MEHARI TM V3 Guide de l analyse des risques

Dimension: px
Commencer à balayer dès la page:

Download "MEHARI TM V3 Guide de l analyse des risques"

Transcription

1 METHODES MEHARI TM V3 Guide de l analyse des risques Octobre 2004 Commission Méthodes CLUB DE LA SECURITE DES SYSTEMES D INFORMATION FRANÇAIS 30, rue Pierre Semard, PARIS Tél. : Fax : Web :

2 1. SOMMAIRE 2. Remerciements Table des figures Introduction L analyse de situations de risque et l utilisation des automatismes de MEHARI TM Rappel du processus d analyse de risque Évaluation de l exposition naturelle Évaluation de l impact intrinsèque Évaluation des facteurs de réduction de risque à partir d un audit de sécurité Méhari TM Évaluation de la potentialité et de l impact Évaluation de la gravité du scénario Conseils pratiques La recherche des situations de risque La recherche systématique à partir de la base de connaissance Création d une base spécifique de scénarios Évaluation automatique des scénarios Sélection des scénarios critiques devant être pris en compte pour une analyse des risques Annexe 1 : Grille d exposition naturelle standard...19 Annexe 2 : Définition des niveaux d exposition naturelle...20 Annexe 3 : Tableau d impact intrinsèque...21 Annexe 4 : Définition des niveaux de facteurs de réduction de risque Annexe 5 : Principes de construction des grilles d évaluation des STATUS Annexe 6 : Grilles d évaluation standards...26 Méhari TM V3: Guide de l analyse des risques 1

3 2. REMERCIEMENTS Le CLUSIF tient à mettre ici à l honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement : Dominique Buc Jean-Philippe Jouas Gérard Molines BUC SA 2SI MOLINES CONSULTANTS Jean-Louis Roule Nicolas Vincent NICOLAS VINCENT CONSULTANT Méhari TM V3: Guide de l analyse des risques 2

4 3. TABLE DES FIGURES Figure 1 : Le processus d analyse de risque et les assistances de Méhari TM... 5 Figure 2 : Recherche des situations de risque...15 Méhari TM V3: Guide de l analyse des risques 3

5 4. INTRODUCTION Les principes de l analyse des risques et de la recherche des situations de risque ont été présentés dans le document «Principes et Mécanismes de Méhari TM V3». Nous en rappelons l essentiel : Une situation de risque peut être caractérisée par une potentialité et un impact intrinsèques, en l absence de toute mesure de sécurité. Potentialité intrinsèque et Impact intrinsèque peuvent être évalués. Des mesures de sécurité peuvent venir réduire ce risque intrinsèque par le biais de facteurs significatifs de réduction de risque. Ces facteurs de réduction de risque peuvent être évalués. Sur la base de ces éléments, il est possible d évaluer une potentialité et un impact résiduel, caractéristiques du risque, et d en déduire un indicateur de gravité de risque. Méhari TM propose des outils d assistance tout au long de ce processus d analyse et d évaluation. L analyse d une situation de risque peut se faire directement en utilisant les principes généraux et les explications présentés dans le document «Principes et Mécanismes de Méhari TM V3». Si la situation de risque analysée correspond à un scénario de la base de connaissances Méhari TM, il est également possible de s appuyer, toujours pour une évaluation directe du niveau de risque, sur le «Manuel de référence des scénarios de risques» qui donne, pour chaque scénario, des indications spécifiques sur les facteurs de réduction du risque. Nous décrirons, dans ce document, la manière d utiliser les automatismes de Méhari TM pour une assistance à l évaluation d une situation de risque. Nous nous placerons donc, par hypothèse, dans le cas où la situation analysée correspond à un scénario de la base Méhari TM. Nous décrirons également la manière d utiliser ces automatismes pour mettre en évidence et sélectionner pour une analyse détaillée des situations de risque. Méhari TM V3: Guide de l analyse des risques 4

6 5. L ANALYSE DE SITUATIONS DE RISQUE ET L UTILISATION DES AUTOMATISMES DE MEHARI TM 5.1. Rappel du processus d analyse de risque Rappelons, en introduction, le schéma global de l analyse de risque présenté dans le document «Principes et Mécanismes de Méhari TM V3» : Identification d une situation de risque Décision sur l acceptabilité du risque Évaluation de l exposition naturelle Évaluation des facteurs de dissuasion et prévention Évaluation de la Potentialité Évaluation de l Impact Intrinsèque Évaluation des facteurs de protection, palliation et récupération Évaluation de la Réduction d Impact Évaluation de l impact Évaluation globale du risque Assistance, si scénario Méhari ou proche : Grille standard des expositions Commentaires dans base de connaissance globale Assistance, si scénario Méhari ou proche : Commentaires dans base de connaissance globale Automatismes de calcul des STATUS si audit préalable Assistance: Grilles de décision, standards ou propres à l entreprise, fonctions du type de situation de risque Assistance: Échelle de valeurs des dysfonctionnements ou classification préexistante Assistance, si scénario Méhari ou proche : Commentaires dans base de connaissance globale Automatismes de calcul des STATUS si audit préalable Assistance: Grilles de décision, standards ou propres à l entreprise, fonctions du type de situation de risque Assistance: Grille d acceptabilité des risques, standard ou propre à l entreprise Figure 1 : Le processus d analyse de risque et les assistances de Méhari TM Méhari TM propose ainsi, par ses bases de connaissances, plusieurs types d assistance à l analyse de risque : Une assistance à l évaluation de l exposition naturelle Des automatismes d évaluation des facteurs de réduction des risques (dissuasion, prévention, protection, palliation et récupération) en fonction de la qualité des services de sécurité, si celle-ci a été évaluée par un audit Méhari TM. Un tableau générique d impact intrinsèque pouvant être élaboré à la suite d une classification ou directement à partir d une échelle de valeurs de dysfonctionnements. Des automatismes de calcul de la potentialité et de l impact, en fonction de l exposition naturelle, de l impact intrinsèque et des facteurs d atténuation des risques. Ces aides sont disponibles si le scénario analysé fait partie de la base de connaissances Méhari TM. Méhari TM V3: Guide de l analyse des risques 5

7 5.2. Évaluation de l exposition naturelle Nous avons eu l occasion de préciser, dans les principes généraux, que l exposition naturelle pouvait varier, pour une même entreprise, en fonction de phénomènes conjoncturels. Il reste, néanmoins, que pour beaucoup d entreprises, l exposition «normale» ou «standard» à un type de risque, c est-à-dire en l absence de phénomènes conjoncturels particuliers, est conforme à ce qui peut être constaté généralement et que l on peut donc fournir une évaluation «a priori» Exposition naturelle standard Les scénarios 1 de la base de connaissances Méhari TM se réfèrent ainsi à une liste limitée d événements de base, qu il s agisse d accidents, d erreurs ou de malveillance, pour lesquels une évaluation a priori de l exposition est donnée. Ainsi, par exemple, il est estimé que l exposition naturelle «standard» d une entreprise à un incendie est de niveau 2 (plutôt improbable), à une panne d équipement informatique de niveau 3 (plutôt probable) et à une erreur pendant un processus de saisie de niveau 4 (très probable). La liste de ces événements et de l exposition naturelle standard est donnée en annexe 1. Chaque scénario fait ainsi référence à un type d événement, ainsi que le montre l exemple cidessous : : Perte de fichier de données, par effacement malveillant de supports par le personnel d exploitation TYP-EXPO EFF-DISS EFF-PREV MA010 MAX(MIN(07C02;08E02);0 8C01) 08A02 EFF-PROT EFF-PALL EFF-RECUP MAX(08C01 ;08C05) MAX(MIN(08D05 ;09D03); 09D02) 01D02 Le type d exposition MA010 de la table de l annexe 1 est : «Effacement volontaire de données ou vol de support» et est évalué en valeur standard au niveau Exposition naturelle spécifique de l entreprise pour un risque donné Il doit être clair que l évaluation standard proposée n est qu une évaluation par défaut et que l évaluation directe de l exposition de l entreprise à la situation de risque analysée est de loin préférable. Pour cette évaluation, on se référera aux définitions des niveaux d exposition qui ont été données dans le document «Principes et Mécanismes de Méhari TM V3» et qui sont rappelées en annexe 2. Il est aussi possible, pour un scénario particulier, de se référer au Manuel de référence des scénarios qui contient des commentaires spécifiques sur l évaluation de l exposition naturelle. Remarque : S il est procédé à une analyse systématique de situations de risque ou si plusieurs situations doi- 1 Les scénarios de la base de connaissances de Méhari TM sont regroupés en familles ayant des conséquences similaires. Il y a actuellement 12 familles de scénarios standards Méhari TM V3: Guide de l analyse des risques 6

8 vent être examinées, il est largement préférable de passer d abord en revue l ensemble des types d événements et de porter un jugement d ensemble sur l exposition de l entreprise à chacun d eux Évaluation de l impact intrinsèque L impact intrinsèque d un scénario est l évaluation des conséquences de l occurrence du risque, indépendamment de toute mesure de sécurité, ainsi que cela a été décrit dans les principes de Méhari TM. Pour chaque scénario défini dans la base de connaissances de Méhari TM, il existe une cible de ce scénario, c est-à-dire une ressource impliquée ou détériorée. Il peut s agir d un type de données ou d informations dérobées, d un type de ressources rendues indisponibles ou d un type de ressources altérées, selon qu il s agit d un scénario mettant en cause la confidentialité, la disponibilité ou l intégrité d une ressource, qui sont les trois critères de base pris en compte par Méhari TM en standard. Dans ces conditions évaluer l impact intrinsèque d un scénario revient à évaluer le niveau de criticité ou de gravité de la perte de confidentialité, de disponibilité ou d intégrité, selon le type de scénario, du type de ressource mise en cause par le scénario. C est exactement la démarche de classification que nous avons décrite, appliquée à un tableau générique de classification faisant apparaître les types de ressources identifiés de manière spécifique par les scénarios de la base de connaissances Le tableau d impact intrinsèque La démarche d évaluation des impacts intrinsèques peut donc être organisée et consiste à remplir un tableau d impact intrinsèque dont un extrait est donné ci-dessous. Tableau d impact intrinsèque Classification des données, informations et éléments d infrastructure D I C Données et informations D01 Fichiers de données ou bases de données applicatives D07 Courrier et télécopies / Infrastructure informatique et télécom R02 Équipements et câblage des réseaux locaux S01 Systèmes centraux, serveurs applicatifs, Le remplissage de ce tableau consiste à évaluer le niveau de conséquence d une atteinte à la disponibilité, l intégrité ou la confidentialité de chaque type de ressource identifié. Cela peut être fait, ainsi que pour toute classification, à partir d une analyse des enjeux ayant débouché sur une échelle de valeurs des dysfonctionnements. A défaut, il est possible de le faire directement, mais le processus d analyse des enjeux décrit dans les principes de Méhari TM est incontestablement la démarche à conseiller. Le tableau complet est donné en annexe 3. Remarque la dernière partie du tableau complet correspond à des impacts intrinsèques ne dé- Méhari TM V3: Guide de l analyse des risques 7

9 pendant pas de la classification d une ressource. Il s agit, en effet, d évaluer l impact intrinsèque de types de scénarios un peu particuliers, et, en pratique, de l indisponibilité de personnels ou de la non conformité à la loi ou à la réglementation Extension du tableau d impact intrinsèque Le tableau standard de Méhari TM ne fait référence qu aux trois critères standards de Disponibilité, Intégrité et Confidentialité. D autres critères peuvent, bien entendu, être utilisés. Et on peut étendre le tableau avec, par exemple, des critères de Preuve, de Traçabilité, d Auditabilité, Il faudra alors etc. créer des scénarios faisant appel à de tels critères (ou modifier des scénarios existants) et créer, en outre, les grilles d évaluation correspondantes. Le logiciel Risicare TM 2 qui permet de traiter jusqu à cinq critères dans sa version V4 devrait permettre d en traiter huit dans la nouvelle version L évaluation de l impact intrinsèque des scénarios L évaluation de l impact intrinsèque de chaque scénario de la base de connaissances sera faite très simplement, chaque scénario faisant référence à un type de ressource du tableau d impact intrinsèque et au critère à utiliser (D, I ou C ou autre éventuellement). Autrement dit, chaque scénario de la base de connaissance fait référence explicitement à un type de ressource atteint par le scénario et au mode d atteinte (D, I ou C en standard), ce qui permet d évaluer l impact intrinsèque en s appuyant sur le tableau du même nom Décomposition cartographique Le tableau d impact intrinsèque standard ne comprend qu une ligne pour l ensemble des serveurs centraux ou applicatifs, qu une ligne pour les bases de données applicatives, et, plus généralement, qu une seule référence par type de ressource. On peut alors souhaiter distinguer des variantes de ressources, un peu de la même manière que l on peut distinguer des variantes de services de sécurité lors d un audit (voir le schéma d audit, dans le guide d audit). La création de variantes de types de ressources dans le tableau d impact s appelle, dans Méhari TM V3, la décomposition cartographique. On peut ainsi décomposer les serveurs en domaines de serveurs, les bases de données en domaines applicatifs, les progiciels en domaines de progiciels, etc. Cette possibilité est exploitée par le logiciel Risicare TM pour créer des variantes de scénarios en fonction des variantes cartographiques créées. Remarque : L exploitation de cette possibilité peut cependant s avérer lourde de conséquences quant au nombre de scénarios générés. Nous reviendrons sur ce point plus loin Évaluation des facteurs de réduction de risque à partir d un audit de sécurité Méhari TM L évaluation de la potentialité et de l impact d un scénario de risque repose sur une analyse de l existence de facteurs de réduction du risque et sur une évaluation de leur niveau. Ces facteurs sont la dissuasion et la prévention pour la potentialité, la protection, la palliation et la récupération pour l impact. 2 de la société BUC S.A. Méhari TM V3: Guide de l analyse des risques 8

10 Méhari TM propose, dans sa base de connaissance des scénarios, des évaluations du niveau de ces facteurs en fonction de la qualité des services de sécurité pertinents pour le scénario analysé. Cette évaluation automatisée est faite en deux temps : Le calcul d indicateurs d efficacité des services de sécurité, pour chaque type de mesure Le calcul des facteurs de réduction de risque proprement dits Indicateurs d efficacité des services de sécurité par scénario et type de mesure Méhari TM définit, pour chaque scénario et pour chaque type de mesure, un indicateur d efficacité. L efficacité des mesures d un type donné est noté : EFF-DISS pour l efficacité des mesures dissuasives EFF-PREV pour l efficacité des mesures de prévention EFF-PROT pour l efficacité des mesures de protection EFF-PALL pour l efficacité des mesures palliatives EFF-RECUP pour l efficacité des mesures de récupération Ces indicateurs sont calculés par le biais de formules faisant référence à des services de sécurité. Les formules données dans la base de connaissances de Méhari TM font appel : Soit directement à un service de sécurité, par son identifiant 3, quand ce service est le seul à avoir un effet de ce type pour ce scénario Soit par le biais de formules comprenant des fonctions MIN(arg1 ; arg2 ; ) ou MAX(arg1 ; arg2 ; ), les arguments (arg1 ; arg2, ) étant les identifiants des services de sécurité de la base Méhari TM. Les formules peuvent être, par exemple, de la forme : EFF-PALL = 06B01 EFF-PREV = MAX(04B04;MIN(04B01;04B02;04B03)) La première formule signifie que l efficacité (proposée) des mesures palliatives est directement fonction du service 06B01 et a pour valeur le niveau de qualité de ce service. La deuxième formule signifie que l efficacité (proposée) des mesures préventives est égale à la plus grande valeur de la qualité du service 04B04 et de la fonction représentant le minimum des services 04B01, 04B02, 04B03 Il peut se trouver qu il n y ait pas de service de sécurité pouvant avoir un effet de type donné pour un scénario donné. Remarque : La fonction MIN signifie que les services appelés en arguments sont complémentaires et que si l un d eux est faible, l ensemble sera faible. Ce peut être le cas, par exemple de la gestion des autorisations d accès et de l authentification ; si l un d eux est faible, le contrôle d accès dans son ensemble est faible. La fonction MAX signifie que les services appelés sont alternatifs : si l un d eux est de bonne 3 l identifiant d un sous-service est constitué d un numéro de domaine, d une lettre indiquant le service auquel il est attaché et d un numéro de sous-service (ex. 06B01) Méhari TM V3: Guide de l analyse des risques 9

11 qualité, l ensemble le sera. Ce peut être le cas, par exemple et selon certains scénarios, du contrôle d accès aux données et du chiffrement de ces données. A titre d exemple, nous donnons le contenu de la base de connaissances Méhari TM pour le scénario : : Perte de fichier de données, par effacement malveillant de supports par le personnel d exploitation TYP-EXPO EFF-DISS EFF-PREV MA010 MAX(MIN(07C02;08E02);0 8C01) 08A02 EFF-PROT EFF-PALL EFF-RECUP MAX(08C01 ;08C05) MAX(MIN(08D05 ;09D03); 09D02) 01D Facteurs de réduction de risque «calculés» Il est clair que les coefficients d efficacité évalués ci-dessus, de la forme EFF-XXXX, étant calculés à partir de valeurs de qualité de service qui n ont aucune raison d être des nombres entiers, ne sont pas eux-mêmes des nombres entiers. Afin de faciliter l évaluation finale de la potentialité et de l impact, Méhari TM choisit de les transformer pour obtenir des évaluations de facteurs de réduction de risque exprimés par des valeurs entières. Dans Méhari TM, ces facteurs de réduction de risque sont notés STATUS-XXXX (par exemple STATUS-DISS pour le facteur de dissuasion). Les STATUS sont alors obtenus par simple arrondi à la valeur la plus proche : STATUS-XXXX = 1 si EFF-XXXX < 1,5 STATUS-XXXX = 2 si 1,5 EFF- XXXX < 2,5 STATUS-XXXX = 3 si 2,5 EFF-XXXX < 3,5 STATUS-XXXX = 4 si 3,5 EFF-XXXX où XXXX représente DISS, PREV, PROT, PALL ou RECUP Remarque : Par analogie, la valeur de l évaluation de l Exposition Naturelle sera notée STATUS-EXPO. Ces facteurs de réduction de risque sont ainsi des facteurs «calculés», ce qui veut dire que la valeur obtenue sera généralement pertinente mais qu il se pourrait qu elle ne le soit pas dans le contexte spécifique de l entreprise ou de l organisme. Il peut se trouver, par exemple, des situations dans lesquelles le personnel a un statut tel qu il est peu sensible à la dissuasion ou dans lesquelles le personnel est particulièrement expert, ceci rendant fragiles les mesures de prévention, ou pour lesquelles les mesures de protection ou les mesures palliatives seraient sans effet réel sur le niveau d impact réel. Méhari TM propose une assistance en fournissant des valeurs calculées pour les facteurs de réduction de risque ; ces valeurs doivent cependant être contrôlées avant utilisation. Un cas particulier fréquent est celui de scénarios pour lesquels on peut penser que les mesures de protection ne réduiront pas significativement l impact intrinsèque du scénario (parce que la détection de la fraude ou de la divulgation, par exemple, ne réduiront pas la gravité du risque, quel- Méhari TM V3: Guide de l analyse des risques 10

12 les que soient les mesures prises alors). Il est alors possible de considérer le scénario comme non évolutif et de le déclarer comme tel Évaluation des facteurs de risque Ceci veut dire qu il convient, avant de retenir des facteurs de risque pour le scénario, de les contrôler en se référant aux définitions de base desdits facteurs (rappelées en annexe 4) Évaluation de la potentialité et de l impact Évaluation automatisée de la Potentialité : STATUS-P Méhari TM propose une évaluation automatisée de la potentialité en partant de l évaluation de l exposition naturelle, évaluée par le STATUS-EXPO, d une part et du niveau des mesures dissuasives et préventives, mesuré par les STATUS-DISS et STATUS-PREV, d autre part. A partir de l expression des STATUS en valeurs entières, Méhari TM propose d évaluer la potentialité, sous la forme d un indicateur appelé STATUS-P, qui est déduit directement des STATUS-EXPO, STATUS-DISS et STATUS-PREV par des grilles d évaluation. Trois grilles standards d évaluation sont prévues par Méhari TM, en fonction du type de cause conduisant au scénario : Événement naturel ou accident Erreur humaine Malveillance humaine Ces grilles standards peuvent être modifiées si besoin est. Remarque : La logique de ces grilles d évaluation est de considérer que pour un type de cause donné (accident, erreur ou malveillance), le même raisonnement devrait être suivi, indépendamment de la description précise du scénario : à exposition égale, dissuasion égale et prévention égale, on devrait juger que la potentialité de deux scénarios est la même Évaluation automatisée de l impact : STATUS-I Méhari TM propose également une évaluation automatisée de l impact en partant de l impact intrinsèque du scénario d une part et du niveau des mesures de protection, palliatives et de récupération, mesuré par les STATUS-PROT, STATUS-PALL et STATUS-RECUP, d autre part. Cette évaluation se fait en deux temps : Évaluation d un indicateur de réduction d impact : STATUS-RI Évaluation de l impact : STATUS-I Évaluation de la réduction d impact : STATUS-RI Méhari TM propose d évaluer, dans un premier temps, une réduction d impact matérialisée par un indicateur STATUS-RI, déduit directement des STATUS-PROT, STATUS-PALL et STATUS-RECUP par des grilles d évaluation. Ce facteur de réduction d impact mesure 4 Dans Risicare, cela sera une option offerte, pour les scénarios considérés au départ comme évolutifs, une fois les scénarios sélectionnés, avec pour effet de forcer la prise en compte d une grille d évaluation spécifique ne tenant pas compte des mesures de protection. Méhari TM V3: Guide de l analyse des risques 11

13 l atténuation des conséquences du risque, par rapport à l impact intrinsèque évalué auparavant. Trois grilles standards d évaluation permettant d évaluer le STATUS-RI sont prévues par Méhari TM, en fonction du type de conséquence du scénario : Perte de disponibilité Perte d intégrité Perte de confidentialité Les grilles tiennent compte également du caractère évolutif ou non du scénario, ce caractère étant explicité dans la base de connaissances (et pouvant être forcé dans l état non évolutif, pour les scénarios initialement déclarés comme évolutifs dans la base). Ces grilles standards peuvent également être modifiées si besoin est. Remarque : La logique de ces grilles d évaluation est de considérer que pour un type de conséquence donné (atteinte à la disponibilité, à l intégrité ou à la confidentialité), le même raisonnement devrait être suivi, indépendamment de la description précise du scénario : à mesures de protection égales, mesures palliatives égales et mesures de récupération égales, on devrait juger que la réduction de l impact intrinsèque de deux scénarios est la même Évaluation de l impact : STATUS-I L impact résiduel est déduit de l impact intrinsèque et de l indicateur de réduction d impact par la formule suivante : I = MIN (IMPACT INTRINSEQUE ; 5 STATUS-RI) qui signifie que le STATUS-RI a un effet de plafonnement sur l impact : plafonnement de l impact résultant à 4, donc sans effet, si STATUS-RI vaut 1 plafonnement de l impact à 3, si STATUS-RI vaut 2 plafonnement de l impact à 2, si STATUS-RI vaut 3 plafonnement de l impact à 1, si STATUS-RI vaut 4 L évaluation du STATUS-I peut également être représentée par la grille suivante : Grille de calcul de STATUS-I STATUS-RI Impact intrinsèque Principes de construction des grilles d évaluation En pratique, les grilles standards, aussi bien pour la potentialité que pour l impact, ont été bâties en s appuyant sur un certain nombre de principes, décrits en annexe 5 : Principes de construction des bases de connaissances. Pour modifier ces grilles, il convient de repartir des principes, de les Méhari TM V3: Guide de l analyse des risques 12

14 modifier éventuellement, puis de reconstruire les grilles en conséquence. Les grilles d évaluation standards sont données en annexe Évaluation de la potentialité et de l impact Comme pour les facteurs de réduction de risque, les automatismes fournis par les grilles de décision ne sont qu une assistance au jugement qui fournissent des indicateurs appelés, dans Méhari TM, STATUS. Un jugement final sur la pertinence des niveaux de potentialité P et d impact I, dans le cas de l entité étudiée, devrait être la règle Évaluation de la gravité du scénario Le gravité du scénario sera déduite des évaluations de Potentialité et d Impact, P et I, par la grille d acceptabilité des risques, telle qu elle a été définie dans le document «Principes et Mécanismes de Méhari TM V3» Conseils pratiques Esprit de la démarche d analyse de risque Nous avons, volontairement, fait apparaître les automatismes de Méhari TM comme des aides à l évaluation du niveau de risque. Il est fondamental de garder à l esprit qu il s agit d un processus d évaluation et qu un consensus obtenu par un groupe d évaluation sera toujours plus fiable qu un automatisme Composition du groupe d évaluation des risques La démarche telle que nous l avons décrite, fonctionne d autant mieux que l évaluation des risques est faite par un groupe d évaluation représentatif. La composition du groupe d évaluation des risques a une certaine importance. Il devrait comprendre : Des utilisateurs du domaine concerné, et ceci à un niveau tel qu ils puissent juger de l atténuation réelle des conséquences pouvant être apportée par des mesures de sécurité. Des informaticiens capables d éclairer le groupe d évaluation sur l efficacité réelle des diverses mesures de sécurité et sur les possibilités de contournement (robustesse et mise sous contrôle). Un animateur connaissant bien la méthode et compétent en sécurité des systèmes d information Appui de la démarche sur un audit de sécurité Nous avons dit que les automatismes ne devaient être considérés que comme des aides au processus d évaluation. Il reste que, même avec un groupe compétent et représentatif, des surévaluations de la qualité des services de sécurité sont possibles, par optimisme involontaire ou par volonté politique. Un audit de la sécurité peut donc constituer une bonne assurance de la qualité de l ensemble de la démarche en offrant une référence pouvant faire naître des questions. Des évaluations de risques forts résultant des automatismes peuvent révéler des faiblesses ou des vulnérabilités qui auraient pu passer inaperçues au stade de l évaluation directe. Une justification des écarts constatés devrait alors être recherchée. Méhari TM V3: Guide de l analyse des risques 13

15 En ce sens, le contrôle des évaluations directes par ces automatismes est une bonne pratique. Méhari TM V3: Guide de l analyse des risques 14

16 6. LA RECHERCHE DES SITUATIONS DE RISQUE Nous avons traité dans le chapitre précédent de l analyse d une situation de risque particulière. La recherche des situations à analyser est donc une étape préliminaire pour laquelle des outils peuvent être nécessaires. Il y a deux pistes principales de recherche : L approche directe à partir de l échelle de valeurs des dysfonctionnements (cf. Principes et mécanismes de Méhari TM V3). La recherche organisée et systématique par une évaluation automatique de la base de scénarios fournie par Méhari TM Nous nous placerons ici dans ce deuxième cas La recherche systématique à partir de la base de connaissance Nous aborderons ici les aides apportées par Méhari TM dans la recherche systématique des situations de risque. Cette recherche systématique s appuie sur la base de connaissance de scénarios de risques déjà présentée et utilise les automatismes décrits au chapitre précédent. Elle s appuie sur une analyse préliminaire des enjeux matérialisée par une échelle de valeurs des dysfonctionnements et par une classification des ressources du système d information et sur un audit de sécurité. Le processus proposé par Méhari TM spécifiques à l entité ou l entreprise. est basé sur la création d un ensemble de scénarios Ce processus comprend deux grandes étapes, conformément au schéma ci-dessous. Décision de lancement d une recherche des situations de risque 1 Création d une base spécifique de scénarios de risque 2 Sélection des scénarios critiques, en fonction d une échelle de valeurs et d un audit des vulnérabilités Scénarios critiques à analyser spécifiquement Figure 2 : Recherche des situations de risque 6.2. Création d une base spécifique de scénarios La base de scénarios spécifiques s appuie sur une base de scénarios génériques faisant partie des bases de connaissances de Méhari TM. Méhari TM V3: Guide de l analyse des risques 15

17 6.2.1 La base générique de scénarios de risque Les bases de connaissance de Méhari TM comprennent une base de scénarios dont il a déjà été question au chapitre précédent. Il s agit d un ensemble de scénarios classés par famille de type de conséquences (la version V3 comprend approximativement 170 scénarios et variantes de scénarios classés en 12 familles) qui donne pour chaque scénario : Une description des conséquences du scénario. Une description de la cause et de l origine du scénario. Le type d événement caractéristique pour évaluer l exposition naturelle. Le type de ressource concerné pour évaluer l impact intrinsèque. Les services de sécurité pertinents pour le scénario en fonction du type d effet attendu (effet dissuasif, préventif, de protection, palliatif ou de récupération). Les formules utilisées par les automatismes de calcul de l efficacité des mesures de sécurité pour le scénario. Des indicateurs globaux du type de conséquence (D, I, ou C, pour Disponibilité, Intégrité ou Confidentialité), du caractère évolutif ou non du scénario, et du type de cause (A, E ou M, pour Accident, Erreur ou Malveillance), indicateurs utilisés également par les automatismes de calcul de la Potentialité et de la Réduction d Impact (pour le choix des grilles d évaluation utilisées). En complément, la base de connaissances comprend, pour chaque scénario, une aide à l analyse (dite approche globale) constituée de définitions adaptées pour chaque type de mesure de sécurité et de commentaires pour l appréciation directe de l efficacité des mesures de sécurité Particularisation des scénarios en fonction des ressources impliquées Comme noté précédemment, les scénarios génériques de Méhari TM ne précisent les ressources impliquées qu en référençant un type de ressource, assez global. Il peut donc être tentant de particulariser chaque scénario selon la ou les ressources impliquées. En particulier, si une classification de chaque ensemble de serveurs ou autres ressources informatiques et de chaque ensemble de données spécifiques de chaque domaine d application a été établie, il peut être tentant d analyser chaque scénario autant de fois que de domaines d application considérés, c est-à-dire de créer autant de variantes de scénarios que de domaines d application. Par exemple, en considérant un des scénarios génériques de Méhari TM qui est «le détournement de fichiers de données par accès au système et copie de fichiers, de la part d un pirate», il est possible de le répliquer selon qu il s agit, par exemple, des données des RH, ou des données commerciales, etc. Cela revient à créer, à partir d un scénario générique, plusieurs scénarios spécifiques, en fonction des ensembles de ressources pour lesquels une classification a été faite. Cette démarche est possible et s appuie sur ce que nous avons appelé, plus haut dans ce document, une décomposition cartographique. Cela peut conduire à un nombre considérable de scénarios et il convient d être très prudent dans l utilisation de cette possibilité. En pratique, la démarche proposée par Méhari TM consiste, en option de base, à ne préciser le scénario générique que par le type général de ressource, référencé par le scénario et dont la sensibilité est indiquée dans le tableau d impact intrinsèque. Cette simplification est justifiée car le seul objet de cette analyse est de déterminer quelles situa- Méhari TM V3: Guide de l analyse des risques 16

18 tions de risque peuvent être critiques et méritent une analyse plus détaillée. Il suffit alors de savoir que tel scénario peut mettre en cause des ressources ayant tel niveau de sensibilité Prise en compte des solutions de sécurité spécifiques Dans la sélection des scénarios pouvant être critiques, les solutions de sécurité mises en place auront, bien sûr, une influence et plus ces solutions seront efficaces, moins un scénario pourra être critique. Il est donc clair que des scénarios pour lesquels il existe, par exemple, différents environnements ou systèmes, ou, plus généralement, différentes sortes de solutions de sécurité, devront être traités séparément. C est exactement la même démarche que celle suivie pour l audit et le schéma d audit élaboré pour l audit devra être réutilisé pour la sélection des situations de risque critiques. Une autre manière de présenter le schéma d audit appliqué à la sélection des scénarios critiques est de considérer que pour effectuer cette sélection nous allons nous appuyer sur un audit de sécurité. Si donc, lors de l audit, nous avons jugé important de distinguer des «variantes», il faudra bien envisager autant de scénarios «variantes» d un même scénario générique que nécessaire, pour tenir compte des différentes variantes de services de sécurité (évaluées indépendamment l une de l autre) impliquées dans le scénario. Il faut bien être conscient que cela peut conduire rapidement à un grand nombre de scénarios : un schéma d audit très simple 5 peut facilement conduire à multiplier par un facteur de quelques unités le nombre de scénarios génériques Évaluation automatique des scénarios Les automatismes de Méhari TM ont été présentés au chapitre précédent. Ces automatismes s appuient sur un audit de sécurité (et sur un schéma d audit réutilisé pour construire la base spécifique de scénarios). Les automatismes sont utilisés pour évaluer les STATUS détaillés et, en fonction de la potentialité et de l impact intrinsèque de chaque scénario, la potentialité et l impact résultants de chaque scénario. Une gravité globale de chaque scénario et son caractère critique ou non peuvent alors être déduits d une grille d acceptabilité du risque Sélection des scénarios critiques devant être pris en compte pour une analyse des risques Partant de la base spécifique de scénarios et de l évaluation automatique de leur gravité, il devient aisé de faire la sélection des scénarios critiques, c est-à-dire devant être considérés dans une analyse de risque conduite selon le processus décrit au chapitre précédent. On sélectionnera ainsi les scénarios dont le niveau de gravité est supérieur ou égal à un seuil choisi librement, généralement 3 pour une échelle de gravité allant de 1 à 4. 5 Par exemple, une entité, deux types de sites (siège et agence régionale), deux types de locaux (informatiques et techniques, d une part, autres locaux d autre part), 1 type de réseau et une seule exploitation réseau, 2 types de systèmes (système central et systèmes ouverts) et 1 seule exploitation informatique, 2 types d applications (sur système central et sur systèmes ouverts) et 2 types de développements (central et systèmes ouverts) Méhari TM V3: Guide de l analyse des risques 17

19 Remarque : Compte tenu de ce qui a été dit au chapitre précédent sur la prudence avec laquelle il faut prendre les évaluations automatiques, il est recommandé de prendre en compte, pour cette sélection automatique, une grille d acceptabilité des risques relativement sévère. En effet, la grille d acceptabilité des risques peut être différente au niveau de la sélection des scénarios critiques de celle que l on utilisera pour le jugement final sur la gravité d une situation de risque. On pourra, par exemple considérer une grille relativement sévère, comme celle donnée cidessous : I = 4 I = 3 I = 2 I = 1 G = 3 G = 3 G = 4 G = 4 G = 2 G = 3 G = 3 G = 4 G = 1 G = 2 G = 3 G = 3 G = 1 G = 1 G = 1 G = 3 P = 1 P = 2 P = 3 P = 4 Rappel : On considère généralement que les scénarios de gravité égale à 4 sont intolérables, que les scénarios de gravité égale à 3 sont inadmissibles et que les scénarios de niveau de gravité inférieur sont tolérables. Méhari TM V3: Guide de l analyse des risques 18

20 ANNEXE 1 : GRILLE D EXPOSITION NATURELLE STANDARD Évaluation de l'exposition naturelle Très improbable Plutôt improbable Plutôt probable Très probable Évaluation de la probabilité des événem ents suivants Accidents AC01 Court-circuit au niveau du câblage ou d'un équipement. X 2 AC02 Chute de la foudre X 2 AC03 Incendie naissant dans les locaux : corbeille à papier, cendrier, etc. X 2 AC04 Accidents dus à l'eau ou à des liquides (fuite d'une canalisation, liquides X 2 renversés accidentellement, etc.). AC05 Inondation causée par une canalisation percée ou crevée X 2 AC06 Inondation causée par la crue d'une rivière ou une remontée de la nappe X 2 phréatique AC07 Inondation causée par l'extinction d'un incendie voisin, X 2 AC08 Coupure d'énergie de longue durée pour une cause extérieure X 2 AC09 Indisponibilité totale des locaux : Interdiction d'accès décidée par la préfecture X 2 (risque de pollution, d'émeute, etc.) AC10 Disparition de personnel stratégique X 2 AC11 Panne d'un équipement de servitude (alimentation électrique, climatisation, X 2 etc.) AC12 Panne matérielle d'un équipement informatique ou télécom X 2 AC13 Défaillance matérielle d'un équipement informatique ou télécom impossible à résoudre par la maintenance, ou indisponibilité du prestataire Status-Expo X 2 AC14 Blocage applicatif ou système impossible à résoudre par la maintenance, pour X 2 cause de disparition de la SSII ou du fournisseur. AC15 Saturation accidentelle de ressources X 3 AC16 Accident d'exploitation conduisant à une altération de données X 3 AC17 Effacement de données ou de configurations, par un virus X 3 AC18 Perte accidentelle de fichiers de données par un automate X 3 AC19 Perte accidentelle de fichiers de données par vieillissement, pollution, X 2 AC20 Perte accidentelle de fichiers de données due à une panne d'équipement (crash de disque dur) X 2 Malveillances MA01 Vandalisme depuis l'extérieur : tir d'armes légères ou lancement de projectiles X 2 depuis la rue, MA02 Vandalisme intérieur : petit vandalisme par des personnes autorisées à X 2 pénétrer dans l'établissement (personnel, sous-traitants, etc.). MA03 Terrorisme sabotage par des agents extérieurs : explosifs déposés à proximité X 1 des locaux sensibles, MA04 Saturation répétitive malveillante de moyens informatiques par un groupe X 2 d'utilisateurs MA05 Saturation du réseau par un ver X 2 MA06 Effacement volontaire (direct ou indirect) de support de logiciel X 2 MA07 Altération malveillante (directe ou indirecte) des fonctionnalités d'un logiciel ou d'une fonction d'un programme bureautique (Excel ou Access) X 3 MA08 Entrée de données faussée ou manipulation de données X 3 MA09 Accès volontaire à des données ou informations partielles et divulgation X 3 MA10 Détournement de fichiers ou vol de support de données X 3 MA11 Effacement volontaire (direct ou indirect), vol ou destruction de support de X 3 programmes ou de données MA12 Vol de micro-ordinateur portable en dehors des locaux de l'entreprise. X 3 MA13 Effacement malveillant de configurations réseau X 2 MA14 Effacement malveillant de configurations applicatives ou systèmes X 2 MA15 Détournement de code source de programmes X 2 MA16 Espionnage étatique ou de maffias (demandant de très gros moyens) X 1 MA17 Vol d'équipement informatique ou télécom, à l'intérieur des locaux X 3 Actes volontaires non malveillants AV01 Absence de personnel d'exploitation : grève du personnel d'exploitation X 2 AV02 Départ de personnel stratégique X 3 AV03 Pénétration du SI d'une tierce société, par du personnel interne ou non X 3 AV04 Utilisation de logiciels sans licence X 3 Erreurs ER01 Dégradation involontaire de performances, à l'occasion d'une opération de X 2 maintenance ER02 Effacement accidentel de logiciel par erreur humaine X 3 ER03 Altération accidentelle des données pendant la maintenance X 3 ER04 Erreur pendant le processus de saisie, X 4 ER05 Bug dans un logiciel système, un middleware ou un progiciel X 4 ER06 Bug dans un logiciel applicatif X 4 ER07 Erreur lors de la modification de fonctions de feuilles de calcul ou de macroinstructions, X 3 Méhari TM V3: Guide de l analyse des risques 19

L analyse de risques avec MEHARI

L analyse de risques avec MEHARI L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

LA GESTION DES RISQUES - Concepts et méthodes

LA GESTION DES RISQUES - Concepts et méthodes LES DOSSIERS TECHNIQUES LA GESTION DES RISQUES - Concepts et méthodes Révision 1 du 28 janvier 2009 Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél.

Plus en détail

ESTIMATION DES PERTES ET CONSEQUENCES ECONOMIQUES DUES A DES SINISTRES INFORMATIQUES EN FRANCE. France, 1992

ESTIMATION DES PERTES ET CONSEQUENCES ECONOMIQUES DUES A DES SINISTRES INFORMATIQUES EN FRANCE. France, 1992 ESTIMATION DES PERTES ET CONSEQUENCES ECONOMIQUES DUES A DES SINISTRES INFORMATIQUES EN FRANCE France, 1992 CLUSIF Date de publication : 1993 TABLE DES MATIERES RISQUES INFORMATIQUES 1992 PRESENTATION...3

Plus en détail

Manuel de référence de la base de connaissances MEHARI 2010. DB-Mehari_2010_Exc_FR_2-14.xls Pour Excel, LibreOffice ou OpenOffice.

Manuel de référence de la base de connaissances MEHARI 2010. DB-Mehari_2010_Exc_FR_2-14.xls Pour Excel, LibreOffice ou OpenOffice. METHODES MEHARI 2010 Manuel de référence de la base de connaissances MEHARI 2010 DB-Mehari_2010_Exc_FR_2-14.xls Pour Excel, LibreOffice ou OpenOffice 30 mars 2012 Espace Méthodes CLUB DE LA SECURITE DE

Plus en détail

Methode Mehari www.ofppt.info

Methode Mehari www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Methode Mehari DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Principe et règles d audit

Principe et règles d audit CHAPITRE 2 Principe et règles d audit 2.1. Principe d audit Le principe et les règles d audit suivent logiquement l exposé précédent. D abord, comme dans toute branche de l activité d une entreprise, l

Plus en détail

Guide de l analyse des enjeux et de la classification. Version 2 : novembre 2011 Mise à niveau avec la base de connaissance courante.

Guide de l analyse des enjeux et de la classification. Version 2 : novembre 2011 Mise à niveau avec la base de connaissance courante. METHODES MEHARI 2010 Guide de l analyse Version 2 : novembre 2011 Mise à niveau avec la base de connaissance courante Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11 rue de Mogador, 75009

Plus en détail

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI? Atelier A 26 Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI? Intervenants Julien CAMUS Deputy Risk & Insurance Manager jcamus@paris.oilfield.slb.com

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

L'AUDIT DES SYSTEMES D'INFORMATION

L'AUDIT DES SYSTEMES D'INFORMATION L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise entreprises l informatique est vitale pour mon activité je protège mon matériel et mon entreprise offre IT la Tous Risques Informatiques l informatique est omniprésente dans le monde des entreprises Une

Plus en détail

PRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_00 23.02.2006 CSI

PRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_00 23.02.2006 CSI MEHARI DOCUMENT HISTORY Version Modification Date Author V00_00 23.02.2006 CSI V00_01 DIFFUSION Organisation Name Diffusion mode CLUSSIL GT ANARISK Membres présents Electronique PRM_Mehari_v0 Page 1 sur

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions? Cyber-sécurité Cyber-crime Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions? SIRM Forum 2011 Nov. 9 th, 2011, Pfäffikon Par Alexandre VOISIN, Corporate Insurance & Risk

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

Chapitre 5 La sécurité des données

Chapitre 5 La sécurité des données 187 Chapitre 5 La sécurité des données 1. Les risques de perte des données La sécurité des données La sauvegarde des données est essentielle pour une entreprise, quelle que soit sa taille, à partir du

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Guide du diagnostic de l état des services de sécurité. Janvier 2010. Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS

Guide du diagnostic de l état des services de sécurité. Janvier 2010. Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS METHODES MEHARI 2010 Guide du diagnostic Janvier 2010 Espace Méthodes CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail

Plus en détail

27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité

27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2

Plus en détail

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder 25.05.2008

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder 25.05.2008 Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA James Linder 25.05.2008 1 Objectifs Pourquoi un plan de secours? Pour ne ne pas pas être être bloqué dans son son travail

Plus en détail

Conseil d administration Genève, novembre 2002 LILS

Conseil d administration Genève, novembre 2002 LILS BUREAU INTERNATIONAL DU TRAVAIL GB.285/LILS/1 285 e session Conseil d administration Genève, novembre 2002 Commission des questions juridiques et des normes internationales du travail LILS PREMIÈRE QUESTION

Plus en détail

FAIRE FACE A UN SINISTRE INFORMATIQUE

FAIRE FACE A UN SINISTRE INFORMATIQUE FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation

Plus en détail

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Classe de terminale de la série Sciences et Technologie du Management et de la Gestion Préambule Présentation Les technologies de l information

Plus en détail

Quadra Entreprise On Demand

Quadra Entreprise On Demand Quadra Entreprise On Demand LS -Quadra Entrepriset OD- 11/2013 ARTICLE 1 : DEFINITIONS LIVRET SERVICE QUADRA ENTREPRISE ON DEMAND Les termes définis ci-après ont la signification suivante au singulier

Plus en détail

Malveillances Téléphoniques

Malveillances Téléphoniques 28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre

Plus en détail

Société ontarienne d assurance-dépôts

Société ontarienne d assurance-dépôts Société ontarienne d assurance-dépôts Gestion des risques liés aux technologies de l information : Rôle des conseils d administration et des comités d audit DAVID FLORIO, CPA, CA IT, PCI QSA, CRMA PARTNER,

Plus en détail

Sécuriser physiquement un poste de travail fixe ou portable

Sécuriser physiquement un poste de travail fixe ou portable Sécuriser physiquement un poste de travail fixe ou portable D.Pagnier Table des matières 1 Règles et bonnes pratiques... 3 1.1 Protection des équipements... 3 1.2 Protection contre les risques électriques...

Plus en détail

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise BUSINESS CONTINUITY MANAGEMENT I PLANZER I 2010 BUSINESS CONTINUITY MANAGEMENT Notre plan C pour situations d'urgence et de crise La sécurité n'est pas une valeur absolue. Une gestion de risque peut éventuellement

Plus en détail

Des risques en forte croissance

Des risques en forte croissance Des risques en forte croissance Dans le cadre d une informatique maîtrisée, la sauvegarde de vos données doit reposer sur une stratégie préventive et vitale à votre activité professionnelle. Cette note

Plus en détail

Qualification et quantification des risques en vue de leur transfert : la notion de patrimoine informationnel.

Qualification et quantification des risques en vue de leur transfert : la notion de patrimoine informationnel. Qualification et quantification des risques en vue de leur transfert : la notion de patrimoine informationnel. Jean-Laurent Santoni Marsh Risk Consulting France 1 Introduction Pour les systèmes d information,

Plus en détail

I partie : diagnostic et proposition de solutions

I partie : diagnostic et proposition de solutions Session 2011 BTS assistant de manager Cas Arméria: barème et corrigé Remarque: la 1 ère partie doit être cohérente avec les éléments déterminants du contexte décrit dans cet encadré, qui n est pas attendu

Plus en détail

Extrait de Plan de Continuation d'activité Octopuce

Extrait de Plan de Continuation d'activité Octopuce v. 2 décembre 2012 Extrait de Plan de Continuation d'activité Octopuce Introduction Octopuce est un hébergeur d'infrastructures web, opérateur Internet indépendant, et fournisseur d'infogérance pour ses

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Solution de sauvegarde externalisée

Solution de sauvegarde externalisée Solution de sauvegarde externalisée POURQUOI BACK NET «Le choix d une stratégie de sauvegarde performante présente pour les entreprises d aujourd hui, un véritable enjeu en termes de viabilité.» Elle doit

Plus en détail

Règlement du tirage au sort «aidez-nous à mieux vous connaître et tentez de gagner un DVD officiel du Carnaval de Nice 2015» :

Règlement du tirage au sort «aidez-nous à mieux vous connaître et tentez de gagner un DVD officiel du Carnaval de Nice 2015» : Règlement du tirage au sort «aidez-nous à mieux vous connaître et tentez de gagner un DVD officiel du Carnaval de Nice 2015» : Article 1 : Société organisatrice L Office du Tourisme et des Congrès de Nice,

Plus en détail

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD o CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD Conditions Générales de Vente et d Utilisation du Service B CLOUD Les présents termes et conditions sont conclus

Plus en détail

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et

Plus en détail

Gestion des incidents

Gestion des incidents HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence

Plus en détail

Cegid OPEN SECURITE PREMIUM

Cegid OPEN SECURITE PREMIUM Cegid OPEN SECURITE PREMIUM Livret Services Ref_N08_0001 ARTICLE 1 DEFINITIONS Les termes définis ci après ont la signification suivante au singulier comme au pluriel: Demande : désigne un incident reproductible

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

REGLEMENT JEU CONCOURS finale Top 14 samedi 13 juin 2015 36 32 7 2121

REGLEMENT JEU CONCOURS finale Top 14 samedi 13 juin 2015 36 32 7 2121 REGLEMENT JEU CONCOURS finale Top 14 samedi 13 juin 2015 36 32 7 2121 Article 1 : Organisation du JEU France Télévisions, éditions numériques, agissant pour le compte de France Televisions, dont le siège

Plus en détail

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES Préambule La Poste est propriétaire de fichiers informatiques de données géographiques. Lesdits fichiers permettent de

Plus en détail

La sécurité des systèmes d information

La sécurité des systèmes d information Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances? Maîtriser les risques au sein d une d PME-PMI PMI Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances? Ces documents demeurent la propriété du cercle GASPAR Techdays MICROSOFT

Plus en détail

Conditions Générales de l Assistance Multimédia Fnac

Conditions Générales de l Assistance Multimédia Fnac Conditions Générales de l Assistance Multimédia Fnac ARTICLE 1 DEFINITIONS «Client / Vous» : désigne la personne physique qui souscrit à l Assistance Multimédia Fnac proposée par Fnac pour ses propres

Plus en détail

Conditions Générale de «Prestations de services»

Conditions Générale de «Prestations de services» Conditions Générale de «Prestations de services» Article 1 - Définitions Nom commercial, ORDI-HS, désigne l Auto-entrepreneur, M. HAMID Farid, 5 Avenue de Jouandin, 64100, Bayonne. (A.E, entreprise non

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

REGLEMENT DU JEU CONCOURS. «Votre plus belle photo de Rhône-Alpes» Organisé par la Région Rhône-Alpes. sur https://www.facebook.com/region.

REGLEMENT DU JEU CONCOURS. «Votre plus belle photo de Rhône-Alpes» Organisé par la Région Rhône-Alpes. sur https://www.facebook.com/region. REGLEMENT DU JEU CONCOURS «Votre plus belle photo de Rhône-Alpes» Organisé par la Région Rhône-Alpes sur https://www.facebook.com/region.rhonealpes ARTICLE 1 : PREAMBULE La Région Rhône-Alpes, dont le

Plus en détail

Sécurité de l Information Expérience de Maroc Telecom

Sécurité de l Information Expérience de Maroc Telecom Sécurité de l Information Expérience de Maroc Telecom Fouad Echaouni Responsable Adjoint Sécurité de l Information Lead Auditor ISO 27001 CLUSIF / Conférence du 23 octobre 2008 Propriété Maroc Telecom

Plus en détail

Risques liés aux systèmes informatiques et de télécommunications

Risques liés aux systèmes informatiques et de télécommunications Risques liés aux systèmes informatiques et de télécommunications (Juillet 1989) La vitesse de l innovation technologique liée aux ordinateurs et aux télécommunications, ces dernières années, et l intégration

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

Brève étude de la norme ISO/IEC 27003

Brève étude de la norme ISO/IEC 27003 RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr

Plus en détail

Référentiel professionnel CQPI Technicien de Maintenance Industrielle

Référentiel professionnel CQPI Technicien de Maintenance Industrielle Référentiel professionnel CQPI Technicien de Maintenance Industrielle Dans le respect des procédures, des règles d hygiène et de sécurité, afin de satisfaire les clients ou fournisseurs internes/externes

Plus en détail

Charte d utilisation d Internet et du matériel informatique

Charte d utilisation d Internet et du matériel informatique Charte d utilisation d Internet et du matériel informatique Préambule Présentation Cette charte qui a pour but de présenter l usage d Internet dans l espace multimédia de la médiathèque, complète le règlement

Plus en détail

Système télémétrique des équipements de protection cathodique des conduites métalliques enterrées

Système télémétrique des équipements de protection cathodique des conduites métalliques enterrées RECOMMANDATION PCRA 009 Juin 2010 Rév. 0 Commission Protection Cathodique et Revêtements Associés Système télémétrique des équipements de protection cathodique des conduites métalliques enterrées AVERTISSEMENT

Plus en détail

IT Security Boxes l assurance vie des données informatiques

IT Security Boxes l assurance vie des données informatiques IT Security Boxes l assurance vie des données informatiques Sauvegarde et protection des données informatiques au service du Plan de Reprise d Activité (PRA) France Sommaire Pourquoi sauvegarder le patrimoine

Plus en détail

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre 2013. This document is also available in English.

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre 2013. This document is also available in English. Note d orientation : La simulation de crise Établissements de catégorie 2 This document is also available in English. La présente Note d orientation s adresse à toutes les caisses populaires de catégorie

Plus en détail

Annexe au document intitulé Communication relative à certaines questions de politique concernant le Bureau de Procureur : renvois et communications

Annexe au document intitulé Communication relative à certaines questions de politique concernant le Bureau de Procureur : renvois et communications Annexe au document intitulé Communication relative à certaines questions de politique concernant le Bureau de Procureur : renvois et communications La présente annexe au document de politique du Procureur

Plus en détail

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND Version en date du 1/06/2015 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales de service de PHOSPHORE SI, ont

Plus en détail

6 Conception de la gestion des correctifs

6 Conception de la gestion des correctifs Conception de la gestion des correctifs Par définition, la gestion des correctifs et mises à our est le processus qui permet de contrôler le déploiement et la maintenance des versions intermédiaires de

Plus en détail

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ PC Gestion des certificats émis par l AC Notaires Format RFC 3647 Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PC Notaires Référence du

Plus en détail

REGLEMENT DU JEU CONCOURS Les grosses têtes 6 juin 2015 36 32-72121

REGLEMENT DU JEU CONCOURS Les grosses têtes 6 juin 2015 36 32-72121 REGLEMENT DU JEU CONCOURS Les grosses têtes 6 juin 2015 36 32-72121 Article 1 : Organisation du JEU Concours : La société ADLTV dont le siège social est situé 5 rue Vernet 75008 Paris et France Télévisions,

Plus en détail

La gestion électronique de l information et des documents entreprise. Présentation

La gestion électronique de l information et des documents entreprise. Présentation FAVRE Consuting Ingénierie des Systèmes d Information La gestion électronique de l information et des documents entreprise Dossier réalisé en novembre 2014 Version 1 Références GF/100110 V2 FAVRE Consulting

Plus en détail

REGLEMENT DU JEU CONCOURS Tour de France du 4 juillet au 26 juillet 2015

REGLEMENT DU JEU CONCOURS Tour de France du 4 juillet au 26 juillet 2015 REGLEMENT DU JEU CONCOURS Tour de France du 4 juillet au 26 juillet 2015 Article 1 : Organisation du JEU Concours : France Télévisions, éditions numériques, agissant pour le compte de France Télévisions,

Plus en détail

Ressources. APIE Agence du patrimoine immatériel de l état. La comptabilisation des logiciels et bases de données. l immatériel. Pour agir.

Ressources. APIE Agence du patrimoine immatériel de l état. La comptabilisation des logiciels et bases de données. l immatériel. Pour agir. Ressources de l immatériel APIE Agence du patrimoine immatériel de l état La comptabilisation des logiciels et bases de données En bref L administration consacre des moyens financiers et humains considérables

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Offre commerciale SAV SCREENEO. Département Service Clients 2014-01-10

Offre commerciale SAV SCREENEO. Département Service Clients 2014-01-10 Offre commerciale SAV SCREENEO Département Service Clients 2014-01-10 DEPARTEMENT SERVICE CLIENTS Traitement de la garantie GAMME SCREENEO 2 GARANTIE CONTRACTUELLE ET APPLICATION 24 MOIS (Vidéo projecteur

Plus en détail

Atelier " Gestion des Configurations et CMDB "

Atelier  Gestion des Configurations et CMDB Atelier " Gestion des Configurations et CMDB " Président de séance : François MALISSART Mercredi 7 mars 2007 (Nantes) Bienvenue... Le thème : La Gestion des Configurations et la CMDB Le principe : Échanger

Plus en détail

Sécurité des informations. Comment évaluer ses risques

Sécurité des informations. Comment évaluer ses risques Le 22 Avril 2009 Sécurité des informations Cartographie des risques Comment évaluer ses risques Pierre-Yves DUCAS Jean-Louis MARTIN Page 0 Quelques rappels de BSP (*) Le risque informatique n existe que

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Chapitre 6 La gestion des incidents Quelles que soient la qualité du système d information mis en place dans l entreprise ou les compétences des techniciens

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

Sauvegarde et archivage

Sauvegarde et archivage Les Fiches thématiques Jur@tic Sauvegarde et archivage de vos données informatiques Les Fiches thématiques Jur@TIC? 1. Pourquoi SAUVEGARDER SES DONNÉES? Quels que soient vos usages des outils informatiques,

Plus en détail

Cahier des Clauses Techniques Particulières

Cahier des Clauses Techniques Particulières MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES AGENCE FRANCAISE DE SECURITE SANITAIRE DE L ENVIRONNEMENT ET DU TRAVAIL DEPARTEMENT COMMUNICATION INFORMATION ET DEBAT PUBLIC UNITE INFORMATION EDITION

Plus en détail

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX

Plus en détail

Le risque opérationnel - Journées IARD de l'institut des Actuaires

Le risque opérationnel - Journées IARD de l'institut des Actuaires Le risque opérationnel - Journées IARD de l'institut des Actuaires 1 er a v r i l 2 0 1 1 Dan Chelly Directeur Métier "Risk management, Audit et Contrôle interne" SOMMAIRE Partie 1 Définition des risques

Plus en détail

Règlement jeu concours les essais connectés PEUGEOT

Règlement jeu concours les essais connectés PEUGEOT Article 1 : Organisateur Règlement jeu concours les essais connectés PEUGEOT La société AUTOMOBILES PEUGEOT, société anonyme au capital de 171 284 859 euros dont le siège social est sis 75 avenue de la

Plus en détail

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.

Plus en détail

RÉSUMÉ NON TECHNIQUE DE L ETUDE DE DANGERS VEOLIA PROPRETE NORD NORMANDIE NOGENT-SUR-OISE. Fait à Bihorel, le 03 Octobre 2012 KALIÈS KAR 11.25.

RÉSUMÉ NON TECHNIQUE DE L ETUDE DE DANGERS VEOLIA PROPRETE NORD NORMANDIE NOGENT-SUR-OISE. Fait à Bihorel, le 03 Octobre 2012 KALIÈS KAR 11.25. RÉSUMÉ NON TECHNIQUE DE L ETUDE DE DANGERS VEOLIA PROPRETE NORD NORMANDIE NOGENT-SUR-OISE Fait à Bihorel, le 03 Octobre 2012 KALIÈS KAR 11.25. V2 La société VEOLIA PROPRETE NORD NORMANDIE (VPNN) est autorisée

Plus en détail

INF 1160 Les réseaux d entreprise

INF 1160 Les réseaux d entreprise INF 1160 Les réseaux d entreprise Politique sur la sécurité du réseau Termes de référence Quelques définitions pour parler le même langage SINISTRES : Événements liés aux caprices de la nature ou aux bâtiments.

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit McAfee Enterprise Mobility Management 9.7 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

SECURITE PHYSIQUE DES ELEMENTS D UN RESEAU LOCAL

SECURITE PHYSIQUE DES ELEMENTS D UN RESEAU LOCAL LES DOSSIERS TECHNIQUES SECURITE PHYSIQUE DES Juillet 1999 Version α.2 ELEMENTS D UN RESEAU LOCAL Commission Réseaux et Systèmes Ouvert Septembre 2000 Version 1 Commission Techniques de Sécurité Physique

Plus en détail

Prestataires de services

Prestataires de services Prestataires de services Allianz Actif Pro : la multirisque qui couvre à la fois votre responsabilité et vos biens professionnels pour préserver votre activité, quoi qu il arrive. Avez-vous tout prévu?

Plus en détail

LES COMPTEURS COMMUNICANTS

LES COMPTEURS COMMUNICANTS PACK DE CONFORMITÉ LES COMPTEURS COMMUNICANTS PACK DE CONFORMITÉ SUR LES COMPTEURS COMMUNICANTS Le pack de conformité est un nouvel outil de régulation des données personnelles qui recouvre tout à la fois

Plus en détail

Objet : Nouveautés TDS 2003

Objet : Nouveautés TDS 2003 Nouveautés TDS 2003 Page 1 NOTE AUX UTILISATEURS DE LDPAYE Objet : Nouveautés TDS 2003 1 - Introduction Cette note a pour objet de faciliter la préparation de la TDS 2003, compte-tenu des modifications

Plus en détail

CHARTE D UTILISATION DU SITE

CHARTE D UTILISATION DU SITE CHARTE D UTILISATION DU SITE 1. Définitions Les termes commençant par une majuscule ont la signification indiquée ci-dessous, qu ils soient au singulier ou au pluriel. 1) Site désigne le site www.notaires.fr

Plus en détail

LIVRET SERVICE. Yourcegid Ressources Humaines RHPi. DSN Link

LIVRET SERVICE. Yourcegid Ressources Humaines RHPi. DSN Link LIVRET SERVICE Yourcegid Ressources Humaines RHPi DSN Link LS-YC RHPi-DSN Link-02/2015 LIVRET SERVICE YOURCEGID RESSSOURCES HUMAINES RHPI DSN LINK ARTICLE 1 : PREAMBULE En application de l article L. 133-5-3

Plus en détail

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Quel outil pour le PCA? de sa conception à sa mise en œuvre en situation de crise Introduction

Plus en détail

Quelle durée retenir?

Quelle durée retenir? 5 Quelle durée retenir? C est désormais aux caractéristiques propres de l entreprise qu il convient de se référer pour déterminer la durée et le mode d amortissement d une immobilisation. En pratique,

Plus en détail

Identification, évaluation et gestion des incidents

Identification, évaluation et gestion des incidents Identification, évaluation et gestion des incidents De la cartographie des risques à la mise en place de la base incidents Xavier DIVAY Responsable de la conformité et du contrôle permanent QUILVEST BANQUE

Plus en détail

C O N D I T I O N S G É N É R A L E S

C O N D I T I O N S G É N É R A L E S VERSION GLOBALE 13 novembre 20142 mai 2014 C O N D I T I O N S G É N É R A L E S D E S E R V I C E 1. INTRODUCTION VOLVO souhaite vous offrir les meilleurs Services disponibles (tels que définis au bas

Plus en détail