Journées techniques de l Ouest
|
|
- Vivien Gravel
- il y a 8 ans
- Total affichages :
Transcription
1 Journées techniques de l Ouest La sécurité des systèmes d information Par Gilles BIZET gilles.bizet@aql.fr
2 [Sommaire] I. [La SSI, qu est ce que c est?] II. [Qu avons-nous à protéger?] III. [Comment se protéger?] IV. [Retours d expérience]
3 [ I. La SSI, qu est ce que c est?] I.1 [Le système d information] I.2 [La sécurité] I.3 [La sécurité des systèmes d information]
4 I.1 La SSI qu est ce que c est? Le système d information Système d information : organisation des activités consistant à acquérir, stocker, transformer, diffuser, exploiter, gérer... les informations Un des moyens techniques pour faire fonctionner un système d information est d utiliser un système informatique
5 I.2 La SSI qu est ce que c est? La sécurité Sécurité Se protéger des malveillances Sûreté Se protéger des accidents En pratique, la distinction n est pas aussi nette Le RSSI est souvent responsable des deux aspects
6 I.3 La SSI qu est ce que c est? La sécurité des systèmes d information Les systèmes informatiques sont au cœur des systèmes d information Ils sont devenus la cible de ceux qui convoitent l information Assurer la sécurité de l information implique d assurer la sécurité des systèmes informatiques Condition nécessaire mais non suffisante
7 I.3 La SSI qu est ce que c est? La sécurité des systèmes d information Confidentialité Disponibilité Seules les personnes habilitées peuvent accéder à l information On ne peut entraver ou neutraliser les fonctions de délivrance de l'information du système Intégrité et/ou On ne peut modifier les informations stockées dans le système qu'à l issue d'un acte légitime et volontaire On dispose d un moyen sûr pour détecter une violation de l intégrité + la Preuve (auditabilité, imputabilité)
8 I.3 La SSI qu est ce que c est? La sécurité des systèmes d information Virus Intégrité Disponibilité RESEAU Rayonnements confidentialité Attaques réseau Confidentialité (écoute) Intégrité (modification paquets) Disponibilité (saturation) Accès illicites (intrusion) confidentialité Intégrité Disponibilité A
9 I.3 La SSI qu est ce que c est? La sécurité des systèmes d information Les concepts Un SI gère des biens Qui sont sensibles à des menaces Liées à des vulnérabilités du SI Exploitées par des attaques Qui provoquent des dysfonctionnements Dont on évalue la probabilité et l impact Afin d estimer le risque R = P x I Ce qui permet de choisir les mesures adaptées Puis l audit permet de valider la pertinence des mesures vis-à-vis des exigences de sécurité définies pour sécuriser les biens sensibles Bâtiments, personnels, équipements, informations Accidents, erreurs, malveillances Internes ou externes Vulnérabilités intrinsèques, bugs, backdoors, DoS, divulgation d info, atteinte image, Assurance conformité Assurance efficacité
10 [ II. Qu avons-nous à protéger?] II.1 [Quels sont les biens?] II.2 [Quels sont les biens sensibles?] II.3 [Quels sont les enjeux?]
11 II.1 Qu avons-nous à protéger? Quels sont les biens? 4 grandes catégories Les personnels permanents, stagiaires, prestataires, partenaires, toute personne ayant accès au SI Les bâtiments Les biens matériels Équipements, Systèmes, réseaux, logiciels, Les biens immatériels données, connaissance, savoir-faire, brevets, toute information véhiculée sur les réseaux internes Administratifs Techniques Encadrement Informaticiens Enseignants Elèves Parents d élèves Partenaires Candidats aux concours Données personnelles Données relatives à l affectation Données relatives au statut Données médicales Données relatives aux diplômes Données relatives aux moyens
12 II.1 Qu avons-nous à protéger? Quels sont les biens sensibles? 4 niveaux de classification Très sensible : informations dont une atteinte peut provoquer une modification importante dans les structures et les capacités de l organisme, pouvant aller jusqu'à mettre en cause sa pérennité, Sensible : informations dont une atteinte peut amoindrir notablement les capacités de l organisme à plus ou moins longue échéance, Peu sensible : informations dont une atteinte peut provoquer une gêne dans le fonctionnement de l organisme, cette gêne pouvant ellemême provoquer une diminution des capacités de l'organisme, Pas sensible
13 II.1 Qu avons-nous à protéger? Quels sont les enjeux? Disponibilité On ne peut entraver ou neutraliser les fonctions de délivrance de l'information du système Les enjeux Enjeux humain Cotation 3 Intégrité On ne peut modifier les informations stockées dans le système qu'à l'issue d'un acte légitime et volontaire et/ou on dispose d un moyen sûr pour détecter une violation de l intégrité Confidentialité Enjeux financier Image de marque Enjeux métier 3- très sensible 2- sensible 1- peu sensible 0- Pas sensible Seules les personnes habilitées peuvent accéder à l information Enjeux légaux Quels sont les enjeux associés aux risques d atteinte à la disponibilité, l intégrité, la confidentialité des données considérées?
14 [ III. Comment se protéger?] III.1 III.2 III.3 [Définir son référentiel] [La sécurité technique] [La sécurité organisationnelle]
15 III.1 Comment se protéger? Définir son référentiel 1. La vision métier m qui définit le référentiel Vision métier Sensibilité intrinsèque du métier 2. La vision processus vision processus qui définit la sensibilité intrinsèque du processus Vision processus Sensibilité intrinsèque du processus 3. La vision projet qui définit la sensibilité pondérée du projet Vision projet Sensibilité pondérée des projets 4. La vision système qui permet l évaluation du risque Vision système Contre mesures Vulnérabilités résiduelles Risque = Probabilité x Impact
16 III.1 Comment se protéger? Définir son référentiel Les données du SI éducatif Données personnelles Données relatives aux diplômes Données médicales Données relatives à l affectation Données relatives au statut Les populations qui accèdent au SI éducatif Gestionnaires Administratifs, techniques, encadrement Enseignants Elèves Partenaires Parents d élèves Candidats inscrits Informaticiens + le cadre réglementaire (CNIL, DCSSI, TS101456, ) Les enjeux Enjeux humain Enjeux métier Enjeux financier Enjeux légaux Image de marque
17 III.2 Comment se protéger? La sécurité technique dans les projets Cahier des charges Spécification Conception Réalisation Besoins/ Menaces / Objectifs / Fonctions / Mécanismes/ Technologies Tests/ VABF Intégration Mise en service Politique sécurité Éléments sensibles Besoin de sécurité Objectifs de sécurité Rôle/Responsabilité des acteurs Fonctions { de sécurité Spécifications générales Spécifications détaillés DTV sécurité Mécanismes { de sécurité Vulnérabilités Documents de conceptions Matrice de traçabilité Validation des APIs externes Tests unitaires Tests d'intégration Règles de développement Rôle/Responsabilité des développeurs Tests de conformités DTV sécurité Formation Audit Veille
18 III.2 Comment se protéger? La sécurité technique dans les architectures Internet DMZ publique HTTP SMTP DNS HTTP etc Serveur Anti-virus FTP Firewall DNS Serveur Web Relais SMTP DNS externe SMTP Serveur SMTP DNS interne
19 III.2 Comment se protéger? La sécurité technique dans les produits De plus en plus d intégration de produits Comment avoir confiance? Confiance dans le constructeur, le fournisseur Confiance dans le produit Confiance par la qualité Confiance par l expertise ou l audit Confiance par l évaluation selon des critères normalisés Utiliser des produits évalués Utiliser des produits reconnus Faire expertiser les produits. Déterminer ses propres critères fixer des objectifs à l expertise Études comparatives Homologations Cautionnement Et les logiciels libres?
20 III.3 Comment se protéger? La sécurité organisationnelle un système d information sécurisé Répond à des objectifs de sécurité définis Intègre des moyens techniques de sécurité Est exploité dans un environnement lui-même sécurisé Par du personnel qualifié et sensibilisé aux objectifs de sécurité Organisé de façon cohérente et responsable Politique de sécurité Sécurité technique Sécurité physique Sécurité du personnel Sécurité de l organisation En conformité avec la législation Réglementation système d information système informatique
21 III.3 Comment se protéger? La sécurité organisationnelle La politique Elle définit les principes Identifie les catégories de biens sensibles Information, personnel, bâtiment, équipement, Et les objectifs de sécurité associés Confidentialité : Seules les personnes habilitées peuvent accéder à l'information Disponibilité : On ne peut entraver ou neutraliser les fonctions de délivrance de l'information du système Intégrité : On ne peut modifier les informations stockées dans le système qu'à l'issue d'un acte légitime et volontaire et/ou On dispose d un moyen sûr pour détecter une violation de l intégrité et introduit la démarche globale de sécurité Qui fait Quoi, Quand et Comment C est un référentiel document court et intangible Répond au Pourquoi
22 III.3 Comment se protéger? La sécurité organisationnelle - La sécurité du personnel Définit les missions impliquées dans la démarche globale de sécurité (DG, RSSI, ) Définit les réglementations internes Charte de sécurité Engagement de confidentialité Définit le plan de formation du personnel Définit les modalités de remontée d information sur les incidents de sécurité
23 III.3 Comment se protéger? La sécurité organisationnelle - La sécurité de l organisation Définit les rôles et responsabilités Définit la gestion des habilitations Définit les clauses de sécurité avec les partenaires Définit les clauses de sécurité avec les soustraitants
24 III.3 Comment se protéger? La sécurité organisationnelle - La réglementation Précise le cadre législatif Propriété intellectuelle Obligation de sauvegarde des informations Protection des droits des personnes Législation sur l utilisation de la cryptologie Définit la réglementation interne Port de badge, contrôle d accès, zones réservées, Charte de sécurité Engagement de confidentialité Clauses sécurité dans les contrats de travail
25 III.3 Comment se protéger? La sécurité organisationnelle - Notion de plan de progrès Indicateurs de progrès Réagir Amélioration des pratiques Prévoir Identification des objectifs Plan d'action Définition et mise en œuvre Faire Confiance Maîtrise Progrès Tableaux de bord Supervision et vérification Vérifier Audit sécurité
26 III.3 Comment se protéger? La sécurité organisationnelle - La démarche globale SSI POURQUOI? QUI, QUOI, QUAND? Référentiel Démarche globale Politique de sécurité COMMENT, AVEC QUOI? Démarche détaillée Guide Acteurs Fiches Activités Fiches Exemples Fiches Méthodes Fiches Thématiques Fiches acteurs Outils Guides PSI ISO17799 Méthodes EBIOS SSA Mehari Marion Evaluation ITSEC CC / ISO15408 Produits inclus AV, FW, SSO, routeurs, IGC, OS, SGBD Proxy Annuaires
27 [ IV. Retours d expérience ] IV.1 IV.2 IV.3 IV.4 IV.5 [Un outil l ISO17799] [Prospective] [Les qualités du RSSI] [Le coût de la sécurité] [Quelques informations]
28 IV.1 Retours d expérience La norme ISO17799 Historique Dérivée des British Standards 7799 Février Mai 1999 première version en février 1995 Certification C:Cure / UKAS Base du schéma de qualification des dernière version publiée en mai 1999 PSC pour la Signature Électronique (TS ) Schéma de certification BS 7799C:Cure en 1998 Accréditation des organismes certificateurs par le UKAS Part.1 The Code of Practice Part.2 Specifications for ISMS Première version de la norme ISO en décembre équivalent ISO/IEC à la BS Part.1 A quand la sortie de la norme? La BS7799 est la base du schéma Signature Décembre 2000, actuellement en révision Electronique Liste des certificats BS7799 ISO/IEC (ou ) Version Draft BS7799-2:2002 en novembre 2001?
29 IV.1 Retours d expérience La norme ISO17799 Part.1 : The Code of Practice - 10 chapitres recommandations 3 Politique Politique de de sécurité sécurité 4 Organisation Organisation de de la la sécurité sécurité 5 Classification Classification et et Contrôle Contrôle des des Biens Biens 6 Sécurité Sécurité et et Gestion Gestion du du personnel personnel 7 Sécurité Sécurité Physique Physique 8 Gestion Gestion des des Communications Communications et et des des Opérations Opérations 9 Contrôle Contrôle d accès d accès Développement Développement et et Maintenance Maintenance Plan Plan de de Continuité Continuité d activité d activité Conformité Conformité Définition Sécurité Procédures Sécurité Engagement Engagement de la la direction Inventaire Procédures Zones Définition Zones et direction Inventaire Définition et contrats et des contrats sécurisées et sécurisées responsabilités des Définition Contrôle Contrôle Spécifications Spécifications Conformité Conformité des des plan des plan accès accès responsabilités des biens de avec biens de avec rôles utilisateurs secours rôles utilisateurs de sécurité secours de sécurité sensibles la sensibles la travail travail et loi et loi et et de de reprise responsabilités Rédaction reprise d activité responsabilités d activité Rédaction d une d une PSI Contrôle Classification PSI Conformité Classification Equipements/Matériels Formation Planning Formation par Contrôle Sécurité Conformité Sécurité des des Planning avec avec accès accès développements développements par aux politique aux niveau politique niveau réseaux réseaux de de de de Communication Communication Gestion sensibilité et et information Gestion des sensibilité sécurité des sécurité habilitations habilitations information Responsabilités Responsabilités Contrôle Contrôles Antivirus Contrôle Chiffrement dans Principes Chiffrement Contrôles des Antivirus des Principes de dans accès accès la de révision la aux remontée aux remontée OS OS Programmation révision Programmation Clauses d information Clauses d information de de sécurité d audit sécurité d audit avec récurrent avec récurrent les les Contrôle Sauvegardes Sauvegardes partenaires partenaires et et logs Contrôle Cycle Cycle vie/process vie/process accès accès logs aux aux applications applications Clauses Clauses Gestion Gestion de de sécurité sécurité du du réseau réseau avec avec les les sous-traitants sous-traitants Supervision Supervision Supports Supports de de stockage stockage Nomadique Nomadique Echanges Echanges d information d information
30 IV.1 Retours d expérience La norme ISO17799 La BS7799 Part.2 Draft 2002 Une démarche calquée sur ISO9000: une check list de contrôles à effectuer N'est pas (pas encore) dans l'iso 17799
31 IV.1 Retours d expérience La norme ISO17799 L'ISO est un outil de mesure de progrès Plan de progrès selon l'iso17799 Compliance Business Continuity Planning System development & maintenance System Access Control Security policy Communications & operations management Security organisation Asset classification & control Personnel security Physical & environmental security Court terme Moyen terme
32 IV.1 Retours d expérience Les + Référentiel exhaustif et normalisé Approche très pragmatique Possibilité à terme d une certification (?) Les - La rédaction est criticable La norme est en révision Pas de méthodologie aujourd hui Pas de schéma défini La norme ISO17799
33 IV.2 Retours d expérience Prospectives L organisationnel est incontournable dans les démarches globales SSI La sécurité technique a beaucoup évolué (compétences, produits) Les mesures organisationnelles sont + pérennes et souvent moins coûteuses La sécurité profite de la qualité mise en œuvre dans les années 90 Mais il est encore trop peu pris en compte Les organismes/entreprises n ont pas de temps et peu d argent L audit ou la PSI sont souvent des démarches «alibis» Les RSSI sont souvent peu formés et manquent d expérience
34 IV.3 Retours d expérience Les qualités du RSSI Culture et curiosité technique Architecture, OS, BDD, réseau, produits de sécurité, Une bonne connaissance de ce qu est un projet informatique (cycle de développement, rôles MOA/MOE) la technique et les vulnérabilités évoluent Relationnel La SSI est transverse - beaucoup d interlocuteurs - rester humble Rigueur le RSSI doit montrer l exemple Reconnu dans l organisation Vision globale de l organisation Bonne connaissance des métiers de l organisme dans lequel il évolue Pouvoir de blocage (mais ne doit pas en abuser)
35 IV.3 Retours d expérience Le RSSI et les projets Il doit être consulté pour tout nouveau projet ou évolution d une application Il doit savoir s impliquer sans papillonner Il a intérêt à mettre au point une démarche pour la prise en compte de la SSI Il doit s appuyer sur le service qualité et savoir impliquer le chef de projet
36 IV.3 Retours d expérience Les erreurs à commettre Être celui qui dit toujours non et qui s en lave les mains Négliger les difficultés techniques Être excessivement paranoïaque Être le faire valoir Jouer le rôle du bouc émissaire S investir de manière inégale...
37 IV.4 Retours d expérience Le coût de la sécurité C est une bonne question à se poser lors de la phase de décision. Le coût de la sécurité doit être inférieur au coût potentiel de l insécurité. L aspect potentiel de l insécurité rend les prises de décision difficiles. C est une mauvaise question après sauf à remettre en cause les décisions prises. La sécurité est une fonctionnalité comme les autres. Le fait qu elle ne soit pas toujours considérée comme telle est un problème culturel.
38 IV.4 Retours d expérience Le coût de la sécurité COÛT DES PRODUITS COMPLEXITE DES SOLUTIONS MAINTENANCE ADMINISTRATION NIVEAU DE CONFIANCE VISE COÛT DE FORMATION ENJEUX Comme pour toute autre fonctionnalité...
39 IV.5 Retours d expérience Informations Des référentiels à suivre Critères Communs BS7799/ISO17799 TS SSA (Survival Systems Analysis ) SSE-CMM Les référentiels métier (Livre blanc, GSM-SAS, GMSIH, ) Quelques liens
40 Journées techniques de l Ouest Merci de votre attention Par Gilles BIZET gilles.bizet@aql.fr
ISO/CEI 27001:2005 ISMS -Information Security Management System
ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002
Plus en détailLa politique de sécurité
La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailLa sécurité applicative
La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailLyon, mardi 10 décembre 2002! "#$%&"'"# &(
é é Lyon, mardi 10 décembre 2002! "#$%&"'"# &( - LEXSI - Méthodologies des audits sécurité - Formalisation des résultats - CF6 TELINDUS - Retour expérience sur tests intrusifs - ARKOON - Nouvelles menaces,
Plus en détaildans un contexte d infogérance J-François MAHE Gie GIPS
Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailSECURITE DES SYSTEMES D INFORMATION COURS 2 ème partie Sûreté ou sécurité? Sécurité : ensemble des éléments permettant d établir la confiance dans un système, un environnement, etc. (se sentir en sécurité)
Plus en détailMenaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014
Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailColloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires
Colloque 2005 de la Sécurité des Systèmes d Information Du contrôle permanent à la maîtrise globale des SI Jean-Louis Bleicher Banque Fédérale des Banques Populaires Mercredi 7 décembre 2005 Du contrôle
Plus en détailApproche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailCinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr>
Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue
Plus en détailSécurité informatique: introduction
Sécurité informatique: introduction Renaud Tabary: tabary@enseirb.fr 2008-2009 Plan 1 Généralités 2 3 Définition de la sécurité informatique Definition Information security is the protection of information
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailMalveillances Téléphoniques
28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre
Plus en détailCAHIER DES CLAUSES TECHNIQUES
CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement
Plus en détailInfostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données
Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes
Plus en détailEtude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information
Plus en détailSystèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailLa sécurité IT - Une précaution vitale pour votre entreprise
Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien
Plus en détailGPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH
- CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - 145-147 rue Yves Le Coz 78 000 Versailles Tél. : 01.39.24.16.66 Fax : 01.39.24.16.67
Plus en détailMise en œuvre de la certification ISO 27001
Mise en œuvre de la certification ISO 27001 1 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO 27001 4. Implémentation 5. Surveillance et audit
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailArchivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC
Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC Sommaire Description du modèle de surveillance Définitions Objectifs de la surveillance des PSDC Présentation
Plus en détailOrange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco
De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailDSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...
Table des matières CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 CONCEPTION... 3 RÉALISATION... 3 ÉVALUATION ET CONTRÔLE... 3 AMÉLIORATION... 3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...3 LA PROTECTION
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détaildonnées à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;
1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de
Plus en détailMise en place d une politique de sécurité
Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec
Plus en détailAudits Sécurité. Des architectures complexes
Audits Sécurité Des architectures complexes L avènement d Internet et le développement des applications Intranet/Extranet ont permis aux entreprises d accroître leur compétitivité par l ouverture de leurs
Plus en détailREGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière
Plus en détailSÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE
Réseaux et Sécurité SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE Réf : SRI Durée : 3 jours (7 heures) OBJECTIFS DE LA FORMATION Ce séminaire vous montrera comment répondre aux impératifs de sécurité des communications
Plus en détailGestion des incidents de sécurité. Une approche MSSP
Gestion des incidents de sécurité Une approche MSSP Agenda Présentation du ThreatManagement Center Le rôle d un MSSP dans la supervision de sécurité La gestion d incidents 2 Agenda Présentation du ThreatManagement
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailCHARTE WIFI ET INTERNET
PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder
Plus en détailLa sécurité des systèmes d information
Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence
Plus en détailLa sécurité de l'information
Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus
Plus en détailLa sécurité informatique
La sécurité informatique SOMMAIRE 1. Présentation générale a. La SARL Invesys b. Pourquoi la sécurité informatique? c. Qu est-ce qu un audit de sécurité? 2. Espionnage industriel a. Définition b. Enjeux
Plus en détailcurité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détail27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité
Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2
Plus en détailGestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?
Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI
Plus en détailUE 8 Systèmes d information de gestion Le programme
UE 8 Systèmes d information de gestion Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur Indications
Plus en détail«ASSISTANT SECURITE RESEAU ET HELP DESK»
«ASSISTANT SECURITE RESEAU ET HELP DESK» FORMATION CERTIFIANTE DE NIVEAU III CODE NSF : 326 R INSCRIT AU RNCP ARRETE DU 31/08/11 JO DU 07/09/11 - OBJECTIFS Installer, mettre en service et dépanner des
Plus en détailLes clauses «sécurité» d'un contrat SaaS
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric
Plus en détailPACK SKeeper Multi = 1 SKeeper et des SKubes
PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack
Plus en détailCahier des Charges Assistance et maintenance informatique CAHIER DES CHARGES ASSISTANCE ET MAINTENANCE INFORMATIQUE. 28/11/2006 1 sur 17
CAHIER DES CHARGES ASSISTANCE ET MAINTENANCE INFORMATIQUE 28/11/2006 1 sur 17 Sommaire Introduction 3 O bjectifs 3 Services attendus 3 Identification des parties 4 Durée 4 Critères d attribution 4 Description
Plus en détailPolitique de Sécurité des Systèmes d Information
Politique de Sécurité des Systèmes d Information Sommaire 1 PREAMBULE...3 2 CONTEXTE...4 3 ORIENTATION STRATEGIQUE...4 4 PERIMETRE...5 5 ENJEUX DE LA PSSI AU CONSEIL DE L EUROPE...6 6 LES BESOINS DE SECURITE...7
Plus en détailL hygiène informatique en entreprise Quelques recommandations simples
L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières
Plus en détailRetour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014
Retour d expérience PCI DSS Gérard Boudin 8 avril 2014 Fraude Adobe 2,9 puis 38 millions de comptes affectés 2 Autres fraudes SONY (2011) 77 millions de comptes Network PlayStation affectés Subway (Sept
Plus en détailRelease Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014
ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing
Plus en détailFace aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012
Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI
Plus en détailPrésentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.
Présentation CERT IST 9 Juin 2009 Enjeux et Mise en Œuvre du DLP Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.fr Sommaire Constats, Riques & Enjeux Qu'est ce que le DLP? Quelle Démarche
Plus en détailJusqu où aller dans la sécurité des systèmes d information?
Jusqu où aller dans la sécurité des systèmes d information? Jacqueline Reigner dr ès sciences bio-médicale Experte en sécurité informatique Directrice de Sémafor Conseil SA à Pully / Lausanne, Genève et
Plus en détailCahier des Clauses Techniques Particulières. Convergence Voix - Données
Cahier des Clauses Techniques Particulières Convergence Voix - Données SOMMAIRE - Objet du document et du marché - Contexte et périmètre du projet - Configurations existantes et besoins - Services attendus
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailCabinet d Expertise en Sécurité des Systèmes d Information
Cabinet d Expertise en Sécurité des Systèmes d Information 2012 Introduction 21 ans d expérience professionnelle, dans l informatique puis dans les TIC. Plus précisément en matière de Sécurité des Réseaux
Plus en détailGouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs
Plus en détailSOMMAIRE Thématique : Sécurité des systèmes d'information
SOMMAIRE Thématique : Sécurité des systèmes d'information Rubrique : Base de données... 2 Rubrique : Développement... 6 Rubrique : Réseaux - Télécommunications... 9 Rubrique : Système d'exploitation...17
Plus en détailLinux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
Plus en détailLes conséquences de Bâle II pour la sécurité informatique
Les conséquences de Bâle II pour la sécurité informatique - 1 - PLAN GENERAL PLAN DO CHECK ACT Introduction : Présentation de l ISO 17799 Analyse de risque opérationnel Organisation de la sécurité Recommandations
Plus en détailCréer un tableau de bord SSI
Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com
Plus en détailPRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailFAIRE FACE A UN SINISTRE INFORMATIQUE
FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation
Plus en détails é c u r i t é Conférence animée par Christophe Blanchot
s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)
Plus en détailCopyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
VOLET N 2 1 Définition des objectifs de sécurité Principes fondamentaux de la sécurité du système d information Scenarios génériques de menaces Méthodes et bonnes pratiques de l analyse de risques Plan
Plus en détailPanorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)
Panorama de l'évolution du cloud et des Datacenters ; La sécurité dans les domaines d'orchestration (cloud et virtualisation) Eric Deronzier (YSOSECURE) Rémi Grivel (SynAApS) 1 L évolution des usages TIC
Plus en détailNouveaux enjeux, Risque en évolution : Comment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services
Nouveaux enjeux, Risque en évolution : omment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services Sylvain Defix Senior Solutions Manager 2 juin 2015 1 Airport BBI Ouverture
Plus en détailMARCHE DE PRESTATIONS INFORMATIQUES
MARCHE DE PRESTATIONS INFORMATIQUES Marché n 2011-010 Midi-Pyrénées Innovation Agence régionale de l innovation 9-11 rue Matabiau BP 78534 31685 Toulouse Cedex Objet de la consultation : Maintenance opérationnelle
Plus en détailPolitique d'utilisation des dispositifs mobiles
ISMS (Information Security Management System) Politique d'utilisation des dispositifs mobiles Version control please always check if you are using the latest version. Doc. Ref. :isms.0046.politique utililisation
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailAPPEL D OFFRES PRESTATION ARCHITECTE IDENTITY ACCESS MANAGMENT DSI 2014 197 PAP DOCUMENT DE CONSULTATION 14 OCTOBRE 2014
DOCUMENT DE CONSULTATION 14 OCTOBRE 2014 APPEL D OFFRES PRESTATION ARCHITECTE IDENTITY ACCESS MANAGMENT DSI 2014 197 PAP Bpifrance PRESTATION ARCHITECTE IDENTITY ACCESS MANAGMENT 1 TYPE DE PROCEDURE Marché
Plus en détailForum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008
Forum Suisse pour le Droit de la Communication Université de Genève Séminaire du 28 novembre 2008 Devoirs et responsabilités des organes de sociétés en matière de sécurité informatique Wolfgang Straub
Plus en détailLa Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet
REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification
Plus en détailCENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES
informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5
Plus en détailSERVICES INFORMATIQUES AUX ORGANISATIONS
BREVET DE TECHNICIEN SUPÉRIEUR SERVICES INFORMATIQUES AUX ORGANISATIONS Septembre 2014 BTS Services informatiques aux organisations - 1/123 RÉPUBLIQUE FRANÇAISE Ministère de l éducation nationale, l enseignement
Plus en détailPremier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information
Premier ministre Agence nationale de la sécurité des systèmes d information Prestataires d audit de la sécurité des systèmes d information Référentiel d exigences Version 2.0 du 14 février 2013 HISTORIQUE
Plus en détailConférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015
Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif
Plus en détailClaraExchange 2010 Description des services
Solution ClaraExchange ClaraExchange 2010 Description des services Solution ClaraExchange 2010 2 CLARAEXCHANGE 2010... 1 1. INTRODUCTION... 3 2. LA SOLUTIONS PROPOSEE... 3 3. LES ENGAGEMENTS... 4 4. ENVIRONNEMENT
Plus en détailLa Sécurité des Données en Environnement DataCenter
La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1 Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement
Plus en détailSynthèse. Quelle performance opérationnelle pour la sécurité de l information?
Synthèse Quelle performance opérationnelle pour la sécurité de l information? Décembre 2010 : Synthèse de notre étude des enjeux et de la démarche d optimisation Benchmark des priorités et bonnes pratiques
Plus en détailCadre commun de la sécurité des systèmes d information et de télécommunications
Cadre commun de la sécurité des systèmes d information et de télécommunications Sommaire 1. Introduction............................. page 09 1.1 Contexte et enjeux.......................... page 09 1.2
Plus en détailISO 27001 conformité, oui. Certification?
ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche
Plus en détailXavier Masse PDG IDEP France
IDEP FRANCE : retour d'expérience Xavier Masse PDG IDEP France Espace Grande Arche Paris La Défense IDEP France Créé en 2013, IDEP France est une SAS spécialisée dans le développement du Capital Humain
Plus en détail