«Le RSSI, dans les faits, dix ans après le Livre blanc»

Dimension: px
Commencer à balayer dès la page:

Download "«Le RSSI, dans les faits, dix ans après le Livre blanc»"

Transcription

1 «Le RSSI, dans les faits, dix ans après le Livre blanc» -Rapport du groupe de travail «Fonction RSSI, dix ans après le livre blanc» 1

2 2

3 Remerciements Le Forum des Compétences des Systèmes d Information remercie ses Etablissements Membres qui ont participé à la réflexion et à la rédaction de cet ouvrage présentant Dans le cadre de la protection du patrimoine Informationnel des entreprises. Il tient à remercier particulièrement les personnes du groupe de travail Fonction RSSI, dix ans après le livre blanc qui ont contribué à cet ouvrage 3

4 4

5 Sommaire Introduction... 7 Thème Métiers... 9 Thème Politique Thème «In-formation» Thème Plan de Continuité de l Activité - PCA Thème Contrôle Interne Thème Maîtrise d Ouvrage des projets de sécurisation Thème Gestion des accréditations Thème Juridique

6 6

7 Introduction Où en est la fonction de responsable de la sécurité du système d information (RSSI) dix ans après sa naissance? À partir de nos expériences diverses et du recul acquis, un groupe de travail ( Le RSSI dans les faits, 10 ans après le Livre Blanc ) a été créé pour faire le point sur ce sujet au sein du Forum des Compétences*. Depuis dix ans, l environnement du RSSI s est complexifié. Sous l autorité de la direction générale, en appui du contrôle permanent, sa mission l a conduit à travailler avec les directions métiers de la banque ainsi qu avec la direction informatique, en bénéficiant du support des directions de la communication, des ressources humaines et de la direction juridique, en collaborant avec les risques opérationnels, les assureurs et la conformité, en dialoguant avec le contrôle périodique. Tout en respectant les directives de la Commission bancaire, en s appuyant sur le Livre Blanc, Bâle II, le CRBF 97-02, les normes, sans oublier la CNIL, l AMF, le CFONB, la BRI et le tableau est loin d être complet. Le RSSI assume une fonction transversale par excellence. Son environnement est marqué par une accélération des changements: les systèmes d information (SI) sont, notamment, de plus en plus ouverts sur l extérieur. COMMENT AVONS- NOUS PROCÉDÉ? Pour réaliser cette étude, le Forum a recensé auprès de ses membres, les différentes missions unitaires assurées par les uns et les autres ; celles-ci ont été classées par thèmes. Puis un questionnaire a été réalisé et il a été demandé à chaque RSSI de se positionner par rapport à ces missions. Les résultats ont été dépouillés et trois catégories ont émergé : les missions que la majorité des RSSI déclare assurer, celles qui sont hors champs et celles qui font l objet de débats au sein du groupe de travail. QU EN EST-IL AUJOURD HUI? Il apparaît que les RSSI sont les rédacteurs de la politique de sécurité du système d information et des chartes relatives à la sécurité du système d information. Ils participent à des comités de sécurité de haut niveau présidés par la direction générale ou un membre du comité de direction générale. C est ici qu ils exercent une part significative de leur devoir d influence. Ils assistent également au comité de pilotage des grands projets informatiques; ils contribuent à l élaboration des plans de continuité d activité (PCA) et sont membres de cellules de crise décisionnelles. En aval de ces instances décisionnelles, ils animent dans les métiers bancaires, des réseaux de correspondants sécurité du système d information et jouent auprès de ces derniers, un rôle de conseiller. Ils ont une fonction de sensibilisation et de conception des formations Sécurité du Système d Information (SSI). L idéal serait que la SSI fasse systématiquement partie du contenu standard de la formation pour un poste. Les RSSI participent aux formations, en tant qu animateurs ou coanimateurs. En matière de contrôle, les RSSI sont promoteurs et acteurs du contrôle permanent. Ils animent, par exemple, une autoévaluation de la sécurité du système d information. Ils contribuent au rapport de contrôle interne réglementaire pour son volet système d information et peuvent être amenés à le présenter au comité d audit, dont ils ne sont cependant pas membres. En revanche, le RSSI n est pas prescripteur, ni acheteur d une solution technique qui doit se conformer à ce qui est défini dans la politique SSI. Il n est pas non plus le gestionnaire de composants techniques. Enfin, il ne fait pas partie de l organe du contrôle périodique : sa mission peut naturellement être auditée et inspectée. Entrer ces deux bornes, se décline un certain nombre de missions qui font l objet de débats sur le fait de savoir si elles relèvent ou non du poste du RSSI. Les situations varient en fonction de chaque établissement, mais visent en général à établir un équilibre harmonieux entre les prérogatives du RSSI, du responsable des PCA et de celui des risques opérationnels dont la fonction a été créée le plus souvent bien après le Livre Blanc. 7

8 Légende : AMF : Autorité des marchés financiers BCE : Banque centrale européenne BDF : Banque de France BRI : Banque des règlements internationaux CFONB : Centre français d organisation et de normalisation bancaires CMF : Code monétaire et financier CNIL : Commission nationale de l informatique et des libertés LCEN : Loi pour la confiance dans l économie numérique LSF : Loi sur la sécurité financière PP SBFI : Profil de protection pour services bancaires et/ou financiers sur Internet RH : Ressources humaines Les fiches qui suivent détaillent nos réflexions selon les thèmes que nous avions retenus. 8

9 Synthèse Nous animons des réseaux correspondants Sécurité du Système d Information pour les métiers bancaires. Nous jouons également un rôle de conseillers pour ces métiers. Nous assistons au comité de pilotage des projets Système d Information stratégiques. Contexte Nous avons parlé du devoir d'influence du RSSI vis à vis des dirigeants de l'entreprise. Mais son action serait très partielle si le RSSI n'exerçait aucune influence au niveau du terrain, des maîtrises d'ouvrages, au coeur des projets. En outre, le RSSI oeuvre souvent dans des environnements complexes. L'entreprise au sein de laquelle il agit est, dans bien des cas, un groupe d'entreprises qui peut aussi être géographiquement étendu. L'action du RSSI d un tel Groupe serait très virtuelle s'il ne s'appuyait pas sur un réseau de correspondants, de relais, de délégués. Les plus de cette approche Nous avons rappelé dans l introduction les missions inhérentes à la charge des RSSI : émission de la politique de sécurité, participation active à l'analyse de risque, sensibilisateur, évaluateur... Il se doit d'intervenir dans les projets, lorsque l'idée germe dans un métier. Mais quel progrès pourrait on escompter si le RSSI ne recevait que l'information émise dans l'immeuble où se situe son bureau et n'influençait que les personnes géographiquement proches? En s'appuyant sur un réseau, le RSSI a davantage de chances de collecter une information importante (démarrage d'un projet, incident, faiblesse organisationnelle). En outre, il la collecte tôt, à la source, encore peu déformée. Dans l'autre sens, il confie à ses délégués, répartis dans les métiers, le soin de sensibiliser, de conseiller, d'analyser, d'évaluer, de contrôler de façon spécifique à la nature de la filiale, au métier exercé. Le correspondant peut décliner, dans une version acceptable localement, la politique de sécurité. Il ne faut pas oublier qu'une filiale d'un grand groupe peut être directement assujettie à la réglementation bancaire et financière. Dans ce cas, le correspondant du RSSI du Groupe n'est autre que le RSSI de la filiale. Enfin, la simple existence d'un réseau de correspondants accroît le nombre de personnes sensibles à la sécurité dans l'entreprise, contribuant ainsi à l'échafaudage d'une masse critique. Les Risques Thème Métiers Animer un réseau ne consiste pas à nommer des personnes. Il faut s'assurer que les correspondants partagent tous la même idée des mécanismes de gouvernance sécuritaire, la même conception de leurs missions, la même acception de leurs responsabilités. Il est important qu'une documentation, rédigée préalablement aux nominations, évite toute forme d'autodétermination sur les points cités précédemment. Il faut aussi qu'une documentation informe les gens qui auront à nommer un correspondant local sinon les malentendus sur les critères d'éligibilité du correspondant seront nombreux. Il est nécessaire que les délégués locaux bénéficient des mêmes types de rattachement que leur «tuteur». En particulier, le rattachement à une direction informatique locale est très défavorable. Enfin, le réseau doit être l'objet d'une animation permanente, sinon, il devient une collection de personnes qui seront rapidement happées par d'autres missions. Le RSSI devra assurer un support réactif de son réseau : les questions sur la technique, les méthodes devront être traitées rapidement sinon le réseau se délitera de lui même. Lorsque la structure locale est réduite, le correspondant local est souvent correspondant d'autres filières de contrôle (contrôle permanent, risques opérationnels, Bâle II ). Il est important que le RSSI et ses homologues d'autres filières harmonisent leurs exigences. Dans le pire des cas, un correspondant doit pouvoir consacrer hebdomadairement un jour plein à sa mission SSI. 9

10 Synthèse Thème Politique Nous sommes les rédacteurs de la politique de sécurité du Système d Information, et des chartes 1 relatives à la Sécurité du Système d Information. Nous participons à des comités de Sécurité de haut niveau (présidés par le Directeur Général ou un membre du comité de Direction Générale). C est par ce comité que nous pouvons exercer une part significative de notre devoir d influence. Cela montre l importance des qualités de communication à haut niveau du RSSI. Contexte La Politique Générale de Sécurité s (PGSSI) d une entreprise, élaborée par le RSSI, est promulguée et soutenue par la Direction Générale ; elle traduit sa volonté et ses exigences en matière de sécurité (SSI). Le RSSI est le garant de sa mise en œuvre et fait un reporting régulier à la Direction Générale sur l évolution du risque et des écarts existant entre cette politique et son application opérationnelle en s appuyant éventuellement sur les corps de contrôle. Cette politique définit l organisation, le champ d application et la responsabilité des différents acteurs. Elle respecte les obligations réglementaires et promeut leur application. Elle doit d être en accord avec la gouvernance et la stratégie de l entreprise. Les plus de cette approche Le RSSI s appuie sur la PGSSI pour promouvoir une approche économique de la SSI visant à atteindre un équilibre entre une prise de risques calculée et les dépenses relatives à la sécurité des SI, afin d éliminer les risques inacceptables. La PGSSI est un cadre qui exprime les valeurs de la banque et les grands principes, c est une cible et chaque métier doit ensuite développer sa propre politique et ses modalités d application, ou plutôt ses objectifs de maîtrise des risques sécurité dans le cadre de la politique générale. Bien que la forme puisse varier d une entreprise à l autre, cette politique s appuie sur la mise en place de domaines de confiance basés sur les valeurs de l entreprise et sur la classification des ressources selon les critères de Disponibilité, d Intégrité, de Confidentialité et de possibilité de Preuve. La PGSSI comporte un volet sensibilisation et formation ciblant toutes les catégories de personnel, de la Direction Générale à l utilisateur final, dans l objectif d une plus grande responsabilisation de l ensemble des acteurs de l entreprise par rapport à la SSI. Il s agit en particulier de renforcer les «maillons faibles» de la chaîne de la sécurité qui se trouvent souvent liés aux facteurs humains. La capacité de réaction aux incidents est aussi intégrée dans la PGSSI, avec la préconisation d un dispositif de veille en amont, d une analyse en forte concertation avec les lignes métier en cas d alerte ou d incident avéré, puis, en aval, d une réaction proportionnée pouvant aller jusqu a la mise en place d un PCA 2. La PGSSI préconise également la mise en œuvre d un comité de pilotage de haut niveau et proche de la Direction Générale, alimenté régulièrement par un tableau de bord permettant d une part d identifier les risques résiduels, l évolution des menaces et les incidents avérés, d autre part de mesurer l effort déployé et enfin d apprécier l efficacité des actions ainsi que les progrès accomplis. Ce tableau de bord est complété par une enquête d auto-évaluation s appuyant sur la norme ISO (ou ISO 2700x) 1 Dans le cas des chartes, le RSSI peut être le contributeur à un document Ressources Humaines 2 PCA = Plan de Continuité de l Activité 10

11 Les dispositions de la PGSSI contribuent à une communication proche des lignes métiers et elles permettent un dialogue permanent avec toutes les composantes de l entreprise, afin de faire passer un message essentiel : «la sécurité, c est 80% d organisationnel et 20% de technique». Les Risques La PGSSI doit définir clairement les responsabilités des divers acteurs intervenant sur le système d information ; elle doit spécifier la gouvernance à mettre en place pour assurer la séparation des pouvoirs afin de garantir, en particulier, que le RSSI ne soit pas juge et partie. En référence au thème contrôle interne, même si la politique, avec le règlement intérieur qui en est une partie intégrante, définit les sanctions applicables en cas de non-respect de la PGSSI, l exécution de ces sanctions n est pas du ressort du RSSI. L articulation des entités en charge de la SSI avec les entités en charge des risques opérationnels et des PCA, mais aussi de la conformité, doit aussi être définie ; cette articulation peut aller d une séparation forte jusqu'à une intégration complète. C est une décision importante pour le risk management de l entreprise qui relève donc de la direction générale. 11

12 Synthèse Thème «In-formation» Le RSSI a un rôle de sensibilisation et de conception des formations SSI 3. Il influence toujours le contenu des formations (l idéal serait que la SSI fasse partie du contenu des formations normales pour un poste). Il participe aux formations (en collaboration ou non). Contexte La formation, la communication et la sensibilisation à la SSI, que nous regroupons sous le terme générique «in-formation», sont primordiales afin d accompagner le déploiement d une politique de sécurité et sa compréhension par le plus grand nombre. Le RSSI a donc pour mission de s assurer que toute personne ayant accès au SI soit «in-formée» de façon la plus efficace voire efficiente possible, quelle que soit sa localisation géographique (France, Europe, International), son statut (salarié, stagiaire, prestataire en régie ) ou sa fonction (manager/vip, informaticien, utilisateur ). Il lui faut donc commencer par définir un plan d «in-formation» global, qui va mettre en parallèle les différentes populations identifiées, les messages à faire passer en priorité ainsi que les outils les plus adaptés (lettres d information, intranets, vidéos, session plénières, formations techniques ). Cette démarche devra être coordonnée avec la DRH 4 et notamment son département formation interne. Le RSSI sera généralement maître d ouvrage sur ces programmes de formation mais pourra parfois intervenir en maîtrise d oeuvre sur certains sujets. Les plus de cette approche Si définir des règles est nécessaire, elles ne seront suivies avec rigueur que lorsqu elles seront comprises. L Homme s oppose d autant plus au changement et à la discipline qu il ne comprend pas les raisons imposant la mise en place de normes et règlements constituant une PSSI 5. C est pourquoi l «in-formation» est si importante. Une population sensibilisée, non seulement, sera plus réceptive et active dans l application de la PSSI, mais aura également la capacité à prendre les bonnes décisions lorsqu elle sera confrontée à un choix pouvant impacter la sécurité du SI (choix de conception d une application sensible pour un architecte applicatif, effacement sans ouverture d un fichier attaché douteux par une assistante...). Par ailleurs, les différents acteurs de l entreprise auront plus facilement le réflexe de prévenir l assistance informatique voire l équipe SSI en cas d événement inhabituel. Enfin, la sensibilisation peut, dans certains cas, découler d une obligation légale, notamment en matière de protection des données personnelles. En effet, on ne peut pas se contenter de définir des règles (parfois très trop?- nombreuses) et chartes sans donner les moyens nécessaires pour qu elles soient correctement expliquées à ceux qui doivent les appliquer (cas, par exemple, des commentaires à proscrire au sein d un dossier client). Les Risques Même s il peut s agir d un domaine relativement simple pour le RSSI, par rapport à d autres sujets plus complexes, «l in-formation» n est pas toujours si facile à traiter. 3 SSI = Sécurité du Système d Information 4 DRH = Direction des Ressources Humaines 5 On désigne ici, sous le terme «PSSI Politique de Sécurité du Système d Information», toute la hiérarchie de normes sécuritaires allant jusqu aux chartes et procédures de plus bas niveau. 12

13 Il faut en effet travailler en coordination avec la DRH, la communication interne et surtout ne pas développer pléthore de canaux de communication / formation spécifiques qui rendraient la démarche difficile à assumer dans le temps. Par ailleurs, l «in-formation» doit être régulière sans être trop présente. Il faut trouver un juste équilibre entre les actions mises en œuvres et leur distribution dans le temps : trop de communication simultanée ou trop rapprochée risque de la rendre inefficace. A l inverse, si un temps trop important s écoule entre deux actions d «in-formation», les populations concernées risquent de perdre les bons réflexes rapidement. Il faut donc inscrire ces actions dans la durée et surtout s assurer que les nouveaux venus seront également «in-formés» quelques temps après leur arrivée. Il est relativement facile de faire une grande campagne de sensibilisation sur un site ou périmètre géographique précis mais plus difficile de relancer des séances régulières pour les nouveaux arrivants ou d effectuer une piqûre de rappel. Il ne faut pas non plus que l «in-formation» soit surabondante par rapport aux actions, projets et chantiers de sécurité mis en œuvre. On ne doit pas masquer ses échecs par une communication à tout va. En ce qui concerne la direction informatique, il faut faire attention aux actions de sensibilisation des maîtrises d ouvrage qui, si elles étaient faites en avance de phase sur la direction informatique, pourraient entraîner un déphasage important entre la vision sécurité du client interne et de son fournisseur (la direction informatique). Enfin, l «in-formation» a souvent tendance à servir de variable d ajustement dans les budgets SSI au profit d autres investissement apparemment plus stratégiques (PKI 6, SSO 7, gestion des habilitations, etc.). Il est donc primordial de bien sensibiliser sa direction, peut être même en premier, afin qu elle comprenne que le retour sur investissement de «l in-formation» est beaucoup plus important qu elle ne peut l imaginer 6 PKI = Private Key Infrastructure 7 SSO = Single Sign On 13

14 Synthèse Thème Plan de Continuité de l Activité - PCA Le RSSI est un contributeur majeur au plan de continuité des opérations de l'établissement financier (PCA / BCP Business Continuity Plan) et fait partie du processus de décision de la cellule de crise. C est lui qui s assure, ès qualité, de l existence d un PSI Plan de Secours Informatique qui fait naturellement partie du PCA et en est un élément essentiel. L attribution d autres chapitres du PCA (immeubles...) à la même personne est possible mais il faudra alors veiller à ce que, au-delà de l aspect SI, l ensemble des aspects du PCA soit bien pris en compte. Contexte Le PCA couvre la continuité de toutes les opérations de l'établissement financier (front/middle/back office, fonctions support ) et comprend donc aussi la continuité des opérations informatiques (PSI - DRP : Plan de Secours Informatique - Disaster Recovery Plan). La disponibilité est l'une des quatre faces de la tétralogie de la sécurité (D-Disponibilité / I-Intégrité / C- Confidentialité / P-Preuve et contrôle) et rentre donc bien dans les responsabilités du RSSI, mais pour cette dimension système d'information. L'extension aux aspects logistiques, organisation, back office peut être discutée au cas par cas. Les plus de cette approche Il est naturel et efficace que le maintien de la disponibilité des SI, en cas [1] de problème informatique circonscrit (incident matériel ou logiciel, bogue applicatif, erreur humaine ) et [2] de sinistre simple ou extrême (panne d'électricité, indisponibilité des locaux ou de personnels ) soit traité de manière similaire par un seul acteur, le RSSI. Le RSSI s assure que la continuité des opérations informatiques est adéquate : couverture des besoins du business, moyens en ordre de marche, procédures existantes et connues, tests et exercices réguliers... La gestion de la crise, matérialisée par les réunions du comité de crise, comprend des décisions importantes comme le déclenchement du PCA, la bascule sur des moyens alternatifs de production (site de secours, locaux de repli ), comme la gestion opérationnelle de ces moyens de secours et enfin la décision de revenir aux moyens/sites normaux (quand cela est possible bien sûr). Le RSSI doit alors être un acteur dès la prise de ces décisions, en relation bien évidemment avec le métier et les autres fonctions de support. Son avis, pour les SI, doit éclairer les décisions du directeur informatique (déclenchement du PSI/DRP ). Les Risques Les deux rôles RSSI et RPCA 8 ne sont pas incompatibles et peuvent donc être exercés par la même personne/entité. Dans ce cas, des garde-fous et des définitions précises des rôles et responsabilités de chaque acteur doivent être formalisés pour bien couvrir toutes les dimensions et pas seulement la partie SI. A contrario, cette dimension "disponibilité" ne doit pas prendre le pas, et donc occulter, les trois autres dimensions (I-Intégrité/C-Confidentialité/P-Preuve et Contrôle) et mettre le RSSI en conflit d'intérêt. Enfin, les aspects logistiques, humains, sanitaires, immobiliers, communications inhérents au traitement d'une crise d'indisponibilité, doivent être traités de concert avec les entités en charge (Moyens généraux, DRH, Direction de la communication ) et pas par le RSSI/RPCA seul. 8 RPCA = Responsable Plan de Continuité de l Activité 14

15 Thème Contrôle Interne Synthèse Le RSSI est un promoteur et un acteur du contrôle permanent. C est lui qui anime l auto-évaluation de la sécurité du système d information. Il est une source d informations pour le contrôle interne tant permanent que périodique, et concrètement c est lui qui produit l état de la sécurité SI qui est inclus dans le rapport de contrôle interne réglementaire. Le RSSI n appartient pas à l organe responsable du contrôle périodique (audit/inspection). Sa mission peut naturellement être auditée, inspectée. Contexte Le contrôle interne, organisé par le CRBF 97-02, précise, dès les dispositions générales, qu il a notamment pour objet «de vérifier la qualité des systèmes d information et de communication» (article 5 e). Il ajoute que «les entreprises assujetties [au CRBF 97-02] doivent déterminer le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d information soient adaptés. Le contrôle des systèmes d information doit notamment permettre de s assurer que le niveau de sécurité des systèmes d informatiques est périodiquement apprécié et que le cas échéant les actions correctrices sont entreprises» (article 14). Le contrôle interne comprend un volet contrôle périodique et un volet contrôle permanent (article 6). Le contrôle périodique est effectué par des agents différents de ceux qui exercent le contrôle permanent (article 6 b). Le contrôle permanent est [notamment] assuré par [des] agents [ ] dédiés à cette fonction (article 6a). «En cas de pluralité de responsables de niveau le plus élevé du contrôle permanent, un membre de l organe exécutif assure la cohérence et l efficacité dudit contrôle» (article 7.1 dernier alinéa). «Au moins une fois par an, les entreprises assujetties élaborent un rapport sur les conditions dans lesquelles le contrôle interne est assuré» (article 42). Les plus de cette approche Le RSSI est, dans l entreprise, le promoteur de la maîtrise des risques des systèmes d information. À ce titre, il exerce sans aucun doute une mission «Contrôle Permanent». Il doit donc être intégré 9 dans le dispositif de contrôle permanent. Son intégration dans ce dispositif facilite la prise en compte chez les acteurs Contrôle Permanent, dédiés ou non, de l analyse des risques SI au même titre que les autres analyses de risques et la mise en œuvre dans ce même dispositif des contrôles permettant d en assurer la maîtrise. Globalement, le RSSI a ainsi une légitimité naturelle dans tous les dispositifs de construction et d animation du contrôle permanent quel que soit le modèle organisationnel du contrôle permanent. Si, par exemple, le contrôle permanent est organisé avec un pilotage central et une mise en œuvre locale (par exemple, au niveau des directions ou des métiers), il participera à la définition des objectifs de maîtrise de risques au niveau central et appuiera la mise en œuvre au niveau local. Ainsi, en ouvrant au RSSI le réseau des correspondants locaux Contrôle Permanent, que ceux-ci soient dédiés ou non à la fonction, cette intégration lui permet de s appuyer sur ce réseau pour faire remonter les informations en provenance du terrain (notamment des auto-évaluation sur la maîtrise des risques SI) et servir d appui pour la mise en œuvre de la politique SSI. L exercice des missions de contrôle permanent et de contrôle périodique doit être effectué par des personnes différentes pour qu elles ne soient pas juge et partie. Le RSSI, qui exerce des fonctions de Contrôle Permanent, n appartient pas à l organe en charge du Contrôle Périodique. Par contre, il est à 9 Il faut lire «être intégré» au sens participer de manière intégrée au dispositif mais pas nécessairement en étant rattaché hiérarchiquement au responsable du Contrôle Permanent. Par contre, il faut a minima une coordination efficace. 15

16 la fois source d informations pour le Contrôle Périodique et destinataire d informations en provenance de celui-ci, notamment pour lui permettre d intégrer les recommandations des inspections. Les Risques Cette intégration de la maîtrise des risques SI dans les fonctions de contrôle permanent, au même titre que la maîtrise des autres risques, ne doit pas faire oublier la nécessité de cette approche spécifique d analyse de risques SI. En effet, s il s agit de faciliter l intégration dans l action «habituelle» de chacun, il est encore utile aujourd hui d organiser une animation spécifique SSI 10 au sein de la maîtrise des risques. Si, par exemple, on rapproche la maîtrise des risques SI et les grandes catégories de risques opérationnels, on voit bien qu on ne peut pas réduire la maîtrise des risques SI à la maîtrise de la seule catégorie «Interruption d activités et dysfonctionnement des systèmes». Cette maîtrise touche aussi d autres catégories notamment la «Fraude externe», la «Fraude Interne», ou l «Exécution, livraison et gestion des processus». L existence d acteurs dédiés SSI participant au plus haut niveau du Contrôle Permanent (et des instances de décision de l entreprise) est une condition nécessaire à l efficacité du Contrôle Permanent sur le domaine SI notamment lorsque ceux-ci sont complexes, comme c est le cas dès que l entreprise atteint une certaine taille. Leur nombre et leurs niveaux devront, naturellement, être cohérents avec la structure de gouvernance de l entreprise et de son Contrôle Permanent. L impossibilité d intégrer à un niveau suffisant la maîtrise des risques SI dans le Contrôle Permanent conduira à renforcer le Contrôle Périodique sur le SI. Enfin, n oublions pas que la mission du RSSI ne s arrête pas à l aspect restrictif du contrôle qui se cantonnerait à une simple vérification. Il doit s agir d un contrôle au sens maîtrise comme le joueur de football contrôle son ballon alors que l arbitre se contente de le vérifier. Ce qui est, bien sûr, le rôle d un Contrôle Permanent. La mission du RSSI nécessite notamment la mise en place de politique, de la sensibilisation, du conseil, de la prévention. Ainsi, il faudra s assurer que son intégration au dispositif de Contrôle Permanent n amène pas le RSSI à négliger ces missions essentielles de prévention et d assistance pour la maîtrise des risques SI. 10 Sécurité du Système d Information 16

17 Thème Maîtrise d Ouvrage des projets de sécurisation Synthèse Être la maîtrise d ouvrage de projets de sécurisation n est pas un objectif permanent et à long terme du RSSI. Cependant, que le RSSI assume ce rôle, pour amorcer voire même conduire un projet de sécurisation qui a du mal à démarrer, peut être pertinent, si c est de manière temporaire et exceptionnelle et sous réserve de précautions indispensables. Le RSSI joue alors le rôle d un «promoteur» de projet, n étant ni le futur utilisateur ou bénéficiaire direct, ni le futur exploitant. Contexte Il n est pas simple de gérer des projets de sécurité, qui apportent soit de nouvelles fonctionnalités aux métiers (émission de certificats par PKI 11, SSO 12, logiciels d aide aux contrôles internes ), soit un meilleur niveau de sécurité sur des infrastructures existantes (durcissement des systèmes ouverts Windows ou Unix, cloisonnement des réseaux ). Bien que convaincus du bien fondé des progrès à accomplir en matière de sécurité sur leurs infrastructures, les acteurs de terrain au quotidien sont le plus souvent démunis de marges de manœuvre pour conduire, en parallèle avec leurs tâches courantes, des projets lourds en temps et en changements induits. Par ailleurs, il est parfois délicat de désigner le maître d ouvrage du développement de nouvelles fonctionnalités transversales à l entreprise. Il ne faut pas que le projet se cale sur les seuls besoins du premier métier utilisateur. En outre, les nécessaires changements de comportement ou d organisation pour obtenir un bon niveau de sécurisation (limitation des droits, contrôles à inscrire dans la durée, etc.) sont parfois difficiles à obtenir de l intérieur même des équipes. Enfin, les budgets de tels projets sont assez conséquents et ne peuvent généralement pas être absorbés dans des budgets récurrents, propres à une seule entité. Les plus de cette approche C est pourquoi, une maîtrise d ouvrage, clairement identifiée, dotée d un budget sanctuarisé, et devant répondre de l avancement de tels projets, constitue un atout pour l entreprise, pour mener à bien, non seulement les réalisations techniques, mais également les changements d organisation ou les évolutions de comportement afférents dans tous les métiers (y compris au sein d équipes informatiques le cas échéant). Confier la maîtrise d ouvrage au RSSI induit plusieurs avantages. D une part, du côté de la maîtrise d ouvrage. Le RSSI connaît tous les projets de sécurisation. Il assure la cohérence entre eux et peut en faire facilement la synthèse. Il peut conduire des actions de fond, dans la durée. Il peut se saisir de sujets de sécurisation en déshérence, le plus souvent par manque de ressources (pour finaliser un diagnostic, pour engager des actions correctrices ). Il peut financer des actions urgentes non budgétés par des métiers ou des services techniques. Il peut conforter des changements d organisation ou de comportements par la mise à disposition d outils d aide à la gestion et au contrôle de la sécurité. Enfin, étant directement responsable du budget de mise en œuvre de sa politique, le RSSI n oubliera pas de prévoir les moyens nécessaires à la prise en compte de la sécurité sur le terrain. L entreprise peut en espérer un meilleur niveau de sécurité global. 11 PKI = Private Key Infrastructure 12 SSO = Single Sign On 17

GUIDE ASSISTANT DE PREVENTION

GUIDE ASSISTANT DE PREVENTION GUIDE ASSISTANT DE PREVENTION SOMMAIRE PROFIL DE RECRUTEMENT - STATUT... 1 LES QUALITES ATTENDUES LA FORMATION... 1 ROLE, MISSIONS ET CHAMP D INTERVENTION... 1 A. Rôle et champ d intervention... 1 B. Les

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

CHARTE DES BONNES PRATIQUES

CHARTE DES BONNES PRATIQUES COMITE DES COMITES D ENTREPRISE DU CONSEIL SUPERIEUR DE L ORDRE DES EXPERTS-COMPTABLES CHARTE DES BONNES PRATIQUES ETABLIE au nom du Conseil supérieur de l Ordre des Experts-comptables dans le cadre des

Plus en détail

Une fiche de Mission pour les Référents SSI. Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI»

Une fiche de Mission pour les Référents SSI. Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI» Une fiche de Mission pour les Référents SSI Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI» Compte-rendu du groupe de Travail 24 octobre 2014 Personnes présentes François TESSON Véronique

Plus en détail

Formations Management

Formations Management Formations Management MANAGEMENT ET COMMUNICATION Ecole du Management : Cycle Animateur d équipe Ecole du Management : Cycle Maîtrise Ecole du Management : Cycle Coordinateur Technique Animateur (trice)

Plus en détail

Ils ont vocation, sous l autorité fonctionnelle d'un ou plusieurs médecins de prévention coordonnateurs régionaux (MPCR) à :

Ils ont vocation, sous l autorité fonctionnelle d'un ou plusieurs médecins de prévention coordonnateurs régionaux (MPCR) à : INTRODUCTION La présente doctrine d emploi a pour objet de préciser les missions et le positionnement des assistants régionaux à la médecine de prévention (ARMP). Les ARMP participent à l'amélioration

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Maîtrise des risques sur le système d information des banques : Enjeux réglementaires et prudentiels

Maîtrise des risques sur le système d information des banques : Enjeux réglementaires et prudentiels Secrétariat général de la Commission bancaire Maîtrise des risques sur le système d information des banques : Enjeux Forum des Compétences 7 décembre 2005 Pierre-Yves Thoraval Secrétaire général adjoint

Plus en détail

STRATÉGIE DE SURVEILLANCE

STRATÉGIE DE SURVEILLANCE STRATÉGIE DE SURVEILLANCE Décembre 2013 SOMMAIRE OBJET page 3 OBJECTIFS DE LA SURVEILLANCE page 3 PRINCIPES D ÉLABORATION DU PROGRAMME page 4 PROGRAMME 2014 page 5 RESSOURCES page 6 PERSPECTIVES 2015/2016

Plus en détail

La conduite du changement

La conduite du changement point de vue stratégie et gouvernance des systèmes d'information La conduite du changement dans les projets SI 1 En préambule Devant les mutations économiques, sociales et technologiques engagées depuis

Plus en détail

Organisation du dispositif de maîtrise des risques

Organisation du dispositif de maîtrise des risques Organisation du dispositif de maîtrise des risques Conférence EIFR 18 décembre 2014 Marie-Agnès NICOLET Regulation Partners Présidente fondatrice 35, Boulevard Berthier 75017 Paris marieagnes.nicolet@regulationpartners.com

Plus en détail

Charte de Compliance ERGO Insurance sa

Charte de Compliance ERGO Insurance sa Charte de Compliance ERGO Insurance sa Introduction Sur la base de la circulaire PPB/D. 255 du 10 mars 2005 sur la compliance adressée aux entreprises d assurances, une obligation légale a été imposée

Plus en détail

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013)

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) (NOTE : Dans le présent document, le genre masculin est utilisé à titre épicène dans le but d alléger le texte.) TABLE DES MATIÈRES 1.

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

Contribution à une Chronologie 2004 Commentée

Contribution à une Chronologie 2004 Commentée Secrétariat général de la Commission bancaire Contribution à une Chronologie 2004 Commentée Colloque du Forum des Compétences le 8 décembre 2004 Alain Dequier Risk Manager 1 L idée d une chronologie récapitulative

Plus en détail

Piloter le contrôle permanent

Piloter le contrôle permanent Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF

Plus en détail

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE Management par les processus les éléments structurants Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise en

Plus en détail

Les métiers de l assistanat Evolutions Compétences - Parcours

Les métiers de l assistanat Evolutions Compétences - Parcours Les métiers de l assistanat Evolutions Compétences - Parcours Neuf pôles d activité La majorité des assistantes ont des activités couvrant ces différents pôles, à des niveaux différents, à l exception

Plus en détail

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur :

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur : COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 30/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Responsable d affaires I OBJECTIF PROFESSIONNEL

Plus en détail

Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS

Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS Introduction à la Sécurité des Systèmes d Information en établissements de santé Fiche N 1 : Les enjeux

Plus en détail

Vous accompagner à la maîtrise de vos projets SIRH

Vous accompagner à la maîtrise de vos projets SIRH Vous accompagner à la maîtrise de vos projets SIRH I.Vous accompagner au pilotage métier de projet Le pilotage métier est le levier de sécurisation du projet de refonte SIRH. Avec Magn Ulteam, conjuguez

Plus en détail

LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE

LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE 1. RÉFÉRENTIEL PROFESSIONNEL DES DIRECTEURS D ETABLISSEMENT OU DE SERVICE

Plus en détail

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,

Plus en détail

DIRECTION DE L INFORMATION LEGALE

DIRECTION DE L INFORMATION LEGALE FICHE DE DESCRIPTION DE POSTE DIRECTION DE L INFORMATION LEGALE ET ADMINISTRATIVE TITULAIRE DU POSTE Nom : RESPONSABLE HIERARCHIQUE DIRECT Nom : CHAUMONT Anne Laure Prénom : Fonction : Visa : Visa : Date

Plus en détail

MINISTÈRE DE L ÉCOLOGIE, DU DÉVELOPPEMENT DURABLE ET DE L'ÉNERGIE. PLAN D ACTIONS POUR LA SECURITE DU SYSTEME FERROVIAIRE 9 septembre 2014

MINISTÈRE DE L ÉCOLOGIE, DU DÉVELOPPEMENT DURABLE ET DE L'ÉNERGIE. PLAN D ACTIONS POUR LA SECURITE DU SYSTEME FERROVIAIRE 9 septembre 2014 MINISTÈRE DE L ÉCOLOGIE, DU DÉVELOPPEMENT DURABLE ET DE L'ÉNERGIE PLAN D ACTIONS POUR LA SECURITE DU SYSTEME FERROVIAIRE 9 septembre 2014 La sécurité ferroviaire demande de réinterroger périodiquement

Plus en détail

RAPPORT DU PRESIDENT DU CONSEIL D ADMINISTRATION JOINT AU RAPPORT DE GESTION

RAPPORT DU PRESIDENT DU CONSEIL D ADMINISTRATION JOINT AU RAPPORT DE GESTION RAPPORT DU PRESIDENT DU CONSEIL D ADMINISTRATION JOINT AU RAPPORT DE GESTION rendant compte des conditions de préparation et d organisation des travaux du Conseil ainsi que des procédures de contrôle interne

Plus en détail

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION SUR LES CONDITIONS DE PRÉPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL AINSI QUE SUR LES PROCÉDURES DE CONTRÔLE INTERNE MISES EN PLACE PAR LA SOCIÉTÉ

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

Résumé de Mémoire EN QUOI LE PILOTAGE PAR LES COUTS REPRESENTE-T-IL UN OUTIL DE GESTION ESSENTIEL POUR ASSURER LA PERENNITE FINANCIERE DE LA BRANCHE

Résumé de Mémoire EN QUOI LE PILOTAGE PAR LES COUTS REPRESENTE-T-IL UN OUTIL DE GESTION ESSENTIEL POUR ASSURER LA PERENNITE FINANCIERE DE LA BRANCHE Résumé de Mémoire EN QUOI LE PILOTAGE PAR LES COUTS REPRESENTE-T-IL UN OUTIL DE GESTION ESSENTIEL POUR ASSURER LA PERENNITE FINANCIERE DE LA BRANCHE COURRIER DU GROUPE LA POSTE? Alix LEGRAND ESG MANAGEMENT

Plus en détail

CHARTE DE L AUDIT INTERNE DU CMF

CHARTE DE L AUDIT INTERNE DU CMF CHARTE DE L AUDIT INTERNE DU CMF Approuvée par le Collège du CMF en date du 3 juillet 2013 1 La présente charte définit officiellement les missions, les pouvoirs et les responsabilités de la structure

Plus en détail

Tous droits réservés SELENIS

Tous droits réservés SELENIS 1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,

Plus en détail

Les orientations stratégiques en matière de prévention des risques professionnels 2012-2013 s inscrivent dans le cadre : PREAMBULE

Les orientations stratégiques en matière de prévention des risques professionnels 2012-2013 s inscrivent dans le cadre : PREAMBULE Les présentes orientations stratégiques ministérielles ont reçu l avis favorable du CHSCT ministériel de l éducation nationale, en sa séance du 10 octobre 2012 Direction générale des ressources humaines

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

L achat de formation en 3 étapes :

L achat de formation en 3 étapes : L achat de formation en 3 étapes : 1- La définition du besoin de formation L origine du besoin en formation peut avoir 4 sources : Une évolution des choix stratégiques de l entreprise (nouveau métier,

Plus en détail

Associations Dossiers pratiques

Associations Dossiers pratiques Associations Dossiers pratiques Le tableau de bord, outil de pilotage de l association (Dossier réalisé par Laurent Simo, In Extenso Rhône-Alpes) Difficile d imaginer la conduite d un bateau sans boussole

Plus en détail

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES Titre : POLITIQUE DE GESTION DES RISQUES CODE : APPROUVÉ PAR : CONSEIL D'ADMINISTRATION RÉS. : CA-617-7747 10-12-2013 EN VIGUEUR : 10-12-2013 MODIFICATIONS : Note : Le texte que vous consultez est une

Plus en détail

OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE

OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE Commission paritaire nationale de l'emploi de la Métallurgie Qualification : MQ 2007 10 89 0264 FICHE D IDENTITE DE LA QUALIFICATION VALIDEE TITRE DE LA QUALIFICATION : Coordonnateur (trice) du développement

Plus en détail

Charte de l'audit informatique du Groupe

Charte de l'audit informatique du Groupe Direction de la Sécurité Globale du Groupe Destinataires Tous services Contact Hervé Molina Tél : 01.55.44.15.11 Fax : E-mail : herve.molina@laposte.fr Date de validité A partir du 23/07/2012 Annulation

Plus en détail

OBJECTIF. 2 RESULTATS. 2 INDICATEURS D IMPACT. 2 PRE-REQUIS. 2 ACTIVITES ET LIVRABLES. 2 PLANNING. 6 PRESTATAIRES. 6 PLAFOND DES CONTRIBUTIONS.

OBJECTIF. 2 RESULTATS. 2 INDICATEURS D IMPACT. 2 PRE-REQUIS. 2 ACTIVITES ET LIVRABLES. 2 PLANNING. 6 PRESTATAIRES. 6 PLAFOND DES CONTRIBUTIONS. Programme MOUSSANADA Axe : Système d information Action d assistance à la maîtrise d ouvrage pour l intégration d une solution informatique intégrée métier TERMES DE RÉFÉRENCE OBJECTIF... 2 RESULTATS...

Plus en détail

8) Certification ISO 14 001 : une démarche utile et efficace

8) Certification ISO 14 001 : une démarche utile et efficace Aller plus loin 8) Certification ISO 14 001 : une démarche utile et efficace 8) Certification ISO 14 001 8 La norme ISO 14001 et la certification Cette norme internationale vise à établir dans l organisme

Plus en détail

Choisissez un pôle d activité ou un profil et cliquez

Choisissez un pôle d activité ou un profil et cliquez Organisation et planification des activités du service Gestion des ressources matérielles Gestion et coordination des informations Relations professionnelles Rédaction et mise en forme de documents professionnels

Plus en détail

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 Les pratiques professionnelles de la Continuité Métier sont définies comme les aptitudes, connaissances et procédures

Plus en détail

Recommandation sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie

Recommandation sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie Recommandation sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie 2013-R-01 du 8 janvier 2013 1 Contexte Pour la commercialisation

Plus en détail

Décision du Haut Conseil du Commissariat aux Comptes

Décision du Haut Conseil du Commissariat aux Comptes DECISION 2009-02 Décision du Haut Conseil du Commissariat aux Comptes Relative aux contrôles périodiques auxquels sont soumis les commissaires aux comptes Principes directeurs du système des contrôles

Plus en détail

Covéa Finance Charte de l Audit et du Contrôle Interne

Covéa Finance Charte de l Audit et du Contrôle Interne CHARTE D AUDIT ET DE CONTROLE INTERNE DE COVÉA FINANCE DEFINITION DU CONTROLE INTERNE Le contrôle interne est un dispositif défini et mis en œuvre par les dirigeants et les personnels des sociétés, qui

Plus en détail

Les entretiens obligatoires : comment s y retrouver? Les différents types d entretiens, Modalité et Contenu

Les entretiens obligatoires : comment s y retrouver? Les différents types d entretiens, Modalité et Contenu Les entretiens obligatoires : comment s y retrouver? Les différents types d entretiens, Modalité et Contenu L entretien professionnel L avenant relatif à l entretien professionnel (extrait) Pour lui permettre

Plus en détail

REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU DE LA MAIRIE DE PARIS

REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU DE LA MAIRIE DE PARIS REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU DE LA MAIRIE DE PARIS V2. 3/23/2011 1 / 7 SOMMAIRE DU REFERENTIEL INTRODUCTION PREAMBULE POURQUOI UN REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU? P.

Plus en détail

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Document d orientation aux organismes publics Annexe A Rôles et responsabilités détaillés des

Plus en détail

Recommandations pour la collecte et le traitement de données

Recommandations pour la collecte et le traitement de données Recommandations pour la collecte et le traitement de données Sommaire Contexte, objectif et démarche 1 1 Identification du besoin 2 2 Conception et définition du processus de la collecte de données 3 3

Plus en détail

INTRODUCTION. Le succès de la phase d initialisation passe par la réalisation de deux étapes successives : Lancement projet Organisation projet

INTRODUCTION. Le succès de la phase d initialisation passe par la réalisation de deux étapes successives : Lancement projet Organisation projet INTRODUCTION Le succès de la phase d initialisation passe par la réalisation de deux étapes successives : Le lancement du projet; L organisation du projet. Dossier de fin d'étude Lancement projet Organisation

Plus en détail

La conduite du projet de dématérialisation dans les EPS

La conduite du projet de dématérialisation dans les EPS La conduite du projet de dématérialisation dans les EPS Objet de la présente fiche La fiche vise à présenter le contexte organisationnel et informatique de la conduite d un projet de dématérialisation

Plus en détail

Direction générale PROGRAMME PRINCIPAL 02

Direction générale PROGRAMME PRINCIPAL 02 PROGRAMME PRINCIPAL 02 WO/PBC/4/2 page 33 Direction générale 02.1 Cabinet du directeur général 02.2 Conseiller spécial et commissions consultatives 02.3 Supervision interne Résumé 61. La propriété intellectuelle

Plus en détail

REFERENTIEL D EVALUATION DES ACQUIS DE L EXPERIENCE POUR LE DIPLOME CAFERUIS

REFERENTIEL D EVALUATION DES ACQUIS DE L EXPERIENCE POUR LE DIPLOME CAFERUIS REFERENTIEL D EVALUATION DES ACQUIS DE L EXPERIENCE POUR LE DIPLOME CAFERUIS Référentiel d activités Le référentiel d activités décline les activités rattachées aux six fonctions exercées par l encadrement

Plus en détail

ATELIERS «MISE EN ŒUVRE DE L ENTRETIEN PROFESSIONNEL» MARDI 15 ET JEUDI 17 SEPTEMBRE 2015 SYNTHESE

ATELIERS «MISE EN ŒUVRE DE L ENTRETIEN PROFESSIONNEL» MARDI 15 ET JEUDI 17 SEPTEMBRE 2015 SYNTHESE ATELIERS «MISE EN ŒUVRE DE L ENTRETIEN PROFESSIONNEL» MARDI 15 ET JEUDI 17 SEPTEMBRE 2015 SYNTHESE I. PRESENTATION GENERALE DES ATELIERS II. SYNTHESE DE CHAQUE ATELIER (identification des idées fortes)

Plus en détail

La carte d achat, c est quoi ça?

La carte d achat, c est quoi ça? La, c est quoi ça? C est un outil mis à disposition des structures publiques et privées qui modifie et simplifie l acte d approvisionnement : C est une carte bancaire nominative et sécurisée qui permet

Plus en détail

L INTEGRATION D UN NOUVEAU COLLABORATEUR

L INTEGRATION D UN NOUVEAU COLLABORATEUR L INTEGRATION D UN NOUVEAU COLLABORATEUR «Rien ne sert de bien sélectionner, il faut aussi savoir intégrer à point!» Si un recrutement réussi dépend avant toute chose d une solide procédure de sélection,

Plus en détail

VADE-MECUM DES RELATIONS ELUS / AGENTS dans les collectivités locales

VADE-MECUM DES RELATIONS ELUS / AGENTS dans les collectivités locales VADE-MECUM DES RELATIONS ELUS / AGENTS dans les collectivités locales Préambule : quels enjeux? La question des relations élus / agents se pose dans les collectivités locales en raison de la coexistence

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Introduction Face à l évolution constante des besoins fonctionnels et des outils informatiques, il est devenu essentiel pour

Plus en détail

Les missions du comité d audit

Les missions du comité d audit AUDIT COMMITTEE INSTITUTE FRANCE Les missions du comité d audit Aide mémoire kpmg.fr Sommaire Réglementation... 3 Exemples de bonnes pratiques... 6 Suivi de l efficacité des systèmes de contrôle interne

Plus en détail

Assistant Chargé de formation H/F

Assistant Chargé de formation H/F Assistant Chargé de formation H/F La fonction Technologies & Processus (ITP) regroupe plusieurs métiers dont le point commun est de venir en appui à tous les collaborateurs du Groupe, sur des problématiques

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014 OFFICE D INVESTISSEMENT DES RÉGIMES DE PENSION («INVESTISSEMENTS PSP») Approuvé par le conseil d administration le 13 novembre 2014 13 novembre 2014 PSP-Legal 1633578-1 Page 2 INTRODUCTION Le conseil d

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

L entretien professionnel annuel (EPA)

L entretien professionnel annuel (EPA) INSTRUCTION n 2012-43 du 21 février 2012 L entretien professionnel annuel (EPA) Emetteurs : DGA RH Direction gestion des carrières et politique de rémunération Correspondants : Marie BALLAND Isabel IBANEZ

Plus en détail

FICHE N 5 : LA RECHERCHE DES PARTENAIRES

FICHE N 5 : LA RECHERCHE DES PARTENAIRES FICHE N 5 : LA RECHERCHE DES PARTENAIRES La réalisation d un PCS doit être l occasion de travailler avec différents partenaires et de créer un réseau. L objectif est de faire en sorte de bien définir qui

Plus en détail

APPEL A CANDIDATURES REFERENCEMENT PRESTATAIRES POUR L APPUI CONSEIL CONTRAT DE GENERATION. Présentation

APPEL A CANDIDATURES REFERENCEMENT PRESTATAIRES POUR L APPUI CONSEIL CONTRAT DE GENERATION. Présentation APPEL A CANDIDATURES REFERENCEMENT PRESTATAIRES POUR L APPUI CONSEIL CONTRAT DE GENERATION Présentation Date limite de remise des candidatures : Le 04/02/2014 CCI Franche-Comté. Appel à candidatures référencement

Plus en détail

CHARTE DE L AUDIT INTERNE DU CNRS

CHARTE DE L AUDIT INTERNE DU CNRS Direction de l audit interne www.cnrs.fr NE DAI 0 0 00 CHARTE DE L AUDIT INTERNE DU CNRS INTRODUCTION La présente charte définit la mission, le rôle et les responsabilités de la Direction de l audit interne

Plus en détail

BENETEAU ----------------------------------------- RAPPORT du PRESIDENT. sur le fonctionnement du Conseil d Administration. et le contrôle interne

BENETEAU ----------------------------------------- RAPPORT du PRESIDENT. sur le fonctionnement du Conseil d Administration. et le contrôle interne BENETEAU Société Anonyme au capital de 8.714.720 Siège Social : Les Embruns 16 boulevard de la Mer 85800 SAINT GILLES CROIX DE VIE 487 080 194 R.C.S. La Roche sur Yon -----------------------------------------

Plus en détail

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence

Plus en détail

CONSEIL D ADMINISTRATION MANDAT

CONSEIL D ADMINISTRATION MANDAT Décembre 2014 CONSEIL D ADMINISTRATION MANDAT 1. CRÉATION Le Conseil d administration de la Banque du Canada (le «Conseil») est constitué en vertu de l article 5 de la Loi sur la Banque du Canada (la «Loi»).

Plus en détail

Politique de gestion intégrée des risques

Politique de gestion intégrée des risques 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de gestion intégrée des risques Émise par la Direction, Gestion

Plus en détail

Responsable du département. Production / Infrastructures

Responsable du département. Production / Infrastructures Page 1 sur 9 Nom Fonction REDACTEUR VERIFICATEUR APPROBATEUR Martine Véniard Directeur du système d information Directeur du personnel Direction générale Date 1/01/2016 Signature Sources : Répertoire des

Plus en détail

Software Asset Management Savoir optimiser vos coûts licensing

Software Asset Management Savoir optimiser vos coûts licensing Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons

Plus en détail

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité"

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction conformité BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité" Le Gouverneur de Bank Al-Maghrib; vu la loi n 34-03 relative aux établissements de crédit

Plus en détail

CHARTE DU COMITÉ D AUDIT

CHARTE DU COMITÉ D AUDIT CHARTE DU COMITÉ D AUDIT Comité d audit 1.1 Membres et quorom Au moins quatre administrateurs, qui seront tous indépendants. Tous les membres du comité d audit doivent posséder des compétences financières

Plus en détail

Dossiers méthodologiques DURANTON CONSULTANTS. Conduire un projet d organisation

Dossiers méthodologiques DURANTON CONSULTANTS. Conduire un projet d organisation Dossiers méthodologiques DURANTON CONSULTANTS Conduire un projet d organisation Version actualisée le 8 octobre 2012 Adresse du siège social : 190 rue Lecourbe 75015 Paris Adresse de correspondance : La

Plus en détail

Direction Générale de la Cohésion Sociale

Direction Générale de la Cohésion Sociale Fiche technique : Présentation du décret n 2013-994 du 7 novembre 2013 organisant la transmission d informations entre départements en application de l article L. 221-3 du code de l action sociale et des

Plus en détail

Intégrer un salarié dans l entreprise

Intégrer un salarié dans l entreprise L objectif de ce guide est d aider les managers à optimiser l accueil et l intégration des nouveaux salariés dans l entreprise. Un autre guide Fafsea «Assurer la fonction de tuteur» est à la disposition

Plus en détail

CQPM 0215 Préventeur Santé Sécurité Environnement

CQPM 0215 Préventeur Santé Sécurité Environnement CQPM 0215 Préventeur Santé Sécurité Environnement Salariés ou futurs salariés des entreprises qui auront pour missions d animer et/ou participer à la mise en œuvre de la politique prévention, sécurité,

Plus en détail

Plan de continuité d activité

Plan de continuité d activité Plan de continuité d activité - Note méthodologique - Cette méthodologie vise à opérationnaliser le PCA en le confrontant - au travers d une simulation - à la réalité du travail futur. La démarche est

Plus en détail

Les priorités de l ACPR L évolution des règles internationales

Les priorités de l ACPR L évolution des règles internationales EIFR Risques opérationnels Enjeux structurels et défis à venir Paris, 5 novembre 2014 Les priorités de l ACPR L évolution des règles internationales Philippe BILLARD Chef du service des affaires internationales

Plus en détail

Ministère du travail, de l emploi, de la formation professionnelle et du dialogue social CAHIER DES CHARGES DU CONSULTANT

Ministère du travail, de l emploi, de la formation professionnelle et du dialogue social CAHIER DES CHARGES DU CONSULTANT Ministère du travail, de l emploi, de la formation professionnelle et du dialogue social CAHIER DES CHARGES DU CONSULTANT APPUI CONSEIL «GESTION DES AGES» dans le cadre du Contrat de génération Le présent

Plus en détail

Termes de référence pour le recrutement d un consultant en communication

Termes de référence pour le recrutement d un consultant en communication Termes de référence pour le recrutement d un consultant en communication A. Contexte La Conférence des Ministres de l Éducation des États et gouvernements de la Francophonie (CONFEMEN) est une organisation

Plus en détail

MANAGEMENT DE LA RADIOPROTECTION

MANAGEMENT DE LA RADIOPROTECTION Page : 1/10 MANUEL MAN-CAM-NUC-F Seule la version informatique est mise à jour, avant toute utilisation consulter sur le réseau Intranet la version en cours de ce document Page : 2/10 HISTORIQUE DE RÉVISION

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

ECOLE DU MANAGEMENT - Niveau 3 Cycle Supérieur Industriel

ECOLE DU MANAGEMENT - Niveau 3 Cycle Supérieur Industriel Responsables opérationnels débutants ou expérimentés en lien direct avec le comité de direction. Responsables d unités de production. Responsables de projet (technique, organisation, industrialisation).

Plus en détail

Document de référence des activités et compétences des membres du CHSCT

Document de référence des activités et compétences des membres du CHSCT Document de référence des activités et compétences des membres du CHSCT Au niveau national comme au niveau régional, les partenaires sociaux ont la capacité de fixer les orientations qui seront mises en

Plus en détail

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...

Plus en détail

Projet de management commercial unique du Réseau La Poste et de la Banque Postale

Projet de management commercial unique du Réseau La Poste et de la Banque Postale Projet de management commercial unique du Réseau La Poste et de la Banque Postale DRH La Banque Postale / Services Financiers et du Réseau La Poste Document confidentiel Sommaire Projet de structure managériale

Plus en détail

CAC/GL 62-2007 Page 1 de 5

CAC/GL 62-2007 Page 1 de 5 CAC/GL 62-2007 Page 1 de 5 PRINCIPES DE TRAVAIL POUR L ANALYSE DES RISQUES EN MATIÈRE DE SÉCURITÉ SANITAIRE DES ALIMENTS DESTINÉS À ÊTRE APPLIQUÉS PAR LES GOUVERNEMENTS CAC/GL 62-2007 CHAMP D APPLICATION

Plus en détail

Plan d'actions communes inter-instituts

Plan d'actions communes inter-instituts Plan d'actions communes inter-instituts AFSSET, INERIS, INRETS, InVS, IRSN "Les instituts d'expertise nationaux face aux évolutions de la gouvernance des activités et situations à risques pour l'homme

Plus en détail

Charte de contrôle interne de Fongépar Gestion Financière

Charte de contrôle interne de Fongépar Gestion Financière Charte de contrôle interne de Fongépar Gestion Financière Sommaire : 1 Avant propos... 2 1.1 Objet de la Charte... 2 1.2 Le cadre règlementaire... 2 2 Organisation du dispositif de contrôle interne...

Plus en détail

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 Les 12 recommandations de la Cour des comptes ont été approuvées. Actuellement

Plus en détail

Position AMF n 2013-02 Le recueil des informations relatives à la connaissance du client

Position AMF n 2013-02 Le recueil des informations relatives à la connaissance du client Position AMF n 2013-02 Le recueil des informations relatives à la connaissance du client Textes de référence : articles 314-44, 314-46, 314-47, 314-51 à 314-53 et 325-7 du règlement général de l AMF 1.

Plus en détail

Notre modèle d engagement

Notre modèle d engagement Notre modèle d engagement 1. EVALUER L évaluation des compétences que vous souhaitez améliorer implique un vrai échange entre nos deux équipes, et une étude plus approfondie des écarts et des actions préalablement

Plus en détail

L entretien professionnel annuel

L entretien professionnel annuel L entretien professionnel annuel Informations-repères pour la mise en œuvre du décret du 17 septembre 2007 et de l arrêté du 10 avril 2008 portant sur l appréciation de la valeur professionnelle des fonctionnaires

Plus en détail

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56 CHARTE ADMINISTRATEUR CORRELYCE Version du 31/08/2007 10:56 Table des matières 1. CONTEXTE... 3 2. OBJET... 3 3. REFERENTIEL... 3 4. PREROGATIVES DE L ADMINISTRATEUR SYSTEME CORRELYCE... 4 4.1 DROIT D

Plus en détail

Livre Blanc. Construire un système d information collaboratif de pilotage de l action publique. Mai 2010

Livre Blanc. Construire un système d information collaboratif de pilotage de l action publique. Mai 2010 Livre Blanc Construire un système d information collaboratif de pilotage de l action publique Mai 2010 Un livre blanc édité par : NQI - Network Quality Intelligence Tél. : +33 4 92 96 24 90 E-mail : info@nqicorp.com

Plus en détail

Le RSSI: un manager transverse

Le RSSI: un manager transverse Le RSSI: un manager transverse Thomas Jolivet Responsable du pôle Conseil 20/06/2013 Agenda 1. Le RSSI :un manager pas comme les autres 2. Les Interactions entre la SSI et l organisation 3. Mobiliser les

Plus en détail