MEHARI TM V3 Guide de l analyse des risques

Dimension: px
Commencer à balayer dès la page:

Download "MEHARI TM V3 Guide de l analyse des risques"

Transcription

1 METHODES MEHARI TM V3 Guide de l analyse des risques Octobre 2004 Commission Méthodes CLUB DE LA SECURITE DES SYSTEMES D INFORMATION FRANÇAIS 30, rue Pierre Semard, PARIS Tél. : Fax : Web :

2 1. SOMMAIRE 2. Remerciements Table des figures Introduction L analyse de situations de risque et l utilisation des automatismes de MEHARI TM Rappel du processus d analyse de risque Évaluation de l exposition naturelle Évaluation de l impact intrinsèque Évaluation des facteurs de réduction de risque à partir d un audit de sécurité Méhari TM Évaluation de la potentialité et de l impact Évaluation de la gravité du scénario Conseils pratiques La recherche des situations de risque La recherche systématique à partir de la base de connaissance Création d une base spécifique de scénarios Évaluation automatique des scénarios Sélection des scénarios critiques devant être pris en compte pour une analyse des risques Annexe 1 : Grille d exposition naturelle standard...19 Annexe 2 : Définition des niveaux d exposition naturelle...20 Annexe 3 : Tableau d impact intrinsèque...21 Annexe 4 : Définition des niveaux de facteurs de réduction de risque Annexe 5 : Principes de construction des grilles d évaluation des STATUS Annexe 6 : Grilles d évaluation standards...26 Méhari TM V3: Guide de l analyse des risques 1

3 2. REMERCIEMENTS Le CLUSIF tient à mettre ici à l honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement : Dominique Buc Jean-Philippe Jouas Gérard Molines BUC SA 2SI MOLINES CONSULTANTS Jean-Louis Roule Nicolas Vincent NICOLAS VINCENT CONSULTANT Méhari TM V3: Guide de l analyse des risques 2

4 3. TABLE DES FIGURES Figure 1 : Le processus d analyse de risque et les assistances de Méhari TM... 5 Figure 2 : Recherche des situations de risque...15 Méhari TM V3: Guide de l analyse des risques 3

5 4. INTRODUCTION Les principes de l analyse des risques et de la recherche des situations de risque ont été présentés dans le document «Principes et Mécanismes de Méhari TM V3». Nous en rappelons l essentiel : Une situation de risque peut être caractérisée par une potentialité et un impact intrinsèques, en l absence de toute mesure de sécurité. Potentialité intrinsèque et Impact intrinsèque peuvent être évalués. Des mesures de sécurité peuvent venir réduire ce risque intrinsèque par le biais de facteurs significatifs de réduction de risque. Ces facteurs de réduction de risque peuvent être évalués. Sur la base de ces éléments, il est possible d évaluer une potentialité et un impact résiduel, caractéristiques du risque, et d en déduire un indicateur de gravité de risque. Méhari TM propose des outils d assistance tout au long de ce processus d analyse et d évaluation. L analyse d une situation de risque peut se faire directement en utilisant les principes généraux et les explications présentés dans le document «Principes et Mécanismes de Méhari TM V3». Si la situation de risque analysée correspond à un scénario de la base de connaissances Méhari TM, il est également possible de s appuyer, toujours pour une évaluation directe du niveau de risque, sur le «Manuel de référence des scénarios de risques» qui donne, pour chaque scénario, des indications spécifiques sur les facteurs de réduction du risque. Nous décrirons, dans ce document, la manière d utiliser les automatismes de Méhari TM pour une assistance à l évaluation d une situation de risque. Nous nous placerons donc, par hypothèse, dans le cas où la situation analysée correspond à un scénario de la base Méhari TM. Nous décrirons également la manière d utiliser ces automatismes pour mettre en évidence et sélectionner pour une analyse détaillée des situations de risque. Méhari TM V3: Guide de l analyse des risques 4

6 5. L ANALYSE DE SITUATIONS DE RISQUE ET L UTILISATION DES AUTOMATISMES DE MEHARI TM 5.1. Rappel du processus d analyse de risque Rappelons, en introduction, le schéma global de l analyse de risque présenté dans le document «Principes et Mécanismes de Méhari TM V3» : Identification d une situation de risque Décision sur l acceptabilité du risque Évaluation de l exposition naturelle Évaluation des facteurs de dissuasion et prévention Évaluation de la Potentialité Évaluation de l Impact Intrinsèque Évaluation des facteurs de protection, palliation et récupération Évaluation de la Réduction d Impact Évaluation de l impact Évaluation globale du risque Assistance, si scénario Méhari ou proche : Grille standard des expositions Commentaires dans base de connaissance globale Assistance, si scénario Méhari ou proche : Commentaires dans base de connaissance globale Automatismes de calcul des STATUS si audit préalable Assistance: Grilles de décision, standards ou propres à l entreprise, fonctions du type de situation de risque Assistance: Échelle de valeurs des dysfonctionnements ou classification préexistante Assistance, si scénario Méhari ou proche : Commentaires dans base de connaissance globale Automatismes de calcul des STATUS si audit préalable Assistance: Grilles de décision, standards ou propres à l entreprise, fonctions du type de situation de risque Assistance: Grille d acceptabilité des risques, standard ou propre à l entreprise Figure 1 : Le processus d analyse de risque et les assistances de Méhari TM Méhari TM propose ainsi, par ses bases de connaissances, plusieurs types d assistance à l analyse de risque : Une assistance à l évaluation de l exposition naturelle Des automatismes d évaluation des facteurs de réduction des risques (dissuasion, prévention, protection, palliation et récupération) en fonction de la qualité des services de sécurité, si celle-ci a été évaluée par un audit Méhari TM. Un tableau générique d impact intrinsèque pouvant être élaboré à la suite d une classification ou directement à partir d une échelle de valeurs de dysfonctionnements. Des automatismes de calcul de la potentialité et de l impact, en fonction de l exposition naturelle, de l impact intrinsèque et des facteurs d atténuation des risques. Ces aides sont disponibles si le scénario analysé fait partie de la base de connaissances Méhari TM. Méhari TM V3: Guide de l analyse des risques 5

7 5.2. Évaluation de l exposition naturelle Nous avons eu l occasion de préciser, dans les principes généraux, que l exposition naturelle pouvait varier, pour une même entreprise, en fonction de phénomènes conjoncturels. Il reste, néanmoins, que pour beaucoup d entreprises, l exposition «normale» ou «standard» à un type de risque, c est-à-dire en l absence de phénomènes conjoncturels particuliers, est conforme à ce qui peut être constaté généralement et que l on peut donc fournir une évaluation «a priori» Exposition naturelle standard Les scénarios 1 de la base de connaissances Méhari TM se réfèrent ainsi à une liste limitée d événements de base, qu il s agisse d accidents, d erreurs ou de malveillance, pour lesquels une évaluation a priori de l exposition est donnée. Ainsi, par exemple, il est estimé que l exposition naturelle «standard» d une entreprise à un incendie est de niveau 2 (plutôt improbable), à une panne d équipement informatique de niveau 3 (plutôt probable) et à une erreur pendant un processus de saisie de niveau 4 (très probable). La liste de ces événements et de l exposition naturelle standard est donnée en annexe 1. Chaque scénario fait ainsi référence à un type d événement, ainsi que le montre l exemple cidessous : : Perte de fichier de données, par effacement malveillant de supports par le personnel d exploitation TYP-EXPO EFF-DISS EFF-PREV MA010 MAX(MIN(07C02;08E02);0 8C01) 08A02 EFF-PROT EFF-PALL EFF-RECUP MAX(08C01 ;08C05) MAX(MIN(08D05 ;09D03); 09D02) 01D02 Le type d exposition MA010 de la table de l annexe 1 est : «Effacement volontaire de données ou vol de support» et est évalué en valeur standard au niveau Exposition naturelle spécifique de l entreprise pour un risque donné Il doit être clair que l évaluation standard proposée n est qu une évaluation par défaut et que l évaluation directe de l exposition de l entreprise à la situation de risque analysée est de loin préférable. Pour cette évaluation, on se référera aux définitions des niveaux d exposition qui ont été données dans le document «Principes et Mécanismes de Méhari TM V3» et qui sont rappelées en annexe 2. Il est aussi possible, pour un scénario particulier, de se référer au Manuel de référence des scénarios qui contient des commentaires spécifiques sur l évaluation de l exposition naturelle. Remarque : S il est procédé à une analyse systématique de situations de risque ou si plusieurs situations doi- 1 Les scénarios de la base de connaissances de Méhari TM sont regroupés en familles ayant des conséquences similaires. Il y a actuellement 12 familles de scénarios standards Méhari TM V3: Guide de l analyse des risques 6

8 vent être examinées, il est largement préférable de passer d abord en revue l ensemble des types d événements et de porter un jugement d ensemble sur l exposition de l entreprise à chacun d eux Évaluation de l impact intrinsèque L impact intrinsèque d un scénario est l évaluation des conséquences de l occurrence du risque, indépendamment de toute mesure de sécurité, ainsi que cela a été décrit dans les principes de Méhari TM. Pour chaque scénario défini dans la base de connaissances de Méhari TM, il existe une cible de ce scénario, c est-à-dire une ressource impliquée ou détériorée. Il peut s agir d un type de données ou d informations dérobées, d un type de ressources rendues indisponibles ou d un type de ressources altérées, selon qu il s agit d un scénario mettant en cause la confidentialité, la disponibilité ou l intégrité d une ressource, qui sont les trois critères de base pris en compte par Méhari TM en standard. Dans ces conditions évaluer l impact intrinsèque d un scénario revient à évaluer le niveau de criticité ou de gravité de la perte de confidentialité, de disponibilité ou d intégrité, selon le type de scénario, du type de ressource mise en cause par le scénario. C est exactement la démarche de classification que nous avons décrite, appliquée à un tableau générique de classification faisant apparaître les types de ressources identifiés de manière spécifique par les scénarios de la base de connaissances Le tableau d impact intrinsèque La démarche d évaluation des impacts intrinsèques peut donc être organisée et consiste à remplir un tableau d impact intrinsèque dont un extrait est donné ci-dessous. Tableau d impact intrinsèque Classification des données, informations et éléments d infrastructure D I C Données et informations D01 Fichiers de données ou bases de données applicatives D07 Courrier et télécopies / Infrastructure informatique et télécom R02 Équipements et câblage des réseaux locaux S01 Systèmes centraux, serveurs applicatifs, Le remplissage de ce tableau consiste à évaluer le niveau de conséquence d une atteinte à la disponibilité, l intégrité ou la confidentialité de chaque type de ressource identifié. Cela peut être fait, ainsi que pour toute classification, à partir d une analyse des enjeux ayant débouché sur une échelle de valeurs des dysfonctionnements. A défaut, il est possible de le faire directement, mais le processus d analyse des enjeux décrit dans les principes de Méhari TM est incontestablement la démarche à conseiller. Le tableau complet est donné en annexe 3. Remarque la dernière partie du tableau complet correspond à des impacts intrinsèques ne dé- Méhari TM V3: Guide de l analyse des risques 7

9 pendant pas de la classification d une ressource. Il s agit, en effet, d évaluer l impact intrinsèque de types de scénarios un peu particuliers, et, en pratique, de l indisponibilité de personnels ou de la non conformité à la loi ou à la réglementation Extension du tableau d impact intrinsèque Le tableau standard de Méhari TM ne fait référence qu aux trois critères standards de Disponibilité, Intégrité et Confidentialité. D autres critères peuvent, bien entendu, être utilisés. Et on peut étendre le tableau avec, par exemple, des critères de Preuve, de Traçabilité, d Auditabilité, Il faudra alors etc. créer des scénarios faisant appel à de tels critères (ou modifier des scénarios existants) et créer, en outre, les grilles d évaluation correspondantes. Le logiciel Risicare TM 2 qui permet de traiter jusqu à cinq critères dans sa version V4 devrait permettre d en traiter huit dans la nouvelle version L évaluation de l impact intrinsèque des scénarios L évaluation de l impact intrinsèque de chaque scénario de la base de connaissances sera faite très simplement, chaque scénario faisant référence à un type de ressource du tableau d impact intrinsèque et au critère à utiliser (D, I ou C ou autre éventuellement). Autrement dit, chaque scénario de la base de connaissance fait référence explicitement à un type de ressource atteint par le scénario et au mode d atteinte (D, I ou C en standard), ce qui permet d évaluer l impact intrinsèque en s appuyant sur le tableau du même nom Décomposition cartographique Le tableau d impact intrinsèque standard ne comprend qu une ligne pour l ensemble des serveurs centraux ou applicatifs, qu une ligne pour les bases de données applicatives, et, plus généralement, qu une seule référence par type de ressource. On peut alors souhaiter distinguer des variantes de ressources, un peu de la même manière que l on peut distinguer des variantes de services de sécurité lors d un audit (voir le schéma d audit, dans le guide d audit). La création de variantes de types de ressources dans le tableau d impact s appelle, dans Méhari TM V3, la décomposition cartographique. On peut ainsi décomposer les serveurs en domaines de serveurs, les bases de données en domaines applicatifs, les progiciels en domaines de progiciels, etc. Cette possibilité est exploitée par le logiciel Risicare TM pour créer des variantes de scénarios en fonction des variantes cartographiques créées. Remarque : L exploitation de cette possibilité peut cependant s avérer lourde de conséquences quant au nombre de scénarios générés. Nous reviendrons sur ce point plus loin Évaluation des facteurs de réduction de risque à partir d un audit de sécurité Méhari TM L évaluation de la potentialité et de l impact d un scénario de risque repose sur une analyse de l existence de facteurs de réduction du risque et sur une évaluation de leur niveau. Ces facteurs sont la dissuasion et la prévention pour la potentialité, la protection, la palliation et la récupération pour l impact. 2 de la société BUC S.A. Méhari TM V3: Guide de l analyse des risques 8

10 Méhari TM propose, dans sa base de connaissance des scénarios, des évaluations du niveau de ces facteurs en fonction de la qualité des services de sécurité pertinents pour le scénario analysé. Cette évaluation automatisée est faite en deux temps : Le calcul d indicateurs d efficacité des services de sécurité, pour chaque type de mesure Le calcul des facteurs de réduction de risque proprement dits Indicateurs d efficacité des services de sécurité par scénario et type de mesure Méhari TM définit, pour chaque scénario et pour chaque type de mesure, un indicateur d efficacité. L efficacité des mesures d un type donné est noté : EFF-DISS pour l efficacité des mesures dissuasives EFF-PREV pour l efficacité des mesures de prévention EFF-PROT pour l efficacité des mesures de protection EFF-PALL pour l efficacité des mesures palliatives EFF-RECUP pour l efficacité des mesures de récupération Ces indicateurs sont calculés par le biais de formules faisant référence à des services de sécurité. Les formules données dans la base de connaissances de Méhari TM font appel : Soit directement à un service de sécurité, par son identifiant 3, quand ce service est le seul à avoir un effet de ce type pour ce scénario Soit par le biais de formules comprenant des fonctions MIN(arg1 ; arg2 ; ) ou MAX(arg1 ; arg2 ; ), les arguments (arg1 ; arg2, ) étant les identifiants des services de sécurité de la base Méhari TM. Les formules peuvent être, par exemple, de la forme : EFF-PALL = 06B01 EFF-PREV = MAX(04B04;MIN(04B01;04B02;04B03)) La première formule signifie que l efficacité (proposée) des mesures palliatives est directement fonction du service 06B01 et a pour valeur le niveau de qualité de ce service. La deuxième formule signifie que l efficacité (proposée) des mesures préventives est égale à la plus grande valeur de la qualité du service 04B04 et de la fonction représentant le minimum des services 04B01, 04B02, 04B03 Il peut se trouver qu il n y ait pas de service de sécurité pouvant avoir un effet de type donné pour un scénario donné. Remarque : La fonction MIN signifie que les services appelés en arguments sont complémentaires et que si l un d eux est faible, l ensemble sera faible. Ce peut être le cas, par exemple de la gestion des autorisations d accès et de l authentification ; si l un d eux est faible, le contrôle d accès dans son ensemble est faible. La fonction MAX signifie que les services appelés sont alternatifs : si l un d eux est de bonne 3 l identifiant d un sous-service est constitué d un numéro de domaine, d une lettre indiquant le service auquel il est attaché et d un numéro de sous-service (ex. 06B01) Méhari TM V3: Guide de l analyse des risques 9

11 qualité, l ensemble le sera. Ce peut être le cas, par exemple et selon certains scénarios, du contrôle d accès aux données et du chiffrement de ces données. A titre d exemple, nous donnons le contenu de la base de connaissances Méhari TM pour le scénario : : Perte de fichier de données, par effacement malveillant de supports par le personnel d exploitation TYP-EXPO EFF-DISS EFF-PREV MA010 MAX(MIN(07C02;08E02);0 8C01) 08A02 EFF-PROT EFF-PALL EFF-RECUP MAX(08C01 ;08C05) MAX(MIN(08D05 ;09D03); 09D02) 01D Facteurs de réduction de risque «calculés» Il est clair que les coefficients d efficacité évalués ci-dessus, de la forme EFF-XXXX, étant calculés à partir de valeurs de qualité de service qui n ont aucune raison d être des nombres entiers, ne sont pas eux-mêmes des nombres entiers. Afin de faciliter l évaluation finale de la potentialité et de l impact, Méhari TM choisit de les transformer pour obtenir des évaluations de facteurs de réduction de risque exprimés par des valeurs entières. Dans Méhari TM, ces facteurs de réduction de risque sont notés STATUS-XXXX (par exemple STATUS-DISS pour le facteur de dissuasion). Les STATUS sont alors obtenus par simple arrondi à la valeur la plus proche : STATUS-XXXX = 1 si EFF-XXXX < 1,5 STATUS-XXXX = 2 si 1,5 EFF- XXXX < 2,5 STATUS-XXXX = 3 si 2,5 EFF-XXXX < 3,5 STATUS-XXXX = 4 si 3,5 EFF-XXXX où XXXX représente DISS, PREV, PROT, PALL ou RECUP Remarque : Par analogie, la valeur de l évaluation de l Exposition Naturelle sera notée STATUS-EXPO. Ces facteurs de réduction de risque sont ainsi des facteurs «calculés», ce qui veut dire que la valeur obtenue sera généralement pertinente mais qu il se pourrait qu elle ne le soit pas dans le contexte spécifique de l entreprise ou de l organisme. Il peut se trouver, par exemple, des situations dans lesquelles le personnel a un statut tel qu il est peu sensible à la dissuasion ou dans lesquelles le personnel est particulièrement expert, ceci rendant fragiles les mesures de prévention, ou pour lesquelles les mesures de protection ou les mesures palliatives seraient sans effet réel sur le niveau d impact réel. Méhari TM propose une assistance en fournissant des valeurs calculées pour les facteurs de réduction de risque ; ces valeurs doivent cependant être contrôlées avant utilisation. Un cas particulier fréquent est celui de scénarios pour lesquels on peut penser que les mesures de protection ne réduiront pas significativement l impact intrinsèque du scénario (parce que la détection de la fraude ou de la divulgation, par exemple, ne réduiront pas la gravité du risque, quel- Méhari TM V3: Guide de l analyse des risques 10

12 les que soient les mesures prises alors). Il est alors possible de considérer le scénario comme non évolutif et de le déclarer comme tel Évaluation des facteurs de risque Ceci veut dire qu il convient, avant de retenir des facteurs de risque pour le scénario, de les contrôler en se référant aux définitions de base desdits facteurs (rappelées en annexe 4) Évaluation de la potentialité et de l impact Évaluation automatisée de la Potentialité : STATUS-P Méhari TM propose une évaluation automatisée de la potentialité en partant de l évaluation de l exposition naturelle, évaluée par le STATUS-EXPO, d une part et du niveau des mesures dissuasives et préventives, mesuré par les STATUS-DISS et STATUS-PREV, d autre part. A partir de l expression des STATUS en valeurs entières, Méhari TM propose d évaluer la potentialité, sous la forme d un indicateur appelé STATUS-P, qui est déduit directement des STATUS-EXPO, STATUS-DISS et STATUS-PREV par des grilles d évaluation. Trois grilles standards d évaluation sont prévues par Méhari TM, en fonction du type de cause conduisant au scénario : Événement naturel ou accident Erreur humaine Malveillance humaine Ces grilles standards peuvent être modifiées si besoin est. Remarque : La logique de ces grilles d évaluation est de considérer que pour un type de cause donné (accident, erreur ou malveillance), le même raisonnement devrait être suivi, indépendamment de la description précise du scénario : à exposition égale, dissuasion égale et prévention égale, on devrait juger que la potentialité de deux scénarios est la même Évaluation automatisée de l impact : STATUS-I Méhari TM propose également une évaluation automatisée de l impact en partant de l impact intrinsèque du scénario d une part et du niveau des mesures de protection, palliatives et de récupération, mesuré par les STATUS-PROT, STATUS-PALL et STATUS-RECUP, d autre part. Cette évaluation se fait en deux temps : Évaluation d un indicateur de réduction d impact : STATUS-RI Évaluation de l impact : STATUS-I Évaluation de la réduction d impact : STATUS-RI Méhari TM propose d évaluer, dans un premier temps, une réduction d impact matérialisée par un indicateur STATUS-RI, déduit directement des STATUS-PROT, STATUS-PALL et STATUS-RECUP par des grilles d évaluation. Ce facteur de réduction d impact mesure 4 Dans Risicare, cela sera une option offerte, pour les scénarios considérés au départ comme évolutifs, une fois les scénarios sélectionnés, avec pour effet de forcer la prise en compte d une grille d évaluation spécifique ne tenant pas compte des mesures de protection. Méhari TM V3: Guide de l analyse des risques 11

13 l atténuation des conséquences du risque, par rapport à l impact intrinsèque évalué auparavant. Trois grilles standards d évaluation permettant d évaluer le STATUS-RI sont prévues par Méhari TM, en fonction du type de conséquence du scénario : Perte de disponibilité Perte d intégrité Perte de confidentialité Les grilles tiennent compte également du caractère évolutif ou non du scénario, ce caractère étant explicité dans la base de connaissances (et pouvant être forcé dans l état non évolutif, pour les scénarios initialement déclarés comme évolutifs dans la base). Ces grilles standards peuvent également être modifiées si besoin est. Remarque : La logique de ces grilles d évaluation est de considérer que pour un type de conséquence donné (atteinte à la disponibilité, à l intégrité ou à la confidentialité), le même raisonnement devrait être suivi, indépendamment de la description précise du scénario : à mesures de protection égales, mesures palliatives égales et mesures de récupération égales, on devrait juger que la réduction de l impact intrinsèque de deux scénarios est la même Évaluation de l impact : STATUS-I L impact résiduel est déduit de l impact intrinsèque et de l indicateur de réduction d impact par la formule suivante : I = MIN (IMPACT INTRINSEQUE ; 5 STATUS-RI) qui signifie que le STATUS-RI a un effet de plafonnement sur l impact : plafonnement de l impact résultant à 4, donc sans effet, si STATUS-RI vaut 1 plafonnement de l impact à 3, si STATUS-RI vaut 2 plafonnement de l impact à 2, si STATUS-RI vaut 3 plafonnement de l impact à 1, si STATUS-RI vaut 4 L évaluation du STATUS-I peut également être représentée par la grille suivante : Grille de calcul de STATUS-I STATUS-RI Impact intrinsèque Principes de construction des grilles d évaluation En pratique, les grilles standards, aussi bien pour la potentialité que pour l impact, ont été bâties en s appuyant sur un certain nombre de principes, décrits en annexe 5 : Principes de construction des bases de connaissances. Pour modifier ces grilles, il convient de repartir des principes, de les Méhari TM V3: Guide de l analyse des risques 12

14 modifier éventuellement, puis de reconstruire les grilles en conséquence. Les grilles d évaluation standards sont données en annexe Évaluation de la potentialité et de l impact Comme pour les facteurs de réduction de risque, les automatismes fournis par les grilles de décision ne sont qu une assistance au jugement qui fournissent des indicateurs appelés, dans Méhari TM, STATUS. Un jugement final sur la pertinence des niveaux de potentialité P et d impact I, dans le cas de l entité étudiée, devrait être la règle Évaluation de la gravité du scénario Le gravité du scénario sera déduite des évaluations de Potentialité et d Impact, P et I, par la grille d acceptabilité des risques, telle qu elle a été définie dans le document «Principes et Mécanismes de Méhari TM V3» Conseils pratiques Esprit de la démarche d analyse de risque Nous avons, volontairement, fait apparaître les automatismes de Méhari TM comme des aides à l évaluation du niveau de risque. Il est fondamental de garder à l esprit qu il s agit d un processus d évaluation et qu un consensus obtenu par un groupe d évaluation sera toujours plus fiable qu un automatisme Composition du groupe d évaluation des risques La démarche telle que nous l avons décrite, fonctionne d autant mieux que l évaluation des risques est faite par un groupe d évaluation représentatif. La composition du groupe d évaluation des risques a une certaine importance. Il devrait comprendre : Des utilisateurs du domaine concerné, et ceci à un niveau tel qu ils puissent juger de l atténuation réelle des conséquences pouvant être apportée par des mesures de sécurité. Des informaticiens capables d éclairer le groupe d évaluation sur l efficacité réelle des diverses mesures de sécurité et sur les possibilités de contournement (robustesse et mise sous contrôle). Un animateur connaissant bien la méthode et compétent en sécurité des systèmes d information Appui de la démarche sur un audit de sécurité Nous avons dit que les automatismes ne devaient être considérés que comme des aides au processus d évaluation. Il reste que, même avec un groupe compétent et représentatif, des surévaluations de la qualité des services de sécurité sont possibles, par optimisme involontaire ou par volonté politique. Un audit de la sécurité peut donc constituer une bonne assurance de la qualité de l ensemble de la démarche en offrant une référence pouvant faire naître des questions. Des évaluations de risques forts résultant des automatismes peuvent révéler des faiblesses ou des vulnérabilités qui auraient pu passer inaperçues au stade de l évaluation directe. Une justification des écarts constatés devrait alors être recherchée. Méhari TM V3: Guide de l analyse des risques 13

15 En ce sens, le contrôle des évaluations directes par ces automatismes est une bonne pratique. Méhari TM V3: Guide de l analyse des risques 14

16 6. LA RECHERCHE DES SITUATIONS DE RISQUE Nous avons traité dans le chapitre précédent de l analyse d une situation de risque particulière. La recherche des situations à analyser est donc une étape préliminaire pour laquelle des outils peuvent être nécessaires. Il y a deux pistes principales de recherche : L approche directe à partir de l échelle de valeurs des dysfonctionnements (cf. Principes et mécanismes de Méhari TM V3). La recherche organisée et systématique par une évaluation automatique de la base de scénarios fournie par Méhari TM Nous nous placerons ici dans ce deuxième cas La recherche systématique à partir de la base de connaissance Nous aborderons ici les aides apportées par Méhari TM dans la recherche systématique des situations de risque. Cette recherche systématique s appuie sur la base de connaissance de scénarios de risques déjà présentée et utilise les automatismes décrits au chapitre précédent. Elle s appuie sur une analyse préliminaire des enjeux matérialisée par une échelle de valeurs des dysfonctionnements et par une classification des ressources du système d information et sur un audit de sécurité. Le processus proposé par Méhari TM spécifiques à l entité ou l entreprise. est basé sur la création d un ensemble de scénarios Ce processus comprend deux grandes étapes, conformément au schéma ci-dessous. Décision de lancement d une recherche des situations de risque 1 Création d une base spécifique de scénarios de risque 2 Sélection des scénarios critiques, en fonction d une échelle de valeurs et d un audit des vulnérabilités Scénarios critiques à analyser spécifiquement Figure 2 : Recherche des situations de risque 6.2. Création d une base spécifique de scénarios La base de scénarios spécifiques s appuie sur une base de scénarios génériques faisant partie des bases de connaissances de Méhari TM. Méhari TM V3: Guide de l analyse des risques 15

17 6.2.1 La base générique de scénarios de risque Les bases de connaissance de Méhari TM comprennent une base de scénarios dont il a déjà été question au chapitre précédent. Il s agit d un ensemble de scénarios classés par famille de type de conséquences (la version V3 comprend approximativement 170 scénarios et variantes de scénarios classés en 12 familles) qui donne pour chaque scénario : Une description des conséquences du scénario. Une description de la cause et de l origine du scénario. Le type d événement caractéristique pour évaluer l exposition naturelle. Le type de ressource concerné pour évaluer l impact intrinsèque. Les services de sécurité pertinents pour le scénario en fonction du type d effet attendu (effet dissuasif, préventif, de protection, palliatif ou de récupération). Les formules utilisées par les automatismes de calcul de l efficacité des mesures de sécurité pour le scénario. Des indicateurs globaux du type de conséquence (D, I, ou C, pour Disponibilité, Intégrité ou Confidentialité), du caractère évolutif ou non du scénario, et du type de cause (A, E ou M, pour Accident, Erreur ou Malveillance), indicateurs utilisés également par les automatismes de calcul de la Potentialité et de la Réduction d Impact (pour le choix des grilles d évaluation utilisées). En complément, la base de connaissances comprend, pour chaque scénario, une aide à l analyse (dite approche globale) constituée de définitions adaptées pour chaque type de mesure de sécurité et de commentaires pour l appréciation directe de l efficacité des mesures de sécurité Particularisation des scénarios en fonction des ressources impliquées Comme noté précédemment, les scénarios génériques de Méhari TM ne précisent les ressources impliquées qu en référençant un type de ressource, assez global. Il peut donc être tentant de particulariser chaque scénario selon la ou les ressources impliquées. En particulier, si une classification de chaque ensemble de serveurs ou autres ressources informatiques et de chaque ensemble de données spécifiques de chaque domaine d application a été établie, il peut être tentant d analyser chaque scénario autant de fois que de domaines d application considérés, c est-à-dire de créer autant de variantes de scénarios que de domaines d application. Par exemple, en considérant un des scénarios génériques de Méhari TM qui est «le détournement de fichiers de données par accès au système et copie de fichiers, de la part d un pirate», il est possible de le répliquer selon qu il s agit, par exemple, des données des RH, ou des données commerciales, etc. Cela revient à créer, à partir d un scénario générique, plusieurs scénarios spécifiques, en fonction des ensembles de ressources pour lesquels une classification a été faite. Cette démarche est possible et s appuie sur ce que nous avons appelé, plus haut dans ce document, une décomposition cartographique. Cela peut conduire à un nombre considérable de scénarios et il convient d être très prudent dans l utilisation de cette possibilité. En pratique, la démarche proposée par Méhari TM consiste, en option de base, à ne préciser le scénario générique que par le type général de ressource, référencé par le scénario et dont la sensibilité est indiquée dans le tableau d impact intrinsèque. Cette simplification est justifiée car le seul objet de cette analyse est de déterminer quelles situa- Méhari TM V3: Guide de l analyse des risques 16

18 tions de risque peuvent être critiques et méritent une analyse plus détaillée. Il suffit alors de savoir que tel scénario peut mettre en cause des ressources ayant tel niveau de sensibilité Prise en compte des solutions de sécurité spécifiques Dans la sélection des scénarios pouvant être critiques, les solutions de sécurité mises en place auront, bien sûr, une influence et plus ces solutions seront efficaces, moins un scénario pourra être critique. Il est donc clair que des scénarios pour lesquels il existe, par exemple, différents environnements ou systèmes, ou, plus généralement, différentes sortes de solutions de sécurité, devront être traités séparément. C est exactement la même démarche que celle suivie pour l audit et le schéma d audit élaboré pour l audit devra être réutilisé pour la sélection des situations de risque critiques. Une autre manière de présenter le schéma d audit appliqué à la sélection des scénarios critiques est de considérer que pour effectuer cette sélection nous allons nous appuyer sur un audit de sécurité. Si donc, lors de l audit, nous avons jugé important de distinguer des «variantes», il faudra bien envisager autant de scénarios «variantes» d un même scénario générique que nécessaire, pour tenir compte des différentes variantes de services de sécurité (évaluées indépendamment l une de l autre) impliquées dans le scénario. Il faut bien être conscient que cela peut conduire rapidement à un grand nombre de scénarios : un schéma d audit très simple 5 peut facilement conduire à multiplier par un facteur de quelques unités le nombre de scénarios génériques Évaluation automatique des scénarios Les automatismes de Méhari TM ont été présentés au chapitre précédent. Ces automatismes s appuient sur un audit de sécurité (et sur un schéma d audit réutilisé pour construire la base spécifique de scénarios). Les automatismes sont utilisés pour évaluer les STATUS détaillés et, en fonction de la potentialité et de l impact intrinsèque de chaque scénario, la potentialité et l impact résultants de chaque scénario. Une gravité globale de chaque scénario et son caractère critique ou non peuvent alors être déduits d une grille d acceptabilité du risque Sélection des scénarios critiques devant être pris en compte pour une analyse des risques Partant de la base spécifique de scénarios et de l évaluation automatique de leur gravité, il devient aisé de faire la sélection des scénarios critiques, c est-à-dire devant être considérés dans une analyse de risque conduite selon le processus décrit au chapitre précédent. On sélectionnera ainsi les scénarios dont le niveau de gravité est supérieur ou égal à un seuil choisi librement, généralement 3 pour une échelle de gravité allant de 1 à 4. 5 Par exemple, une entité, deux types de sites (siège et agence régionale), deux types de locaux (informatiques et techniques, d une part, autres locaux d autre part), 1 type de réseau et une seule exploitation réseau, 2 types de systèmes (système central et systèmes ouverts) et 1 seule exploitation informatique, 2 types d applications (sur système central et sur systèmes ouverts) et 2 types de développements (central et systèmes ouverts) Méhari TM V3: Guide de l analyse des risques 17

19 Remarque : Compte tenu de ce qui a été dit au chapitre précédent sur la prudence avec laquelle il faut prendre les évaluations automatiques, il est recommandé de prendre en compte, pour cette sélection automatique, une grille d acceptabilité des risques relativement sévère. En effet, la grille d acceptabilité des risques peut être différente au niveau de la sélection des scénarios critiques de celle que l on utilisera pour le jugement final sur la gravité d une situation de risque. On pourra, par exemple considérer une grille relativement sévère, comme celle donnée cidessous : I = 4 I = 3 I = 2 I = 1 G = 3 G = 3 G = 4 G = 4 G = 2 G = 3 G = 3 G = 4 G = 1 G = 2 G = 3 G = 3 G = 1 G = 1 G = 1 G = 3 P = 1 P = 2 P = 3 P = 4 Rappel : On considère généralement que les scénarios de gravité égale à 4 sont intolérables, que les scénarios de gravité égale à 3 sont inadmissibles et que les scénarios de niveau de gravité inférieur sont tolérables. Méhari TM V3: Guide de l analyse des risques 18

20 ANNEXE 1 : GRILLE D EXPOSITION NATURELLE STANDARD Évaluation de l'exposition naturelle Très improbable Plutôt improbable Plutôt probable Très probable Évaluation de la probabilité des événem ents suivants Accidents AC01 Court-circuit au niveau du câblage ou d'un équipement. X 2 AC02 Chute de la foudre X 2 AC03 Incendie naissant dans les locaux : corbeille à papier, cendrier, etc. X 2 AC04 Accidents dus à l'eau ou à des liquides (fuite d'une canalisation, liquides X 2 renversés accidentellement, etc.). AC05 Inondation causée par une canalisation percée ou crevée X 2 AC06 Inondation causée par la crue d'une rivière ou une remontée de la nappe X 2 phréatique AC07 Inondation causée par l'extinction d'un incendie voisin, X 2 AC08 Coupure d'énergie de longue durée pour une cause extérieure X 2 AC09 Indisponibilité totale des locaux : Interdiction d'accès décidée par la préfecture X 2 (risque de pollution, d'émeute, etc.) AC10 Disparition de personnel stratégique X 2 AC11 Panne d'un équipement de servitude (alimentation électrique, climatisation, X 2 etc.) AC12 Panne matérielle d'un équipement informatique ou télécom X 2 AC13 Défaillance matérielle d'un équipement informatique ou télécom impossible à résoudre par la maintenance, ou indisponibilité du prestataire Status-Expo X 2 AC14 Blocage applicatif ou système impossible à résoudre par la maintenance, pour X 2 cause de disparition de la SSII ou du fournisseur. AC15 Saturation accidentelle de ressources X 3 AC16 Accident d'exploitation conduisant à une altération de données X 3 AC17 Effacement de données ou de configurations, par un virus X 3 AC18 Perte accidentelle de fichiers de données par un automate X 3 AC19 Perte accidentelle de fichiers de données par vieillissement, pollution, X 2 AC20 Perte accidentelle de fichiers de données due à une panne d'équipement (crash de disque dur) X 2 Malveillances MA01 Vandalisme depuis l'extérieur : tir d'armes légères ou lancement de projectiles X 2 depuis la rue, MA02 Vandalisme intérieur : petit vandalisme par des personnes autorisées à X 2 pénétrer dans l'établissement (personnel, sous-traitants, etc.). MA03 Terrorisme sabotage par des agents extérieurs : explosifs déposés à proximité X 1 des locaux sensibles, MA04 Saturation répétitive malveillante de moyens informatiques par un groupe X 2 d'utilisateurs MA05 Saturation du réseau par un ver X 2 MA06 Effacement volontaire (direct ou indirect) de support de logiciel X 2 MA07 Altération malveillante (directe ou indirecte) des fonctionnalités d'un logiciel ou d'une fonction d'un programme bureautique (Excel ou Access) X 3 MA08 Entrée de données faussée ou manipulation de données X 3 MA09 Accès volontaire à des données ou informations partielles et divulgation X 3 MA10 Détournement de fichiers ou vol de support de données X 3 MA11 Effacement volontaire (direct ou indirect), vol ou destruction de support de X 3 programmes ou de données MA12 Vol de micro-ordinateur portable en dehors des locaux de l'entreprise. X 3 MA13 Effacement malveillant de configurations réseau X 2 MA14 Effacement malveillant de configurations applicatives ou systèmes X 2 MA15 Détournement de code source de programmes X 2 MA16 Espionnage étatique ou de maffias (demandant de très gros moyens) X 1 MA17 Vol d'équipement informatique ou télécom, à l'intérieur des locaux X 3 Actes volontaires non malveillants AV01 Absence de personnel d'exploitation : grève du personnel d'exploitation X 2 AV02 Départ de personnel stratégique X 3 AV03 Pénétration du SI d'une tierce société, par du personnel interne ou non X 3 AV04 Utilisation de logiciels sans licence X 3 Erreurs ER01 Dégradation involontaire de performances, à l'occasion d'une opération de X 2 maintenance ER02 Effacement accidentel de logiciel par erreur humaine X 3 ER03 Altération accidentelle des données pendant la maintenance X 3 ER04 Erreur pendant le processus de saisie, X 4 ER05 Bug dans un logiciel système, un middleware ou un progiciel X 4 ER06 Bug dans un logiciel applicatif X 4 ER07 Erreur lors de la modification de fonctions de feuilles de calcul ou de macroinstructions, X 3 Méhari TM V3: Guide de l analyse des risques 19

L analyse de risques avec MEHARI

L analyse de risques avec MEHARI L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de

Plus en détail

Guide de l analyse et du traitement des risques. Janvier 2010. Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS

Guide de l analyse et du traitement des risques. Janvier 2010. Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS METHODES MEHARI 2010 Guide de l analyse Janvier 2010 Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

LA GESTION DES RISQUES - Concepts et méthodes

LA GESTION DES RISQUES - Concepts et méthodes LES DOSSIERS TECHNIQUES LA GESTION DES RISQUES - Concepts et méthodes Révision 1 du 28 janvier 2009 Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél.

Plus en détail

Droit d auteur Max2G 2012 : Reproduction permise avec obligation d indiquer la source www.max2g.com

Droit d auteur Max2G 2012 : Reproduction permise avec obligation d indiquer la source www.max2g.com Max2G Démarche d analyse de risques avec l Assistant Méhari L analyse de risques est une approche de gestion permettant d identifier les risques négatifs pouvant affecter une organisation et de déterminer

Plus en détail

Guide de développement d une base de connaissances d analyse de risque MEHARI. Mars 2012. Espace Méthodes

Guide de développement d une base de connaissances d analyse de risque MEHARI. Mars 2012. Espace Méthodes METHODES MEHARI 2010 Guide de développement d une s d analyse de risque MEHARI Mars 2012 Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80

Plus en détail

Manuel de référence de la base de connaissances MEHARI 2010. DB-Mehari_2010_Exc_FR_2-14.xls Pour Excel, LibreOffice ou OpenOffice.

Manuel de référence de la base de connaissances MEHARI 2010. DB-Mehari_2010_Exc_FR_2-14.xls Pour Excel, LibreOffice ou OpenOffice. METHODES MEHARI 2010 Manuel de référence de la base de connaissances MEHARI 2010 DB-Mehari_2010_Exc_FR_2-14.xls Pour Excel, LibreOffice ou OpenOffice 30 mars 2012 Espace Méthodes CLUB DE LA SECURITE DE

Plus en détail

RESULTATS DE L'ANALYSE DES RISQUES SSI. Modèle de présentation pour les MOA Territoriales

RESULTATS DE L'ANALYSE DES RISQUES SSI. Modèle de présentation pour les MOA Territoriales RESULTATS DE L'ANALYSE DES RISQUES SSI Modèle de présentation pour les MOA Territoriales «ASIP Santé / Pôle Référentiels, Architecture et Sécurité» Identification du document Référence Outillage-Risques-SSI-V1.0.0

Plus en détail

ESTIMATION DES PERTES ET CONSEQUENCES ECONOMIQUES DUES A DES SINISTRES INFORMATIQUES EN FRANCE. France, 1992

ESTIMATION DES PERTES ET CONSEQUENCES ECONOMIQUES DUES A DES SINISTRES INFORMATIQUES EN FRANCE. France, 1992 ESTIMATION DES PERTES ET CONSEQUENCES ECONOMIQUES DUES A DES SINISTRES INFORMATIQUES EN FRANCE France, 1992 CLUSIF Date de publication : 1993 TABLE DES MATIERES RISQUES INFORMATIQUES 1992 PRESENTATION...3

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

Étude de cas Senilom réalisée à partir de la méthode MEHARI

Étude de cas Senilom réalisée à partir de la méthode MEHARI CLUB DE LA SECURITE DES SYSTEMES D INFORMATION FRANCAIS 30, rue Pierre Semard, 75009 PARIS Tél. : +33 153 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr - Web : http://www.clusif.asso.fr

Plus en détail

Résumé non technique de l étude de. GINGER Environnement & Infrastructures Page 5

Résumé non technique de l étude de. GINGER Environnement & Infrastructures Page 5 Résumé non technique de l étude de GINGER Environnement & Infrastructures Page 5 A. Principes généraux de réduction des risques 1. Rôle central de l étude de L étude de : expose les que peuvent présenter

Plus en détail

L'AUDIT DES SYSTEMES D'INFORMATION

L'AUDIT DES SYSTEMES D'INFORMATION L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

PRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_00 23.02.2006 CSI

PRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_00 23.02.2006 CSI MEHARI DOCUMENT HISTORY Version Modification Date Author V00_00 23.02.2006 CSI V00_01 DIFFUSION Organisation Name Diffusion mode CLUSSIL GT ANARISK Membres présents Electronique PRM_Mehari_v0 Page 1 sur

Plus en détail

PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance

PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance REF 118 01 Sauvegarde à distance de données numériques REFERENCE : PCE-118-01 30/03/2001 PCE- 118 01 Page 1 sur 17 30/03/2001 Toute reproduction

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

Retours d expérience de mise en œuvre de WebPCA pour la conception et le maintien en conditions opérationnelles du PCA.

Retours d expérience de mise en œuvre de WebPCA pour la conception et le maintien en conditions opérationnelles du PCA. Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Gérer le Plan de Continuité d Activité avec WebPCA Retours d expérience de mise en œuvre

Plus en détail

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise entreprises l informatique est vitale pour mon activité je protège mon matériel et mon entreprise offre IT la Tous Risques Informatiques l informatique est omniprésente dans le monde des entreprises Une

Plus en détail

Principe et règles d audit

Principe et règles d audit CHAPITRE 2 Principe et règles d audit 2.1. Principe d audit Le principe et les règles d audit suivent logiquement l exposé précédent. D abord, comme dans toute branche de l activité d une entreprise, l

Plus en détail

Présentation des recommandations

Présentation des recommandations A U D I T D U S Y S T E M E D I N F O R M A T I O N D E L E N T R E P R I S E O L D R H U M Présentation des recommandations M A S T E R S É C U R I T É D E S S Y S T È M E S D I N F O R M A T I O N D.

Plus en détail

Methode Mehari www.ofppt.info

Methode Mehari www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Methode Mehari DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Conditions Générales de Services WebSure

Conditions Générales de Services WebSure Conditions Générales de Services WebSure ATHENA GLOBAL SERVICES, représentant exclusif de la marque Websure ; 20, allée Louis Calmanovic, 93320 Les Pavillons Sous Bois. 1 OBJET Websure, réalise certaines

Plus en détail

Malveillances Téléphoniques

Malveillances Téléphoniques 28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre

Plus en détail

FAIRE FACE A UN SINISTRE INFORMATIQUE

FAIRE FACE A UN SINISTRE INFORMATIQUE FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation

Plus en détail

Guide de l analyse des enjeux et de la classification. Version 2 : novembre 2011 Mise à niveau avec la base de connaissance courante.

Guide de l analyse des enjeux et de la classification. Version 2 : novembre 2011 Mise à niveau avec la base de connaissance courante. METHODES MEHARI 2010 Guide de l analyse Version 2 : novembre 2011 Mise à niveau avec la base de connaissance courante Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11 rue de Mogador, 75009

Plus en détail

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine La présente charte définit les règles d usages et de sécurité que l Université de Lorraine

Plus en détail

Chapitre 5 La sécurité des données

Chapitre 5 La sécurité des données 187 Chapitre 5 La sécurité des données 1. Les risques de perte des données La sécurité des données La sauvegarde des données est essentielle pour une entreprise, quelle que soit sa taille, à partir du

Plus en détail

Conditions Générales d'utilisation du Service de paiement en ligne VITEPAY

Conditions Générales d'utilisation du Service de paiement en ligne VITEPAY Conditions Générales d'utilisation du Service de paiement en ligne VITEPAY AVERTISSEMENT Vous venez de choisir le service VITEPAY comme mode de paiement. Vous devez lire attentivement les dispositions

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer Approbation de la charte informatique de l OOB Charte utilisateur pour l usage de ressources informatiques et de services Internet de l Observatoire Océanologique de Banyuls-sur-mer Approuvé par le Conseil

Plus en détail

ADDENDA AU CONTRAT ID BLACKBERRY «SERVICE DE TÉLÉCHARGEMENT DES APPLICATIONS VIA BLACKBERRY APP WORLD ET SERVICE DE PAIEMENT BLACKBERRY»

ADDENDA AU CONTRAT ID BLACKBERRY «SERVICE DE TÉLÉCHARGEMENT DES APPLICATIONS VIA BLACKBERRY APP WORLD ET SERVICE DE PAIEMENT BLACKBERRY» ADDENDA AU CONTRAT ID BLACKBERRY «SERVICE DE TÉLÉCHARGEMENT DES APPLICATIONS VIA BLACKBERRY APP WORLD ET SERVICE DE PAIEMENT BLACKBERRY» AFIN DE POUVOIR ACHETER ET/OU TÉLÉCHARGER TOUT PRODUIT OU SERVICE

Plus en détail

Maîtrise Universitaire en Comptabilité, Contrôle et Finance

Maîtrise Universitaire en Comptabilité, Contrôle et Finance Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d information de gestion Partie 2: Evaluation des risques dans le domaine IT 10 mars 2015 Agenda! Rappel des enseignements

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI? Atelier A 26 Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI? Intervenants Julien CAMUS Deputy Risk & Insurance Manager jcamus@paris.oilfield.slb.com

Plus en détail

27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité

27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques WIFI Le wifi est une technologie de réseau informatique sans fil mise en place pour fonctionner en réseau interne Utilisateur

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN ClearBUS Application cliente pour la communication sécurisée Version 1.12 Le 25/11/2011 Identifiant : CBUS-CS-1.12-20111125 contact@clearbus.fr tel : +33(0)485.029.634 Version 1.12

Plus en détail

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES Préambule La Poste est propriétaire de fichiers informatiques de données géographiques. Lesdits fichiers permettent de

Plus en détail

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions? Cyber-sécurité Cyber-crime Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions? SIRM Forum 2011 Nov. 9 th, 2011, Pfäffikon Par Alexandre VOISIN, Corporate Insurance & Risk

Plus en détail

Conseil d administration Genève, novembre 2002 LILS

Conseil d administration Genève, novembre 2002 LILS BUREAU INTERNATIONAL DU TRAVAIL GB.285/LILS/1 285 e session Conseil d administration Genève, novembre 2002 Commission des questions juridiques et des normes internationales du travail LILS PREMIÈRE QUESTION

Plus en détail

Solution de sauvegarde externalisée

Solution de sauvegarde externalisée Solution de sauvegarde externalisée POURQUOI BACK NET «Le choix d une stratégie de sauvegarde performante présente pour les entreprises d aujourd hui, un véritable enjeu en termes de viabilité.» Elle doit

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

SOLUTION DE MANAGEMENT INTEGRE DES RISQUES. ASPHALES by COFELY INEO

SOLUTION DE MANAGEMENT INTEGRE DES RISQUES. ASPHALES by COFELY INEO SOLUTION DE MANAGEMENT INTEGRE DES RISQUES 1 LA SOLUTION SES APPLICATIONS SES UTILISATEURS RÉFÉRENCES CONTACTS 2 LA SOLUTION SON POTENTIEL SON HISTOIRE SON MOTEUR SES CARACTÉRISTIQUES SA MISE EN ŒUVRE

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

I partie : diagnostic et proposition de solutions

I partie : diagnostic et proposition de solutions Session 2011 BTS assistant de manager Cas Arméria: barème et corrigé Remarque: la 1 ère partie doit être cohérente avec les éléments déterminants du contexte décrit dans cet encadré, qui n est pas attendu

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Ressources. APIE Agence du patrimoine immatériel de l état. La comptabilisation des logiciels et bases de données. l immatériel. Pour agir.

Ressources. APIE Agence du patrimoine immatériel de l état. La comptabilisation des logiciels et bases de données. l immatériel. Pour agir. Ressources de l immatériel APIE Agence du patrimoine immatériel de l état La comptabilisation des logiciels et bases de données En bref L administration consacre des moyens financiers et humains considérables

Plus en détail

(Démarche et méthode)

(Démarche et méthode) Altaïr Conseil Transformation Gouvernance - Risques Elaborer la cartographie des risques (Démarche et méthode) 33, rue Vivienne, 75 002 Paris 01 47 33 03 12 www.altairconseil.fr contact@altairconseil.fr

Plus en détail

Quadra Entreprise On Demand

Quadra Entreprise On Demand Quadra Entreprise On Demand LS -Quadra Entrepriset OD- 11/2013 ARTICLE 1 : DEFINITIONS LIVRET SERVICE QUADRA ENTREPRISE ON DEMAND Les termes définis ci-après ont la signification suivante au singulier

Plus en détail

WHITE PAPER. Protéger les serveurs virtuels avec Acronis True Image

WHITE PAPER. Protéger les serveurs virtuels avec Acronis True Image Protéger les serveurs virtuels avec Acronis True Image Copyright Acronis, Inc., 2000 2008 Les organisations liées aux technologies de l information ont découvert que la technologie de virtualisation peut

Plus en détail

RESUME NON TECHNIQUE DE L'ETUDE DES DANGERS. Russy-Bémont (60)

RESUME NON TECHNIQUE DE L'ETUDE DES DANGERS. Russy-Bémont (60) DE L'ETUDE DES DANGERS BONDUELLE CONSERVE Russy-Bémont (60) 1 Environnement et voisinage... 2 2 Potentiels de dangers... 3 3 Evaluation des risques... 4 4 Evaluation des effets des scénarios retenus...

Plus en détail

Gestion des incidents

Gestion des incidents HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence

Plus en détail

Atelier " Gestion des Configurations et CMDB "

Atelier  Gestion des Configurations et CMDB Atelier " Gestion des Configurations et CMDB " Président de séance : François MALISSART Mercredi 7 mars 2007 (Nantes) Bienvenue... Le thème : La Gestion des Configurations et la CMDB Le principe : Échanger

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

POLITIQUE GENERALE DE LA SECURITE ET DE LA PROTECTION DES DONNEES A LA CRAMIF DOCUMENT PUBLIC

POLITIQUE GENERALE DE LA SECURITE ET DE LA PROTECTION DES DONNEES A LA CRAMIF DOCUMENT PUBLIC POLITIQUE GENERALE DE LA SECURITE ET DE LA PROTECTION DES DONNEES A LA CRAMIF DOCUMENT Version 1 du 13 mai 2015 SOMMAIRE Page 1 Présentation du document et enjeux... 3 2 Le contexte applicable... 4 2.1

Plus en détail

Guide du diagnostic de l état des services de sécurité. Janvier 2010. Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS

Guide du diagnostic de l état des services de sécurité. Janvier 2010. Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS METHODES MEHARI 2010 Guide du diagnostic Janvier 2010 Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail

Plus en détail

ETUDE DE CAS : SECURITE D UN

ETUDE DE CAS : SECURITE D UN PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité systèmes d information Sous-direction assistance, conseil et epertise Bureau assistance et

Plus en détail

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder 25.05.2008

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder 25.05.2008 Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA James Linder 25.05.2008 1 Objectifs Pourquoi un plan de secours? Pour ne ne pas pas être être bloqué dans son son travail

Plus en détail

I V R I. dentification ulnérabilités isques nterprétation. 2003 Marc-André Léger

I V R I. dentification ulnérabilités isques nterprétation. 2003 Marc-André Léger I V R I dentification ulnérabilités isques nterprétation 2003 Marc-André Léger les vulnérabilitées 7000 6000 5000 4000 3000 2000 1000 0 2000 2001 2002 2003 2004 Vision de l organisation comme système organique

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail

La télésauvegarde est-elle la solution pour réduire les risques quotidiens de la sauvegarde?

La télésauvegarde est-elle la solution pour réduire les risques quotidiens de la sauvegarde? La télésauvegarde est-elle la solution pour réduire les risques quotidiens de la sauvegarde? SOMMAIRE Introduction I. Les risques encourus avec un système de sauvegarde traditionnelle II. Les attentes

Plus en détail

Dossier de Demande d Autorisation Préfectorale Au titre des Installations Classées CANCON (47)

Dossier de Demande d Autorisation Préfectorale Au titre des Installations Classées CANCON (47) Dossier de Demande d Autorisation Préfectorale Au titre des Installations Classées CANCON (47) VI. RESUME NON TECHNIQUE DE L ETUDE DE DANGERS Novembre 2009 Mise à jour juillet 2011 Réf. : RP/ER/MM/2009/092

Plus en détail

S424-4 LA MAINTENANCE DE L UC ET LA GESTION DES RISQUE. 1 Les enjeux de la maintenance et de la gestion des risques et incidents

S424-4 LA MAINTENANCE DE L UC ET LA GESTION DES RISQUE. 1 Les enjeux de la maintenance et de la gestion des risques et incidents S424-4 LA MAINTENANCE DE L UC ET LA GESTION DES RISQUE S424 Le contexte organisationnel de la relation commerciale S42 La relation commerciale 1 Les enjeux de la maintenance et de la gestion des risques

Plus en détail

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise BUSINESS CONTINUITY MANAGEMENT I PLANZER I 2010 BUSINESS CONTINUITY MANAGEMENT Notre plan C pour situations d'urgence et de crise La sécurité n'est pas une valeur absolue. Une gestion de risque peut éventuellement

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Arrêté royal du 28 mars 2014 relatif à la prévention de l incendie sur les lieux de travail (M.B. 23.4.2014)

Arrêté royal du 28 mars 2014 relatif à la prévention de l incendie sur les lieux de travail (M.B. 23.4.2014) Arrêté royal du 28 mars 2014 relatif à la prévention de l incendie sur les lieux de travail (M.B. 23.4.2014) Section première.- Champ d application et définitions Article 1 er.- Le présent arrêté s applique

Plus en détail

Conditions Générales de Vente «Création de sites Internet» Voir la clause de réserve de propriété à l article 6.4

Conditions Générales de Vente «Création de sites Internet» Voir la clause de réserve de propriété à l article 6.4 Article 1 - Préambule 1.1 - Win and Web réalise la création de sites Internet, c'est-à-dire la création de fichiers informatiques pouvant contenir des liens hypertextes, textes, images, photos, vidéos,

Plus en détail

Sécuriser physiquement un poste de travail fixe ou portable

Sécuriser physiquement un poste de travail fixe ou portable Sécuriser physiquement un poste de travail fixe ou portable D.Pagnier Table des matières 1 Règles et bonnes pratiques... 3 1.1 Protection des équipements... 3 1.2 Protection contre les risques électriques...

Plus en détail

AUNEGE Campus Numérique en Economie Gestion Licence 2 Comptabilité analytique Leçon 9. Leçon n 9 : les coûts variables et le seuil de rentabilité

AUNEGE Campus Numérique en Economie Gestion Licence 2 Comptabilité analytique Leçon 9. Leçon n 9 : les coûts variables et le seuil de rentabilité Leçon n 9 : les coûts variables et le seuil de rentabilité 1 Marge Seuil Zone sur Coûts coûts de de rentabilité profi pertes variables xes ts M = m x Q PLAN DE LA LEÇON : 1.LES COÛTS VARIABLES : OBJECTIFS

Plus en détail

NORME INTERNATIONALE D AUDIT 240 LES OBLIGATIONS DE L AUDITEUR EN MATIERE DE FRAUDE LORS D UN AUDIT D ETATS FINANCIERS

NORME INTERNATIONALE D AUDIT 240 LES OBLIGATIONS DE L AUDITEUR EN MATIERE DE FRAUDE LORS D UN AUDIT D ETATS FINANCIERS NORME INTERNATIONALE D AUDIT 240 LES OBLIGATIONS DE L AUDITEUR EN MATIERE DE Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe

Plus en détail

Entreprises de télécommunication

Entreprises de télécommunication Entreprises de Les s sont au cœur de la stratégie de développement commercial et de productivité interne d une entreprise. Sans, impossible se faire connaitre, de vendre, de travailler Soumis à une pression

Plus en détail

REGLEMENT DU JEU CONCOURS. «Votre plus belle photo de Rhône-Alpes» Organisé par la Région Rhône-Alpes. sur https://www.facebook.com/region.

REGLEMENT DU JEU CONCOURS. «Votre plus belle photo de Rhône-Alpes» Organisé par la Région Rhône-Alpes. sur https://www.facebook.com/region. REGLEMENT DU JEU CONCOURS «Votre plus belle photo de Rhône-Alpes» Organisé par la Région Rhône-Alpes sur https://www.facebook.com/region.rhonealpes ARTICLE 1 : PREAMBULE La Région Rhône-Alpes, dont le

Plus en détail

Identification, évaluation et gestion des incidents

Identification, évaluation et gestion des incidents Identification, évaluation et gestion des incidents De la cartographie des risques à la mise en place de la base incidents Xavier DIVAY Responsable de la conformité et du contrôle permanent QUILVEST BANQUE

Plus en détail

Comment protéger ses données? Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor )

Comment protéger ses données? Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor ) Comment protéger ses données? Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor ) 1 27 Septembre 2013 OpenSphere // Sommaire La protection des données 1. De quoi parlons-nous? 2.

Plus en détail

RESUME NON TECHNIQUE DE L ETUDE DE DANGERS

RESUME NON TECHNIQUE DE L ETUDE DE DANGERS RESUME NON TECHNIQUE DE L ETUDE DE DANGERS ASA/LF/BOURGOIS/GUILLAC/EDD/2013.372 Déchetterie de GUILLAC (56) Résumé page 1 PRESENTATION DU SITE La déchetterie de Guillac est localisée sur le territoire

Plus en détail

NORME INTERNATIONALE D AUDIT 530 SONDAGES EN AUDIT

NORME INTERNATIONALE D AUDIT 530 SONDAGES EN AUDIT Introduction NORME INTERNATIONALE D AUDIT 530 SONDAGES EN AUDIT (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe Champ d application

Plus en détail

1 - Informatisation du PCS

1 - Informatisation du PCS FICHE N 25 : LES OUTILS INFORMATIQUES Le développement des outils informatiques laisse entrevoir une possible utilisation de ces derniers dans le cadre de la gestion d un événement de sécurité civile.

Plus en détail

Date: 10.05.2013 Conditions générales de vente Création de site internet

Date: 10.05.2013 Conditions générales de vente Création de site internet Date: 10.05.2013 Conditions générales de vente Création de site internet 068/28.28.41-0474/13.85.14 - info@oupahdesign.be - Rue Warissaet, 25 7830 Bassilly BE0821.930.983 Les présentes conditions générales

Plus en détail

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes. Infos sécurité Charte d usage des TIC au sein de l Université de Bourgogne CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

Plus en détail

PROJET D APPUI A L ERSUMA ET AUTRES INSTITUTIONS DE L OHADA. 9 ème FED

PROJET D APPUI A L ERSUMA ET AUTRES INSTITUTIONS DE L OHADA. 9 ème FED PROJET D APPUI A L ERSUMA ET AUTRES INSTITUTIONS DE L OHADA 9 ème FED TERMES DE REFERENCE POUR LA SELECTION D UN DEVELOPPEUR PHP/MySQL POUR LA REALISATION D UNE PLATEFORME DE GESTION DES ACTIVITES DE FORMATION

Plus en détail

RÉSUMÉ NON TECHNIQUE DE L ETUDE DE DANGERS VEOLIA PROPRETE NORD NORMANDIE NOGENT-SUR-OISE. Fait à Bihorel, le 03 Octobre 2012 KALIÈS KAR 11.25.

RÉSUMÉ NON TECHNIQUE DE L ETUDE DE DANGERS VEOLIA PROPRETE NORD NORMANDIE NOGENT-SUR-OISE. Fait à Bihorel, le 03 Octobre 2012 KALIÈS KAR 11.25. RÉSUMÉ NON TECHNIQUE DE L ETUDE DE DANGERS VEOLIA PROPRETE NORD NORMANDIE NOGENT-SUR-OISE Fait à Bihorel, le 03 Octobre 2012 KALIÈS KAR 11.25. V2 La société VEOLIA PROPRETE NORD NORMANDIE (VPNN) est autorisée

Plus en détail

Note d observations de la Commission nationale de l informatique et des libertés concernant la proposition de loi relative à la protection de l

Note d observations de la Commission nationale de l informatique et des libertés concernant la proposition de loi relative à la protection de l Note d observations de la Commission nationale de l informatique et des libertés concernant la proposition de loi relative à la protection de l identité Examinée en séance plénière le 25 octobre 2011 Depuis

Plus en détail

CA ARCserve D2D. Une récupération après sinistre ultra-rapide vous permet d'éviter une interruption de service. DOSSIER SOLUTION : CA ARCserve D2D r16

CA ARCserve D2D. Une récupération après sinistre ultra-rapide vous permet d'éviter une interruption de service. DOSSIER SOLUTION : CA ARCserve D2D r16 CA ARCserve D2D CA ARCserve D2D est un produit de récupération sur disque conçu pour offrir la combinaison idéale de protection et de récupération rapides, simples et fiables de vos données professionnelles.

Plus en détail

Société ontarienne d assurance-dépôts

Société ontarienne d assurance-dépôts Société ontarienne d assurance-dépôts Gestion des risques liés aux technologies de l information : Rôle des conseils d administration et des comités d audit DAVID FLORIO, CPA, CA IT, PCI QSA, CRMA PARTNER,

Plus en détail

COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE

COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE DE SÉCURITÉ SUR LES TECHNOLOGIES DE L INFORMATIQUE ET DES TÉLÉCOMMUNICATIONS 1055, 116 e Rue Ville Saint-Georges (Québec) G5Y

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail