Cartographie des risques informatiques : exemples, méthodes et outils
|
|
- Bertrand Édouard Boivin
- il y a 2 ans
- Total affichages :
Transcription
1 : exemples, méthodes et outils Gina Gullà-Ménez, Directeur de l Audit des Processus et des Projets SI, Sanofi-Aventis Vincent Manière Consultant
2 Construction d une cartographie des risques : quel modèle proposer? Agenda Introduction - Présentation du groupe de travail Eléments génériques g sur les risques Retours d expd expérience Enseignements Conclusions
3 Introduction Dans le cadre des activités de l AFAI : Publier les bonnes pratiques professionnelles catalogue d une douzaine d ouvrages, issus du partage d expérience au sein de groupes de travail constitués de professionnels expérimentés Faciliter l échange et l élaboration collective des échanges professionnels approfondis des groupes de travail constitués à l initiative des membres Définir un objectif (un livrable sous 18 mois maximum) : ouvrage, article, enquête Obtenir l accord du CA et engager les travaux
4 OBJECTIFS DU GROUPE DE TRAVAIL Etudier les avantages à élaborer une cartographie des risques informatiques. Mettre en évidence les différentes approches pratiques, en fonction des objectifs poursuivis et du point de vue de l utilisateur de la cartographie (Management, Audit interne, Direction de projet, )
5 ORGANISATION/PARTICIPANTS Le groupe de travail était composé de membres permanents issus des grandes entreprises, des cabinets d audits, de consultants, exerçant des métiers différents : Responsable d audit Risk manager Responsable sécurité informatique Responsable méthode Il a bénéficié de la présence d invités, qui ont apporté un angle de vue particulier ou un témoignage de leur expérience.
6 DÉROULÉ/MODE DE FONCTIONNEMENT Témoignages anonymes ayant pour objectif Restituer de façon standardisée les présentations-témoignages pour faciliter la perception par le lecteur ; Fournir un cadre structuré pour les participants appelés à témoigner. Structure de la fiche Témoignage: Objectif de la cartographie Résultats obtenus Acteurs Démarche Avantages Inconvénients et difficultés Faire ressortir des enseignements et des facteurs clés de succès pour réussir une démarche cartographie.
7 Construction d une cartographie des risques : Quel modèle proposer? Agenda Introduction - Présentation du groupe de travail Eléments génériques g sur les risques Retours d expd expérience Enseignements Conclusions
8 Des définitions multiples De nombreuses définitions existent qui combinent : Probabilité Impact Vulnérabilité Menace Origine Bernoulli "Le risque est l'espérance mathématique d'une fonction de probabilité d'événements". En termes plus simples, il s'agit de la valeur moyenne des conséquences d'événements affectés de leur probabilité d'occurrence. Ainsi, un événement e1 a une probabilité d'occurrence p1 avec une conséquence probable C1 ; de même un événement en aura une probabilité pn et une conséquence Cn, alors le risque vaudra R = p1.c1 + p2.c pn.cn. Un produit pi.ci est appelé valeur de l'aléa i. Origine IFACI Risque : possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité. Cartographie des risques : positionnement des risques majeurs se lon différents axes tels que l impact potentiel, la probabilité de survenance ou le niveau actuel de maîtrise des risques. Son objectif est de permettre d orienter le plan d audit interne et d aider le management à prendre en compte la dimension risque dans son pilotage interne.
9 Eléments génériques sur les risques Deux tendances principales se dégagent de «l histoire du risque» : Approche mathématique Blaise Pascal et Pierre de Fermat en 1654 Loi des grands nombres Bernoulli en 1738 Théorie des Jeux en 1944 Approche «management par les risques» Apparue en fin des années 1950 aux Etats-Unis Gouvernement d entreprise et obligation de contrôle des risques COSO II
10 Eléments génériques sur les risques Tendance COSO II Le «cube COSO» visualise la gestion du risque en trois dimensions : du point de vue des objectifs de l entreprise tel le contrôle interne, les composantes de la gestion du risque à l échelle de l entreprise et l organisation de l entreprise.
11 Tendance ISO 2700x
12 Le risque informatique est-il spécifique? Dans Risk IT (ISACA) : Le risque informatique peut être désigné comme le risque «métier» associé à l utilisation, la possession, l exploitation, l implication, l influence et l adoption de l informatique dans une organisation. Exemples et Lien risques métiers Interruption des activités d une entreprise en raison d une indisponibilité du SI : panne d un composant du réseau (par exemple un routeur) incendie de la salle machine intrusion d un pirate et destruction des bases de données plan de secours n ayant pas suivi les évolutions récentes des systèmes
13 Le risque informatique est-il spécifique? Exemples et Lien risques métiers Fraude sur les systèmes de paiement : accès inapproprié aux données : possibilité d intervention directe sur les fichiers d interface, sans supervision absence de contrôles au sein des processus achats : «3-way match principle» anomalies de séparation des tâches au sein de la communauté d utilisateurs : le demandeur n est pas l acheteur pas d outil de détection d anomalies en place sur les données : modification des données fournisseurs capacité des équipes informatiques à intervenir sur le code source des applications et à mettre en production sans point de contrôle
14 Construction d une cartographie des risques : quel modèle proposer? Agenda Introduction - Présentation du groupe de travail Eléments génériques g sur les risques Retours d expd expérience Enseignements Conclusions
15 Retours d expérience Structure des retours d expérience selon la fiche témoignage : Contexte de la cartographie Objectif de la cartographie Acteurs concernés Démarches Représentations
16 Retours d expérience - Contexte de la cartographie Une réponse à la montée des exigences règlementaires concernant les risques Démarche de sécurisation des actifs SI Volonté de la Direction Générale Structuration des démarches de gestion des risques et de contrôle interne Management opérationnel par les risques
17 Cartographie des risques Etat de l art 4 types de cartographies identifiés cartographie des risques Groupe pour décision et action de gestion du responsable du risque pour suivre la maîtrise des principaux risques de l entreprise cartographie des risques pour construction du plan d audit pour identifier l exposition au risque et définir le plan d audit cartographie des risques Sécurité de l information pour protéger au plus efficient les actifs du SI au regard des menaces qu ils encourent cartographie des risques propres à la Fonction SI pour piloter les processus, la fonction SI, et la réussite des projets
18 Retours d expérience - Acteurs concernés Ce sont toujours les mêmes, mais plus ou moins impliqués selon les contextes : La fonction SI La filière Sécurité L Audit Interne Les Métiers La Gestion des Risques Le Contrôle interne La Direction Générale
19 Retours d expérience - Démarche (1/3) Les démarches sont souvent structurées et formalisées, Plusieurs démarches peuvent co-exister au sein d une organisation, mais elles restent généralement indépendantes, Différents impacts liés aux risques SI sont traités : opérationnels, financiers, réglementaires, Des approches Top-Down (pour la DG, pour le réglementaire) ou Bottom-Up (pour la sécurité, le pilotage SI),
20 Retours d expérience - Démarche (2/3) Des «inputs» de plus en plus nombreux Menaces, incidents, résultats d audits internes et externes, dires d experts, statistiques L évaluation de l impact financier est rare, Les risques bruts (ou inhérents) et les risques nets (ou résiduels) sont généralement pris en compte, Méthodes et référentiels : on retrouve les standards du contrôle interne SI et de la sécurité Cobit, COSO, ISO 27xxx, Mais également des méthodes internes,
21 Retours d expérience - Démarche (3/3) Un outillage divers, plus ou moins sophistiqué Questionnaires, tableurs, listes de risques, progiciel de gestion des risques La charge de travail initiale dépend du périmètre de l analyse, mais elle est généralement conséquente par exemple, jours par branche pour une cartographie Direction Générale La fréquence de mise à jour est souvent annuelle pour les cartographies Groupe et Audit interne et peut-être trimestrielle pour les cartographies opérationnelles
22 Retours d expérience - différentes représentations (1/4) Par exemple : Schéma générique Schéma Contrôle Interne Probabilité d occurrence de la menace réduction de l impact Risques forts Risques faibles Risques moyens réduction de la probabilité de la menace Mesure de l impact
23 Retours d expérience - différentes représentations (2/4) Cartographie des risques SI Probabilité d'occurrence Fréquente Gestion non maîtrisée des licences informatiques Allocation des ressources non optimisée concernant des projets informatiques Occasionnelle Accès non autorisé à des données confidentielles concernant les salariés Mauvaise gestion des habilitations suite aux mouvements de personnel Risque d'erreurs liées à une mauvaise utilisation et connaissance du système d'information Risque lié à l'appauvrissement et la perte de connaissance des outils informatiques Risque d accès à l information stratégique par des personnes internes/externes au service et à la société 8 8 Erreurs générées par les outils informatiques supportant la maintenance des équipements 9 9 Risque d'accès illicite au système / piratage de fichiers commerciaux 7 Rare Obsolescence de vieilles applications 10 Perte de continuité de services informatiques 11 Impact potentiel sur les objectifs Faible Moyen Fort
24 Retours d expérience - Différentes représentations (3/4) Représentation en rosace
25 Quantification Retours d expérience - Différentes représentations (3/4) Matériel transportable Matériel fixe Supports de stockage statique Support de stockage dynamique Logiciel de service, de maintenance, d'administration ou système d'exploitation Application métier Architectures et applications réseaux L'organisme SI Activités métiers Actifs Sous-traitant/Fournisseurs/Industriels Personnes Certification, Image de marque de la Dsi Périmètre physique Service et moyens en énergie et utilitaires Données / Informations Perte ou altération des preuves empêchant toute investigation Désaccord, sanction des autorités de tutelle ou sanction pénale Menaces Perte de certification 16 Intrusion de personne 16 Menaces physiques (Incendies, inondations, tremblements de terre ) Défaillance des prestations de tiers 18 Interruption des activités métiers 11 Accès non autiorisé 72 Abus de droits 15 Reniement d'actions
26 Construction d une cartographie des risques : Quel modèle proposer? Agenda Introduction - Présentation du groupe de travail Eléments génériques g sur les risques Retours d expd expérience Enseignements Conclusions
27 ENSEIGNEMENTS (1/2) Difficulté de compréhension par les métiers de certains critères de l information, notamment Efficacité et Fiabilité Pas d évaluation scientifique Subjectivité dans l identification et l évaluation des risques Hétérogénéité et granularité des risques
28 ENSEIGNEMENTS (2/2) Consolidation difficile Niveaux de maturité ou de sensibilité différents Périmètre de la démarche Mobilisation des ressources Vocabulaire : pas de définition unique d une entreprise à une autre et au sein d une même entreprise : Menace, risque de sécurité, risque métier, risque opérationnel Constat général : Il n y a pas de cartographie unique et il apparaît que cela n aurait pas forcément de sens.
29 Construction d une cartographie des risques : Quel modèle proposer? Agenda Introduction - Présentation du groupe de travail Eléments génériques g sur les risques Retours d expd expérience Enseignements Conclusions
30 Conclusions (1/2) «Concilier diversité et cohérence d ensemble» Effectuer un travail amont de clarification du vocabulaire et des notions retenus Conserver les initiatives locales répondant à des besoins spécifiques de management opérationnel : sécurité, audit interne, contrôle interne, DSI, Métiers Mais, mettre en place un pilotage global de la gestion des risques informatiques vision globale des initiatives, maintien de la cohérence et pertinence, optimisation des moyens, maîtrise de la communication et du reporting en matière de risque
31 Conclusions (2/2) «Concilier diversité et cohérence d ensemble» Etablir un référentiel des risques informatiques Choisir un outil afin de faciliter le partage et la consolidation des risques Avoir une vision intégrée des démarches connexes propres à l informatique : Qualité, ITIL, Gouvernance, Sécurité, Etablir la contribution de la gestion des risques informatiques à la gestion globale des risques de l entreprise
32 Annexe. Actualité des associations professionnelles AMRAE : Association pour le management des risques et des assurances de l entreprise Groupe de travail «Cartographie des risques» - ouvrage publié en 2007 AFAI : Association Française de l Audit Informatique «Baromètre» - enquête qui établit un état des lieux de la gestion des risques informatiques dans les entreprises, leurs perceptions et les actions entreprises pour les maitriser Groupe de travail «Cartographie des risques» Témoignages et publication d un ouvrage méthodologique courant 2008 IFACI Enquête Cahier de recherche «Cartographie des risques» publié en 2003
33 Backup
34 DÉROULÉ/MODE DE FONCTIONNEMENT Guide de constitution de l ouvrage : Introduction : lancer le sujet et notamment le positionner par rapport à la cartographie globale des risques d une organisation Pourquoi la cartographie Justification Définition Méthode Quels acteurs? Comment réaliser la cartographie? Quelle démarche? Quels outils mettre en œuvre? Mise à jour et périodicité Témoignages Fiche selon format ci-après Glossaire Bibliographie
35 Le risque informatique est-il spécifique? Existe-t-il / Faut-il des catégories de risques informatiques Recours à des catégories facilite le travail sur les risques guide pour le recensement communication sur les risques informatiques dans un cadre partag é exemple : catégorisation du modèle Risk IT de l ISACA les risques portant sur la fourniture du service, liés à la disponibilité et la performance des systèmes au quotidien ; les risques portant sur la livraison des nouvelles solutions aux utilisateurs, et notamment les projets ; les risques portant sur les opportunités (et notamment les opportunités ratées) de rendre plus efficaces les processus métiers en s appuyant sur les évolutions de la technologie.
36 Conclusion Élaborer une cartographie des risques informatiques est possible et les bénéfices sont réels. Toutefois, quand des risques ont été exprimés et partagés au sein d une organisation, on ne peut plus ne rien faire. L enjeu réel porte donc plus sur l utilisation de la cartographie que sur la cartographie elle-même. Les risques sont dynamiques (surtout sur un sujet technologique) et la vision que l on en a doit l être aussi. C est donc tout un processus de gestion des risques informatiques qui doit donc être mis en œuvre.
Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher
Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur
Gérer concrètement ses risques avec l'iso 27001
SMSI Oui! Certification? Peut être Gérer concrètement ses risques avec l'iso 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 23 octobre 2008 Agenda 1. L'ISO 27001 : pour
Systèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
des référentiels r rentiels Jean-Louis Bleicher Régis Delayat
L évolution récente r des référentiels r rentiels Jean-Louis Bleicher Régis Delayat 7 Avril 2009 Plan COBIT V4.1 COBIT Quickstart V2 Guide d audit informatique COBIT Val IT Risk IT Le Guide pratique CIGREF/
ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation
Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Les audits de l infrastructure des SI
Les audits de l infrastructure des SI Réunion responsables de Catis 23 avril 2009 Vers un nouveau modèle pour l infrastructure (CDSI Avril et Juin 2008) En dix ans, les évolutions des SI ont eu un fort
Software Asset Management Savoir optimiser vos coûts licensing
Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons
Comment faire des investissements informatiques pertinents en pleine connaissance de cause et mesurer les résultats obtenus?
Pourquoi le C - GSI Comment faire des investissements informatiques pertinents en pleine connaissance de cause et mesurer les résultats obtenus? La gouvernance des systèmes d information désigne l ensemble
MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
CQP Inter-branches Technicien de la Qualité
CQP Inter-branches Technicien de la Qualité Référentiels d activités et de compétences Référentiel de certification OBSERVATOIRE DES INDUSTRIES CHIMIQUES Désignation du métier ou des composantes du métier
M2 Miage Processus de la Sécurité des Systèmes d information
M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation
Partie I Organisations, management et systèmes d information... 1
Liste des cas d entreprise............................................................ Liste des figures..................................................................... Liste des tableaux...................................................................
Gestion de la sécurité de l information dans une organisation. 14 février 2014
Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité
THEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Introduction à la norme ISO 27001. Eric Lachapelle
Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2
LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :
La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients
Gouvernance de la sécurité des systèmes d information
Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved
Devenir Responsable de la sécurité des systèmes d'information (RSSI)
Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours
D ITIL à D ISO 20000, une démarche complémentaire
D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction
THÉORIE ET PRATIQUE DE L AUDIT INTERNE
Jacques RENARD THÉORIE ET PRATIQUE DE L AUDIT INTERNE Préface de Louis GALLOIS Président de la SNCF Prix IFACI 1995 du meilleur ouvrage sur l audit interne Cinquième édition Éditions d Organisation, 1994,
Information Technology Services - Learning & Certification. www.pluralisconsulting.com
Information Technology Services - Learning & Certification www.pluralisconsulting.com 1 IT Consulting &Training Créateur de Performance Pluralis Consulting Services et de Conseil en Système d Information
Panorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Sécurité des Systèmes d Information
Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de
L approche processus c est quoi?
L approche processus c est quoi? D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002) Introduction Termes et définitions
CIGREF 2010. La contribution des SI à la création de valeur
1 CIGREF 2010 La contribution des SI à la création de valeur Michel DELATTRE Directeur des Systèmes d Information du Groupe La Poste Administrateur du CIGREF CIGREF 2 Créé en 1970 Association de Grandes
Recommandations pour la collecte et le traitement de données
Recommandations pour la collecte et le traitement de données Sommaire Contexte, objectif et démarche 1 1 Identification du besoin 2 2 Conception et définition du processus de la collecte de données 3 3
Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013
Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013 Eléments de contexte Un coût significatif, une évolution des typologies Selon l ALFA (sur la base
ITSM - Gestion des Services informatiques
Chapitre 1 - COMPRENDRE LE MARCHÉ ITSM - Gestion des Services informatiques Copyright 2011 CXP. 1 ITSM - Gestion des Services informatiques L'étude a été réalisée par : Dalila Souiah OBJECTIF DU DOCUMENT.
Techniques d évaluation des risques norme ISO 31010
Techniques d évaluation des risques norme ISO 31010 www.pr4gm4.com Gestion des risques Présentation Mars 2010 Copyright 2010 - PR4GM4 Actualité du 27 janvier 2010 2 Actualité du 11 février 2010 3 Domaine
Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013)
Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013) 1 Le Système qualité La cartographie des processus, qui se situe entre le manuel qualité et les procédures
Exploiter l information remontée par le SI
Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de
La SOA était une mode. Nous en avons fait un standard.
La SOA était une mode. Nous en avons fait un standard. Agenda 1 Présentation 2 Les solutions it-toolbox 3 Notre valeur ajoutée 4 Le centre d excellence 5 Equipe et démarche 6 Références et plateformes
INGENIEUR SPECIALITE GESTION ET PREVENTION DES RISQUES DIPLOMÉ DE ARTS ET METIERS PARISTECH EN PARTENARIAT AVEC ITII 2 SAVOIES
INGENIEUR SPECIALITE GESTION ET PREVENTION DES RISQUES DIPLOMÉ DE ARTS ET METIERS PARISTECH EN PARTENARIAT AVEC ITII 2 SAVOIES RÉFÉRENTIEL D ACTIVITÉS ET RÉFÉRENTIEL DE CERTIFICATION ACTIVITE et TACHES
Gestion de parc et qualité de service
Gestion de parc et qualité de service Journée Josy, 14 octobre 2008 A. Rivet Gestion de parc et qualité de service Gestion de parc Fonctions de base GT «Guide de bonnes pratiques» Référentiels et SI ITIL/ISO
Systèmes d information
11 Systèmes Cette famille rassemble des métiers dont la finalité est de concevoir, développer, exploiter et entretenir des solutions (logicielles et matérielles) répondant aux besoins collectifs et individuels
Pilotage de la performance par les processus et IT
Pilotage de la performance par les processus et IT Pilotage par les processus, Apports de la DSI aux processus métiers, Maturité des entreprises en matière de pilotage par les processus. 1 1 Piloter par
Les normes de sécurité informatique
Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes
Vector Security Consulting S.A
Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante
Objectif Cloud Une démarche pratique orientée services
Avant-propos 1. Au-delà de l'horizon 13 2. Remerciements 14 La notion de Cloud 1. Introduction 17 2. Le Cloud : un besoin repris dans un concept 19 3. Cloud : origine et définition 23 3.1 Modèles de déploiement
Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN
Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...
Software Application Portfolio Management
Environnement complet de consolidation du Patrimoine Applicatif & de production des Tableaux de bords d inventaire et de pilotage Software Application Portfolio Management Collecter Centraliser Normaliser
Référentiel de compétences en système d'information
ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable
Module Projet Personnel Professionnel
Module Projet Personnel Professionnel Elaborer un projet personnel professionnel. Connaissance d un métier, d une entreprise ou d un secteur d activités. Travail individuel de recherche SUIO-IP Internet
(Démarche et méthode)
Altaïr Conseil Transformation Gouvernance - Risques Elaborer la cartographie des risques (Démarche et méthode) 33, rue Vivienne, 75 002 Paris 01 47 33 03 12 www.altairconseil.fr contact@altairconseil.fr
Piloter le contrôle permanent
Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF
FILIÈRE METHODOLOGIE & PROJET
FILIÈRE METHODOLOGIE & PROJET 109 Gestion de projet METHODOLOGIE ET PROJET Durée 3 jours Conduite de projet COND-PRO s Intégrer les conditions de réussite d une démarche de management par projet. Impliquer
Catalogue de services standard Référence : CAT-SERVICES-2010-A
Catalogue de services standard Référence : CAT-SERVICES-2010-A Dans ce catalogue, le terme Client désigne l entité légale intéressée à l achat de services délivrés par ITE- AUDIT, que cet achat soit un
ITIL Gestion de la continuité des services informatiques
ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques
INDUSTRIALISATION ET RATIONALISATION
INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements
Groupe de travail ITIL - Synthèse 2011
Groupe de travail ITIL - Synthèse 2011 Améliorer les relations clients-fournisseurs d une externalisation informatique Livrable 2010-2011 du Groupe ADIRA-ITIL Lyon 27 juin 2011 Animateurs: Jean LAMBERT
Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.
Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Introduction Face à l évolution constante des besoins fonctionnels et des outils informatiques, il est devenu essentiel pour
Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services
Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Jaafar DEHBI 2003 Acadys - all rights reserved Conception des services Buts et objectifs Concevoir les nouveaux
Microsoft IT Operation Consulting
Microsoft IT Operation Consulting Des offres de services qui vous permettent : D améliorer l agilité et l alignement de votre IT aux besoins métier de votre entreprise. De maîtriser votre informatique
ITIL Mise en oeuvre de la démarche ITIL en entreprise
Introduction 1. Préambule 21 2. Approfondir ITIL V3 22 2.1 Introduction 22 2.2 La cartographie 23 2.2.1 La cartographie de la démarche ITIL V3 23 2.2.2 La cartographie des processus dans les phases du
L'approche Iso27001 au sein du Gie Systalians de Réunica Bayard
L'approche Iso27001 au sein du Gie Systalians de Réunica Bayard Club Iso 27001 - Emmanuel GARNIER 21 novembre 2007 L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica
Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition
E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe
Atelier A06. Comment intégrer la gestion des risques à la stratégie de l entreprise
Atelier A06 Comment intégrer la gestion des risques à la stratégie de l entreprise 1 Atelier A06 Intervenants Olivier Sorba Directeur Risque & Contrôle Interne Gilles Proust Associé & co-fondateur Intervenant
Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE
Management par les processus les éléments structurants Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise en
Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»
Information Technology Services - Learning & Certification «Développement et Certification des Compétences Technologiques» www.pluralisconsulting.com 1 IT Training and Consulting Services Pluralis Consulting
PROJET DE MISE EN PLACE D UNE DEMARCHE QUALITE A LA DU CONSEIL DU CAFE CACAO TERMES DE REFERENCE DECEMBRE 2015
DIRECTION GENERALE ADJOINTE CHARGEE DES OPERATIONS COMMERCIALES ------------- DIRECTION DES EXPORTATIONS ------------- PROJET DE MISE EN PLACE D UNE DEMARCHE QUALITE A LA DIRECTION DES EXPORTATIONS DU
MCO : Maintien en Conditions Opérationnelles
Les différentes stratégies de pérennisation : étude menée par Edf avec ISO Ingénierie MCO : Maintien en Conditions Opérationnelles Par Matthieu Bresciani 10/06/2010 Journée Club Automation MCO des systèmes
Vous accompagner à la maîtrise de vos projets SIRH
Vous accompagner à la maîtrise de vos projets SIRH I.Vous accompagner au pilotage métier de projet Le pilotage métier est le levier de sécurisation du projet de refonte SIRH. Avec Magn Ulteam, conjuguez
D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002)
L'approche processus D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002) Diaporama : Marie-Hélène Gentil (Maître de Conférences,
Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA
Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales
Les missions du comité d audit
AUDIT COMMITTEE INSTITUTE FRANCE Les missions du comité d audit Aide mémoire kpmg.fr Sommaire Réglementation... 3 Exemples de bonnes pratiques... 6 Suivi de l efficacité des systèmes de contrôle interne
Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»
Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation
LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)
LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC) Donnez à votre comité de direction une visibilité à 360, en temps réel, du cadre de Gouvernance d Entreprise REGULATORY COMPLIANCE Rc
Formations Méthode et conduite de projet
Formations Méthode et conduite de projet Présentation des formations Qualité et Conduite de projets Mettre en place et gérer un projet SI nécessite diverses compétences comme connaître les acteurs, gérer
Évaluation de la sécurité de nos fournisseurs IT dans le cadre du référencement Groupe
Évaluation de la sécurité de nos fournisseurs IT dans le cadre du référencement Groupe Jean-Philippe Gaulier Cécile Lesaint 05/10/2015 Les constats on découvre en permanence des failles OWASP dans nos
Certification ISO 9001 v2000 afin :
Objectif OBJECTIF d UNE CERTIFICATION ISO 9001 Certification ISO 9001 v2000 afin : de fiabiliser et d orienter l ensemble des processus de l entreprise vers la satisfaction de ses clients De mettre en
Programme de formation «CAP RSEA»
Programme de formation «CAP RSEA» Amélioration et mesure de la performance économique, sociale, sociétale et environnementale des Entreprises Adaptées Contexte La RSE se définit comme la responsabilité
Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr
Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board
Les Systèmes d Information au service des Ressources Humaines
Les Systèmes d Information au service des Ressources Humaines La DRH fait face à de nouveaux défis Quelle stratégie adopter pour que toutes les filiales acceptent de mettre en place un outil groupe? Comment
Urbanisation des Systèmes d'information
Urbanisation des Systèmes d'information Les Audits de Systèmes d Information et leurs méthodes 1 Gouvernance de Système d Information Trois standards de référence pour trois processus du Système d Information
ITIL V3. Stratégie des services - Processus
ITIL V3 Stratégie des services - Processus Création : juillet 2011 Mise à jour : Juillet 2011 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé en se basant
Yphise optimise en Coût Valeur Risque l informatique d entreprise
Gérer le risque opérationnel ORM - Operational Risk Management Juin 2008 Xavier Flez yphise@yphise.com Propriété Yphise GM Gouvernance PR Projets IS Systèmes d Information SO Service Management 1 Le risque
Jacques SOYER Fonction formation
Jacques SOYER Fonction formation Troisième édition Éditions d Organisation, 1998, 1999, 2003 ISBN : 2-7081-2886-8 Note au lecteur pour la 3 e édition..................... IX Introduction.......................................
2. Technique d analyse de la demande
1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction
Tous droits réservés SELENIS
1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,
REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur :
COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 30/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Responsable d affaires I OBJECTIF PROFESSIONNEL
LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES
LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information
Programme de formation " ITIL Foundation "
Programme de formation " ITIL Foundation " CONTEXTE Les «Référentiels» font partie des nombreux instruments de gestion et de pilotage qui doivent se trouver dans la «boite à outils» d une DSI ; ils ont
MESURE DE LA PERFORMANCE DE L ENTREPRISE. www.parlonsentreprise.com
MESURE DE LA PERFORMANCE DE L ENTREPRISE www.parlonsentreprise.com Objectifs de l atelier Prendre conscience des besoins des clients Apporter un service supplementaire utile a nos clients Presenter une
Soirée Gestion de Projet
Soirée Gestion de Projet 23 Mai 2000 Un modèle et une démarche pour analyser les risques des projets Systèmes d'information Commission Informatique de l AFITEP Commission Informatique - Présentation Soirée
PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS
PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,
Concours EXTERNE d ingénieur des systèmes d information et de communication. «Session 2009»
Concours EXTERNE d ingénieur des systèmes d information et de communication «Session 2009» Meilleure copie "Rapport Technique" Thème : conception et développement logiciel Note : 15,75/20 Rapport technique
RESSOURCES HUMAINES. Yourcegid Ressources Humaines, des solutions pour les entreprises qui s investissent dans leur capital humain.
Yourcegid Ressources Humaines, des solutions pour les entreprises qui s investissent dans leur capital humain. Solutions de gestion RESSOURCES HUMAINES Parce que votre entreprise est unique, parce que
JOURNÉE THÉMATIQUE SUR LES RISQUES
Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Yphise accompagne l équipe de management des DSI. Séminaires de réflexion destinés aux décideurs et managers
Yphise accompagne l équipe de management des DSI Séminaires de réflexion destinés aux décideurs et managers La réflexion pluridisciplinaire des managers DSI Formations par métier d une informatique : voir
l esprit libre www.thalesgroup.com/security-services
> L infogérance l esprit libre Ou comment contribuer à la performance de l entreprise en externalisant ses systèmes d information critiques www.thalesgroup.com/security-services >> PERFORMANCE ET INFOGERANCE
Atelier «Gestion des Changements»
Atelier «Gestion des Changements» Président de séance : Hervé Guérin Jeudi 22 Juin 2006 (ECN Nantes) Bienvenue... Le thème : La Gestion des Changements Le principe : Echanger et s enrichir mutuellement
LES NOUVEAUX TABLEAUX DE BORD DES MANAGERS. Le projet décisionnel dans sa totalité
Alain Fernandez LES NOUVEAUX TABLEAUX DE BORD DES MANAGERS Le projet décisionnel dans sa totalité Préface de Gérard BALANTZIAN Troisième édition, 1999, 2000, 2003 ISBN : 2-7081-2882-5 Sommaire Préface
ITIL V2 Processus : La Gestion des Configurations
ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service
Fiche Pratique. Améliorer le pilotage des Opérations Informatiques ITIL. Club des Responsables d Infrastructures et de Production
Fiche Pratique ITIL Club des Responsables d Infrastructures et de Production Améliorer le pilotage des Opérations Informatiques Les Opérations Informatiques sont sensibilisées depuis plusieurs années aux
POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :
Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée
Contenu de la Présentation
Contenu de la Présentation I. Introduction II. L Augmentation des menaces et une vulnérabilité plus forte III. Le marché de la SSI : les enjeux financiers et économiques IV. Répondre aux enjeux économiques
Au Service de la Performance IT. Retour d expérience sur la gestion des Incidents et des Problèmes autour du SI
Retour d expérience sur la gestion des Incidents et des Problèmes autour du SI Les priorités des DSI en 2009 Au Service de la Performance IT Les priorités des DSI : (source enquête IDC auprès de plus de
Application du Lean dans le domaine des Services Introduction
Introduction Le domaine des Services (vs. Industriel) comprend à la fois les organisations qui fournissent des services : Banque, Administration, etc. les fonctions supports de toutes les organisations