case postale 9 1000 Lausanne 26 Evaluation Gouvernance de la Sécurité de l'information Organisation: Date: Lieu: Interlocuteur(s): Consultant:

Plus en détail

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec Contrôles informatiques dans le cadre de l audit l des états financiers Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec 1 Objectifs de la présentation Identifier le rôle de

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT LA SECURITE DU PATRIMOINE NUMERIQUE, DBB Groupe ICT Plan LA SECURITE DU PATRIMOINE NUMERIQUE, Le Patrimoine informationnel Menaces & Conséquences Responsabilité du Chef d Entreprise Comment répondre aux

Plus en détail

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

SSI Sensibilisation à la sécurité de l'information**

SSI Sensibilisation à la sécurité de l'information** SSI Sensibilisation à la sécurité de l'information** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage Connaissances de base en informatique Etre capable de comprendre

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

PROGRAMME DE FORMATION

PROGRAMME DE FORMATION F-5.04 : METHODOLOGIE D UN PROJET DE DEMATERIALISATION ET D ARCHIVAGE ELECTRONIQUE, APPLICATION AUX MAILS /// Objectifs pédagogiques Apporter aux participants les informations essentielles pour aborder

Plus en détail

Des passionnés et des curieux avec un regard avisé et exigeant sur :

Des passionnés et des curieux avec un regard avisé et exigeant sur : Ivan Tancovich & Olivier Colle Co-Fondateurs & Associés de TANCO & CO : Des passionnés et des curieux avec un regard avisé et exigeant sur : Nouvelles technologies Maintenance logicielle & matérielle Sécurité

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise Votre référentiel documentaire STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise STS group le groupe STS Créé en 1984 Autonomie et stabilité financière Partenaire

Plus en détail

Solutions Microsoft Identity and Access

Solutions Microsoft Identity and Access Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et

Plus en détail

Gestion des incidents

Gestion des incidents Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Présentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Présentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos. Présentation CERT IST 9 Juin 2009 Enjeux et Mise en Œuvre du DLP Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.fr Sommaire Constats, Riques & Enjeux Qu'est ce que le DLP? Quelle Démarche

Plus en détail

Gestion des mises à jour logicielles

Gestion des mises à jour logicielles Gestion des mises à jour logicielles Jean-Marc Robert Génie logiciel et des TI Menaces et vulnérabilités Menaces Incidents non intentionnels Activités inappropriées Contenu inapproprié Utilisation inappropriée

Plus en détail

Touch ID, OAuth, Authentification mobile, Quelle confiance vis-à-vis de ces nouveaux mécanismes?

Touch ID, OAuth, Authentification mobile, Quelle confiance vis-à-vis de ces nouveaux mécanismes? GS DAYS 2015 Touch ID, OAuth, Authentification mobile, Quelle confiance vis-à-vis de ces nouveaux mécanismes? Dans un contexte de révolution digitale www.harmonie-technologie.com +331 73 75 08 47 info.ssi@harmonie-technologie.com

Plus en détail

Data Risks by Hiscox Questionnaire préalable d assurance

Data Risks by Hiscox Questionnaire préalable d assurance 1. Identification du proposant Raison sociale Adresse de la société Code postal Site web 2. Couverture demandée Montant de garantie 500 000 1 000 000 2 000 000 3 000 000 4 000 000 5 000 000 Autre: Franchise

Plus en détail

Chapitre 5 La sécurité des données

Chapitre 5 La sécurité des données 187 Chapitre 5 La sécurité des données 1. Les risques de perte des données La sécurité des données La sauvegarde des données est essentielle pour une entreprise, quelle que soit sa taille, à partir du

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

CHARTE WIFI ET INTERNET

CHARTE WIFI ET INTERNET PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E Résumé Le présent rapport de recherche décrit les composantes d une infrastructure TI sécurisée pour le commerce électronique. L objectif est de fournir une description exhaustive des enjeux liés à la

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

POLITIQUE DE SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

POLITIQUE DE SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC POLITIQUE DE SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC ADOPTÉ PAR LE CONSEIL D ADMINISTRATION LE 18 JUIN 2010 / RÉSOLUTION N O 1880 Page 1 de 7 PRÉAMBULE La présente politique est adoptée par le conseil

Plus en détail

Mise en œuvre d une solution biométrique d authentification forte pour l accès aux données sensibles

Mise en œuvre d une solution biométrique d authentification forte pour l accès aux données sensibles MARET Consulting 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél +41 22 727 05 57 Fax +41 22 727 05 50 Mise en œuvre d une solution biométrique d authentification forte pour l accès aux données

Plus en détail

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Sécurité des systèmes informatiques Introduction

Sécurité des systèmes informatiques Introduction Année 2008-2009 Sécurité des systèmes informatiques Introduction Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1 Système d'information et système informatique

Plus en détail

Malware Logiciels malveillants Retour sur les premiers cours

Malware Logiciels malveillants Retour sur les premiers cours Malware Logiciels malveillants Retour sur les premiers cours Jean-Marc Robert Génie logiciel et des TI Plan du cours Logiciels malveillants Analyse de risque Politique de sécurité Moyens de protection

Plus en détail

Modèle de gouvernance de la sécurité des TI

Modèle de gouvernance de la sécurité des TI Modèle de gouvernance de la sécurité des TI www.pr4gm4.com par la gestion des risques et le SMSI (Cf. ISO 2700x) Présentation Février 2010 Copyright 2010 - PR4GM4 1 Contexte: le triangle des affaires Sites

Plus en détail

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information Copyright Fidens 2013 - All rights reserved 04/04/13 1 2! Consultant sécurité des SI et Co-fondateur de Fidens Chef

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

Guide de démarrage rapide

Guide de démarrage rapide Guide de démarrage rapide Microsoft Windows Seven/Vista / XP / 2000 ESET Smart Security offre la vitesse et la précision d ESET NOD32 Antivirus et de son puissant moteur ThreatSense, allié à un pare-feu

Plus en détail

Ce que dit la norme 2009

Ce que dit la norme 2009 Mettre en œuvre un système d archivage électronique : les apports de la norme révisée Ce que dit la norme 2009 Formation APROGED 2009 1 Domaine d application de la norme Politique et pratiques d archivage

Plus en détail

ENTREPRISE CONTENT MANAGEMENT & RECORDS MANAGEMENT ECM & RM

ENTREPRISE CONTENT MANAGEMENT & RECORDS MANAGEMENT ECM & RM ENTREPRISE CONTENT MANAGEMENT & RECORDS MANAGEMENT PLAN Introduction Partie I : le records management Qu est ce que le RM? Les principes du RM Les objectifs du RM Les enjeux du RM Les étapes de la mise

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

Retour d'expérience sur le déploiement de biométrie à grande échelle

Retour d'expérience sur le déploiement de biométrie à grande échelle MARET Consulting Boulevard Georges Favon 43 CH 1204 Genève Tél +41 22 575 30 35 info@maret-consulting.ch Retour d'expérience sur le déploiement de biométrie à grande échelle Sylvain Maret sylvain@maret-consulting.ch

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

La sécurité des systèmes d information

La sécurité des systèmes d information Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

IBM Managed Security Services for Web Security

IBM Managed Security Services for Web Security Description des services 1. Nature des services IBM Managed Security Services for Web Security Les services IBM Managed Security Services for Web Security («MSS for Web Security») peuvent inclure : a.

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

Règlement SWICA sur la protection des données

Règlement SWICA sur la protection des données Règlement SWICA sur la protection des données SWICA traite d informations relatives aux assurés 1 dans le cadre de processus organisationnels complexes et pour lesquels il est fait appel à des équipements

Plus en détail

Questionnaire aux entreprises

Questionnaire aux entreprises Questionnaire aux entreprises Septembre 2011 INTRODUCTION Dans le cadre des activités de Ra&D de l Ecole d Ingénieurs et d Architectes de Fribourg, le projet d observatoire national (NetObservatory) pour

Plus en détail

Sécurité du poste de travail

Sécurité du poste de travail République Tunisienne Ministère des Technologies de l'information et de la Communication Sécurité du poste de travail Principaux risques & Mesures de protection 1 Sommaire 1. Les principaux risques. 2.

Plus en détail

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2 Module 1 Introduction à la gestion de l environnement Windows Server 2008 R2 Vue d ensemble du module Rôles serveur Utilisation des outils d administration Microsoft Windows Server 2008 R2 Utilisation

Plus en détail

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008 Forum Suisse pour le Droit de la Communication Université de Genève Séminaire du 28 novembre 2008 Devoirs et responsabilités des organes de sociétés en matière de sécurité informatique Wolfgang Straub

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail