MEHARI TM V3 Guide de l analyse des risques

Dimension: px
Commencer à balayer dès la page:

Download "MEHARI TM V3 Guide de l analyse des risques"

Transcription

1 METHODES MEHARI TM V3 Guide de l analyse des risques Octobre 2004 Commission Méthodes CLUB DE LA SECURITE DES SYSTEMES D INFORMATION FRANÇAIS 30, rue Pierre Semard, PARIS Tél. : Fax : Web :

2 1. SOMMAIRE 2. Remerciements Table des figures Introduction L analyse de situations de risque et l utilisation des automatismes de MEHARI TM Rappel du processus d analyse de risque Évaluation de l exposition naturelle Évaluation de l impact intrinsèque Évaluation des facteurs de réduction de risque à partir d un audit de sécurité Méhari TM Évaluation de la potentialité et de l impact Évaluation de la gravité du scénario Conseils pratiques La recherche des situations de risque La recherche systématique à partir de la base de connaissance Création d une base spécifique de scénarios Évaluation automatique des scénarios Sélection des scénarios critiques devant être pris en compte pour une analyse des risques Annexe 1 : Grille d exposition naturelle standard...19 Annexe 2 : Définition des niveaux d exposition naturelle...20 Annexe 3 : Tableau d impact intrinsèque...21 Annexe 4 : Définition des niveaux de facteurs de réduction de risque Annexe 5 : Principes de construction des grilles d évaluation des STATUS Annexe 6 : Grilles d évaluation standards...26 Méhari TM V3: Guide de l analyse des risques 1

3 2. REMERCIEMENTS Le CLUSIF tient à mettre ici à l honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement : Dominique Buc Jean-Philippe Jouas Gérard Molines BUC SA 2SI MOLINES CONSULTANTS Jean-Louis Roule Nicolas Vincent NICOLAS VINCENT CONSULTANT Méhari TM V3: Guide de l analyse des risques 2

4 3. TABLE DES FIGURES Figure 1 : Le processus d analyse de risque et les assistances de Méhari TM... 5 Figure 2 : Recherche des situations de risque...15 Méhari TM V3: Guide de l analyse des risques 3

5 4. INTRODUCTION Les principes de l analyse des risques et de la recherche des situations de risque ont été présentés dans le document «Principes et Mécanismes de Méhari TM V3». Nous en rappelons l essentiel : Une situation de risque peut être caractérisée par une potentialité et un impact intrinsèques, en l absence de toute mesure de sécurité. Potentialité intrinsèque et Impact intrinsèque peuvent être évalués. Des mesures de sécurité peuvent venir réduire ce risque intrinsèque par le biais de facteurs significatifs de réduction de risque. Ces facteurs de réduction de risque peuvent être évalués. Sur la base de ces éléments, il est possible d évaluer une potentialité et un impact résiduel, caractéristiques du risque, et d en déduire un indicateur de gravité de risque. Méhari TM propose des outils d assistance tout au long de ce processus d analyse et d évaluation. L analyse d une situation de risque peut se faire directement en utilisant les principes généraux et les explications présentés dans le document «Principes et Mécanismes de Méhari TM V3». Si la situation de risque analysée correspond à un scénario de la base de connaissances Méhari TM, il est également possible de s appuyer, toujours pour une évaluation directe du niveau de risque, sur le «Manuel de référence des scénarios de risques» qui donne, pour chaque scénario, des indications spécifiques sur les facteurs de réduction du risque. Nous décrirons, dans ce document, la manière d utiliser les automatismes de Méhari TM pour une assistance à l évaluation d une situation de risque. Nous nous placerons donc, par hypothèse, dans le cas où la situation analysée correspond à un scénario de la base Méhari TM. Nous décrirons également la manière d utiliser ces automatismes pour mettre en évidence et sélectionner pour une analyse détaillée des situations de risque. Méhari TM V3: Guide de l analyse des risques 4

6 5. L ANALYSE DE SITUATIONS DE RISQUE ET L UTILISATION DES AUTOMATISMES DE MEHARI TM 5.1. Rappel du processus d analyse de risque Rappelons, en introduction, le schéma global de l analyse de risque présenté dans le document «Principes et Mécanismes de Méhari TM V3» : Identification d une situation de risque Décision sur l acceptabilité du risque Évaluation de l exposition naturelle Évaluation des facteurs de dissuasion et prévention Évaluation de la Potentialité Évaluation de l Impact Intrinsèque Évaluation des facteurs de protection, palliation et récupération Évaluation de la Réduction d Impact Évaluation de l impact Évaluation globale du risque Assistance, si scénario Méhari ou proche : Grille standard des expositions Commentaires dans base de connaissance globale Assistance, si scénario Méhari ou proche : Commentaires dans base de connaissance globale Automatismes de calcul des STATUS si audit préalable Assistance: Grilles de décision, standards ou propres à l entreprise, fonctions du type de situation de risque Assistance: Échelle de valeurs des dysfonctionnements ou classification préexistante Assistance, si scénario Méhari ou proche : Commentaires dans base de connaissance globale Automatismes de calcul des STATUS si audit préalable Assistance: Grilles de décision, standards ou propres à l entreprise, fonctions du type de situation de risque Assistance: Grille d acceptabilité des risques, standard ou propre à l entreprise Figure 1 : Le processus d analyse de risque et les assistances de Méhari TM Méhari TM propose ainsi, par ses bases de connaissances, plusieurs types d assistance à l analyse de risque : Une assistance à l évaluation de l exposition naturelle Des automatismes d évaluation des facteurs de réduction des risques (dissuasion, prévention, protection, palliation et récupération) en fonction de la qualité des services de sécurité, si celle-ci a été évaluée par un audit Méhari TM. Un tableau générique d impact intrinsèque pouvant être élaboré à la suite d une classification ou directement à partir d une échelle de valeurs de dysfonctionnements. Des automatismes de calcul de la potentialité et de l impact, en fonction de l exposition naturelle, de l impact intrinsèque et des facteurs d atténuation des risques. Ces aides sont disponibles si le scénario analysé fait partie de la base de connaissances Méhari TM. Méhari TM V3: Guide de l analyse des risques 5

7 5.2. Évaluation de l exposition naturelle Nous avons eu l occasion de préciser, dans les principes généraux, que l exposition naturelle pouvait varier, pour une même entreprise, en fonction de phénomènes conjoncturels. Il reste, néanmoins, que pour beaucoup d entreprises, l exposition «normale» ou «standard» à un type de risque, c est-à-dire en l absence de phénomènes conjoncturels particuliers, est conforme à ce qui peut être constaté généralement et que l on peut donc fournir une évaluation «a priori» Exposition naturelle standard Les scénarios 1 de la base de connaissances Méhari TM se réfèrent ainsi à une liste limitée d événements de base, qu il s agisse d accidents, d erreurs ou de malveillance, pour lesquels une évaluation a priori de l exposition est donnée. Ainsi, par exemple, il est estimé que l exposition naturelle «standard» d une entreprise à un incendie est de niveau 2 (plutôt improbable), à une panne d équipement informatique de niveau 3 (plutôt probable) et à une erreur pendant un processus de saisie de niveau 4 (très probable). La liste de ces événements et de l exposition naturelle standard est donnée en annexe 1. Chaque scénario fait ainsi référence à un type d événement, ainsi que le montre l exemple cidessous : : Perte de fichier de données, par effacement malveillant de supports par le personnel d exploitation TYP-EXPO EFF-DISS EFF-PREV MA010 MAX(MIN(07C02;08E02);0 8C01) 08A02 EFF-PROT EFF-PALL EFF-RECUP MAX(08C01 ;08C05) MAX(MIN(08D05 ;09D03); 09D02) 01D02 Le type d exposition MA010 de la table de l annexe 1 est : «Effacement volontaire de données ou vol de support» et est évalué en valeur standard au niveau Exposition naturelle spécifique de l entreprise pour un risque donné Il doit être clair que l évaluation standard proposée n est qu une évaluation par défaut et que l évaluation directe de l exposition de l entreprise à la situation de risque analysée est de loin préférable. Pour cette évaluation, on se référera aux définitions des niveaux d exposition qui ont été données dans le document «Principes et Mécanismes de Méhari TM V3» et qui sont rappelées en annexe 2. Il est aussi possible, pour un scénario particulier, de se référer au Manuel de référence des scénarios qui contient des commentaires spécifiques sur l évaluation de l exposition naturelle. Remarque : S il est procédé à une analyse systématique de situations de risque ou si plusieurs situations doi- 1 Les scénarios de la base de connaissances de Méhari TM sont regroupés en familles ayant des conséquences similaires. Il y a actuellement 12 familles de scénarios standards Méhari TM V3: Guide de l analyse des risques 6

8 vent être examinées, il est largement préférable de passer d abord en revue l ensemble des types d événements et de porter un jugement d ensemble sur l exposition de l entreprise à chacun d eux Évaluation de l impact intrinsèque L impact intrinsèque d un scénario est l évaluation des conséquences de l occurrence du risque, indépendamment de toute mesure de sécurité, ainsi que cela a été décrit dans les principes de Méhari TM. Pour chaque scénario défini dans la base de connaissances de Méhari TM, il existe une cible de ce scénario, c est-à-dire une ressource impliquée ou détériorée. Il peut s agir d un type de données ou d informations dérobées, d un type de ressources rendues indisponibles ou d un type de ressources altérées, selon qu il s agit d un scénario mettant en cause la confidentialité, la disponibilité ou l intégrité d une ressource, qui sont les trois critères de base pris en compte par Méhari TM en standard. Dans ces conditions évaluer l impact intrinsèque d un scénario revient à évaluer le niveau de criticité ou de gravité de la perte de confidentialité, de disponibilité ou d intégrité, selon le type de scénario, du type de ressource mise en cause par le scénario. C est exactement la démarche de classification que nous avons décrite, appliquée à un tableau générique de classification faisant apparaître les types de ressources identifiés de manière spécifique par les scénarios de la base de connaissances Le tableau d impact intrinsèque La démarche d évaluation des impacts intrinsèques peut donc être organisée et consiste à remplir un tableau d impact intrinsèque dont un extrait est donné ci-dessous. Tableau d impact intrinsèque Classification des données, informations et éléments d infrastructure D I C Données et informations D01 Fichiers de données ou bases de données applicatives D07 Courrier et télécopies / Infrastructure informatique et télécom R02 Équipements et câblage des réseaux locaux S01 Systèmes centraux, serveurs applicatifs, Le remplissage de ce tableau consiste à évaluer le niveau de conséquence d une atteinte à la disponibilité, l intégrité ou la confidentialité de chaque type de ressource identifié. Cela peut être fait, ainsi que pour toute classification, à partir d une analyse des enjeux ayant débouché sur une échelle de valeurs des dysfonctionnements. A défaut, il est possible de le faire directement, mais le processus d analyse des enjeux décrit dans les principes de Méhari TM est incontestablement la démarche à conseiller. Le tableau complet est donné en annexe 3. Remarque la dernière partie du tableau complet correspond à des impacts intrinsèques ne dé- Méhari TM V3: Guide de l analyse des risques 7

9 pendant pas de la classification d une ressource. Il s agit, en effet, d évaluer l impact intrinsèque de types de scénarios un peu particuliers, et, en pratique, de l indisponibilité de personnels ou de la non conformité à la loi ou à la réglementation Extension du tableau d impact intrinsèque Le tableau standard de Méhari TM ne fait référence qu aux trois critères standards de Disponibilité, Intégrité et Confidentialité. D autres critères peuvent, bien entendu, être utilisés. Et on peut étendre le tableau avec, par exemple, des critères de Preuve, de Traçabilité, d Auditabilité, Il faudra alors etc. créer des scénarios faisant appel à de tels critères (ou modifier des scénarios existants) et créer, en outre, les grilles d évaluation correspondantes. Le logiciel Risicare TM 2 qui permet de traiter jusqu à cinq critères dans sa version V4 devrait permettre d en traiter huit dans la nouvelle version L évaluation de l impact intrinsèque des scénarios L évaluation de l impact intrinsèque de chaque scénario de la base de connaissances sera faite très simplement, chaque scénario faisant référence à un type de ressource du tableau d impact intrinsèque et au critère à utiliser (D, I ou C ou autre éventuellement). Autrement dit, chaque scénario de la base de connaissance fait référence explicitement à un type de ressource atteint par le scénario et au mode d atteinte (D, I ou C en standard), ce qui permet d évaluer l impact intrinsèque en s appuyant sur le tableau du même nom Décomposition cartographique Le tableau d impact intrinsèque standard ne comprend qu une ligne pour l ensemble des serveurs centraux ou applicatifs, qu une ligne pour les bases de données applicatives, et, plus généralement, qu une seule référence par type de ressource. On peut alors souhaiter distinguer des variantes de ressources, un peu de la même manière que l on peut distinguer des variantes de services de sécurité lors d un audit (voir le schéma d audit, dans le guide d audit). La création de variantes de types de ressources dans le tableau d impact s appelle, dans Méhari TM V3, la décomposition cartographique. On peut ainsi décomposer les serveurs en domaines de serveurs, les bases de données en domaines applicatifs, les progiciels en domaines de progiciels, etc. Cette possibilité est exploitée par le logiciel Risicare TM pour créer des variantes de scénarios en fonction des variantes cartographiques créées. Remarque : L exploitation de cette possibilité peut cependant s avérer lourde de conséquences quant au nombre de scénarios générés. Nous reviendrons sur ce point plus loin Évaluation des facteurs de réduction de risque à partir d un audit de sécurité Méhari TM L évaluation de la potentialité et de l impact d un scénario de risque repose sur une analyse de l existence de facteurs de réduction du risque et sur une évaluation de leur niveau. Ces facteurs sont la dissuasion et la prévention pour la potentialité, la protection, la palliation et la récupération pour l impact. 2 de la société BUC S.A. Méhari TM V3: Guide de l analyse des risques 8

10 Méhari TM propose, dans sa base de connaissance des scénarios, des évaluations du niveau de ces facteurs en fonction de la qualité des services de sécurité pertinents pour le scénario analysé. Cette évaluation automatisée est faite en deux temps : Le calcul d indicateurs d efficacité des services de sécurité, pour chaque type de mesure Le calcul des facteurs de réduction de risque proprement dits Indicateurs d efficacité des services de sécurité par scénario et type de mesure Méhari TM définit, pour chaque scénario et pour chaque type de mesure, un indicateur d efficacité. L efficacité des mesures d un type donné est noté : EFF-DISS pour l efficacité des mesures dissuasives EFF-PREV pour l efficacité des mesures de prévention EFF-PROT pour l efficacité des mesures de protection EFF-PALL pour l efficacité des mesures palliatives EFF-RECUP pour l efficacité des mesures de récupération Ces indicateurs sont calculés par le biais de formules faisant référence à des services de sécurité. Les formules données dans la base de connaissances de Méhari TM font appel : Soit directement à un service de sécurité, par son identifiant 3, quand ce service est le seul à avoir un effet de ce type pour ce scénario Soit par le biais de formules comprenant des fonctions MIN(arg1 ; arg2 ; ) ou MAX(arg1 ; arg2 ; ), les arguments (arg1 ; arg2, ) étant les identifiants des services de sécurité de la base Méhari TM. Les formules peuvent être, par exemple, de la forme : EFF-PALL = 06B01 EFF-PREV = MAX(04B04;MIN(04B01;04B02;04B03)) La première formule signifie que l efficacité (proposée) des mesures palliatives est directement fonction du service 06B01 et a pour valeur le niveau de qualité de ce service. La deuxième formule signifie que l efficacité (proposée) des mesures préventives est égale à la plus grande valeur de la qualité du service 04B04 et de la fonction représentant le minimum des services 04B01, 04B02, 04B03 Il peut se trouver qu il n y ait pas de service de sécurité pouvant avoir un effet de type donné pour un scénario donné. Remarque : La fonction MIN signifie que les services appelés en arguments sont complémentaires et que si l un d eux est faible, l ensemble sera faible. Ce peut être le cas, par exemple de la gestion des autorisations d accès et de l authentification ; si l un d eux est faible, le contrôle d accès dans son ensemble est faible. La fonction MAX signifie que les services appelés sont alternatifs : si l un d eux est de bonne 3 l identifiant d un sous-service est constitué d un numéro de domaine, d une lettre indiquant le service auquel il est attaché et d un numéro de sous-service (ex. 06B01) Méhari TM V3: Guide de l analyse des risques 9

11 qualité, l ensemble le sera. Ce peut être le cas, par exemple et selon certains scénarios, du contrôle d accès aux données et du chiffrement de ces données. A titre d exemple, nous donnons le contenu de la base de connaissances Méhari TM pour le scénario : : Perte de fichier de données, par effacement malveillant de supports par le personnel d exploitation TYP-EXPO EFF-DISS EFF-PREV MA010 MAX(MIN(07C02;08E02);0 8C01) 08A02 EFF-PROT EFF-PALL EFF-RECUP MAX(08C01 ;08C05) MAX(MIN(08D05 ;09D03); 09D02) 01D Facteurs de réduction de risque «calculés» Il est clair que les coefficients d efficacité évalués ci-dessus, de la forme EFF-XXXX, étant calculés à partir de valeurs de qualité de service qui n ont aucune raison d être des nombres entiers, ne sont pas eux-mêmes des nombres entiers. Afin de faciliter l évaluation finale de la potentialité et de l impact, Méhari TM choisit de les transformer pour obtenir des évaluations de facteurs de réduction de risque exprimés par des valeurs entières. Dans Méhari TM, ces facteurs de réduction de risque sont notés STATUS-XXXX (par exemple STATUS-DISS pour le facteur de dissuasion). Les STATUS sont alors obtenus par simple arrondi à la valeur la plus proche : STATUS-XXXX = 1 si EFF-XXXX < 1,5 STATUS-XXXX = 2 si 1,5 EFF- XXXX < 2,5 STATUS-XXXX = 3 si 2,5 EFF-XXXX < 3,5 STATUS-XXXX = 4 si 3,5 EFF-XXXX où XXXX représente DISS, PREV, PROT, PALL ou RECUP Remarque : Par analogie, la valeur de l évaluation de l Exposition Naturelle sera notée STATUS-EXPO. Ces facteurs de réduction de risque sont ainsi des facteurs «calculés», ce qui veut dire que la valeur obtenue sera généralement pertinente mais qu il se pourrait qu elle ne le soit pas dans le contexte spécifique de l entreprise ou de l organisme. Il peut se trouver, par exemple, des situations dans lesquelles le personnel a un statut tel qu il est peu sensible à la dissuasion ou dans lesquelles le personnel est particulièrement expert, ceci rendant fragiles les mesures de prévention, ou pour lesquelles les mesures de protection ou les mesures palliatives seraient sans effet réel sur le niveau d impact réel. Méhari TM propose une assistance en fournissant des valeurs calculées pour les facteurs de réduction de risque ; ces valeurs doivent cependant être contrôlées avant utilisation. Un cas particulier fréquent est celui de scénarios pour lesquels on peut penser que les mesures de protection ne réduiront pas significativement l impact intrinsèque du scénario (parce que la détection de la fraude ou de la divulgation, par exemple, ne réduiront pas la gravité du risque, quel- Méhari TM V3: Guide de l analyse des risques 10

12 les que soient les mesures prises alors). Il est alors possible de considérer le scénario comme non évolutif et de le déclarer comme tel Évaluation des facteurs de risque Ceci veut dire qu il convient, avant de retenir des facteurs de risque pour le scénario, de les contrôler en se référant aux définitions de base desdits facteurs (rappelées en annexe 4) Évaluation de la potentialité et de l impact Évaluation automatisée de la Potentialité : STATUS-P Méhari TM propose une évaluation automatisée de la potentialité en partant de l évaluation de l exposition naturelle, évaluée par le STATUS-EXPO, d une part et du niveau des mesures dissuasives et préventives, mesuré par les STATUS-DISS et STATUS-PREV, d autre part. A partir de l expression des STATUS en valeurs entières, Méhari TM propose d évaluer la potentialité, sous la forme d un indicateur appelé STATUS-P, qui est déduit directement des STATUS-EXPO, STATUS-DISS et STATUS-PREV par des grilles d évaluation. Trois grilles standards d évaluation sont prévues par Méhari TM, en fonction du type de cause conduisant au scénario : Événement naturel ou accident Erreur humaine Malveillance humaine Ces grilles standards peuvent être modifiées si besoin est. Remarque : La logique de ces grilles d évaluation est de considérer que pour un type de cause donné (accident, erreur ou malveillance), le même raisonnement devrait être suivi, indépendamment de la description précise du scénario : à exposition égale, dissuasion égale et prévention égale, on devrait juger que la potentialité de deux scénarios est la même Évaluation automatisée de l impact : STATUS-I Méhari TM propose également une évaluation automatisée de l impact en partant de l impact intrinsèque du scénario d une part et du niveau des mesures de protection, palliatives et de récupération, mesuré par les STATUS-PROT, STATUS-PALL et STATUS-RECUP, d autre part. Cette évaluation se fait en deux temps : Évaluation d un indicateur de réduction d impact : STATUS-RI Évaluation de l impact : STATUS-I Évaluation de la réduction d impact : STATUS-RI Méhari TM propose d évaluer, dans un premier temps, une réduction d impact matérialisée par un indicateur STATUS-RI, déduit directement des STATUS-PROT, STATUS-PALL et STATUS-RECUP par des grilles d évaluation. Ce facteur de réduction d impact mesure 4 Dans Risicare, cela sera une option offerte, pour les scénarios considérés au départ comme évolutifs, une fois les scénarios sélectionnés, avec pour effet de forcer la prise en compte d une grille d évaluation spécifique ne tenant pas compte des mesures de protection. Méhari TM V3: Guide de l analyse des risques 11

13 l atténuation des conséquences du risque, par rapport à l impact intrinsèque évalué auparavant. Trois grilles standards d évaluation permettant d évaluer le STATUS-RI sont prévues par Méhari TM, en fonction du type de conséquence du scénario : Perte de disponibilité Perte d intégrité Perte de confidentialité Les grilles tiennent compte également du caractère évolutif ou non du scénario, ce caractère étant explicité dans la base de connaissances (et pouvant être forcé dans l état non évolutif, pour les scénarios initialement déclarés comme évolutifs dans la base). Ces grilles standards peuvent également être modifiées si besoin est. Remarque : La logique de ces grilles d évaluation est de considérer que pour un type de conséquence donné (atteinte à la disponibilité, à l intégrité ou à la confidentialité), le même raisonnement devrait être suivi, indépendamment de la description précise du scénario : à mesures de protection égales, mesures palliatives égales et mesures de récupération égales, on devrait juger que la réduction de l impact intrinsèque de deux scénarios est la même Évaluation de l impact : STATUS-I L impact résiduel est déduit de l impact intrinsèque et de l indicateur de réduction d impact par la formule suivante : I = MIN (IMPACT INTRINSEQUE ; 5 STATUS-RI) qui signifie que le STATUS-RI a un effet de plafonnement sur l impact : plafonnement de l impact résultant à 4, donc sans effet, si STATUS-RI vaut 1 plafonnement de l impact à 3, si STATUS-RI vaut 2 plafonnement de l impact à 2, si STATUS-RI vaut 3 plafonnement de l impact à 1, si STATUS-RI vaut 4 L évaluation du STATUS-I peut également être représentée par la grille suivante : Grille de calcul de STATUS-I STATUS-RI Impact intrinsèque Principes de construction des grilles d évaluation En pratique, les grilles standards, aussi bien pour la potentialité que pour l impact, ont été bâties en s appuyant sur un certain nombre de principes, décrits en annexe 5 : Principes de construction des bases de connaissances. Pour modifier ces grilles, il convient de repartir des principes, de les Méhari TM V3: Guide de l analyse des risques 12

14 modifier éventuellement, puis de reconstruire les grilles en conséquence. Les grilles d évaluation standards sont données en annexe Évaluation de la potentialité et de l impact Comme pour les facteurs de réduction de risque, les automatismes fournis par les grilles de décision ne sont qu une assistance au jugement qui fournissent des indicateurs appelés, dans Méhari TM, STATUS. Un jugement final sur la pertinence des niveaux de potentialité P et d impact I, dans le cas de l entité étudiée, devrait être la règle Évaluation de la gravité du scénario Le gravité du scénario sera déduite des évaluations de Potentialité et d Impact, P et I, par la grille d acceptabilité des risques, telle qu elle a été définie dans le document «Principes et Mécanismes de Méhari TM V3» Conseils pratiques Esprit de la démarche d analyse de risque Nous avons, volontairement, fait apparaître les automatismes de Méhari TM comme des aides à l évaluation du niveau de risque. Il est fondamental de garder à l esprit qu il s agit d un processus d évaluation et qu un consensus obtenu par un groupe d évaluation sera toujours plus fiable qu un automatisme Composition du groupe d évaluation des risques La démarche telle que nous l avons décrite, fonctionne d autant mieux que l évaluation des risques est faite par un groupe d évaluation représentatif. La composition du groupe d évaluation des risques a une certaine importance. Il devrait comprendre : Des utilisateurs du domaine concerné, et ceci à un niveau tel qu ils puissent juger de l atténuation réelle des conséquences pouvant être apportée par des mesures de sécurité. Des informaticiens capables d éclairer le groupe d évaluation sur l efficacité réelle des diverses mesures de sécurité et sur les possibilités de contournement (robustesse et mise sous contrôle). Un animateur connaissant bien la méthode et compétent en sécurité des systèmes d information Appui de la démarche sur un audit de sécurité Nous avons dit que les automatismes ne devaient être considérés que comme des aides au processus d évaluation. Il reste que, même avec un groupe compétent et représentatif, des surévaluations de la qualité des services de sécurité sont possibles, par optimisme involontaire ou par volonté politique. Un audit de la sécurité peut donc constituer une bonne assurance de la qualité de l ensemble de la démarche en offrant une référence pouvant faire naître des questions. Des évaluations de risques forts résultant des automatismes peuvent révéler des faiblesses ou des vulnérabilités qui auraient pu passer inaperçues au stade de l évaluation directe. Une justification des écarts constatés devrait alors être recherchée. Méhari TM V3: Guide de l analyse des risques 13

15 En ce sens, le contrôle des évaluations directes par ces automatismes est une bonne pratique. Méhari TM V3: Guide de l analyse des risques 14

16 6. LA RECHERCHE DES SITUATIONS DE RISQUE Nous avons traité dans le chapitre précédent de l analyse d une situation de risque particulière. La recherche des situations à analyser est donc une étape préliminaire pour laquelle des outils peuvent être nécessaires. Il y a deux pistes principales de recherche : L approche directe à partir de l échelle de valeurs des dysfonctionnements (cf. Principes et mécanismes de Méhari TM V3). La recherche organisée et systématique par une évaluation automatique de la base de scénarios fournie par Méhari TM Nous nous placerons ici dans ce deuxième cas La recherche systématique à partir de la base de connaissance Nous aborderons ici les aides apportées par Méhari TM dans la recherche systématique des situations de risque. Cette recherche systématique s appuie sur la base de connaissance de scénarios de risques déjà présentée et utilise les automatismes décrits au chapitre précédent. Elle s appuie sur une analyse préliminaire des enjeux matérialisée par une échelle de valeurs des dysfonctionnements et par une classification des ressources du système d information et sur un audit de sécurité. Le processus proposé par Méhari TM spécifiques à l entité ou l entreprise. est basé sur la création d un ensemble de scénarios Ce processus comprend deux grandes étapes, conformément au schéma ci-dessous. Décision de lancement d une recherche des situations de risque 1 Création d une base spécifique de scénarios de risque 2 Sélection des scénarios critiques, en fonction d une échelle de valeurs et d un audit des vulnérabilités Scénarios critiques à analyser spécifiquement Figure 2 : Recherche des situations de risque 6.2. Création d une base spécifique de scénarios La base de scénarios spécifiques s appuie sur une base de scénarios génériques faisant partie des bases de connaissances de Méhari TM. Méhari TM V3: Guide de l analyse des risques 15

17 6.2.1 La base générique de scénarios de risque Les bases de connaissance de Méhari TM comprennent une base de scénarios dont il a déjà été question au chapitre précédent. Il s agit d un ensemble de scénarios classés par famille de type de conséquences (la version V3 comprend approximativement 170 scénarios et variantes de scénarios classés en 12 familles) qui donne pour chaque scénario : Une description des conséquences du scénario. Une description de la cause et de l origine du scénario. Le type d événement caractéristique pour évaluer l exposition naturelle. Le type de ressource concerné pour évaluer l impact intrinsèque. Les services de sécurité pertinents pour le scénario en fonction du type d effet attendu (effet dissuasif, préventif, de protection, palliatif ou de récupération). Les formules utilisées par les automatismes de calcul de l efficacité des mesures de sécurité pour le scénario. Des indicateurs globaux du type de conséquence (D, I, ou C, pour Disponibilité, Intégrité ou Confidentialité), du caractère évolutif ou non du scénario, et du type de cause (A, E ou M, pour Accident, Erreur ou Malveillance), indicateurs utilisés également par les automatismes de calcul de la Potentialité et de la Réduction d Impact (pour le choix des grilles d évaluation utilisées). En complément, la base de connaissances comprend, pour chaque scénario, une aide à l analyse (dite approche globale) constituée de définitions adaptées pour chaque type de mesure de sécurité et de commentaires pour l appréciation directe de l efficacité des mesures de sécurité Particularisation des scénarios en fonction des ressources impliquées Comme noté précédemment, les scénarios génériques de Méhari TM ne précisent les ressources impliquées qu en référençant un type de ressource, assez global. Il peut donc être tentant de particulariser chaque scénario selon la ou les ressources impliquées. En particulier, si une classification de chaque ensemble de serveurs ou autres ressources informatiques et de chaque ensemble de données spécifiques de chaque domaine d application a été établie, il peut être tentant d analyser chaque scénario autant de fois que de domaines d application considérés, c est-à-dire de créer autant de variantes de scénarios que de domaines d application. Par exemple, en considérant un des scénarios génériques de Méhari TM qui est «le détournement de fichiers de données par accès au système et copie de fichiers, de la part d un pirate», il est possible de le répliquer selon qu il s agit, par exemple, des données des RH, ou des données commerciales, etc. Cela revient à créer, à partir d un scénario générique, plusieurs scénarios spécifiques, en fonction des ensembles de ressources pour lesquels une classification a été faite. Cette démarche est possible et s appuie sur ce que nous avons appelé, plus haut dans ce document, une décomposition cartographique. Cela peut conduire à un nombre considérable de scénarios et il convient d être très prudent dans l utilisation de cette possibilité. En pratique, la démarche proposée par Méhari TM consiste, en option de base, à ne préciser le scénario générique que par le type général de ressource, référencé par le scénario et dont la sensibilité est indiquée dans le tableau d impact intrinsèque. Cette simplification est justifiée car le seul objet de cette analyse est de déterminer quelles situa- Méhari TM V3: Guide de l analyse des risques 16

18 tions de risque peuvent être critiques et méritent une analyse plus détaillée. Il suffit alors de savoir que tel scénario peut mettre en cause des ressources ayant tel niveau de sensibilité Prise en compte des solutions de sécurité spécifiques Dans la sélection des scénarios pouvant être critiques, les solutions de sécurité mises en place auront, bien sûr, une influence et plus ces solutions seront efficaces, moins un scénario pourra être critique. Il est donc clair que des scénarios pour lesquels il existe, par exemple, différents environnements ou systèmes, ou, plus généralement, différentes sortes de solutions de sécurité, devront être traités séparément. C est exactement la même démarche que celle suivie pour l audit et le schéma d audit élaboré pour l audit devra être réutilisé pour la sélection des situations de risque critiques. Une autre manière de présenter le schéma d audit appliqué à la sélection des scénarios critiques est de considérer que pour effectuer cette sélection nous allons nous appuyer sur un audit de sécurité. Si donc, lors de l audit, nous avons jugé important de distinguer des «variantes», il faudra bien envisager autant de scénarios «variantes» d un même scénario générique que nécessaire, pour tenir compte des différentes variantes de services de sécurité (évaluées indépendamment l une de l autre) impliquées dans le scénario. Il faut bien être conscient que cela peut conduire rapidement à un grand nombre de scénarios : un schéma d audit très simple 5 peut facilement conduire à multiplier par un facteur de quelques unités le nombre de scénarios génériques Évaluation automatique des scénarios Les automatismes de Méhari TM ont été présentés au chapitre précédent. Ces automatismes s appuient sur un audit de sécurité (et sur un schéma d audit réutilisé pour construire la base spécifique de scénarios). Les automatismes sont utilisés pour évaluer les STATUS détaillés et, en fonction de la potentialité et de l impact intrinsèque de chaque scénario, la potentialité et l impact résultants de chaque scénario. Une gravité globale de chaque scénario et son caractère critique ou non peuvent alors être déduits d une grille d acceptabilité du risque Sélection des scénarios critiques devant être pris en compte pour une analyse des risques Partant de la base spécifique de scénarios et de l évaluation automatique de leur gravité, il devient aisé de faire la sélection des scénarios critiques, c est-à-dire devant être considérés dans une analyse de risque conduite selon le processus décrit au chapitre précédent. On sélectionnera ainsi les scénarios dont le niveau de gravité est supérieur ou égal à un seuil choisi librement, généralement 3 pour une échelle de gravité allant de 1 à 4. 5 Par exemple, une entité, deux types de sites (siège et agence régionale), deux types de locaux (informatiques et techniques, d une part, autres locaux d autre part), 1 type de réseau et une seule exploitation réseau, 2 types de systèmes (système central et systèmes ouverts) et 1 seule exploitation informatique, 2 types d applications (sur système central et sur systèmes ouverts) et 2 types de développements (central et systèmes ouverts) Méhari TM V3: Guide de l analyse des risques 17

19 Remarque : Compte tenu de ce qui a été dit au chapitre précédent sur la prudence avec laquelle il faut prendre les évaluations automatiques, il est recommandé de prendre en compte, pour cette sélection automatique, une grille d acceptabilité des risques relativement sévère. En effet, la grille d acceptabilité des risques peut être différente au niveau de la sélection des scénarios critiques de celle que l on utilisera pour le jugement final sur la gravité d une situation de risque. On pourra, par exemple considérer une grille relativement sévère, comme celle donnée cidessous : I = 4 I = 3 I = 2 I = 1 G = 3 G = 3 G = 4 G = 4 G = 2 G = 3 G = 3 G = 4 G = 1 G = 2 G = 3 G = 3 G = 1 G = 1 G = 1 G = 3 P = 1 P = 2 P = 3 P = 4 Rappel : On considère généralement que les scénarios de gravité égale à 4 sont intolérables, que les scénarios de gravité égale à 3 sont inadmissibles et que les scénarios de niveau de gravité inférieur sont tolérables. Méhari TM V3: Guide de l analyse des risques 18

20 ANNEXE 1 : GRILLE D EXPOSITION NATURELLE STANDARD Évaluation de l'exposition naturelle Très improbable Plutôt improbable Plutôt probable Très probable Évaluation de la probabilité des événem ents suivants Accidents AC01 Court-circuit au niveau du câblage ou d'un équipement. X 2 AC02 Chute de la foudre X 2 AC03 Incendie naissant dans les locaux : corbeille à papier, cendrier, etc. X 2 AC04 Accidents dus à l'eau ou à des liquides (fuite d'une canalisation, liquides X 2 renversés accidentellement, etc.). AC05 Inondation causée par une canalisation percée ou crevée X 2 AC06 Inondation causée par la crue d'une rivière ou une remontée de la nappe X 2 phréatique AC07 Inondation causée par l'extinction d'un incendie voisin, X 2 AC08 Coupure d'énergie de longue durée pour une cause extérieure X 2 AC09 Indisponibilité totale des locaux : Interdiction d'accès décidée par la préfecture X 2 (risque de pollution, d'émeute, etc.) AC10 Disparition de personnel stratégique X 2 AC11 Panne d'un équipement de servitude (alimentation électrique, climatisation, X 2 etc.) AC12 Panne matérielle d'un équipement informatique ou télécom X 2 AC13 Défaillance matérielle d'un équipement informatique ou télécom impossible à résoudre par la maintenance, ou indisponibilité du prestataire Status-Expo X 2 AC14 Blocage applicatif ou système impossible à résoudre par la maintenance, pour X 2 cause de disparition de la SSII ou du fournisseur. AC15 Saturation accidentelle de ressources X 3 AC16 Accident d'exploitation conduisant à une altération de données X 3 AC17 Effacement de données ou de configurations, par un virus X 3 AC18 Perte accidentelle de fichiers de données par un automate X 3 AC19 Perte accidentelle de fichiers de données par vieillissement, pollution, X 2 AC20 Perte accidentelle de fichiers de données due à une panne d'équipement (crash de disque dur) X 2 Malveillances MA01 Vandalisme depuis l'extérieur : tir d'armes légères ou lancement de projectiles X 2 depuis la rue, MA02 Vandalisme intérieur : petit vandalisme par des personnes autorisées à X 2 pénétrer dans l'établissement (personnel, sous-traitants, etc.). MA03 Terrorisme sabotage par des agents extérieurs : explosifs déposés à proximité X 1 des locaux sensibles, MA04 Saturation répétitive malveillante de moyens informatiques par un groupe X 2 d'utilisateurs MA05 Saturation du réseau par un ver X 2 MA06 Effacement volontaire (direct ou indirect) de support de logiciel X 2 MA07 Altération malveillante (directe ou indirecte) des fonctionnalités d'un logiciel ou d'une fonction d'un programme bureautique (Excel ou Access) X 3 MA08 Entrée de données faussée ou manipulation de données X 3 MA09 Accès volontaire à des données ou informations partielles et divulgation X 3 MA10 Détournement de fichiers ou vol de support de données X 3 MA11 Effacement volontaire (direct ou indirect), vol ou destruction de support de X 3 programmes ou de données MA12 Vol de micro-ordinateur portable en dehors des locaux de l'entreprise. X 3 MA13 Effacement malveillant de configurations réseau X 2 MA14 Effacement malveillant de configurations applicatives ou systèmes X 2 MA15 Détournement de code source de programmes X 2 MA16 Espionnage étatique ou de maffias (demandant de très gros moyens) X 1 MA17 Vol d'équipement informatique ou télécom, à l'intérieur des locaux X 3 Actes volontaires non malveillants AV01 Absence de personnel d'exploitation : grève du personnel d'exploitation X 2 AV02 Départ de personnel stratégique X 3 AV03 Pénétration du SI d'une tierce société, par du personnel interne ou non X 3 AV04 Utilisation de logiciels sans licence X 3 Erreurs ER01 Dégradation involontaire de performances, à l'occasion d'une opération de X 2 maintenance ER02 Effacement accidentel de logiciel par erreur humaine X 3 ER03 Altération accidentelle des données pendant la maintenance X 3 ER04 Erreur pendant le processus de saisie, X 4 ER05 Bug dans un logiciel système, un middleware ou un progiciel X 4 ER06 Bug dans un logiciel applicatif X 4 ER07 Erreur lors de la modification de fonctions de feuilles de calcul ou de macroinstructions, X 3 Méhari TM V3: Guide de l analyse des risques 19

L analyse de risques avec MEHARI

L analyse de risques avec MEHARI L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

Guide de l analyse et du traitement des risques. Janvier 2010. Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS

Guide de l analyse et du traitement des risques. Janvier 2010. Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS METHODES MEHARI 2010 Guide de l analyse Janvier 2010 Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

LA GESTION DES RISQUES - Concepts et méthodes

LA GESTION DES RISQUES - Concepts et méthodes LES DOSSIERS TECHNIQUES LA GESTION DES RISQUES - Concepts et méthodes Révision 1 du 28 janvier 2009 Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél.

Plus en détail

PRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_00 23.02.2006 CSI

PRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_00 23.02.2006 CSI MEHARI DOCUMENT HISTORY Version Modification Date Author V00_00 23.02.2006 CSI V00_01 DIFFUSION Organisation Name Diffusion mode CLUSSIL GT ANARISK Membres présents Electronique PRM_Mehari_v0 Page 1 sur

Plus en détail

CLUB DE LA SECURITE DE L INFORMATION DU QUÉBEC

CLUB DE LA SECURITE DE L INFORMATION DU QUÉBEC MEHARI Pro Manuel de référence de la base de connaissances MEHARI Pro Printemps 2015 CLUSIQ CLUB DE LA SECURITE DE L INFORMATION DU QUÉBEC MEHARI Pro : Manuel de référence 1/15 CLUSIQ/CLUSIF 2013 Remerciements

Plus en détail

MEHARI-Pro. Vue d ensemble et principes directeurs

MEHARI-Pro. Vue d ensemble et principes directeurs MEHARI-Pro Vue d ensemble et principes directeurs Version 1,3 Novembre 2013 Club de la Sécurité de l Information du Québec Téléphone : + 1 (418) 564-9244 Télécopieur : + 1 (418) 614-0842 Courriel : administration@clusiq.org

Plus en détail

Résumé non technique de l étude de. GINGER Environnement & Infrastructures Page 5

Résumé non technique de l étude de. GINGER Environnement & Infrastructures Page 5 Résumé non technique de l étude de GINGER Environnement & Infrastructures Page 5 A. Principes généraux de réduction des risques 1. Rôle central de l étude de L étude de : expose les que peuvent présenter

Plus en détail

INDUSTRIALISATION ET RATIONALISATION

INDUSTRIALISATION ET RATIONALISATION INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

Préambule CHARTE DEONTOLOGIQUE

Préambule CHARTE DEONTOLOGIQUE Préambule Le secteur des Technologies de l Information et de la Communication (T.I.C.) est souvent mal connu par les entreprises et les organisations susceptibles de les utiliser. Cette méconnaissance

Plus en détail

Droit d auteur Max2G 2012 : Reproduction permise avec obligation d indiquer la source www.max2g.com

Droit d auteur Max2G 2012 : Reproduction permise avec obligation d indiquer la source www.max2g.com Max2G Démarche d analyse de risques avec l Assistant Méhari L analyse de risques est une approche de gestion permettant d identifier les risques négatifs pouvant affecter une organisation et de déterminer

Plus en détail

Shadow Manager Simulateur de gestion globale d entreprise. Introduction

Shadow Manager Simulateur de gestion globale d entreprise. Introduction Shadow Manager Simulateur de gestion globale d entreprise Introduction Le logiciel de simulation d entreprise Shadow Manager représente le nec plus ultra des outils pédagogiques de simulation de gestion

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E Résumé Le présent rapport de recherche décrit les composantes d une infrastructure TI sécurisée pour le commerce électronique. L objectif est de fournir une description exhaustive des enjeux liés à la

Plus en détail

Présentation des recommandations

Présentation des recommandations A U D I T D U S Y S T E M E D I N F O R M A T I O N D E L E N T R E P R I S E O L D R H U M Présentation des recommandations M A S T E R S É C U R I T É D E S S Y S T È M E S D I N F O R M A T I O N D.

Plus en détail

MÉHARI. Présentation générale. Mehari : Présentation générale novembre 2005 1

MÉHARI. Présentation générale. Mehari : Présentation générale novembre 2005 1 MÉHARI Présentation générale Mehari : Présentation générale novembre 2005 1 Remerciements Le Clusif remercie Jean-Philippe Jouas et Jean-Louis Roule qui ont bien voulu rédiger ce document qui présente

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

POLITIQUE 2500-031. ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11. MODIFICATION : Conseil d administration Résolution :

POLITIQUE 2500-031. ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11. MODIFICATION : Conseil d administration Résolution : POLITIQUE 2500-031 TITRE : Politique de gestion intégrée des risques ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11 MODIFICATION : Conseil d administration Résolution : ENTRÉE EN

Plus en détail

Guide de développement d une base de connaissances d analyse de risque MEHARI. Mars 2012. Espace Méthodes

Guide de développement d une base de connaissances d analyse de risque MEHARI. Mars 2012. Espace Méthodes METHODES MEHARI 2010 Guide de développement d une s d analyse de risque MEHARI Mars 2012 Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80

Plus en détail

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise entreprises l informatique est vitale pour mon activité je protège mon matériel et mon entreprise offre IT la Tous Risques Informatiques l informatique est omniprésente dans le monde des entreprises Une

Plus en détail

Indicateur stratégique : c est celui qui permet de suivre les objectifs définis au niveau stratégique liés à une orientation politique.

Indicateur stratégique : c est celui qui permet de suivre les objectifs définis au niveau stratégique liés à une orientation politique. DETERMINER LES INDICATEURS Une fois les objectifs clairement définis, il est nécessaire d y associer des indicateurs pour le suivi régulier des actions mises en œuvre en vue d atteindre la référence souhaitée.

Plus en détail

Nous concluons au travers de quatre axes principaux qui ont guidé la. 1) La théorie du regret de Loomes et Sugden comme théorie de la décision

Nous concluons au travers de quatre axes principaux qui ont guidé la. 1) La théorie du regret de Loomes et Sugden comme théorie de la décision Conclusion générale Nous concluons au travers de quatre axes principaux qui ont guidé la rédaction de cette thèse. 1) La théorie du regret de Loomes et Sugden comme théorie de la décision rationnelle compatible

Plus en détail

ESTIMATION DES PERTES ET CONSEQUENCES ECONOMIQUES DUES A DES SINISTRES INFORMATIQUES EN FRANCE. France, 1992

ESTIMATION DES PERTES ET CONSEQUENCES ECONOMIQUES DUES A DES SINISTRES INFORMATIQUES EN FRANCE. France, 1992 ESTIMATION DES PERTES ET CONSEQUENCES ECONOMIQUES DUES A DES SINISTRES INFORMATIQUES EN FRANCE France, 1992 CLUSIF Date de publication : 1993 TABLE DES MATIERES RISQUES INFORMATIQUES 1992 PRESENTATION...3

Plus en détail

Guillaume SOLDERA (B guillaume.soldera@serli.fr) SERLI Informatique Bull OW2 Consortium. Comparatif Choco/Drools dans le cadre du projet JASMINe

Guillaume SOLDERA (B guillaume.soldera@serli.fr) SERLI Informatique Bull OW2 Consortium. Comparatif Choco/Drools dans le cadre du projet JASMINe Guillaume SOLDERA (B guillaume.soldera@serli.fr) SERLI Informatique Bull OW2 Consortium dans le cadre du projet JASMINe Avril 2008 Table des matières 1 Introduction 3 1.1 Rappel sur JASMINe.......................................

Plus en détail

Systèmes d information

Systèmes d information 11 Systèmes Cette famille rassemble des métiers dont la finalité est de concevoir, développer, exploiter et entretenir des solutions (logicielles et matérielles) répondant aux besoins collectifs et individuels

Plus en détail

2.1. Le risque de révision (3 décembre 1993) 58

2.1. Le risque de révision (3 décembre 1993) 58 2. METHODOLOGIE DE LA REVISION 2.1. Le risque de révision (3 décembre 1993) 58 1. Introduction 1.1.L objectif essentiel de la révision des comptes annuels est d assurer le lecteur du fait que ce document

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

SOFT AVOCAT Guide d utilisation

SOFT AVOCAT Guide d utilisation SOFT AVOCAT Guide d utilisation 1 SOFT AVOCAT est un logiciel de gestion automatisée des dossiers des cabinets d avocats qui facilite le suivi de leurs traitements à travers ses différentes composantes.

Plus en détail

Dossier de Demande d Autorisation Préfectorale Au titre des Installations Classées CANCON (47)

Dossier de Demande d Autorisation Préfectorale Au titre des Installations Classées CANCON (47) Dossier de Demande d Autorisation Préfectorale Au titre des Installations Classées CANCON (47) VI. RESUME NON TECHNIQUE DE L ETUDE DE DANGERS Novembre 2009 Mise à jour juillet 2011 Réf. : RP/ER/MM/2009/092

Plus en détail

COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE

COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE DE SÉCURITÉ SUR LES TECHNOLOGIES DE L INFORMATIQUE ET DES TÉLÉCOMMUNICATIONS 1055, 116 e Rue Ville Saint-Georges (Québec) G5Y

Plus en détail

POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ

POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ Rue Saint-Jean 32-38 à 1000 Bruxelles Table des matières 1. Introduction 3 2. Réglementation 3 3. Rappel

Plus en détail

La gestion de la ressource humaine (GRH), du pointage et des absences Guide d utilisation pour le responsable

La gestion de la ressource humaine (GRH), du pointage et des absences Guide d utilisation pour le responsable La gestion de la ressource humaine (GRH), du pointage et des absences Guide d utilisation pour le responsable août 04 Timix+ La gestion de la ressource humaine (GRH), du pointage et des absences 1 Introduction

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Fait par : Mlle. NORRA HADHOUD. Encadré par M. LAHYANI

Fait par : Mlle. NORRA HADHOUD. Encadré par M. LAHYANI Fait par : Mlle. NORRA HADHOUD Encadré par M. LAHYANI PLAN PLAN Introduction Différentes définitions du risque La perte d exploitation L assurance pertes d exploitation après incendie Définition Définition

Plus en détail

Au titre de cet immeuble, la société X a reçu des subventions d investissement de la part de l Union européenne, de la région et du département.

Au titre de cet immeuble, la société X a reçu des subventions d investissement de la part de l Union européenne, de la région et du département. COMPTES ANNUELS - Immeuble à destination spécifique loué à une société placée en procédure de sauvegarde - Modalités d'évaluation et de dépréciation de l'immeuble - EC 2011-05 Mots clés Comptes annuels,

Plus en détail

Espérance de vie à 60 ans et durée d assurance requise pour le taux plein. Secrétariat général du Conseil d orientation des retraites

Espérance de vie à 60 ans et durée d assurance requise pour le taux plein. Secrétariat général du Conseil d orientation des retraites CONSEIL D ORIENTATION DES RETRAITES Séance plénière du 24 mars 2010-9 h 30 «Espérance de vie, durée de cotisation et âges de départ à la retraite» Document N 2 Document de travail, n engage pas le Conseil

Plus en détail

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012 Cahier des charges MAINTENANCE INFORMATIQUE Mai 2013 Table des matières Sommaire 1 Introduction... 3 1.1 Objectifs...

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

Gestion des Incidents (Incident Management)

Gestion des Incidents (Incident Management) 31/07/2004 Les concepts ITIL-Incidents 1 «Be prepared to overcome : - no visible management ou staff commitment, resulting in non-availability of resources - [ ]» «Soyez prêts a surmonter : - l absence

Plus en détail

Module 177 Assurer la gestion des dysfonctionnements

Module 177 Assurer la gestion des dysfonctionnements Module 177 Assurer la gestion des dysfonctionnements Copyright IDEC 2003-2009. Reproduction interdite. Sommaire Introduction : quelques bases sur l ITIL...3 Le domaine de l ITIL...3 Le berceau de l ITIL...3

Plus en détail

Organisme de recherche et d information sur la logistique et le transport LES TECHNIQUES DE SUIVI DES ARTICLES ET DES STOCKS

Organisme de recherche et d information sur la logistique et le transport LES TECHNIQUES DE SUIVI DES ARTICLES ET DES STOCKS LES TECHNIQUES DE SUIVI DES ARTICLES ET DES STOCKS La gestion et la maîtrise des flux entrants et sortants du magasin nécessite la mise en œuvre d un dispositif à trois composantes : la classification

Plus en détail

Réseau ISO-Raisin. Surveillance des. Infections du Site Opératoire. (Surveillance des interventions prioritaires)

Réseau ISO-Raisin. Surveillance des. Infections du Site Opératoire. (Surveillance des interventions prioritaires) Réseau ISO-Raisin Surveillance des Infections du Site Opératoire (Surveillance des interventions prioritaires) Guide d utilisation de l application WEBISO Année 2015 Sommaire Guide utilisateur - Application

Plus en détail

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES Titre : POLITIQUE DE GESTION DES RISQUES CODE : APPROUVÉ PAR : CONSEIL D'ADMINISTRATION RÉS. : CA-617-7747 10-12-2013 EN VIGUEUR : 10-12-2013 MODIFICATIONS : Note : Le texte que vous consultez est une

Plus en détail

Système d'information Page 1 / 7

Système d'information Page 1 / 7 Système d'information Page 1 / 7 Sommaire 1 Définition... 1 2 Fonctions du système d information... 4 2.1 Recueil de l information... 4 2.2 Mémorisation de l information... 4 2.3 Traitement de l information...

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

Son objectif clair est donc de fournir transparence et sécurité juridique tant aux travailleurs qu aux employeurs.

Son objectif clair est donc de fournir transparence et sécurité juridique tant aux travailleurs qu aux employeurs. Convention collective de travail n 81 relative à la protection de la vie privée des travailleurs à l égard du contrôle des données de communication électroniques en réseau Commentaires Synthèse Le 26 avril

Plus en détail

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche Centre de Recherche sur l Information Scientifique et Technique Protection des Systèmes d Information: Aspects Juridiques Par Mme BOUDER Hadjira Attachée de Recherche Introduction La décentralisation des

Plus en détail

2.0 Interprétation des cotes d évaluation des risques relatifs aux produits

2.0 Interprétation des cotes d évaluation des risques relatifs aux produits 2.0 Interprétation des cotes d évaluation des risques relatifs aux produits L interprétation des cotes attribuées dans le cadre des évaluations des risques relatifs aux produits décrite plus loin repose

Plus en détail

Objet : Nouveautés TDS 2003

Objet : Nouveautés TDS 2003 Nouveautés TDS 2003 Page 1 NOTE AUX UTILISATEURS DE LDPAYE Objet : Nouveautés TDS 2003 1 - Introduction Cette note a pour objet de faciliter la préparation de la TDS 2003, compte-tenu des modifications

Plus en détail

1 - Identification des contraintes régissant l alerte

1 - Identification des contraintes régissant l alerte FICHE N 13 : ÉLABORER UNE CARTOGRAPHIE DE L ALERTE Si le document final du PCS ne contient que le règlement d emploi des moyens d alerte en fonction des cas envisagés (cf. fiche suivante), l obtention

Plus en détail

RESULTATS DE L'ANALYSE DES RISQUES SSI. Modèle de présentation pour les MOA Territoriales

RESULTATS DE L'ANALYSE DES RISQUES SSI. Modèle de présentation pour les MOA Territoriales RESULTATS DE L'ANALYSE DES RISQUES SSI Modèle de présentation pour les MOA Territoriales «ASIP Santé / Pôle Référentiels, Architecture et Sécurité» Identification du document Référence Outillage-Risques-SSI-V1.0.0

Plus en détail

MMA. Processus de Sauvegarde NOVAXEL pour les agents MMA Projet GED AGENT

MMA. Processus de Sauvegarde NOVAXEL pour les agents MMA Projet GED AGENT MMA Processus de Sauvegarde NOVAXEL pour les agents MMA Projet GED AGENT Date 31 Aout 2015 Auteur(s) Henri Pierre Cubizolles / Sébastien Viozat Version 1.4 Référence Procédures de Sauvegarde 28, rue Benoît

Plus en détail

Chapitre 5 La sécurité des données

Chapitre 5 La sécurité des données 187 Chapitre 5 La sécurité des données 1. Les risques de perte des données La sécurité des données La sauvegarde des données est essentielle pour une entreprise, quelle que soit sa taille, à partir du

Plus en détail

Acquisition d un logiciel métier : solution de gestion des Relations administrés et guichet unique

Acquisition d un logiciel métier : solution de gestion des Relations administrés et guichet unique Mairie de Pontcharra Service des marchés publics 95 avenue de la Gare BP 49 38530 Pontcharra cedex Tél: 04 76 97 11 65 Acquisition d un logiciel métier : solution de gestion des Relations administrés et

Plus en détail

ACTUALITÉS LANDPARK. Nouvelle version. Landpark Helpdesk. Landpark Helpdesk. Les avantages de la nouvelle version 3.9.2.

ACTUALITÉS LANDPARK. Nouvelle version. Landpark Helpdesk. Landpark Helpdesk. Les avantages de la nouvelle version 3.9.2. ACTUALITÉS LANDPARK Solutions complètes d'inventaire, de gestion de parc et de helpdesk ITIL Avril 2015 Nouvelle version Landpark Helpdesk Landpark vous associe aux meilleurs logiciels de Gestion de Parc

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Retours d expérience de mise en œuvre de WebPCA pour la conception et le maintien en conditions opérationnelles du PCA.

Retours d expérience de mise en œuvre de WebPCA pour la conception et le maintien en conditions opérationnelles du PCA. Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Gérer le Plan de Continuité d Activité avec WebPCA Retours d expérience de mise en œuvre

Plus en détail

CHARTE DU COMITÉ DE GESTION DES RISQUES

CHARTE DU COMITÉ DE GESTION DES RISQUES CHARTE DU COMITÉ DE GESTION DES RISQUES MANDAT Le Comité de gestion des risques (le «Comité») du Conseil d administration (le «Conseil») a pour mandat d assister le Conseil de la Société canadienne d hypothèques

Plus en détail

Présentation : La boite des outils du consultant / Risk Manager Du bon sens à l expertise opérationnelle

Présentation : La boite des outils du consultant / Risk Manager Du bon sens à l expertise opérationnelle Présentation : La boite des outils du consultant / Risk Manager Du bon sens à l expertise opérationnelle Définition des - Exp Clusif: L organisation possède des valeurs qui pourraient subir une dégradation

Plus en détail

Principes clés de l orientation future du cadre réglementaire canadien de suffisance des capitaux en assurances multirisques Document produit par le

Principes clés de l orientation future du cadre réglementaire canadien de suffisance des capitaux en assurances multirisques Document produit par le Principes clés de l orientation future du cadre réglementaire canadien de suffisance des capitaux en assurances multirisques Document produit par le Comité consultatif sur le Test du capital minimal Page

Plus en détail

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES Préambule La Poste est propriétaire de fichiers informatiques de données géographiques. Lesdits fichiers permettent de

Plus en détail

RESUME NON TECHNIQUE DE L'ETUDE DES DANGERS. Russy-Bémont (60)

RESUME NON TECHNIQUE DE L'ETUDE DES DANGERS. Russy-Bémont (60) DE L'ETUDE DES DANGERS BONDUELLE CONSERVE Russy-Bémont (60) 1 Environnement et voisinage... 2 2 Potentiels de dangers... 3 3 Evaluation des risques... 4 4 Evaluation des effets des scénarios retenus...

Plus en détail

POLITIQUE-CADRE D ACCÈS AUX ARCHIVES DU CONSEIL DE LA NATION ATIKAMEKW

POLITIQUE-CADRE D ACCÈS AUX ARCHIVES DU CONSEIL DE LA NATION ATIKAMEKW POLITIQUE-CADRE D ACCÈS AUX ARCHIVES DU CONSEIL DE LA NATION ATIKAMEKW Adoptée le 18 mai 2006 par le Conseil d administration ATTENDU que les archives sont la propriété du Conseil de la Nation Atikamekw

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

La Cotation Banque de France Novembre 2013. Audit Commissariat aux comptes Expertise comptable & Conseil

La Cotation Banque de France Novembre 2013. Audit Commissariat aux comptes Expertise comptable & Conseil La Cotation Banque de France Novembre 2013 La Cotation Banque de France 2 Objectifs de la Banque de France Définition de la Cotation Banque de France Les sources d informations pour l attribution de la

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Politique de sélection des intermédiaires financiers DE Hmg finance

Politique de sélection des intermédiaires financiers DE Hmg finance Politique de sélection des intermédiaires financiers DE Hmg finance (Articles L.533-18 du code monétaire et financier et 314-75 du règlement général de l Autorité des Marchés Financiers) I Présentation

Plus en détail

Livre Blanc Oracle Juin 2009. Gérer avec succès les risques des contrats pour établir une relation «gagnant-gagnant»

Livre Blanc Oracle Juin 2009. Gérer avec succès les risques des contrats pour établir une relation «gagnant-gagnant» Livre Blanc Oracle Juin 2009 Gérer avec succès les risques des contrats pour établir une relation «gagnant-gagnant» Préambule Ce livre blanc met en avant certains risques impliqués dans les travaux liés

Plus en détail

La cartographie des Risques. Méthodes de Gestion des Risques Cartographie et APR. Cartographie et APR. Michael BESSE - déc 2012 1.

La cartographie des Risques. Méthodes de Gestion des Risques Cartographie et APR. Cartographie et APR. Michael BESSE - déc 2012 1. Méthodes de Gestion des Risques Cartographie et APR Michael BESSE Responsable Gestion des Risques Mercredi 12 décembre 2012 Sommaire La cartographie des risques La méthode APR 2 La cartographie des Risques

Plus en détail

Recommandation sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie

Recommandation sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie Recommandation sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie 2013-R-01 du 8 janvier 2013 1 Contexte Pour la commercialisation

Plus en détail

La sécurité informatique

La sécurité informatique Plusieurs risques peuvent affecter un système informatique : - Les risques accidentels : incendie, panne, catastrophes naturelles, - Les risques liés à des erreurs : d utilisation ou dans la conception

Plus en détail

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Yphise optimise en Coût Valeur Risque l informatique d entreprise Gérer le risque opérationnel ORM - Operational Risk Management Juin 2008 Xavier Flez yphise@yphise.com Propriété Yphise GM Gouvernance PR Projets IS Systèmes d Information SO Service Management 1 Le risque

Plus en détail

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel 1 Sommaire 1) Présentation du contexte technique...3 1.1) Des

Plus en détail

CONTRAT DE MAINTENANCE INFORMATIQUE CONDITIONS GÉNÉRALES

CONTRAT DE MAINTENANCE INFORMATIQUE CONDITIONS GÉNÉRALES CONTRAT DE MAINTENANCE INFORMATIQUE CONDITIONS GÉNÉRALES TABLE DES MATIÈRES 1 Objet... 3 2 Abonnement service technique... 3 2.1 Les points forts de notre système d'abonnement... 3 2.2 Souscription d un

Plus en détail

THEME : LA GESTION DES RISQUES APPORTS THEORIQUES. I- La nature des risques

THEME : LA GESTION DES RISQUES APPORTS THEORIQUES. I- La nature des risques APPORTS THEORIQUES THEME : LA GESTION DES RISQUES Sources : http://fr.wikipedia.org/wiki/gestion_de_projet http://123business-fr.com/riskanalysis.aspx Roger AÏM, «L essentiel de la gestion de projet»,

Plus en détail

MMA. Processus de sauvegarde NOVAXEL pour les agents MMA Projet GED AGENT

MMA. Processus de sauvegarde NOVAXEL pour les agents MMA Projet GED AGENT MMA Processus de sauvegarde NOVAXEL pour les agents MMA Projet GED AGENT Date 26 Juin 2015 Auteur(s) Henri Pierre Cubizolles / Sébastien Viozat Version 1.3 Référence Procédures de sauvegarde 28, rue Benoît

Plus en détail

Sécurité des systèmes informatiques Introduction

Sécurité des systèmes informatiques Introduction Année 2008-2009 Sécurité des systèmes informatiques Introduction Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1 Système d'information et système informatique

Plus en détail

Maîtrise Universitaire en Comptabilité, Contrôle et Finance

Maîtrise Universitaire en Comptabilité, Contrôle et Finance Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d information de gestion Partie 2: Evaluation des risques dans le domaine IT 10 mars 2015 Agenda! Rappel des enseignements

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Methode Mehari www.ofppt.info

Methode Mehari www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Methode Mehari DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Principe et règles d audit

Principe et règles d audit CHAPITRE 2 Principe et règles d audit 2.1. Principe d audit Le principe et les règles d audit suivent logiquement l exposé précédent. D abord, comme dans toute branche de l activité d une entreprise, l

Plus en détail

Contrat et mise à disposition d infrastructure d hébergement

Contrat et mise à disposition d infrastructure d hébergement 1 Contrat et mise à disposition d infrastructure d hébergement ARTICLE 1 DESCRIPTION DE LA PRESTATION DE SERVICES HEBERGEMENT La prestation consiste en la réalisation des tâches suivantes : Mise à disposition

Plus en détail

COMMENT GERER LES CANDIDATURES AVEC EFFICACITE? Contact : CANDIDATUS 12, Av. des Prés 78180 MONTIGNY-LE-BRETONNEUX

COMMENT GERER LES CANDIDATURES AVEC EFFICACITE? Contact : CANDIDATUS 12, Av. des Prés 78180 MONTIGNY-LE-BRETONNEUX COMMENT GERER LES CANDIDATURES AVEC EFFICACITE? Contact : CANDIDATUS 12, Av. des Prés 78180 MONTIGNY-LE-BRETONNEUX Tél. : +33 1 30 57 31 22 contact@candidatus.com L A G E S T I O N D E C A N D I D A T

Plus en détail

STRATÉGIE DE SURVEILLANCE

STRATÉGIE DE SURVEILLANCE STRATÉGIE DE SURVEILLANCE Décembre 2013 SOMMAIRE OBJET page 3 OBJECTIFS DE LA SURVEILLANCE page 3 PRINCIPES D ÉLABORATION DU PROGRAMME page 4 PROGRAMME 2014 page 5 RESSOURCES page 6 PERSPECTIVES 2015/2016

Plus en détail

RENTABILIWEB CONDITIONS GENERALES DE PAIEMENT PAR CARTE BANCAIRE

RENTABILIWEB CONDITIONS GENERALES DE PAIEMENT PAR CARTE BANCAIRE RENTABILIWEB CONDITIONS GENERALES DE PAIEMENT PAR CARTE BANCAIRE 1. OBJET : Les présentes Conditions Générales de Paiement prévoient l ensemble des conditions de souscription au Service RENTABILIWEB de

Plus en détail

Qualité Logiciel. Sommaire d un Plan Qualité type. 05/09/2007 T. Fricheteau - Plan Qualité type - V1.0

Qualité Logiciel. Sommaire d un Plan Qualité type. 05/09/2007 T. Fricheteau - Plan Qualité type - V1.0 Qualité Logiciel Sommaire d un Plan Qualité type 1.But, domaine d application et responsabilités 1.1.Objet 1.2.Présentation succincte du projet 1.3.Fournitures concernées par le Plan Qualité 1.3.1.Matériels

Plus en détail

COMMENT EVALUER UN RISQUE

COMMENT EVALUER UN RISQUE COMMENT EVALUER UN RISQUE Rappel : danger et risque Le danger est la propriété ou capacité intrinsèque d un équipement, d une substance, d une méthode de travail, d un environnement à causer un dommage

Plus en détail

CRÉER UN COURS EN LIGNE

CRÉER UN COURS EN LIGNE Anne DELABY CRÉER UN COURS EN LIGNE Deuxième édition, 2006, 2008 ISBN : 978-2-212-54153-3 2 Que recouvre le concept d interactivité? Dans une perspective de cours en ligne, une activité interactive est

Plus en détail

DOCUMENTATION ASSOCIEE A UN PROJET LOGICIEL

DOCUMENTATION ASSOCIEE A UN PROJET LOGICIEL DOCUMENTATION ASSOCIEE A UN PROJET LOGICIEL 31 août 2004 Plate-Forme Opérationnelle de modélisation INRA ACTA ICTA http://www.modelia.org FICHE DU DOCUMENT 10 mai 04 N.Rousse - : Création : version de

Plus en détail

CONTRAT DE MAINTENANCE STANDARD DES LOGICIELS CERMIADATA

CONTRAT DE MAINTENANCE STANDARD DES LOGICIELS CERMIADATA 50, rue Haute B-1330 Rixensart Tél : +32/4.264.53.05 Fax : +32/4.264.14.96 Web : http://www.cermiadata.be CONTRAT DE MAINTENANCE STANDARD DES LOGICIELS CERMIADATA Entre : LE CLIENT ci-après «le client»

Plus en détail

WHITE PAPER. Protéger les serveurs virtuels avec Acronis True Image

WHITE PAPER. Protéger les serveurs virtuels avec Acronis True Image Protéger les serveurs virtuels avec Acronis True Image Copyright Acronis, Inc., 2000 2008 Les organisations liées aux technologies de l information ont découvert que la technologie de virtualisation peut

Plus en détail

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013)

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) (NOTE : Dans le présent document, le genre masculin est utilisé à titre épicène dans le but d alléger le texte.) TABLE DES MATIÈRES 1.

Plus en détail

Accès au serveur SQL. Où ranger les accès au serveur SQL?

Accès au serveur SQL. Où ranger les accès au serveur SQL? 150 requête SQL, cela aura un impact sur un nombre limité de lignes et non plus sur l ensemble des données. MySQL propose une clause originale en SQL : LIMIT. Cette clause est disponible avec les différentes

Plus en détail