«Le RSSI, dans les faits, dix ans après le Livre blanc»

Dimension: px
Commencer à balayer dès la page:

Download "«Le RSSI, dans les faits, dix ans après le Livre blanc»"

Transcription

1 «Le RSSI, dans les faits, dix ans après le Livre blanc» -Rapport du groupe de travail «Fonction RSSI, dix ans après le livre blanc» 1

2 2

3 Remerciements Le Forum des Compétences des Systèmes d Information remercie ses Etablissements Membres qui ont participé à la réflexion et à la rédaction de cet ouvrage présentant Dans le cadre de la protection du patrimoine Informationnel des entreprises. Il tient à remercier particulièrement les personnes du groupe de travail Fonction RSSI, dix ans après le livre blanc qui ont contribué à cet ouvrage 3

4 4

5 Sommaire Introduction... 7 Thème Métiers... 9 Thème Politique Thème «In-formation» Thème Plan de Continuité de l Activité - PCA Thème Contrôle Interne Thème Maîtrise d Ouvrage des projets de sécurisation Thème Gestion des accréditations Thème Juridique

6 6

7 Introduction Où en est la fonction de responsable de la sécurité du système d information (RSSI) dix ans après sa naissance? À partir de nos expériences diverses et du recul acquis, un groupe de travail ( Le RSSI dans les faits, 10 ans après le Livre Blanc ) a été créé pour faire le point sur ce sujet au sein du Forum des Compétences*. Depuis dix ans, l environnement du RSSI s est complexifié. Sous l autorité de la direction générale, en appui du contrôle permanent, sa mission l a conduit à travailler avec les directions métiers de la banque ainsi qu avec la direction informatique, en bénéficiant du support des directions de la communication, des ressources humaines et de la direction juridique, en collaborant avec les risques opérationnels, les assureurs et la conformité, en dialoguant avec le contrôle périodique. Tout en respectant les directives de la Commission bancaire, en s appuyant sur le Livre Blanc, Bâle II, le CRBF 97-02, les normes, sans oublier la CNIL, l AMF, le CFONB, la BRI et le tableau est loin d être complet. Le RSSI assume une fonction transversale par excellence. Son environnement est marqué par une accélération des changements: les systèmes d information (SI) sont, notamment, de plus en plus ouverts sur l extérieur. COMMENT AVONS- NOUS PROCÉDÉ? Pour réaliser cette étude, le Forum a recensé auprès de ses membres, les différentes missions unitaires assurées par les uns et les autres ; celles-ci ont été classées par thèmes. Puis un questionnaire a été réalisé et il a été demandé à chaque RSSI de se positionner par rapport à ces missions. Les résultats ont été dépouillés et trois catégories ont émergé : les missions que la majorité des RSSI déclare assurer, celles qui sont hors champs et celles qui font l objet de débats au sein du groupe de travail. QU EN EST-IL AUJOURD HUI? Il apparaît que les RSSI sont les rédacteurs de la politique de sécurité du système d information et des chartes relatives à la sécurité du système d information. Ils participent à des comités de sécurité de haut niveau présidés par la direction générale ou un membre du comité de direction générale. C est ici qu ils exercent une part significative de leur devoir d influence. Ils assistent également au comité de pilotage des grands projets informatiques; ils contribuent à l élaboration des plans de continuité d activité (PCA) et sont membres de cellules de crise décisionnelles. En aval de ces instances décisionnelles, ils animent dans les métiers bancaires, des réseaux de correspondants sécurité du système d information et jouent auprès de ces derniers, un rôle de conseiller. Ils ont une fonction de sensibilisation et de conception des formations Sécurité du Système d Information (SSI). L idéal serait que la SSI fasse systématiquement partie du contenu standard de la formation pour un poste. Les RSSI participent aux formations, en tant qu animateurs ou coanimateurs. En matière de contrôle, les RSSI sont promoteurs et acteurs du contrôle permanent. Ils animent, par exemple, une autoévaluation de la sécurité du système d information. Ils contribuent au rapport de contrôle interne réglementaire pour son volet système d information et peuvent être amenés à le présenter au comité d audit, dont ils ne sont cependant pas membres. En revanche, le RSSI n est pas prescripteur, ni acheteur d une solution technique qui doit se conformer à ce qui est défini dans la politique SSI. Il n est pas non plus le gestionnaire de composants techniques. Enfin, il ne fait pas partie de l organe du contrôle périodique : sa mission peut naturellement être auditée et inspectée. Entrer ces deux bornes, se décline un certain nombre de missions qui font l objet de débats sur le fait de savoir si elles relèvent ou non du poste du RSSI. Les situations varient en fonction de chaque établissement, mais visent en général à établir un équilibre harmonieux entre les prérogatives du RSSI, du responsable des PCA et de celui des risques opérationnels dont la fonction a été créée le plus souvent bien après le Livre Blanc. 7

8 Légende : AMF : Autorité des marchés financiers BCE : Banque centrale européenne BDF : Banque de France BRI : Banque des règlements internationaux CFONB : Centre français d organisation et de normalisation bancaires CMF : Code monétaire et financier CNIL : Commission nationale de l informatique et des libertés LCEN : Loi pour la confiance dans l économie numérique LSF : Loi sur la sécurité financière PP SBFI : Profil de protection pour services bancaires et/ou financiers sur Internet RH : Ressources humaines Les fiches qui suivent détaillent nos réflexions selon les thèmes que nous avions retenus. 8

9 Synthèse Nous animons des réseaux correspondants Sécurité du Système d Information pour les métiers bancaires. Nous jouons également un rôle de conseillers pour ces métiers. Nous assistons au comité de pilotage des projets Système d Information stratégiques. Contexte Nous avons parlé du devoir d'influence du RSSI vis à vis des dirigeants de l'entreprise. Mais son action serait très partielle si le RSSI n'exerçait aucune influence au niveau du terrain, des maîtrises d'ouvrages, au coeur des projets. En outre, le RSSI oeuvre souvent dans des environnements complexes. L'entreprise au sein de laquelle il agit est, dans bien des cas, un groupe d'entreprises qui peut aussi être géographiquement étendu. L'action du RSSI d un tel Groupe serait très virtuelle s'il ne s'appuyait pas sur un réseau de correspondants, de relais, de délégués. Les plus de cette approche Nous avons rappelé dans l introduction les missions inhérentes à la charge des RSSI : émission de la politique de sécurité, participation active à l'analyse de risque, sensibilisateur, évaluateur... Il se doit d'intervenir dans les projets, lorsque l'idée germe dans un métier. Mais quel progrès pourrait on escompter si le RSSI ne recevait que l'information émise dans l'immeuble où se situe son bureau et n'influençait que les personnes géographiquement proches? En s'appuyant sur un réseau, le RSSI a davantage de chances de collecter une information importante (démarrage d'un projet, incident, faiblesse organisationnelle). En outre, il la collecte tôt, à la source, encore peu déformée. Dans l'autre sens, il confie à ses délégués, répartis dans les métiers, le soin de sensibiliser, de conseiller, d'analyser, d'évaluer, de contrôler de façon spécifique à la nature de la filiale, au métier exercé. Le correspondant peut décliner, dans une version acceptable localement, la politique de sécurité. Il ne faut pas oublier qu'une filiale d'un grand groupe peut être directement assujettie à la réglementation bancaire et financière. Dans ce cas, le correspondant du RSSI du Groupe n'est autre que le RSSI de la filiale. Enfin, la simple existence d'un réseau de correspondants accroît le nombre de personnes sensibles à la sécurité dans l'entreprise, contribuant ainsi à l'échafaudage d'une masse critique. Les Risques Thème Métiers Animer un réseau ne consiste pas à nommer des personnes. Il faut s'assurer que les correspondants partagent tous la même idée des mécanismes de gouvernance sécuritaire, la même conception de leurs missions, la même acception de leurs responsabilités. Il est important qu'une documentation, rédigée préalablement aux nominations, évite toute forme d'autodétermination sur les points cités précédemment. Il faut aussi qu'une documentation informe les gens qui auront à nommer un correspondant local sinon les malentendus sur les critères d'éligibilité du correspondant seront nombreux. Il est nécessaire que les délégués locaux bénéficient des mêmes types de rattachement que leur «tuteur». En particulier, le rattachement à une direction informatique locale est très défavorable. Enfin, le réseau doit être l'objet d'une animation permanente, sinon, il devient une collection de personnes qui seront rapidement happées par d'autres missions. Le RSSI devra assurer un support réactif de son réseau : les questions sur la technique, les méthodes devront être traitées rapidement sinon le réseau se délitera de lui même. Lorsque la structure locale est réduite, le correspondant local est souvent correspondant d'autres filières de contrôle (contrôle permanent, risques opérationnels, Bâle II ). Il est important que le RSSI et ses homologues d'autres filières harmonisent leurs exigences. Dans le pire des cas, un correspondant doit pouvoir consacrer hebdomadairement un jour plein à sa mission SSI. 9

10 Synthèse Thème Politique Nous sommes les rédacteurs de la politique de sécurité du Système d Information, et des chartes 1 relatives à la Sécurité du Système d Information. Nous participons à des comités de Sécurité de haut niveau (présidés par le Directeur Général ou un membre du comité de Direction Générale). C est par ce comité que nous pouvons exercer une part significative de notre devoir d influence. Cela montre l importance des qualités de communication à haut niveau du RSSI. Contexte La Politique Générale de Sécurité s (PGSSI) d une entreprise, élaborée par le RSSI, est promulguée et soutenue par la Direction Générale ; elle traduit sa volonté et ses exigences en matière de sécurité (SSI). Le RSSI est le garant de sa mise en œuvre et fait un reporting régulier à la Direction Générale sur l évolution du risque et des écarts existant entre cette politique et son application opérationnelle en s appuyant éventuellement sur les corps de contrôle. Cette politique définit l organisation, le champ d application et la responsabilité des différents acteurs. Elle respecte les obligations réglementaires et promeut leur application. Elle doit d être en accord avec la gouvernance et la stratégie de l entreprise. Les plus de cette approche Le RSSI s appuie sur la PGSSI pour promouvoir une approche économique de la SSI visant à atteindre un équilibre entre une prise de risques calculée et les dépenses relatives à la sécurité des SI, afin d éliminer les risques inacceptables. La PGSSI est un cadre qui exprime les valeurs de la banque et les grands principes, c est une cible et chaque métier doit ensuite développer sa propre politique et ses modalités d application, ou plutôt ses objectifs de maîtrise des risques sécurité dans le cadre de la politique générale. Bien que la forme puisse varier d une entreprise à l autre, cette politique s appuie sur la mise en place de domaines de confiance basés sur les valeurs de l entreprise et sur la classification des ressources selon les critères de Disponibilité, d Intégrité, de Confidentialité et de possibilité de Preuve. La PGSSI comporte un volet sensibilisation et formation ciblant toutes les catégories de personnel, de la Direction Générale à l utilisateur final, dans l objectif d une plus grande responsabilisation de l ensemble des acteurs de l entreprise par rapport à la SSI. Il s agit en particulier de renforcer les «maillons faibles» de la chaîne de la sécurité qui se trouvent souvent liés aux facteurs humains. La capacité de réaction aux incidents est aussi intégrée dans la PGSSI, avec la préconisation d un dispositif de veille en amont, d une analyse en forte concertation avec les lignes métier en cas d alerte ou d incident avéré, puis, en aval, d une réaction proportionnée pouvant aller jusqu a la mise en place d un PCA 2. La PGSSI préconise également la mise en œuvre d un comité de pilotage de haut niveau et proche de la Direction Générale, alimenté régulièrement par un tableau de bord permettant d une part d identifier les risques résiduels, l évolution des menaces et les incidents avérés, d autre part de mesurer l effort déployé et enfin d apprécier l efficacité des actions ainsi que les progrès accomplis. Ce tableau de bord est complété par une enquête d auto-évaluation s appuyant sur la norme ISO (ou ISO 2700x) 1 Dans le cas des chartes, le RSSI peut être le contributeur à un document Ressources Humaines 2 PCA = Plan de Continuité de l Activité 10

11 Les dispositions de la PGSSI contribuent à une communication proche des lignes métiers et elles permettent un dialogue permanent avec toutes les composantes de l entreprise, afin de faire passer un message essentiel : «la sécurité, c est 80% d organisationnel et 20% de technique». Les Risques La PGSSI doit définir clairement les responsabilités des divers acteurs intervenant sur le système d information ; elle doit spécifier la gouvernance à mettre en place pour assurer la séparation des pouvoirs afin de garantir, en particulier, que le RSSI ne soit pas juge et partie. En référence au thème contrôle interne, même si la politique, avec le règlement intérieur qui en est une partie intégrante, définit les sanctions applicables en cas de non-respect de la PGSSI, l exécution de ces sanctions n est pas du ressort du RSSI. L articulation des entités en charge de la SSI avec les entités en charge des risques opérationnels et des PCA, mais aussi de la conformité, doit aussi être définie ; cette articulation peut aller d une séparation forte jusqu'à une intégration complète. C est une décision importante pour le risk management de l entreprise qui relève donc de la direction générale. 11

12 Synthèse Thème «In-formation» Le RSSI a un rôle de sensibilisation et de conception des formations SSI 3. Il influence toujours le contenu des formations (l idéal serait que la SSI fasse partie du contenu des formations normales pour un poste). Il participe aux formations (en collaboration ou non). Contexte La formation, la communication et la sensibilisation à la SSI, que nous regroupons sous le terme générique «in-formation», sont primordiales afin d accompagner le déploiement d une politique de sécurité et sa compréhension par le plus grand nombre. Le RSSI a donc pour mission de s assurer que toute personne ayant accès au SI soit «in-formée» de façon la plus efficace voire efficiente possible, quelle que soit sa localisation géographique (France, Europe, International), son statut (salarié, stagiaire, prestataire en régie ) ou sa fonction (manager/vip, informaticien, utilisateur ). Il lui faut donc commencer par définir un plan d «in-formation» global, qui va mettre en parallèle les différentes populations identifiées, les messages à faire passer en priorité ainsi que les outils les plus adaptés (lettres d information, intranets, vidéos, session plénières, formations techniques ). Cette démarche devra être coordonnée avec la DRH 4 et notamment son département formation interne. Le RSSI sera généralement maître d ouvrage sur ces programmes de formation mais pourra parfois intervenir en maîtrise d oeuvre sur certains sujets. Les plus de cette approche Si définir des règles est nécessaire, elles ne seront suivies avec rigueur que lorsqu elles seront comprises. L Homme s oppose d autant plus au changement et à la discipline qu il ne comprend pas les raisons imposant la mise en place de normes et règlements constituant une PSSI 5. C est pourquoi l «in-formation» est si importante. Une population sensibilisée, non seulement, sera plus réceptive et active dans l application de la PSSI, mais aura également la capacité à prendre les bonnes décisions lorsqu elle sera confrontée à un choix pouvant impacter la sécurité du SI (choix de conception d une application sensible pour un architecte applicatif, effacement sans ouverture d un fichier attaché douteux par une assistante...). Par ailleurs, les différents acteurs de l entreprise auront plus facilement le réflexe de prévenir l assistance informatique voire l équipe SSI en cas d événement inhabituel. Enfin, la sensibilisation peut, dans certains cas, découler d une obligation légale, notamment en matière de protection des données personnelles. En effet, on ne peut pas se contenter de définir des règles (parfois très trop?- nombreuses) et chartes sans donner les moyens nécessaires pour qu elles soient correctement expliquées à ceux qui doivent les appliquer (cas, par exemple, des commentaires à proscrire au sein d un dossier client). Les Risques Même s il peut s agir d un domaine relativement simple pour le RSSI, par rapport à d autres sujets plus complexes, «l in-formation» n est pas toujours si facile à traiter. 3 SSI = Sécurité du Système d Information 4 DRH = Direction des Ressources Humaines 5 On désigne ici, sous le terme «PSSI Politique de Sécurité du Système d Information», toute la hiérarchie de normes sécuritaires allant jusqu aux chartes et procédures de plus bas niveau. 12

13 Il faut en effet travailler en coordination avec la DRH, la communication interne et surtout ne pas développer pléthore de canaux de communication / formation spécifiques qui rendraient la démarche difficile à assumer dans le temps. Par ailleurs, l «in-formation» doit être régulière sans être trop présente. Il faut trouver un juste équilibre entre les actions mises en œuvres et leur distribution dans le temps : trop de communication simultanée ou trop rapprochée risque de la rendre inefficace. A l inverse, si un temps trop important s écoule entre deux actions d «in-formation», les populations concernées risquent de perdre les bons réflexes rapidement. Il faut donc inscrire ces actions dans la durée et surtout s assurer que les nouveaux venus seront également «in-formés» quelques temps après leur arrivée. Il est relativement facile de faire une grande campagne de sensibilisation sur un site ou périmètre géographique précis mais plus difficile de relancer des séances régulières pour les nouveaux arrivants ou d effectuer une piqûre de rappel. Il ne faut pas non plus que l «in-formation» soit surabondante par rapport aux actions, projets et chantiers de sécurité mis en œuvre. On ne doit pas masquer ses échecs par une communication à tout va. En ce qui concerne la direction informatique, il faut faire attention aux actions de sensibilisation des maîtrises d ouvrage qui, si elles étaient faites en avance de phase sur la direction informatique, pourraient entraîner un déphasage important entre la vision sécurité du client interne et de son fournisseur (la direction informatique). Enfin, l «in-formation» a souvent tendance à servir de variable d ajustement dans les budgets SSI au profit d autres investissement apparemment plus stratégiques (PKI 6, SSO 7, gestion des habilitations, etc.). Il est donc primordial de bien sensibiliser sa direction, peut être même en premier, afin qu elle comprenne que le retour sur investissement de «l in-formation» est beaucoup plus important qu elle ne peut l imaginer 6 PKI = Private Key Infrastructure 7 SSO = Single Sign On 13

14 Synthèse Thème Plan de Continuité de l Activité - PCA Le RSSI est un contributeur majeur au plan de continuité des opérations de l'établissement financier (PCA / BCP Business Continuity Plan) et fait partie du processus de décision de la cellule de crise. C est lui qui s assure, ès qualité, de l existence d un PSI Plan de Secours Informatique qui fait naturellement partie du PCA et en est un élément essentiel. L attribution d autres chapitres du PCA (immeubles...) à la même personne est possible mais il faudra alors veiller à ce que, au-delà de l aspect SI, l ensemble des aspects du PCA soit bien pris en compte. Contexte Le PCA couvre la continuité de toutes les opérations de l'établissement financier (front/middle/back office, fonctions support ) et comprend donc aussi la continuité des opérations informatiques (PSI - DRP : Plan de Secours Informatique - Disaster Recovery Plan). La disponibilité est l'une des quatre faces de la tétralogie de la sécurité (D-Disponibilité / I-Intégrité / C- Confidentialité / P-Preuve et contrôle) et rentre donc bien dans les responsabilités du RSSI, mais pour cette dimension système d'information. L'extension aux aspects logistiques, organisation, back office peut être discutée au cas par cas. Les plus de cette approche Il est naturel et efficace que le maintien de la disponibilité des SI, en cas [1] de problème informatique circonscrit (incident matériel ou logiciel, bogue applicatif, erreur humaine ) et [2] de sinistre simple ou extrême (panne d'électricité, indisponibilité des locaux ou de personnels ) soit traité de manière similaire par un seul acteur, le RSSI. Le RSSI s assure que la continuité des opérations informatiques est adéquate : couverture des besoins du business, moyens en ordre de marche, procédures existantes et connues, tests et exercices réguliers... La gestion de la crise, matérialisée par les réunions du comité de crise, comprend des décisions importantes comme le déclenchement du PCA, la bascule sur des moyens alternatifs de production (site de secours, locaux de repli ), comme la gestion opérationnelle de ces moyens de secours et enfin la décision de revenir aux moyens/sites normaux (quand cela est possible bien sûr). Le RSSI doit alors être un acteur dès la prise de ces décisions, en relation bien évidemment avec le métier et les autres fonctions de support. Son avis, pour les SI, doit éclairer les décisions du directeur informatique (déclenchement du PSI/DRP ). Les Risques Les deux rôles RSSI et RPCA 8 ne sont pas incompatibles et peuvent donc être exercés par la même personne/entité. Dans ce cas, des garde-fous et des définitions précises des rôles et responsabilités de chaque acteur doivent être formalisés pour bien couvrir toutes les dimensions et pas seulement la partie SI. A contrario, cette dimension "disponibilité" ne doit pas prendre le pas, et donc occulter, les trois autres dimensions (I-Intégrité/C-Confidentialité/P-Preuve et Contrôle) et mettre le RSSI en conflit d'intérêt. Enfin, les aspects logistiques, humains, sanitaires, immobiliers, communications inhérents au traitement d'une crise d'indisponibilité, doivent être traités de concert avec les entités en charge (Moyens généraux, DRH, Direction de la communication ) et pas par le RSSI/RPCA seul. 8 RPCA = Responsable Plan de Continuité de l Activité 14

15 Thème Contrôle Interne Synthèse Le RSSI est un promoteur et un acteur du contrôle permanent. C est lui qui anime l auto-évaluation de la sécurité du système d information. Il est une source d informations pour le contrôle interne tant permanent que périodique, et concrètement c est lui qui produit l état de la sécurité SI qui est inclus dans le rapport de contrôle interne réglementaire. Le RSSI n appartient pas à l organe responsable du contrôle périodique (audit/inspection). Sa mission peut naturellement être auditée, inspectée. Contexte Le contrôle interne, organisé par le CRBF 97-02, précise, dès les dispositions générales, qu il a notamment pour objet «de vérifier la qualité des systèmes d information et de communication» (article 5 e). Il ajoute que «les entreprises assujetties [au CRBF 97-02] doivent déterminer le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d information soient adaptés. Le contrôle des systèmes d information doit notamment permettre de s assurer que le niveau de sécurité des systèmes d informatiques est périodiquement apprécié et que le cas échéant les actions correctrices sont entreprises» (article 14). Le contrôle interne comprend un volet contrôle périodique et un volet contrôle permanent (article 6). Le contrôle périodique est effectué par des agents différents de ceux qui exercent le contrôle permanent (article 6 b). Le contrôle permanent est [notamment] assuré par [des] agents [ ] dédiés à cette fonction (article 6a). «En cas de pluralité de responsables de niveau le plus élevé du contrôle permanent, un membre de l organe exécutif assure la cohérence et l efficacité dudit contrôle» (article 7.1 dernier alinéa). «Au moins une fois par an, les entreprises assujetties élaborent un rapport sur les conditions dans lesquelles le contrôle interne est assuré» (article 42). Les plus de cette approche Le RSSI est, dans l entreprise, le promoteur de la maîtrise des risques des systèmes d information. À ce titre, il exerce sans aucun doute une mission «Contrôle Permanent». Il doit donc être intégré 9 dans le dispositif de contrôle permanent. Son intégration dans ce dispositif facilite la prise en compte chez les acteurs Contrôle Permanent, dédiés ou non, de l analyse des risques SI au même titre que les autres analyses de risques et la mise en œuvre dans ce même dispositif des contrôles permettant d en assurer la maîtrise. Globalement, le RSSI a ainsi une légitimité naturelle dans tous les dispositifs de construction et d animation du contrôle permanent quel que soit le modèle organisationnel du contrôle permanent. Si, par exemple, le contrôle permanent est organisé avec un pilotage central et une mise en œuvre locale (par exemple, au niveau des directions ou des métiers), il participera à la définition des objectifs de maîtrise de risques au niveau central et appuiera la mise en œuvre au niveau local. Ainsi, en ouvrant au RSSI le réseau des correspondants locaux Contrôle Permanent, que ceux-ci soient dédiés ou non à la fonction, cette intégration lui permet de s appuyer sur ce réseau pour faire remonter les informations en provenance du terrain (notamment des auto-évaluation sur la maîtrise des risques SI) et servir d appui pour la mise en œuvre de la politique SSI. L exercice des missions de contrôle permanent et de contrôle périodique doit être effectué par des personnes différentes pour qu elles ne soient pas juge et partie. Le RSSI, qui exerce des fonctions de Contrôle Permanent, n appartient pas à l organe en charge du Contrôle Périodique. Par contre, il est à 9 Il faut lire «être intégré» au sens participer de manière intégrée au dispositif mais pas nécessairement en étant rattaché hiérarchiquement au responsable du Contrôle Permanent. Par contre, il faut a minima une coordination efficace. 15

16 la fois source d informations pour le Contrôle Périodique et destinataire d informations en provenance de celui-ci, notamment pour lui permettre d intégrer les recommandations des inspections. Les Risques Cette intégration de la maîtrise des risques SI dans les fonctions de contrôle permanent, au même titre que la maîtrise des autres risques, ne doit pas faire oublier la nécessité de cette approche spécifique d analyse de risques SI. En effet, s il s agit de faciliter l intégration dans l action «habituelle» de chacun, il est encore utile aujourd hui d organiser une animation spécifique SSI 10 au sein de la maîtrise des risques. Si, par exemple, on rapproche la maîtrise des risques SI et les grandes catégories de risques opérationnels, on voit bien qu on ne peut pas réduire la maîtrise des risques SI à la maîtrise de la seule catégorie «Interruption d activités et dysfonctionnement des systèmes». Cette maîtrise touche aussi d autres catégories notamment la «Fraude externe», la «Fraude Interne», ou l «Exécution, livraison et gestion des processus». L existence d acteurs dédiés SSI participant au plus haut niveau du Contrôle Permanent (et des instances de décision de l entreprise) est une condition nécessaire à l efficacité du Contrôle Permanent sur le domaine SI notamment lorsque ceux-ci sont complexes, comme c est le cas dès que l entreprise atteint une certaine taille. Leur nombre et leurs niveaux devront, naturellement, être cohérents avec la structure de gouvernance de l entreprise et de son Contrôle Permanent. L impossibilité d intégrer à un niveau suffisant la maîtrise des risques SI dans le Contrôle Permanent conduira à renforcer le Contrôle Périodique sur le SI. Enfin, n oublions pas que la mission du RSSI ne s arrête pas à l aspect restrictif du contrôle qui se cantonnerait à une simple vérification. Il doit s agir d un contrôle au sens maîtrise comme le joueur de football contrôle son ballon alors que l arbitre se contente de le vérifier. Ce qui est, bien sûr, le rôle d un Contrôle Permanent. La mission du RSSI nécessite notamment la mise en place de politique, de la sensibilisation, du conseil, de la prévention. Ainsi, il faudra s assurer que son intégration au dispositif de Contrôle Permanent n amène pas le RSSI à négliger ces missions essentielles de prévention et d assistance pour la maîtrise des risques SI. 10 Sécurité du Système d Information 16

17 Thème Maîtrise d Ouvrage des projets de sécurisation Synthèse Être la maîtrise d ouvrage de projets de sécurisation n est pas un objectif permanent et à long terme du RSSI. Cependant, que le RSSI assume ce rôle, pour amorcer voire même conduire un projet de sécurisation qui a du mal à démarrer, peut être pertinent, si c est de manière temporaire et exceptionnelle et sous réserve de précautions indispensables. Le RSSI joue alors le rôle d un «promoteur» de projet, n étant ni le futur utilisateur ou bénéficiaire direct, ni le futur exploitant. Contexte Il n est pas simple de gérer des projets de sécurité, qui apportent soit de nouvelles fonctionnalités aux métiers (émission de certificats par PKI 11, SSO 12, logiciels d aide aux contrôles internes ), soit un meilleur niveau de sécurité sur des infrastructures existantes (durcissement des systèmes ouverts Windows ou Unix, cloisonnement des réseaux ). Bien que convaincus du bien fondé des progrès à accomplir en matière de sécurité sur leurs infrastructures, les acteurs de terrain au quotidien sont le plus souvent démunis de marges de manœuvre pour conduire, en parallèle avec leurs tâches courantes, des projets lourds en temps et en changements induits. Par ailleurs, il est parfois délicat de désigner le maître d ouvrage du développement de nouvelles fonctionnalités transversales à l entreprise. Il ne faut pas que le projet se cale sur les seuls besoins du premier métier utilisateur. En outre, les nécessaires changements de comportement ou d organisation pour obtenir un bon niveau de sécurisation (limitation des droits, contrôles à inscrire dans la durée, etc.) sont parfois difficiles à obtenir de l intérieur même des équipes. Enfin, les budgets de tels projets sont assez conséquents et ne peuvent généralement pas être absorbés dans des budgets récurrents, propres à une seule entité. Les plus de cette approche C est pourquoi, une maîtrise d ouvrage, clairement identifiée, dotée d un budget sanctuarisé, et devant répondre de l avancement de tels projets, constitue un atout pour l entreprise, pour mener à bien, non seulement les réalisations techniques, mais également les changements d organisation ou les évolutions de comportement afférents dans tous les métiers (y compris au sein d équipes informatiques le cas échéant). Confier la maîtrise d ouvrage au RSSI induit plusieurs avantages. D une part, du côté de la maîtrise d ouvrage. Le RSSI connaît tous les projets de sécurisation. Il assure la cohérence entre eux et peut en faire facilement la synthèse. Il peut conduire des actions de fond, dans la durée. Il peut se saisir de sujets de sécurisation en déshérence, le plus souvent par manque de ressources (pour finaliser un diagnostic, pour engager des actions correctrices ). Il peut financer des actions urgentes non budgétés par des métiers ou des services techniques. Il peut conforter des changements d organisation ou de comportements par la mise à disposition d outils d aide à la gestion et au contrôle de la sécurité. Enfin, étant directement responsable du budget de mise en œuvre de sa politique, le RSSI n oubliera pas de prévoir les moyens nécessaires à la prise en compte de la sécurité sur le terrain. L entreprise peut en espérer un meilleur niveau de sécurité global. 11 PKI = Private Key Infrastructure 12 SSO = Single Sign On 17

Charte du management des risques du groupe La Poste

Charte du management des risques du groupe La Poste Direction de l'audit et des Risques du Groupe Direction des Risques du Groupe Destinataires Tous services Contact Béatrice MICHEL Tél : 01 55 44 15 06 Fax : E-mail : beatrice.michel@laposte.fr Date de

Plus en détail

DIRECTION DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE

DIRECTION DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Validée par le Comité d audit le 8 janvier 2013 SOMMAIRE 1. ROLE, OBJECTIFS ET POSITIONNEMENT DE LA DIRECTION DE L AUDIT INTERNE... 4 1.1. Définition officielle de l Audit Interne

Plus en détail

CHARTE ACTION LOGEMENT SUR :

CHARTE ACTION LOGEMENT SUR : CHARTE ACTION LOGEMENT SUR : LA GESTION DES RISQUES LE CONTROLE INTERNE L AUDIT INTERNE Validée par le Conseil de surveillance du 18 septembre 2013 1/22 SOMMAIRE INTRODUCTION... 3 I. LE CADRE DE REFERENCE...

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION SUR LES CONDITIONS DE PRÉPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL AINSI QUE SUR LES PROCÉDURES DE CONTRÔLE INTERNE MISES EN PLACE PAR LA SOCIÉTÉ

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

Charte d audit du groupe Dexia

Charte d audit du groupe Dexia Janvier 2013 Charte d audit du groupe Dexia La présente charte énonce les principes fondamentaux qui gouvernent la fonction d Audit interne dans le groupe Dexia en décrivant ses missions, sa place dans

Plus en détail

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON RAPPORT DU PRESIDENT A L ASSEMBLÉE GÉNÉRALE ORDINAIRE DU 1er JUIN 2004 SUR

Plus en détail

Contribution à une Chronologie 2004 Commentée

Contribution à une Chronologie 2004 Commentée Secrétariat général de la Commission bancaire Contribution à une Chronologie 2004 Commentée Colloque du Forum des Compétences le 8 décembre 2004 Alain Dequier Risk Manager 1 L idée d une chronologie récapitulative

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA) TERMES DE REFERENCE Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA) TDR_Plan de Continuité de l Activité (PCA)

Plus en détail

Maîtrise des risques sur le système d information des banques : Enjeux réglementaires et prudentiels

Maîtrise des risques sur le système d information des banques : Enjeux réglementaires et prudentiels Secrétariat général de la Commission bancaire Maîtrise des risques sur le système d information des banques : Enjeux Forum des Compétences 7 décembre 2005 Pierre-Yves Thoraval Secrétaire général adjoint

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence : Guide de mise en œuvre pour les valeurs moyennes et petites

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence : Guide de mise en œuvre pour les valeurs moyennes et petites Les dispositifs de gestion des risques et de contrôle interne Cadre de référence : Guide de mise en œuvre pour les valeurs moyennes et petites SOMMAIRE SOMMAIRE... 2 I- OBJECTIFS, PRINCIPES ET CONTENU...

Plus en détail

Le Plan de Continuité d Activité (PCA / BCP)

Le Plan de Continuité d Activité (PCA / BCP) Le Plan de Continuité d Activité (PCA / BCP) Comment le mettre en œuvre et vérifier qu il restera opérationnel? Bruno KEROUANTON RSSI Clear Channel France - CISSP 16 juin 2004 - Paris Introduction, définitions

Plus en détail

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.

Plus en détail

Covéa Finance Charte de l Audit et du Contrôle Interne

Covéa Finance Charte de l Audit et du Contrôle Interne CHARTE D AUDIT ET DE CONTROLE INTERNE DE COVÉA FINANCE DEFINITION DU CONTROLE INTERNE Le contrôle interne est un dispositif défini et mis en œuvre par les dirigeants et les personnels des sociétés, qui

Plus en détail

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE Management par les processus les éléments structurants Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise en

Plus en détail

Charte de contrôle interne

Charte de contrôle interne Dernière mise à jour : 05 mai 2014 Charte de contrôle interne 1. Organisation générale de la fonction de contrôle interne et conformité 1.1. Organisation Le Directeur Général de la Société, Monsieur Sébastien

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS

Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS Introduction à la Sécurité des Systèmes d Information en établissements de santé Fiche N 1 : Les enjeux

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

Piloter le contrôle permanent

Piloter le contrôle permanent Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

3. Rapport du Président du conseil d administration

3. Rapport du Président du conseil d administration 3. Rapport du Président du conseil d administration Conformément aux dispositions de l article L.225-37 du code de commerce, le président du conseil d administration rend compte, au terme de ce rapport,

Plus en détail

Vous accompagner à la maîtrise de vos projets SIRH

Vous accompagner à la maîtrise de vos projets SIRH Vous accompagner à la maîtrise de vos projets SIRH I.Vous accompagner au pilotage métier de projet Le pilotage métier est le levier de sécurisation du projet de refonte SIRH. Avec Magn Ulteam, conjuguez

Plus en détail

Une fiche de Mission pour les Référents SSI. Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI»

Une fiche de Mission pour les Référents SSI. Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI» Une fiche de Mission pour les Référents SSI Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI» Compte-rendu du groupe de Travail 24 octobre 2014 Personnes présentes François TESSON Véronique

Plus en détail

GUIDE REFERENTIEL DU CONSEILLER DE PREVENTION

GUIDE REFERENTIEL DU CONSEILLER DE PREVENTION GUIDE REFERENTIEL DU CONSEILLER DE PREVENTION 1 TABLE DES MATIERES 1. INTRODUCTION...3 2. STATUT ET MISSION DU CONSEILLER...3 2.1. CADRE LEGISLATIF ET REGLEMENTAIRE...3 2.2. CONDITIONS DE DESIGNATION...4

Plus en détail

Plaisir, le 19 Décembre 2011 Rapport sur le contrôle interne et le gouvernement d entreprise.

Plaisir, le 19 Décembre 2011 Rapport sur le contrôle interne et le gouvernement d entreprise. Plaisir, le 19 Décembre 2011 Rapport sur le contrôle interne et le gouvernement d entreprise. LES DISPOSITIFS DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE L objet de ce rapport est de rendre compte aux

Plus en détail

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité"

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction conformité BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité" Le Gouverneur de Bank Al-Maghrib; vu la loi n 34-03 relative aux établissements de crédit

Plus en détail

CHARTE DE L AUDIT INTERNE DU CNRS

CHARTE DE L AUDIT INTERNE DU CNRS Direction de l audit interne www.cnrs.fr NE DAI 0 0 00 CHARTE DE L AUDIT INTERNE DU CNRS INTRODUCTION La présente charte définit la mission, le rôle et les responsabilités de la Direction de l audit interne

Plus en détail

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité? Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1 Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle

Plus en détail

La conduite du changement

La conduite du changement point de vue stratégie et gouvernance des systèmes d'information La conduite du changement dans les projets SI 1 En préambule Devant les mutations économiques, sociales et technologiques engagées depuis

Plus en détail

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Document d orientation aux organismes publics Annexe A Rôles et responsabilités détaillés des

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

Réalisation d un «Schéma Directeur Informatique»

Réalisation d un «Schéma Directeur Informatique» Réalisation d un «Schéma Directeur Informatique» Qu est ce qu un Schéma Directeur Informatique (SDI)? Un Schéma Directeur Informatique est un document conçu pour préparer l évolution et l adaptation de

Plus en détail

DIRECTION DE L INFORMATION LEGALE

DIRECTION DE L INFORMATION LEGALE FICHE DE DESCRIPTION DE POSTE DIRECTION DE L INFORMATION LEGALE ET ADMINISTRATIVE TITULAIRE DU POSTE Nom : RESPONSABLE HIERARCHIQUE DIRECT Nom : CHAUMONT Anne Laure Prénom : Fonction : Visa : Visa : Date

Plus en détail

Site de repli et mitigation des risques opérationnels lors d'un déménagement

Site de repli et mitigation des risques opérationnels lors d'un déménagement Site de repli et mitigation des risques opérationnels lors d'un déménagement Anne Claire PAULET Responsable Risques Opérationnels GASELYS AGENDA PRÉSENTATION GASELYS LES RISQUES OPÉRATIONNELS CONTINUITÉ

Plus en détail

NOM DU PROJET. Contrat de projet commenté

NOM DU PROJET. Contrat de projet commenté Commentaire général préalable: Le «contrat de projet» présenté ci-après fait suite à la lettre de mission envoyée par le Directeur Général au Maître d Ouvrage d un projet. Il a 3 objectifs majeurs : -

Plus en détail

1. Référentiel des emplois. 2. Fiches emplois

1. Référentiel des emplois. 2. Fiches emplois Ce document référence contient les descriptifs d emplois repères et les descriptifs des compétences crées dans le cadre de l identification des compétences pour l Etablissement public de la Caisse des

Plus en détail

CHARTE DES BONNES PRATIQUES

CHARTE DES BONNES PRATIQUES COMITE DES COMITES D ENTREPRISE DU CONSEIL SUPERIEUR DE L ORDRE DES EXPERTS-COMPTABLES CHARTE DES BONNES PRATIQUES ETABLIE au nom du Conseil supérieur de l Ordre des Experts-comptables dans le cadre des

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section

Plus en détail

Santé et sécurité des adjoints techniques territoriaux des établissements d enseignement (ATTEE)

Santé et sécurité des adjoints techniques territoriaux des établissements d enseignement (ATTEE) Point réglementation N 1 Santé et sécurité des adjoints techniques territoriaux des établissements d enseignement (ATTEE) (anciennement TOS, exerçant dans les lycées et collèges) Mis à jour en septembre

Plus en détail

ZODIAC AEROSPACE Page 1 sur 7

ZODIAC AEROSPACE Page 1 sur 7 Plaisir, le 18 décembre Rapport sur le contrôle interne et le gouvernement d entreprise DISPOSITIFS DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE Cette partie du rapport s appuie sur le cadre de référence

Plus en détail

Organisation du dispositif de maîtrise des risques

Organisation du dispositif de maîtrise des risques Organisation du dispositif de maîtrise des risques Conférence EIFR 18 décembre 2014 Marie-Agnès NICOLET Regulation Partners Présidente fondatrice 35, Boulevard Berthier 75017 Paris marieagnes.nicolet@regulationpartners.com

Plus en détail

SOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE QUALITE 2 UNE ORGANISATION PROFESSIONNELLE FORTE ET GARANTE DE SES MEMBRES 3 NOTRE SMQ

SOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE QUALITE 2 UNE ORGANISATION PROFESSIONNELLE FORTE ET GARANTE DE SES MEMBRES 3 NOTRE SMQ Manuel Qualité 5 place du Rosoir 21000 DIJON Tél. : 03.80.59.65.20 Fax : 03.80.53.09.50 Mèl : contact@bfc.experts-comptables.fr www.bfc.experts-comptables.fr SOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

GUIDE REFERENTIEL DE L ASSISTANT DE PREVENTION

GUIDE REFERENTIEL DE L ASSISTANT DE PREVENTION GUIDE REFERENTIEL DE L ASSISTANT DE PREVENTION 1 TABLE DES MATIERES 1. INTRODUCTION...3 2. STATUT ET MISSION DE L ASSISTANT...3 2.1. CADRE LEGISLATIF ET REGLEMENTAIRE...3 2.2. PROFIL DE RECRUTEMENT - STATUT...4

Plus en détail

Les PME parlent aux PME

Les PME parlent aux PME Les PME parlent aux PME Retour d expériences de 10 PME ayant mis en place la méthode ULYSSE Préambule Réalisation d une étude exploratoire auprès de 10 PME ayant utilisées au cours des derniers mois la

Plus en détail

la conformité LES PRINCIPES D ACTION

la conformité LES PRINCIPES D ACTION La fonction Conformité au sein de BNP Paribas La fonction Conformité a été créée en décembre 2004, en anticipation de nouvelles dispositions du règlement 97-02 sur le contrôle interne des établissements

Plus en détail

Identification, évaluation et gestion des incidents

Identification, évaluation et gestion des incidents Identification, évaluation et gestion des incidents De la cartographie des risques à la mise en place de la base incidents Xavier DIVAY Responsable de la conformité et du contrôle permanent QUILVEST BANQUE

Plus en détail

Mise en œuvre d une DSI agile. Chi Minh BUI UNIPRÉVOYANCE

Mise en œuvre d une DSI agile. Chi Minh BUI UNIPRÉVOYANCE Mise en œuvre d une DSI agile Chi Minh BUI UNIPRÉVOYANCE INTRODUCTION Des problématiques similaires pour des enjeux identiques indépendamment de la taille de l organisation «David contre Goliath» RETOUR

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

Ils ont vocation, sous l autorité fonctionnelle d'un ou plusieurs médecins de prévention coordonnateurs régionaux (MPCR) à :

Ils ont vocation, sous l autorité fonctionnelle d'un ou plusieurs médecins de prévention coordonnateurs régionaux (MPCR) à : INTRODUCTION La présente doctrine d emploi a pour objet de préciser les missions et le positionnement des assistants régionaux à la médecine de prévention (ARMP). Les ARMP participent à l'amélioration

Plus en détail

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5

Plus en détail

Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC

Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC Le 5 Mars 2015 Version de travail Projet Février 2015-1 Ordre du jour Avancement des travaux Rappel du

Plus en détail

Utilisation de la méthode EBIOS :

Utilisation de la méthode EBIOS : Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université

Plus en détail

1. Référentiel des emplois. 2. Référentiel des compétences. 3. Fiches emplois. 4. Fiches compétences

1. Référentiel des emplois. 2. Référentiel des compétences. 3. Fiches emplois. 4. Fiches compétences Ce document référence contient les descriptifs d emplois repères et les descriptifs des compétences crées dans le cadre de la Gestion Prévisionnelle des Emplois et de Compétences pour l Etablissement Public

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Charte des relations

Charte des relations Charte des relations entre Élus, membres des Conseils consultatifs de quartier et agents des services de la Ville de Brest et de Brest métropole océane Bellevue, Brest-Centre 1 Europe, Lambezellec Quatre

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

C O N S U L T A T I O N C H S C T

C O N S U L T A T I O N C H S C T Département Pilotage des Cadres et des Hauts Potentiels Groupe C O N S U L T A T I O N C H S C T M I S E E N Œ UV R E D E R EV U E S D E C A R RI E R E C A D R ES Mise en œuvre de revues de carrière cadres

Plus en détail

Sélection des experts de l'aeres

Sélection des experts de l'aeres Sélection des experts de l'aeres Les missions dévolues à l AERES par le législateur requièrent l intervention de très nombreux experts, de formation, de culture et de nationalité différentes. Cette diversité

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

CONSEIL D ADMINISTRATION ASSYSTEM REGLEMENT INTERIEUR

CONSEIL D ADMINISTRATION ASSYSTEM REGLEMENT INTERIEUR CONSEIL D ADMINISTRATION ASSYSTEM REGLEMENT INTERIEUR Etabli par le Conseil d Administration du 22 mai 2014 1 Préambule Adopté en séance le 22 mai 2014 suite à l Assemblée Générale Mixte de la Société

Plus en détail

FICHE TECHNIQUE : METTRE EN PLACE UNE GPEC

FICHE TECHNIQUE : METTRE EN PLACE UNE GPEC METTRE EN PLACE UNE GPEC Gestion Prévisionnelle des Emplois et des Compétences Cette fiche technique aborde la mise en place d une démarche GPEC sous l angle de la description d un processus. Elle présente

Plus en détail

Sécurité de l information

Sécurité de l information Avis au lecteur sur l accessibilité : Ce document est conforme au standard du gouvernement du Québec SGQRI 008-02 (SGQRI 008-03, multimédia : capsules d information et de sensibilisation vidéo) afin d

Plus en détail

Ce règlement contient également des dispositions d ordre déontologique et fait du Directoire un acteur du contrôle interne.

Ce règlement contient également des dispositions d ordre déontologique et fait du Directoire un acteur du contrôle interne. RAPPORT DU PRESIDENT DU CONSEIL DE SURVEILLANCE SUR LES CONDITIONS DE PREPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL AINSI QUE SUR LES PROCEDURES DE CONTROLE INTERNE MISES EN PLACE PAR LA SOCIETE

Plus en détail

RAPPORT DU PRESIDENT DU CONSEIL D ADMINISTRATION SUR LE FONCTIONNEMENT DU CONSEIL ET LE CONTROLE INTERNE EXERCICE CLOS AU 30 juin 2009

RAPPORT DU PRESIDENT DU CONSEIL D ADMINISTRATION SUR LE FONCTIONNEMENT DU CONSEIL ET LE CONTROLE INTERNE EXERCICE CLOS AU 30 juin 2009 BASTIDE LE CONFORT MEDICAL Société Anonyme au capital de 3.303.261 EUROS Siège Social : 12, avenue de la Dame - Centre Euro 2000 30132 CAISSARGUES R.C.S. NIMES B 305 635 039 RAPPORT DU PRESIDENT DU CONSEIL

Plus en détail

Rapport d audit interne

Rapport d audit interne Exercice social clos au 31/12/2004 Rapport d audit interne du Président du Conseil d administration de la Compagnie Financière de Deauville en application de l article 117 de la loi n 2003-706 du 1 er

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Gouvernance et contrôle interne Table ronde

Gouvernance et contrôle interne Table ronde Gouvernance et contrôle interne Table ronde Conférence ASSFOR 10 Marie-Agnès NICOLET Regulation Partners Présidente fondatrice 35, Boulevard Berthier 75017 Paris marieagnes.nicolet@regulationpartners.com

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Charte des Administrateurs Systèmes, Réseaux et systèmes d information

Charte des Administrateurs Systèmes, Réseaux et systèmes d information Charte des Administrateurs Systèmes, Réseaux et systèmes d information Université Joseph Fourier Université Pierre Mendes-France Université Stendhal Institut polytechnique de Grenoble Institut d Études

Plus en détail

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006 Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité Olivier de Chantérac 08 novembre 2006 PCA, MCO et ROI Une Responsabilité de Direction Générale ou Métier - Disposer d une

Plus en détail

Business Project Management : Cycle de vie des documents et workflow

Business Project Management : Cycle de vie des documents et workflow Business Project Management : Cycle de vie des documents et workflow Iut de Tours Département Information-Communication Option Gestion de l Information et du Document dans les Organisations Page 1 sur

Plus en détail

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L. 225-37 DU CODE DE COMMERCE)

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L. 225-37 DU CODE DE COMMERCE) RAPPORT DE GESTION, ÉTATS FINANCIERS ET INFORMATIONS FINANCIÈRES COMPLÉMENTAIRES 3 3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L. 225-37 DU CODE DE COMMERCE) Pour l élaboration du présent

Plus en détail

Annexe IV : rapport du Président du Conseil d Administration

Annexe IV : rapport du Président du Conseil d Administration Annexe IV : rapport du Président du Conseil d Administration joint au rapport de gestion rendant compte des conditions de préparation et d organisation des travaux du Conseil ainsi que des procédures de

Plus en détail

Projet de management commercial unique du Réseau La Poste et de la Banque Postale

Projet de management commercial unique du Réseau La Poste et de la Banque Postale Projet de management commercial unique du Réseau La Poste et de la Banque Postale DRH La Banque Postale / Services Financiers et du Réseau La Poste Document confidentiel Sommaire Projet de structure managériale

Plus en détail

ACCORD GROUPE SUR LA GESTION PREVISIONNELLE DES EMPLOIS ET DES COMPETENCES PREAMBULE

ACCORD GROUPE SUR LA GESTION PREVISIONNELLE DES EMPLOIS ET DES COMPETENCES PREAMBULE ACCORD GROUPE SUR LA GESTION PREVISIONNELLE DES EMPLOIS ET DES COMPETENCES PREAMBULE Les parties signataires du présent accord visent à définir au niveau du groupe Crédit Agricole S.A. (France) (*) une

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 02/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Préventeur (trice) en cybersécurité des

Plus en détail

Charte de contrôle interne de Fongépar Gestion Financière

Charte de contrôle interne de Fongépar Gestion Financière Charte de contrôle interne de Fongépar Gestion Financière Sommaire : 1 Avant propos... 2 1.1 Objet de la Charte... 2 1.2 Le cadre règlementaire... 2 2 Organisation du dispositif de contrôle interne...

Plus en détail

LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE

LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE 1. RÉFÉRENTIEL PROFESSIONNEL DES DIRECTEURS D ETABLISSEMENT OU DE SERVICE

Plus en détail

Le Référentiel Management/Encadrement

Le Référentiel Management/Encadrement répertoire des métiers Le Référentiel Management/Encadrement Le management/encadrement est vu comme une fonction transversale liée à l organisation et à l ensemble des familles professionnelles. Le référentiel

Plus en détail

CHARTE DU GOUVERNEMENT D ENTREPRISE DANS LES BANQUES POPULAIRES

CHARTE DU GOUVERNEMENT D ENTREPRISE DANS LES BANQUES POPULAIRES CHARTE DU GOUVERNEMENT D ENTREPRISE DANS LES BANQUES POPULAIRES 1 CHARTE DU GOUVERNEMENT D ENTREPRISE DANS LES BANQUES POPULAIRES PREAMBULE Le fonctionnement des Banques populaires est régi par un ensemble

Plus en détail

ÉLABORER ET FAIRE APPLIQUER UNE CHARTE DE SÉCURITÉ INFORMATIQUE

ÉLABORER ET FAIRE APPLIQUER UNE CHARTE DE SÉCURITÉ INFORMATIQUE Lorraine ÉLABORER ET FAIRE APPLIQUER UNE CHARTE DE SÉCURITÉ INFORMATIQUE Une charte informatique définit les règles d utilisation du système d information (équipements, logiciels, messagerie, fichiers

Plus en détail

ORDRE DES EXPERTS-COMPTABLES Luxembourg REGLEMENT SUR LE CONTROLE CONFRATERNEL

ORDRE DES EXPERTS-COMPTABLES Luxembourg REGLEMENT SUR LE CONTROLE CONFRATERNEL ORDRE DES EXPERTS-COMPTABLES Luxembourg REGLEMENT SUR LE CONTROLE CONFRATERNEL INDEX 1. INTRODUCTION Page 2 1.1 Base légale 1.2. Objectifs 2. CHAMP D APPLICATION Page 3 3. METHODOLOGIE Page 3 3.1 Contrôle

Plus en détail

Référentiel métier de directeur d établissement social et médico-social

Référentiel métier de directeur d établissement social et médico-social Référentiel métier de directeur d établissement social et médico-social Avertissement Ce référentiel couvre les fonctions des directeurs exerçant dans les établissements du secteur médico-social et social

Plus en détail

Paroles d expert. ITIL V3, accélérateur de la stratégie de services

Paroles d expert. ITIL V3, accélérateur de la stratégie de services 33 3 3 3 ITIL V3, accélérateur de la stratégie de Dans le référentiel ITIL V2, les ouvrages Business Perspective, Plan to Implement, et ceux traitant des processus eux-mêmes, ont, à divers degrés, abordé

Plus en détail

Directeur du Département des Ressources Humaines. - Profil de poste -

Directeur du Département des Ressources Humaines. - Profil de poste - Directeur du Département des Ressources Humaines - Profil de poste - Cotation du poste : 2,7 1. Informations institutionnelles relatives au CHRU de Lille Etablissement : CHRU de Lille 2 avenue Oscar Lambret

Plus en détail

DU METIER DE VENDEUR AU METIER DE RESPONSABLE COMMERCIAL : UN PARCOURS PAR ETAPES

DU METIER DE VENDEUR AU METIER DE RESPONSABLE COMMERCIAL : UN PARCOURS PAR ETAPES DU METIER DE VENDEUR AU METIER DE RESPONSABLE COMMERCIAL : UN PARCOURS PAR ETAPES Convention Collective Nationale de l Expédition- Exportation de fruits et légumes (CCN N 3233) Cet outil «passerelle» a

Plus en détail