Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Dimension: px
Commencer à balayer dès la page:

Download "Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité"

Transcription

1 Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité Document de présentation technique d Allstream et de Dell SecureWorks 1

2 Table des matières Sommaire 1 État actuel de la gestion des journaux 2 Cinq étapes pour élaborer une stratégie de gestion des journaux 2 Matrice type sur les exigences liées à la gestion des journaux 5 Une approche de mise en œuvre progressive 8 Chercher une aiguille dans une botte de foin 8 Journaliser les résultats pour améliorer la visibilité 8 Conclusion 9

3 Ce document de présentation technique a pour but de fournir des conseils au lecteur quant à l élaboration d une approche stratégique adéquate de gestion et de surveillance des journaux, qui permette une meilleure conformité aux mandats des organismes de réglementation et une défense plus efficace face aux menaces informatiques. Sommaire Des exigences en matière de conformité à la collecte de données à des fins de vérification juricomptable, les entreprises ont ouvert les portes aux données de journaux. En se fondant sur les conclusions de vérifications et les enquêtes internes, les entreprises ont mis en œuvre des technologies coûteuses et ont affecté un grand nombre d employés à la gestion des journaux sans toutefois saisir pleinement ce qu elles devaient enregistrer ni pourquoi. Les entreprises et les organismes ont besoin d une stratégie de gestion des journaux qui combine à la fois les exigences imposées par les vérificateurs et un processus à l intention de l équipe de sécurité établi en fonction des risques afin d acquérir une meilleure visibilité des données de journaux. Ce type d approche plus stratégique réduit les tâches manuelles associées à ce processus, assure une conformité accrue et plus transparente aux exigences réglementaires et permet de déterminer les menaces informatiques et d atténuer les risques de façon plus efficace. La centralisation de la journalisation et de la surveillance des incidents touchant les applications se trouve actuellement favorisée par plusieurs facteurs : la conformité aux réglementations, les incidents de vol de données largement médiatisés, la nature changeante des faiblesses informatiques et les attaques ciblant les applications. Les entreprises devraient mettre en œuvre des solutions visant à appuyer la centralisation de la journalisation et de la surveillance au niveau des applications. Recommandations en matière d administration de la sécurité, Amrit T. Williams et al, Février 2006 Par ailleurs, les méthodes actuelles de surveillance de la sécurité accordent trop d importance à la collecte des données au niveau de la couche réseau, générant ainsi un grand volume de données, tout en exposant la couche application à des risques. La surveillance du réseau peut compléter et améliorer la surveillance touchant les applications ou les systèmes hôtes, mais rarement s y substituer. Après tout, une attaque informatique se traduit souvent par l accès à un hôte ou à une application, comme une base de données sur les cartes de crédit. La surveillance touchant les applications ou les systèmes hôtes décèle les incidents qui se sont véritablement produits et non les incidents qui pourraient se produire. L analyse combinant les incidents du réseau et les données de journaux générées par les serveurs hébergés et les applications essentielles peut indiquer une activité à risque élevé qui pourrait passer inaperçue avec une simple analyse du réseau. Il suffit de savoir quels sont les systèmes à surveiller, pour quelles raisons et à quelle fréquence, et quoi faire quant aux exceptions et aux anomalies. Ce document de présentation technique vise à aider les directeurs des TI et de la sécurité à concevoir une stratégie de gestion des journaux plus efficace grâce à un processus en cinq étapes : Définir les facteurs clés qui justifient une gestion des journaux au sein de votre entreprise. Définir les systèmes et les applications qui doivent faire l objet d une surveillance. 1

4 Déterminer les exigences de sécurité et de conservation quant à la surveillance des journaux. Déterminer les types d incidents et de transactions qui nécessitent une surveillance. Définir les exigences en matière d examen et d intervention relativement à la détection et à la prévention des menaces. Une matrice sur la stratégie de gestion des journaux visant les entreprises vous aidera à prendre des décisions éclairées en matière de technologie, de processus et de services, plutôt que l inverse. Il en découlera une meilleure conformité aux réglementations de sécurité de l information grâce à une collecte et à une conservation des données mieux ciblées, ainsi qu à la présence de pistes de vérification ou de preuves d examen et d intervention. État actuel de la gestion des journaux La sécurité des applications et des données d entreprise qui se trouvent dans le pare-feu est compromise par plusieurs facteurs. Tout d abord, il faut mentionner que l utilisation croissante d applications Web pour les transactions entre entreprises ou entre entreprises et particuliers a contribué à augmenter le volume du trafic aux fins de la surveillance. Deuxièmement, les attaques informatiques sont de plus en plus élaborées et vont au-delà de simples attaques perturbatrices, comme les virus ou les refus de service, ciblant les applications et le vol de données importantes. Comme les applications se sont avérées difficiles à surveiller, les entreprises n en ont pas tenu compte dans leurs activités de surveillance des journaux, espérant déceler une intrusion au niveau de la couche réseau. La journalisation des applications est effectuée selon différents modes et sous divers formats et les variables saisies sont différentes, ce qui rend difficile la centralisation de l information aux fins de l analyse et de l établissement de rapports. Certaines applications ne sont pas du tout configurées pour générer des journaux de sécurité. En revanche, celles qui le sont peuvent générer des journaux qui ne sont pertinents qu au sein de ces applications ellesmêmes et ne peuvent être lus par un outil d analyse centralisé. Cette complexité a empêché jusqu à maintenant les vérificateurs de se concentrer sur la journalisation des applications. «La plupart des professionnels de la sécurité passent encore beaucoup de temps à analyser les menaces techniques et à essayer de trouver des moyens technologiques pour y remédier. Le personnel de sécurité doit néanmoins s assurer d examiner les journaux, de déceler les faiblesses et de protéger les systèmes.» Bridging the Security Divide, Forrester Research, Janvier 2006 Les préoccupations en matière de contrôle de l information financière, de l accès non autorisé aux renseignements confidentiels et de l usurpation d identité sont à l origine des réglementations de la sécurité de l information comme la loi Sarbanes-Oxley (SOX), la loi Health Information Portability and Accountability Act (HIPAA), la loi Gramm-Leach-Bliley Act (GLBA) et des normes de l industrie, comme la norme pour le traitement sécurisé des paiements par carte de crédit (PCI DSS). Ces lois et ces normes de l industrie nécessitent la surveillance des journaux des systèmes qui recueillent ou conservent des renseignements personnels et des dossiers financiers, mais donnent rarement des conseils précis sur les 2

5 divers types de données à recueillir et la durée de conservation exigée. Même si la norme de sécurité PCI comporte quelques caractéristiques, les lois HIPAA, GLBA et SOX proposent toutes une approche basée sur les risques et l importance relative, ce qui fait finalement varier les contrôles d une entreprise à l autre. Dans bon nombre de cas, les entreprises ont réussi les vérifications dont elles ont fait l objet en conservant les journaux de plusieurs systèmes, en enregistrant une grande quantité de données et en embauchant du personnel afin de déceler les anomalies un processus manuel fastidieux. Cinq étapes pour élaborer une stratégie de gestion des journaux Le sondage sur la sécurité à l intention des chefs des Services informatiques a révélé que 41 pour cent d entre eux croient que leur entreprise met trop l accent sur les tactiques de sécurité au lieu de se concentrer sur la stratégie de sécurité. Cela est vrai pour tous les aspects de la sécurité, de la prévention des intrusions à la surveillance des journaux, en passant par la protection des faiblesses informatiques. Le processus par étapes décrit ci-après vous permettra de créer une matrice sur la stratégie de gestion des journaux, un outil de planification essentiel pour votre entreprise. 1) Définir les facteurs clés qui justifient une gestion des journaux au sein de votre entreprise Une stratégie de gestion des journaux met l accent sur les priorités de l entreprise, comme le service à la clientèle, l exploitation, la protection juridique et la propriété intellectuelle. Pour élaborer une matrice, vous devez d abord dresser une liste des facteurs clés, c est-à-dire des raisons qui justifient la collecte, la conservation et la surveillance des données de journaux : Les exigences en matière de conformité, comme la loi SOX ou la norme de sécurité PCI. Les objectifs de l entreprise, comme l amélioration du service à la clientèle ou de la productivité. Les exigences en matière d intervention, comme des mesures correctives rapides ou des avis envoyés aux clients. 2) Définir les systèmes et les applications qui doivent faire l objet d une surveillance Une approche facile en matière de surveillance des journaux consiste à saisir ce qui peut être saisi facilement et à sauvegarder le tout. Une approche stratégique, quant à elle, limite la portée et s applique à l ensemble des systèmes et des applications qui contribueront à surveiller les incidents de sécurité en fonction des facteurs clés. Par exemple : La conformité à la loi SOX nécessite la surveillance des journaux des états financiers et des systèmes de traitement. La conformité à la norme de sécurité PCI nécessite la surveillance des journaux des systèmes de traitement par carte de crédit et de stockage de données. La conformité à la loi GLBA nécessite la surveillance des journaux des systèmes qui conservent des données financières personnelles. La conformité à la loi HIPAA nécessite la surveillance des journaux des systèmes protégés qui conservent des renseignements médicaux personnels. 3

6 Outre les exigences en matière de conformité, une approche de surveillance stratégique doit inclure les systèmes présentant un risque élevé pour l entreprise, en raison de leur valeur intrinsèque, ainsi que les systèmes relatifs aux biens en matière de propriété intellectuelle. Les chefs des Services juridiques et de la Conformité sont souvent consultés à cette étape du processus de collecte des données. 3 ) Déterminer les exigences de sécurité et de conservation quant à la surveillance des journaux Bon nombre de réglementations requièrent la conservation d une quantité raisonnable de données pendant une période raisonnable, laissant ainsi les chefs de la Sécurité informatique et les vérificateurs libres d interpréter la loi comme ils l entendent. La création d une matrice en fonction des exigences de conformité et des objectifs de l entreprise, comme ses besoins en matière de propriété intellectuelle, offre une définition claire du terme «raisonnable». Une façon de limiter la quantité de données à conserver consiste à différencier les données brutes des incidents exceptionnels. Comme les données des journaux peuvent renfermer des renseignements confidentiels, la norme de sécurité PCI et les autres réglementations en la matière requièrent la protection des journaux eux-mêmes, ainsi que leur conservation. Les exigences relatives à la sécurité des journaux peuvent nécessiter des contrôles d accès, le chiffrement de données, la vérification de l intégrité et des avis de modifications. Par exemple, le paragraphe 10.5 de la norme de sécurité PCI oblige les entreprises à protéger les pistes de vérification afin que celles-ci ne puissent pas être modifiées. Cela comprend une restriction d accès afin d empêcher que les journaux ne soient modifiés et un moyen de savoir s ils ont été modifiés, le cas échéant. 4) Déterminer les types d incidents et de transactions qui nécessitent une surveillance La quantité de renseignements générés par la plupart des outils de surveillance des journaux peut submerger un service de sécurité. Le fait de limiter les types d incidents et de transactions devant être conservés et examinés en fonction des facteurs clés facilite la gestion du processus. Les exigences réglementaires et les pratiques exemplaires en matière de sécurité fournissent là encore un point de départ. Parmi les incidents potentiels, citons certaines tentatives de connexion, des modifications du compte, des connexions à distance, des modifications visant les politiques et les autorisations ainsi que des connexions aux pare-feu. Les combinaisons d incidents jouent un rôle majeur dans le contrôle des intrusions au sein de l infrastructure propre à chaque entreprise. L ouverture de session d une source inattendue indique peut-être qu un imposteur utilise des authentifiants non autorisés. Le trafic malveillant suivi de la création d un compte dans un délai préétabli peut indiquer la source d une attaque et permettre une intervention rapide et ciblée. Les méta-incidents peuvent se produire au sein des applications ou par l intermédiaire d applications, de plates-formes et de systèmes de réseau. 5) Définir les exigences en matière d examen et d intervention relativement à la détection et à la prévention des menaces Pour chaque incident, vous devez disposer d exigences définies en matière de surveillance et d intervention. Vous pouvez simplement recueillir les données des incidents afin de les examiner ultérieurement ou effectuer un examen périodique et 4

7 approuver la conformité des données. Les incidents de sécurité qui indiquent une menace probable pour les systèmes essentiels doivent générer une alerte afin qu un examen soit effectué sur-le-champ. Le processus d intervention doit clairement indiquer les différentes étapes, de la détection à la phase d intervention, sans oublier l établissement approprié d une fiche et la documentation du déroulement des tâches. La matrice sur les exigences liées à la gestion des journaux se veut un document de référence qui regroupe l ensemble des besoins de l entreprise relativement à la gestion des journaux. Les entreprises doivent régulièrement passer en revue cette matrice afin de mettre à jour les normes et de tenir compte des nouvelles applications et des nouveaux systèmes. Elles devraient notamment utiliser cet outil pour orienter leurs achats technologiques et leurs autres méthodes tactiques si elles tiennent à atteindre leurs objectifs d affaires. La technologie ne devrait pas dicter la stratégie de gestion des journaux. Matrice type sur les exigences liées à la gestion des journaux Vous trouverez ci-après une matrice type sur les exigences liées à la gestion des journaux visant une entreprise qui traite les paiements par carte de crédit. Partie I : Contexte ou facteurs justificatifs L entreprise X a déterminé ci-après les facteurs clés qui justifient une stratégie de gestion des journaux : Protection des données, notamment des renseignements confidentiels de l entreprise. Conservation des données à l égard des enquêtes judiciaires en cas d incident. Conformité à la norme pour le traitement sécurisé des paiements par carte de crédit (PCI DSS), ainsi qu aux lois Sarbanes-Oxley (SOX) et Gramm-Leach-Bliley Act (GLBA). Partie II : Portée de la surveillance L entreprise X a privilégié la surveillance des applications et des systèmes suivants : Systèmes financiers : logiciels de comptabilité, environnement de base de données Oracle et serveurs de fichiers du service des Finances. Systèmes de traitement par carte de crédit : applications et bases de données au point de vente (POS), et serveurs AS- 400 où sont conservés les numéros de carte. Partie III : Exigences en matière de conservation Après avoir examiné les réglementations et les normes de l industrie qui s appliquent, ainsi que sa politique sur la propriété intellectuelle, l entreprise X a établi les exigences suivantes en matière de conservation : 5

8 Source PCI SOX GLBA Bonne pratique de la sécurité Propriété intellectuelle Durée de conservation minimum exigée Journaux bruts 90 jours en ligne et 1 an hors ligne Souvent 1 an* jours en ligne et 1 an hors ligne -- 1 an en ligne Incidents exceptionnels 90 jours en ligne et 1 an hors ligne 7 ans** -- De 3 à 5 ans 1 an 3 ans hors ligne Rapports 1 an 7 ans -- De 3 à 5 ans 7 ans 7 ans hors ligne Fiches 1 an 7 ans -- De 3 à 5 ans 7 ans 7 ans hors ligne * Varie selon les vérificateurs. ** À moins que les données ne soient saisies dans des rapports qui sont conservés pendant sept ans. Partie IV : Exigences en matière de sécurité Après avoir examiné les réglementations et les normes de l industrie qui s appliquent, ainsi que sa politique sur la propriété intellectuelle, l entreprise X a établi les exigences suivantes en matière de sécurité : Exigence PCI SOX GLBA Bonne pratique de la sécurité Propriété intellectuelle Entreprise X Contrôle d accès E E* E E -- E Accès aux journaux bruts en lecture seule E E E E -- E Vérification de l intégrité E E E E -- E Avis de modification des fichiers journaux E E E E -- E Chiffrement des fichiers journaux E F E F F E = Exigé F = Facultatif Partie V : Exigences en matière de collecte de données sur les incidents D après les exigences en matière de conservation et de sécurité, l entreprise X a établi ci-après une liste d incidents devant faire l objet d une collecte de données et a attribué une période d examen appropriée pour chaque incident : 6

9 Incident PCI SOX GLBA Bonne pratique de la sécurité Entreprise X Accès Connexion réussie C C C CP CP Connexion échouée CP CP CP CP CP Connexion privilégiée réussie CP CP CP CP CP Connexion privilégiée échouée CP CP CP CP CP Accès à un objet CP CP CP CP CP Comptes Création/modification/suppression d un compte C CP C CP CP Création/modification/suppression d un compte privilégié CP CP CP CP CP Connexions à distance Accès à distance (RPV, SSH, etc.) CP C CP C CP Connexion au site Web C C C C C Modifications de la configuration Modifications visant la politique de sécurité CP CPA CP CPA CPA Modifications visant les autorisations CP CP CP CP CP Pare-feu/systèmes de détection des intrusions Trafic malveillant (failles) CPA CPA CPA CPA CPA Connexions refusées CP CP CP CP CP Connexions acceptées C C C C C Trafic anormal CPA CP CP CP CP Méta-incidents (combinaison d incidents) Multiples connexions échouées (cinq dans un délai de 30 minutes) CPA CP CP CPA CPA Connexions réussies à partir de différentes sources CPA CP CP CPA CPA Trafic malveillant suivi par la création d un compte dans un délai d une heure Activité administrative exécutée par une personne qui n est pas définie comme l administrateur CPA CPA CPA CPA CPA CP CP CP CPA CPA C = Collecte pour examen ultérieur P = Examen périodique A = Alerte pour examen immédiat Nota : La plupart des exigences réglementaires et des normes de l industrie ne précisent pas les types d incidents devant faire l objet d une surveillance. Les incidents énumérés ci-dessus ne sont que des interprétations établies en fonction du but des exigences de contrôle. 7

10 Une approche de mise en œuvre progressive La matrice sur les exigences liées à la gestion des journaux définit les données que vous devez surveiller et comment utiliser ces renseignements en fonction des objectifs de votre entreprise. La prochaine étape consiste à déterminer les services et les outils technologiques connexes qui vous aideront à mettre en œuvre la stratégie de gestion des journaux avec suffisamment de souplesse pour répondre à vos besoins de demain. Les plates-formes courantes comme Windows et Unix ainsi que les dispositifs technologiques de réseautage standard peuvent nécessiter quelques modifications si vous souhaitez commencer la journalisation des données rapidement. Leurs journaux s intègrent facilement à la plupart des systèmes de surveillance et d analyse. Les bases de données et les ordinateurs centraux personnalisés requièrent plus de souplesse et de créativité. Certaines applications ne sont pas configurées pour générer des journaux de sécurité, tandis que d autres génèrent des journaux qui ne peuvent être lus que par les applications elles-mêmes, et non par un outil d analyse centralisé. Plus compliqué encore, il y a les applications qui comportent des données de divers types et formats avec une organisation et signification différentes. Il peut exister plusieurs moyens de récupérer des journaux qui doivent être ajustés en fonction du rendement et des exigences de gestion en vigueur, grâce à une étroite collaboration avec les administrateurs du système. 10 étapes pour une surveillance des journaux efficace au niveau des applications personnalisées Les services de sécurité des TI ne tiennent souvent pas compte des applications personnalisées lorsqu ils mettent en œuvre un processus de surveillance des journaux. Une stratégie de gestion des journaux aide les chefs de la Sécurité à restreindre leurs exigences en matière de collecte des données afin d assurer le bon fonctionnement des applications essentielles et de protéger les renseignements importants. 1. Faire l inventaire des applications de l entreprise qui nécessitent une surveillance pour des raisons de conformité ou parce qu elles font partie d une infrastructure essentielle. 2. Déterminer le type (binaire ou texte) et l emplacement (fichier séquentiel, base de données, journal d exploitation ou autre) des données devant faire l objet d une surveillance ainsi que les capacités de journalisation pour chacune des applications. Les données binaires nécessiteront un agent de conversion ou un moyen de modifier le code. 3. Définir les types d incidents devant être saisis en fonction de votre stratégie de gestion des journaux. 4. Produire des journaux types qui renferment les incidents devant être saisis. 5. Travailler avec les administrateurs et les responsables des applications pour comprendre les différents types d incidents et les descriptions qui s y rapportent. 6. Adopter une terminologie plus courante pour les données sur les incidents (par ex., «échec pour accéder au système» devient «connexion échouée») 7. Inscrire les filtres de collecte des données pour la saisie des données sur les incidents et la normalisation des journaux. 8. Mettre en œuvre la stratégie dans un environnement d essai ou en utilisant les données types. 9. Mettre en œuvre la stratégie à l étape de la production. 10. Effectuer une surveillance et des mises à jour régulières lorsque des modifications sont apportées à une application. 8

11 Chercher une aiguille dans une botte de foin Affecter des administrateurs de système inexpérimentés au triage des données dans le but de déceler les anomalies n est pas une stratégie particulièrement efficace pour assurer la surveillance permanente. Les outils d analyse et de corrélation filtrent les journaux bruts afin de déceler les incidents exceptionnels en fonction des conditions définies dans la matrice. Ces outils peuvent également permettre de déceler les combinaisons d incidents ou les méta-incidents qui surviennent dans une application ou par l intermédiaire d applications, de plates-formes et de dispositifs de sécurité. Les alertes anticipées qui signalent les exceptions et les incidents devant faire l objet d un examen plus approfondi fournissent aux experts les renseignements dont ils ont besoin pour intervenir plus rapidement et discrètement, afin de contrer les menaces et les incidents potentiels. Journaliser les résultats pour améliorer la visibilité Il est important de recueillir les données et d analyser les journaux, mais quelles sont les décisions et les mesures commerciales clés prises par suite de l examen des résultats? Le fait de disposer d une matrice qui indique clairement les divers types de rapports requis et leur fréquence, ainsi que le processus d examen et d intervention, aide les entreprises à gérer le déroulement de la surveillance des journaux de façon plus uniforme. De nombreux outils d analyse possèdent des filtres et des outils d établissement de rapports personnalisables permettant de produire des rapports en fonction du type d incident ou du groupe de gestion des actifs. Par exemple, un vérificateur de conformité à la norme PCI peut avoir besoin de voir un journal de vérification du traitement des paiements par carte de crédit. Un chef de la Sécurité responsable de la conformité à la loi SOX peut examiner les journaux de contrôle des états financiers. Des examinateurs doivent être affectés aux rapports de journaux afin que ces rapports soient examinés, approuvés ou signalés, le cas échéant, aux fins d une enquête plus approfondie. Enfin et surtout, un dossier sur la collecte des données et l examen des journaux permet à une entreprise de fournir des preuves aux vérificateurs attestant que les évaluations sont bien effectuées et que des mesures adéquates ont été prises pour remédier aux incidents. Conclusion Le terme «stratégique» n est pas souvent associé à la sécurité de l information, et encore moins à la conformité. Les entreprises satisfont trop souvent aux exigences de sécurité et de conformité en matière de surveillance des journaux en achetant des outils technologiques ou en augmentant leur personnel. Il est évident que les coûts et la complexité liés à l élaboration et au maintien d un système efficace de gestion des journaux détournent l attention et les ressources des principaux besoins de l entreprise. Une solution plus rentable consisterait à aborder la gestion des journaux comme n importe quel exercice de planification stratégique. En commençant par définir les facteurs clés et les besoins de l entreprise et en respectant leurs objectifs, les entreprises disposeront d une capacité de surveillance accrue de leurs systèmes et de leurs applications, tout en concentrant leurs ressources là où les risques sont les plus élevés. 9

12 Communiquez en toute confiance grâce à Allstream et Dell SecureWorks Allstream et Dell SecureWorks proposent ensemble un éventail unique de services de sécurité gérés et résidant dans le réseau, sans égal sur le marché canadien. Leur expertise pointue en réseautage de voix, de données et IP, combinée à un souci constant de protéger les renseignements et d accroître la visibilité des menaces, permettent aux clients de communiquer en toute confiance. Allstream est reconnue comme un chef de file du secteur de la prestation de services de communications aux sociétés canadiennes du classement Fortune 100 et aux entreprises du marché intermédiaire. Dell SecureWorks est un chef de file mondial dans la prestation de services de sécurité de l information aux sociétés du classement Fortune 500 et aux moyennes entreprises. Pour en savoir plus sur les solutions de sécurité gérées, appelez-nous au visitez le site allstream.com/fr/services/security ou écrivez-nous à l adresse À propos d Allstream Allstream est l un des plus importants fournisseurs de solutions de communications au pays qui se consacre exclusivement à la clientèle des entreprises de toute taille. Chef de file en matière d innovation, Allstream s attache principalement à unifier et à améliorer l ensemble des outils de connexion et de collaboration que les entreprises utilisent afin de servir leurs clients, d accroître la productivité de leur personnel et de leurs partenaires et de tirer le maximum des ressources de réseautage et de TI. À propos de Dell SecureWorks SecureWorks fait maintenant partie de Dell. Dell SecureWorks est reconnue comme un chef de file de l industrie en raison des services de premier ordre en matière de sécurité de l information qu elle fournit afin d aider les entreprises de toutes tailles à protéger leurs ressources de TI, à se conformer à la réglementation et à réduire les coûts inhérents à la sécurité. Pour en savoir plus, prière de visiter le site Copyright SecureWorks, Inc. Tous droits réservés. Tous les autres produits et services mentionnés aux présentes sont des marques de commerce de leurs détenteurs respectifs. WP_22170FR 01/11 MD Manitoba Telecom Services Inc. Utilisé en vertu d une licence.

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

Gestion de la sécurité de l information par la haute direction

Gestion de la sécurité de l information par la haute direction Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures de balayage de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Niveau 5... 6 Niveau 4... 6

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Découverte et investigation des menaces avancées PRÉSENTATION

Découverte et investigation des menaces avancées PRÉSENTATION Découverte et investigation des menaces avancées PRÉSENTATION AVANTAGES CLÉS RSA Security Analytics offre les avantages suivants : Surveillance de la sécurité Investigation des incidents Reporting sur

Plus en détail

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Table of Contents 3 10 étapes essentielles 3 Comprendre les exigences 4 Mettre en œuvre des contrôles informatiques

Plus en détail

Gestion des licences électroniques avec Adobe License Manager

Gestion des licences électroniques avec Adobe License Manager Article technique Gestion des licences électroniques avec Adobe License Manager Une méthode plus efficace pour gérer vos licences logicielles Adobe Cet article technique traite des enjeux de la gestion

Plus en détail

Approche holistique en huit étapes pour la sécurité des bases de données

Approche holistique en huit étapes pour la sécurité des bases de données Gestion de l information Livre blanc Approche holistique en huit étapes pour la sécurité des bases de données De Ron Ben Natan, Ph. D., ingénieur émérite IBM, et chef de la technologie, gestion intégrée

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Gestion des fichiers journaux

Gestion des fichiers journaux Gestion des fichiers journaux Jean-Marc Robert Génie logiciel et des TI Surveillance et audit Afin de s assurer de l efficacité des moyens de protection et de contrôle, il faut mettre en place des moyens

Plus en détail

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS)

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Une étude personnalisée de la série Technology Adoption Profile commandée par Bell Canada Juin 2014 Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Introduction

Plus en détail

RÉSUMÉ DE L ANALYSE D IMPACT

RÉSUMÉ DE L ANALYSE D IMPACT FR FR FR COMMISSION EUROPÉENNE Bruxelles, le 15.9.2010 SEC(2010) 1059 DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L ANALYSE D IMPACT Document accompagnant le Proposition de RÈGLEMENT DU

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

TOP 3. des raisons de donner une identité unifiée aux initiés

TOP 3. des raisons de donner une identité unifiée aux initiés TOP 3 des raisons de donner une identité unifiée aux initiés Même si le battage médiatique autour de la sécurité informatique concerne, pour la plupart, les pirates et autres attaques externes, les menaces

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

TIM HORTONS INC. POLITIQUE SUR LES CONTRÔLES ET PROCÉDURES DE COMMUNICATION DE L INFORMATION

TIM HORTONS INC. POLITIQUE SUR LES CONTRÔLES ET PROCÉDURES DE COMMUNICATION DE L INFORMATION A. Objet général TIM HORTONS INC. POLITIQUE SUR LES CONTRÔLES ET PROCÉDURES DE COMMUNICATION DE L INFORMATION Adoptée le 27 octobre 2009 (dernière mise à jour le 6 novembre 2013) L adoption de la présente

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Ordonnance de télécom CRTC 2014-364

Ordonnance de télécom CRTC 2014-364 Ordonnance de télécom CRTC 2014-364 Version PDF Ottawa, le 11 juillet 2014 Numéros de dossiers : Avis de modification tarifaire 466 de Bell Aliant et 7412 de Bell Canada Bell Aliant Communications régionales,

Plus en détail

IBM WebSphere MQ File Transfer Edition, Version 7.0

IBM WebSphere MQ File Transfer Edition, Version 7.0 Transfert de fichiers administré pour architecture orientée services (SOA) IBM, Version 7.0 Solution de transport polyvalente pour messages et fichiers Transfert de fichiers haute fiabilité basé sur la

Plus en détail

Rapport de suivi relatif à l examen de l utilisation des cartes d achat 2005-2006

Rapport de suivi relatif à l examen de l utilisation des cartes d achat 2005-2006 Rapport de suivi relatif à l examen de l utilisation des cartes d achat 2005-2006 Commission canadienne des grains Service de la vérification et de l évaluation Rapport final Mai 2011 Commission canadienne

Plus en détail

IBM Tivoli Compliance Insight Manager

IBM Tivoli Compliance Insight Manager Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

Rapidité, économies et sécurité accrues : comment améliorer la souplesse, le coût total de possession (TCO) et la sécurité grâce à une planification

Rapidité, économies et sécurité accrues : comment améliorer la souplesse, le coût total de possession (TCO) et la sécurité grâce à une planification Rapidité, économies et sécurité accrues : comment améliorer la souplesse, le coût total de possession (TCO) et la sécurité grâce à une planification des tâches sans agent Livre blanc rédigé pour BMC Software

Plus en détail

Installation technique et démarrage HP Services de mise en œuvre de HP OpenView Performance Insight

Installation technique et démarrage HP Services de mise en œuvre de HP OpenView Performance Insight Installation technique et démarrage HP Services de mise en œuvre de HP OpenView Performance Insight Les experts en gestion des services HP apportent au client les compétences et les connaissances nécessaires

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

L évolution vers la virtualisation

L évolution vers la virtualisation L évolution vers la virtualisation Dépassez vos attentes en matière de solutions TI. L évolution vers la virtualisation En 2009, la majorité des entreprises québécoises ne s interrogent plus sur la pertinence

Plus en détail

Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage.

Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage. Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage. Comment ce guide peut vous être utile? Si vous songez à intégrer le nuage à votre entreprise sans savoir par

Plus en détail

Service de reproduction en nuage d Allstream. Solution clés en main de poursuite des activités et de reprise après sinistre

Service de reproduction en nuage d Allstream. Solution clés en main de poursuite des activités et de reprise après sinistre Service de reproduction en nuage d Allstream Solution clés en main de poursuite des activités et de reprise après sinistre Service de reproduction en nuage d Allstream De nos jours, dans un contexte d

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Solutions d archivage d e-mails Gamme FileNet Software Capitalisez pleinement sur vos investissements existants en matière de gestion des e-mails

Solutions d archivage d e-mails Gamme FileNet Software Capitalisez pleinement sur vos investissements existants en matière de gestion des e-mails Minimisation des risques liés aux e-mails, conformité et reconnaissance Solutions d archivage d e-mails Gamme FileNet Software Capitalisez pleinement sur vos investissements existants en matière de gestion

Plus en détail

Déterminer quelle somme dépenser en matière de sécurité des TI

Déterminer quelle somme dépenser en matière de sécurité des TI Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité Norme PCI Septembre 2008 La norme PCI : transformer une contrainte en opportunité Page 2 Sommaire 2 Synthèse 2 Une autre vision des exigences PCI 4 Corréler la conformité PCI avec votre stratégie globale

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

10 astuces pour la protection des données dans le nouvel espace de travail

10 astuces pour la protection des données dans le nouvel espace de travail 10 astuces pour la protection des données dans le nouvel espace de travail Trouver un équilibre entre la sécurité du lieu de travail et la productivité de l effectif La perte ou la fuite d informations

Plus en détail

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION ~ ~ Superviser la qualité et l intégrité de l information financière de la Banque ~ ~ Principales responsabilités assurer

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

Alerte audit et certification

Alerte audit et certification Alerte audit et certification AUDIT DES COMPTES D UN CANDIDAT À UNE ÉLECTION FÉDÉRALE AOÛT 2015 Modèle de lettre de mission d audit, modèle de lettre d acceptation et modèle de rapport de l auditeur indépendant

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009)

Plus en détail

NOTE DE MISE EN ŒUVRE

NOTE DE MISE EN ŒUVRE NOTE DE MISE EN ŒUVRE Objet : Gouvernance et surveillance d'entreprise dans les institutions appliquant l'approche NI Catégorie : Fonds propres N o A-1 Date : Janvier 2006 I. Introduction Le présent document

Plus en détail

CENTRE DE POLITIQUE ET D ADMINISTRATION FISCALES

CENTRE DE POLITIQUE ET D ADMINISTRATION FISCALES ORGANISATION DE COOPÉRATION ET DE DÉVELOPPEMENT ÉCONOMIQUES MÉTHODES DE DÉTERMINATION DES PRIX DE TRANSFERT JUILLET 2010 Avertissement: Ce document, préparé par le Secrétariat de l OCDE, n a pas de valeur

Plus en détail

Programme de licences multipostes pour entreprises

Programme de licences multipostes pour entreprises Programme de licences multipostes pour entreprises Aperçu Le Programme de licences multipostes facilite la recherche, l achat en gros et la distribution d apps au sein de votre organisation. Que vos employés

Plus en détail

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée Fonctionne avec toute plate-forme de virtualisation pas de dépendance à l égard d un fournisseur de virtualisation Propose un contrôle centralisé des postes de travail et serveurs physiques, virtuels et

Plus en détail

Next Generation Networking. Solutions proposées aux défis des détaillants. Livre blanc

Next Generation Networking. Solutions proposées aux défis des détaillants. Livre blanc Next Generation Networking Solutions proposées aux défis des détaillants Livre blanc Introduction Aujourd hui plus que jamais, les détaillants dépendent d Internet pour connecter un grand nombre de sites

Plus en détail

La télésauvegarde est-elle la solution pour réduire les risques quotidiens de la sauvegarde?

La télésauvegarde est-elle la solution pour réduire les risques quotidiens de la sauvegarde? La télésauvegarde est-elle la solution pour réduire les risques quotidiens de la sauvegarde? SOMMAIRE Introduction I. Les risques encourus avec un système de sauvegarde traditionnelle II. Les attentes

Plus en détail

Indications concernant les normes de la Banque du Canada en matière de gestion des risques pour les infrastructures de marchés financiers désignées

Indications concernant les normes de la Banque du Canada en matière de gestion des risques pour les infrastructures de marchés financiers désignées Indications concernant les normes de la Banque du Canada en matière de gestion des risques pour les infrastructures de marchés financiers désignées Norme 7 : Risque de liquidité Objectif Selon les Principes

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

TIBCO LogLogic Une solution de gestion Splunk

TIBCO LogLogic Une solution de gestion Splunk P R É S E N TAT I O N D E L A S O L U T I O N TIBCO LogLogic Une solution de gestion 1 Table des matières 3 La situation actuelle 3 Les défis 5 La solution 6 Fonctionnement 7 Avantages de la solution 2

Plus en détail

Tarification comparative pour l'industrie des assurances

Tarification comparative pour l'industrie des assurances Étude technique Tarification comparative pour l'industrie des assurances Les technologies de l'information appliquées aux solutions d'affaires Groupe CGI inc., 2004. Tous droits réservés. Aucune partie

Plus en détail

Investor Services Votre partenaire pour les solutions de fonds individuelles

Investor Services Votre partenaire pour les solutions de fonds individuelles Investor Services Votre partenaire pour les solutions de fonds individuelles Un partenariat fiable Avec la bonne expertise vers le succès Des arguments qui font la différence Les avantages d une solution

Plus en détail

Énoncé relatif à la Protection des Renseignements Personnels des Comptes Espace santé TELUS MC

Énoncé relatif à la Protection des Renseignements Personnels des Comptes Espace santé TELUS MC Énoncé relatif à la Protection des Renseignements Personnels des Comptes Espace santé TELUS MC (Dernière mise à jour : Août 2011) TELUS Solutions en santé S.E.N.C. (ci-après désignée «TELUS Santé») s engage

Plus en détail

Importance de la défragmentation en environnements virtuels

Importance de la défragmentation en environnements virtuels Importance de la défragmentation en environnements virtuels Un livre blanc Osterman Research, Inc. Table des Matières Pourquoi lire ce livre blanc?... À propos de ce livre blanc... Raisons de l importance

Plus en détail

6 Conception de la gestion des correctifs

6 Conception de la gestion des correctifs Conception de la gestion des correctifs Par définition, la gestion des correctifs et mises à our est le processus qui permet de contrôler le déploiement et la maintenance des versions intermédiaires de

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

Rapport standard analyse des risques/stratégie d audit. Sommaire

Rapport standard analyse des risques/stratégie d audit. Sommaire Projet de mise en consultation du 9 septembre 2003 Circ.-CFB 0 / Annexe 1: Rapport standard analyse des risques/stratégie d audit Rapport standard analyse des risques/stratégie d audit Les sociétés d audit

Plus en détail

Surveillance de réseau : un élément indispensable de la sécurité informatique

Surveillance de réseau : un élément indispensable de la sécurité informatique Surveillance de réseau : un élément indispensable de la sécurité informatique Livre Blanc Auteur : Daniel Zobel, Responsable Developpement Logiciel, Paessler AG Publication : juillet 2013 PAGE 1 SUR 8

Plus en détail

Financement mondial IBM Lettre aux directeurs. Solutions IBM prises en charge par Financement mondial IBM

Financement mondial IBM Lettre aux directeurs. Solutions IBM prises en charge par Financement mondial IBM Financement mondial IBM Lettre aux directeurs Solutions IBM prises en charge par Financement mondial IBM Vous connaissez peut-être IBM en tant que fournisseur majeur de solutions technologiques et de solutions

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec Contrôles informatiques dans le cadre de l audit l des états financiers Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec 1 Objectifs de la présentation Identifier le rôle de

Plus en détail

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace Quatre indices pour identifier une intégration ERP inefficace 1 Table of Contents 3 Manque de centralisation 4 Manque de données en temps réel 6 Implémentations fastidieuses et manquant de souplesse 7

Plus en détail

Formulaire d évaluation du Formulaire stage d expérience d évaluation pratique CGA

Formulaire d évaluation du Formulaire stage d expérience d évaluation pratique CGA Formulaire d évaluation du Formulaire stage d expérience d évaluation pratique CGA S.V.P. remplir en caractères d imprimerie. du stage d expérience pratique CGA S.V.P. remplir en caractères d imprimerie.

Plus en détail

Security Center Plate-forme de sécurité unifiée

Security Center Plate-forme de sécurité unifiée Security Center Plate-forme de sécurité unifiée Reconnaissance automatique de plaques d immatriculation Vidéosurveillance Contrôle d accès Solutions innovatrices Tout simplement puissant. Le Security Center

Plus en détail

Renouvellement de l équipement informatique des Services généraux en 2014; décision

Renouvellement de l équipement informatique des Services généraux en 2014; décision SYNODE D'HIVER du 3 au 4 décembre 2013 Point 11 Renouvellement de l équipement informatique des Services généraux en 2014; décision Proposition: Le Synode approuve un crédit d engagement d un montant de

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité des évaluations sur site Prestataires de services Version 3.0 Février 2014 Section 1 : Informations relatives

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

NORME INTERNATIONALE D AUDIT 530 SONDAGES EN AUDIT

NORME INTERNATIONALE D AUDIT 530 SONDAGES EN AUDIT Introduction NORME INTERNATIONALE D AUDIT 530 SONDAGES EN AUDIT (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe Champ d application

Plus en détail

POLITIQUE DE SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION

POLITIQUE DE SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION POLITIQUE DE SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION VERSION 1 Créée le 24 août 2012 (v1), par Christian Lambert Table des matières 1 INTRODUCTION 1 2 ÉNONCÉ DE POLITIQUE DE SÉCURITÉ 2 2.1 VERROUILLAGE

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION ~ ~ Superviser la qualité et l intégrité de l information financière de la Banque ~ ~ Principales responsabilités Assurer

Plus en détail

Computer Forensics. Jean-Marc Robert. Génie logiciel et des TI

Computer Forensics. Jean-Marc Robert. Génie logiciel et des TI Computer Forensics Jean-Marc Robert Génie logiciel et des TI Objectif Techniques servant à identifier, colliger, examiner et analyser les données informatiques tout en s assurant de préserver leur intégrité

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Société ontarienne d assurance-dépôts

Société ontarienne d assurance-dépôts Société ontarienne d assurance-dépôts Gestion des risques liés aux technologies de l information : Rôle des conseils d administration et des comités d audit DAVID FLORIO, CPA, CA IT, PCI QSA, CRMA PARTNER,

Plus en détail

Security Center Plate-forme de sécurité unifiée

Security Center Plate-forme de sécurité unifiée Security Center Plate-forme de sécurité unifiée Reconnaissance automatique de plaques d immatriculation Vidéosurveillance Contrôle d accès Solutions innovatrices Tout simplement puissant. Le Security Center

Plus en détail

Malware Logiciels malveillants Retour sur les premiers cours

Malware Logiciels malveillants Retour sur les premiers cours Malware Logiciels malveillants Retour sur les premiers cours Jean-Marc Robert Génie logiciel et des TI Plan du cours Logiciels malveillants Analyse de risque Politique de sécurité Moyens de protection

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

Position AMF Exigences relatives à la fonction de conformité DOC-2012-17

Position AMF Exigences relatives à la fonction de conformité DOC-2012-17 Position AMF Exigences relatives à la fonction de conformité DOC-2012-17 Textes de référence : articles 313-1 à 313-7, 313-54, 313-75, 318-4 à 318-6 du règlement général de l AMF L AMF applique l ensemble

Plus en détail

Description des prestations

Description des prestations 1. Dispositions générales La présente description de prestations a pour objet les services (ciaprès dénommés les «services») de Swisscom (Suisse) SA (ci-après dénommée «Swisscom»). Elle complète les dispositions

Plus en détail

Bureau du Conseil privé Examen de l assurance de la gestion des voyages et des frais d accueil

Bureau du Conseil privé Examen de l assurance de la gestion des voyages et des frais d accueil Bureau du Conseil privé Examen de l assurance de la gestion des voyages et des frais d accueil Division de la vérification et de l évaluation Rapport final Le 4 mars 2011 Table des matières Sommaire...

Plus en détail

Solutions de sécurité des données Websense. Sécurité des données

Solutions de sécurité des données Websense. Sécurité des données Sécurité des données Data Security Suite Data Discover Data Monitor Data Protect Data Endpoint Solutions de sécurité des données Sécurité des Données: l approche de permet d assurer l activité de l entreprise

Plus en détail

L audit de sécurité des réseaux Windows avec WinReporter

L audit de sécurité des réseaux Windows avec WinReporter White Paper L audit de sécurité des réseaux Windows avec WinReporter Ce document présente comment les administrateurs réseaux et système peuvent tirer le meilleur parti de WinReporter, édité par IS Decisions,

Plus en détail

agility made possible

agility made possible DOSSIER SOLUTION Flexibilité et choix dans la gestion d infrastructure Le SI peut-il répondre aux attentes métier face à la complexité croissante des infrastructures et aux importantes contraintes en termes

Plus en détail

Actualités Administrateurs

Actualités Administrateurs ORGANISMES SANS BUT LUCRATIF Actualités Administrateurs Décembre 2013 L informatique en nuage questions que les administrateurs devraient poser Auteure : Jodie Lobana, CPA, CA, CISA, CIA, CPA (IL), PMP

Plus en détail

Tufin Orchestration Suite

Tufin Orchestration Suite Tufin Orchestration Suite L orchestration des stratégies de sécurité sur l ensemble des environnements de réseaux physiques et Cloud hybrides Le défi de la sécurité réseau Dans le monde actuel, les entreprises

Plus en détail

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager Solution complète de gestion des adresses IP et de bout en bout basée sur des appliances Rationalisez vos processus de gestion et réduisez vos coûts d administration avec

Plus en détail

Parole d utilisateur. Parole d'utilisateur. Cable & Wireless renforce la protection de son environnement informatique. Témoignage Windows Server 2003

Parole d utilisateur. Parole d'utilisateur. Cable & Wireless renforce la protection de son environnement informatique. Témoignage Windows Server 2003 Parole d utilisateur Parole d'utilisateur Témoignage Windows Server 2003 Grâce à la gamme de produits Forefront, nous sommes à même d améliorer la sécurité des services orientés clients et ce, pour un

Plus en détail

Éclairer les choix en matière de recherche :

Éclairer les choix en matière de recherche : Éclairer les choix en matière de recherche : Indicateurs et décisions Sommaire Le savoir au service du public Sommaire 1 Sommaire La création de nombreux biens publics passe par la recherche exploratoire

Plus en détail

La situation du Cloud Computing se clarifie.

La situation du Cloud Computing se clarifie. Résumé La situation du Cloud Computing se clarifie. Depuis peu, le Cloud Computing est devenu un sujet brûlant, et à juste titre. Il permet aux entreprises de bénéficier d avantages compétitifs qui leur

Plus en détail

Le Programme de licences multipostes pour entreprises de l App Store

Le Programme de licences multipostes pour entreprises de l App Store Le Programme de licences multipostes pour entreprises de l App Store L App Store offre des milliers applications d affaires conçues pour améliorer la productivité de votre entreprise. Grâce au Programme

Plus en détail

WHITE PAPER. Protéger les serveurs virtuels avec Acronis True Image

WHITE PAPER. Protéger les serveurs virtuels avec Acronis True Image Protéger les serveurs virtuels avec Acronis True Image Copyright Acronis, Inc., 2000 2008 Les organisations liées aux technologies de l information ont découvert que la technologie de virtualisation peut

Plus en détail

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées Ligne directrice Objet : Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées Date : Introduction La simulation de crise

Plus en détail

Restaurant Brands International Inc. Conseil d administration Lignes directrices sur la gouvernance. Adoptées le 11 décembre 2014

Restaurant Brands International Inc. Conseil d administration Lignes directrices sur la gouvernance. Adoptées le 11 décembre 2014 Restaurant Brands International Inc. Conseil d administration Lignes directrices sur la gouvernance Adoptées le 11 décembre 2014 Le conseil d administration (le «conseil») de Restaurant Brands International

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation C-VT Version 3.0 Février 2014 Section 1 : Informations relatives à l évaluation

Plus en détail