L'approche de Microsoft en matière de transparence du cloud

Dimension: px
Commencer à balayer dès la page:

Download "L'approche de Microsoft en matière de transparence du cloud"

Transcription

1 L'approche de Microsoft en matière de transparence du cloud Utilisation du registre STAR (Security, Trust & Assurance Registry) de la Cloud Security Alliance Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 1

2 L'approche de Microsoft en matière de transparence du cloud Ce document est fourni à titre purement informatif. MICROSOFT NE FORMULE AUCUNE GARANTIE, EXPLICITE, IMPLICITE OU LÉGALE CONCERNANT LES INFORMATIONS DE CE DOCUMENT. Ce document est fourni «en l'état». Les Informations et les opinions exprimées dans ce document, y compris les URL et les autres références de site Web, peuvent être modifiées sans préavis. Vous l'utilisez en toute connaissance de cause. Copyright 2012 Microsoft Corporation. Tous droits réservés. Les noms de produits et de sociétés réels mentionnés dans la présente documentation peuvent être des marques de leurs propriétaires respectifs. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 2

3 Auteurs Frank Simorjay Informatique de confiance de Microsoft Ariel Silverstone Concise Consulting Aaron Weller Concise Consulting Collaborateurs Kellie Ann Chainier Microsoft, Secteur public Stephanie Dart Microsoft Dynamics CRM Mark Estberg Services de base globaux John Howie Services de base globaux Marc Lauricella Informatique de confiance de Microsoft Kathy Phillips Microsoft, Juridique et entreprise Tim Rains Informatique de confiance de Microsoft Sian Suthers Informatique de confiance de Microsoft Stevan Vidich Windows Azure, Marketing Steve Wacker Wadeware LLC Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 3

4 Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 4

5 Synthèse Le passage au cloud computing représente pour les entreprises une occasion unique de revoir leur mode de fonctionnement. Comme pour le concept d'externalisation, l'alliance des technologies et processus qui définissent le cloud computing actuel permet d'appréhender et d'utiliser les technologies de l'information sous un nouvel angle tout en valorisant les entreprises informatiques. Cette évolution de l'informatique constitue une excellente opportunité pour de nombreuses entreprises, car elle leur permet de réduire ou d'éliminer les besoins en gestion des technologies axées sur les serveurs sur lesquelles reposent leurs processus d'entreprise. Outre le changement de processus et de priorités qu'il implique, ce passage permet aux entreprises de réduire leurs coûts, d'accroître leur souplesse d'adaptation pour répondre rapidement à l'évolution des besoins ainsi que de déployer et suivre plus efficacement leurs ressources. Ce document propose un aperçu des différents cadres et normes relatifs aux risques, à la gouvernance et à la sécurité de l'information. Il présente également le cadre spécifique au cloud de la Cloud Security Alliance (CSA), le registre STAR (Security, Trust & Assurance Registry). Le registre STAR est une ressource particulièrement intéressante pour les entreprises en quête d'une source d'informations fiable pour évaluer les fournisseurs de solutions cloud et tirer le meilleur parti des avantages d'un service cloud. L'engagement de Microsoft envers la transparence se traduit par l'adoption des contrôles STAR relatifs à la gestion de la sécurité, de la confidentialité, de la conformité et des risques ainsi que par les réponses apportées aux exigences de contrôle STAR, dont certaines sont incluses dans ce document. Introduction Le cloud computing permet d'aborder l'informatique comme un service d'utilité publique. Autrement dit, le traitement informatique, le stockage et la bande passante sont gérés par des fournisseurs, comme pour l'électricité ou l'eau. Cette approche constitue une évolution logique de l'informatique pour de nombreuses entreprises. Le cloud computing leur permet de réduire ou d'éliminer les besoins en gestion des technologies axées sur les serveurs sur lesquelles reposent leurs processus d'entreprise, et de se consacrer à leurs activités principales. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 5

6 Le cloud computing permet non seulement aux entreprises de se consacrer à leurs principaux objectifs commerciaux, mais il les aide également à réduire les coûts liés aux technologies de l'information et aux immobilisations, ce qui peut se traduire par une amélioration des résultats pour les parties prenantes. En outre, le cloud computing permet aux entreprises informatiques de répondre aux nouveaux besoins de leurs clients existants en leur fournissant un déploiement rapide et un suivi efficace en termes d'utilisation des ressources. Cette réactivité se répercute directement sur l'agilité de l'entreprise en lui permettant de s'adapter aux nouvelles exigences et de proposer rapidement de nouvelles solutions sur le marché. Le cloud computing permet aux entreprises de tirer parti de l'évolution rapide des technologies ainsi que des opportunités de sécurité, de vitesse, d'évolutivité et de flexibilité qui en découlent sans s'encombrer de solutions sur site. Aujourd'hui, les entreprises sont fréquemment mises au défi de réduire leurs coûts informatiques tout en répondant avec agilité et réactivité aux besoins du marché. Le modèle du cloud computing leur permet de payer uniquement les services dont elles ont besoin. Et grâce à la baisse des dépenses de capital qui en résulte, elles peuvent mobiliser leurs ressources sur leurs objectifs commerciaux. L'agilité inhérente au cloud computing offre un autre avantage, celui de l'évolutivité. À mesure que les besoins des entreprises augmentent et que des fonctionnalités ou ensembles de données sont ajoutés, le cloud computing permet de faire évoluer simplement et rapidement l'environnement. En cas de nécessité de réduction de la capacité de l'environnement informatique, par exemple après un pic saisonnier, celle-ci peut facilement être mise en œuvre sans les effets négatifs qui accompagnent généralement le brusque ralentissement d'un investissement important. L'opportunité offerte par le cloud computing exige de trouver le bon compromis entre avantages d'un transfert des données, du traitement et des capacités vers le cloud et conséquences liées à la sécurité des données, à la confidentialité, à la fiabilité et aux exigences réglementaires. Depuis le lancement de MSN en 1994, Microsoft développe et exécute des services en ligne. Microsoft permet aux entreprises de passer rapidement au cloud computing grâce à des services cloud tels que Windows Azure, Office 365 et Microsoft Dynamics CRM tout en adoptant une approche avant-gardiste vis-à-vis de la sécurité, de la confidentialité et de la fiabilité. Les services cloud de Microsoft, hébergés dans des centres de données Microsoft répartis à travers le monde, sont destinés à offrir les performances, l'évolutivité, la sécurité et les niveaux de service qu'attendent les clients professionnels. Microsoft applique des technologies et processus de pointe pour assurer un accès, une sécurité et Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 6

7 une confidentialité uniformes et fiables à chaque utilisateur. Ces solutions cloud Microsoft sont dotées de fonctionnalités qui facilitent la mise en conformité avec un large éventail de réglementations internationales et exigences de confidentialité. Dans ce document, Microsoft présente les différents cadres relatifs aux risques, à la gouvernance et à la sécurité de l'information ainsi que le cadre spécifique au cloud développé par la Cloud Security Alliance (CSA), à savoir le registre STAR (Security, Trust & Assurance Registry). Ce document présente également les origines et l'évolution du registre STAR, et décrit la façon dont les produits de cloud Microsoft remplissent les exigences de gestion de la sécurité, de la confidentialité, de la conformité et des risques définies dans le registre STAR. Ce livre blanc indique comment les services Microsoft tels que Windows Azure, Office 365 et Microsoft Dynamics CRM s'adaptent aux lignes directrices du registre STAR en matière de contrôles de gestion de la sécurité, de la confidentialité, de la conformité et des risques. Microsoft fournit à ses clients une documentation détaillant ses responsabilités vis-à-vis des applications et données que ceux-ci lui confient. Cette documentation est un outil indispensable pour les entreprises qui sont soumises à des obligations en termes de réglementation et/ou de conformité. Comme pour n'importe quel autre service tiers, il revient au client qui utilise le service de déterminer si celui-ci satisfait ses besoins et obligations. Ce livre blanc traite des principaux services de Windows Azure : services cloud (rôles Web et de travail), stockage (tables, blobs, files d'attente) et réseau (Gestionnaire de trafic et Windows Azure Connect). Il n'aborde pas les autres fonctionnalités de Windows Azure, comme la base de données SQL Windows Azure, les bus des services, Marketplace et la mise en cache. Pour plus d'informations sur Windows Azure, reportezvous à la section «Lectures complémentaires» de ce document. Les services en ligne d'office 365 et Microsoft Dynamics CRM sont exécutés sur une infrastructure cloud fournie par Microsoft et sont accessibles à partir de différents équipements clients. Ce livre blanc suppose que les lecteurs connaissent déjà les concepts de base de Windows Azure ; ceux-ci n'y sont donc pas décrits. Des liens vers des documents décrivant ces concepts fondamentaux sont disponibles sur Technet à la rubrique «Livres blancs Windows Azure». Enjeux relatifs à l'assurance du cloud Une bonne maîtrise de la gestion des risques est indispensable dans le paysage actuel de la sécurité et de la confidentialité de l'information. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 7

8 Lorsque l'on travaille avec des fournisseurs de cloud computing comme Windows Azure et avec des services cloud comme Office 365 et Microsoft Dynamics CRM, l'évaluation des risques doit impérativement tenir compte de la nature dynamique du cloud computing. Lorsqu'une nouvelle initiative est mise en œuvre, les entreprises effectuent généralement une évaluation complète des risques basée sur différents critères. Cette règle s'applique également au cloud computing. Les sections suivantes abordent les principaux critères qui intéressent généralement les entreprises désireuses d'adopter le cloud computing. Sécurité En termes de sécurité, les scénarios de cloud computing doivent tenir compte de nombreuses dimensions. Couches Lors de l'évaluation de l'environnement de contrôle d'une offre de cloud computing, la pile de services du fournisseur de service cloud doit être prise en compte dans son intégralité. Les services d'infrastructure et d'applications peuvent être fournis par plusieurs entreprises, ce qui accroît les risques de dysfonctionnements. La survenue d'un problème sur une des couches de la pile du cloud, ou au niveau du dernier kilomètre de connectivité défini par le client, peut entraver le fonctionnement du service cloud et avoir des conséquences négatives. Par conséquent, les clients doivent évaluer les services proposés par leur fournisseur et appréhender l'infrastructure et les plateformes sous-jacentes des services ainsi que les applications délivrées. Destruction ou suppression sécurisée des données Beaucoup d'entreprises disposent de stratégies exigeant la suppression des données lorsqu'elles deviennent obsolètes ou à l'échéance d'un laps de temps défini. Parfois, ces stratégies exigent une attestation, par exemple sous la forme d'un rapport stipulant que les données ont été détruites via une méthode rendant toute reconstruction impossible. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 8

9 Pour de nombreux fournisseurs de solutions cloud, il est difficile d'attester d'une telle suppression, notamment parce que les données du cloud sont rapidement répliquées et relocalisées sur de nombreux disques, serveurs et centres de données. On peut supposer que ces données sont écrasées à leur emplacement «d'origine» ou antérieur ; pourtant, il demeure souvent possible qu'un processus intrusif déterminé (ou une attaque) récupère ces données. Perte de données Sous sa forme partagée actuelle, le cloud computing est relativement récent, et beaucoup d'entreprises qui le déploient s'interrogent sur la maturité des outils utilisés par les fournisseurs pour héberger et gérer leurs données. Microsoft se distingue des nouveaux arrivants sur le marché grâce à son expérience des plateformes technologiques (Hotmail, MSN, etc.), une expérience de vingt ans dans certains cas. Au-delà du risque classique de perte de données sur les disques durs, l'existence d'outils supplémentaires comme les hyperviseurs, les gestionnaires d'ordinateurs virtuels, les nouveaux environnements d'exploitation et de stockage et les applications à déploiement rapide introduisent de nouveaux facteurs de stabilité et de redondance qui doivent être inclus dans les considérations relatives à la perte de données. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 9

10 Confidentialité Dans le cadre de l'évaluation des risques de sécurité, une analyse de la confidentialité doit être conduite afin d'identifier les risques potentiels pour les données et opérations dans le cloud. La notion de confidentialité ne se limite plus à la description traditionnelle des données des clients puisqu'elle s'étend désormais à la confidentialité d'entreprise, qui englobe la plupart des contraintes de propriété intellectuelle (comment, pourquoi et quand). Compte tenu du nombre croissant d'entreprises fondées sur la connaissance, les valeurs de propriété intellectuelle qu'elles génèrent augmentent. En fait, la valeur de la propriété intellectuelle constitue souvent une part importante de la valeur d'une entreprise. Confidentialité et intégrité De même, les préoccupations relatives à la confidentialité (personnes ayant accès aux données) et à l'intégrité (personnes autorisées à modifier les données) doivent impérativement être prises en compte dans toute évaluation. Généralement, plus le nombre de points d'accès aux données est important, plus le processus de création du profil de risque est compliqué. Tandis que de nombreux cadres réglementaires mettent l'accent sur la confidentialité, d'autres, comme la loi Sarbanes-Oxley, se concentrent presque exclusivement sur l'intégrité des données utilisées pour produire des rapports et relevés financiers. Fiabilité Dans la plupart des environnements de cloud computing, le flux de données qui achemine les informations vers et depuis le cloud doit être pris en compte. Plusieurs opérateurs sont parfois impliqués, et l'accès en aval de l'opérateur doit souvent être évalué. Par exemple, une panne au niveau d'un fournisseur de services de communications peut provoquer des retards et nuire à la fiabilité des données et services basés sur le cloud. Tout fournisseur de services supplémentaire doit être évalué pour déterminer les risques potentiels. Audit, assurance et attestation Nombreuses sont les entreprises qui disposent d'une certaine expérience en matière d'activités traditionnelles de déploiement d'applications et de données, comme l'audit et les évaluations. Dans le cadre d'un déploiement de cloud, le besoin de certaines de ces activités devient encore plus criant alors même que les activités proprement dites sont de plus en plus complexes. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 10

11 Le concept de cloud, notamment lors du déploiement d'un cloud public, implique l'absence de contrôle physique de la part de l'entreprise propriétaire des données. Des contrôles physiques doivent être envisagés pour protéger les disques durs, les systèmes et même les centres de données où résident les données. Cette règle s'applique également aux environnements logiciels dans lesquels des composants de services cloud sont déployés. En outre, l'obtention d'autorisations destinées à satisfaire les exigences de tests de résilience, de tests de pénétration et d'analyses régulières des vulnérabilités peut être un véritable défi lors du déploiement d'un cloud. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 11

12 De plus, il est parfois très difficile de satisfaire les exigences liées à une validation indépendante des contrôles. Les fournisseurs de solutions cloud hésitent généralement à approuver certains types de tests dans une infrastructure partagée en raison de l'impact que peuvent avoir ces tests sur les autres clients. La plupart des entreprises désireuses de déployer un cloud ignorent comment évaluer les risques ou comment choisir un fournisseur de solutions cloud capable de limiter les risques. Certains cadres réglementaires exigent un audit. Les clients des solutions cloud sont souvent confrontés à des défis qui menacent ou semblent réfuter les nombreux avantages de l'adoption et du déploiement d'un cloud. Avantages des cadres standardisés Le déploiement et la gestion des technologies de cloud computing n'entrent généralement pas dans le cadre des compétences de base des entreprises qui adoptent le cloud computing. Compte tenu des risques potentiels (risques courants ou spécifiques au cloud), les entreprises comptent souvent sur des cabinets de conseil extérieurs et sur les réponses tardives aux appels d'offres des fournisseurs de solutions cloud pour évaluer les risques inhérents à leurs besoins spécifiques en matière de déploiement de cloud. Ces réponses doivent être évaluées par des professionnels expérimentés du cloud, ainsi que par des experts internes du risque, afin d'identifier les véritables risques encourus par l'entreprise. Cette évaluation doit notamment déterminer les risques inhérents à l'adoption de ces technologies ainsi que les moyens de les limiter. Le choix du partenaire de déploiement du cloud intervient souvent dans un climat d'intense pression commerciale pour réduire les coûts et améliorer la flexibilité. Dans un tel climat, un processus de gestion des risques qui s'éternise peut être perçu comme un frein, et non comme un accélérateur, pour les objectifs commerciaux. Meilleures pratiques L'inquiétude et la complexité liées au choix d'un fournisseur de solutions cloud peuvent être atténuées grâce à l'utilisation d'un cadre de contrôles commun. Un tel cadre doit à la fois prendre en compte les meilleures pratiques de sécurité de l'information tout en intégrant une compréhension et une évaluation véritables des considérations et risques spécifiques au déploiement d'un cloud. Ce cadre doit également identifier la majeure Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 12

13 partie des coûts liés à l'évaluation de solutions alternatives et permettre une bonne gestion des risques qui doivent par ailleurs être pris en compte. Complexité Un cadre de contrôles spécifique au cloud, tel que l'outil CCM (Cloud Controls Matrix - Matrice de contrôle cloud), réduit les risques de voir une entreprise passer à côté des facteurs les plus importants lors du choix d'un fournisseur de solutions cloud. Les risques sont également atténués si l'entreprise sait à la fois s'appuyer sur les connaissances acquises par les experts qui ont créé le cadre et tirer parti des efforts des autres entreprises, groupes et experts de manière intelligente et réfléchie. De plus, un cadre industriel efficace sera régulièrement mis à jour pour s'adapter à l'évolution des technologies en se basant sur l'expérience des experts qui ont analysé les différentes approches. Comparaison Pour les entreprises qui ne disposent pas des connaissances suffisantes pour comprendre les offres de développement ou de configuration des différents fournisseurs de solutions cloud, le recours à un cadre entièrement développé peut être utile afin de comparer des offres similaires et faire la distinction entre les fournisseurs. Un cadre peut également aider à déterminer si une offre de services spécifique satisfait ou anticipe les exigences de conformité et/ou les normes appropriées. Audit et base de connaissances L'utilisation d'un cadre reconnu permet de renouveler la documentation détaillant le pourquoi et le comment des décisions qui ont été prises ainsi que d'identifier et de comprendre les facteurs qui ont pesé davantage dans la balance. Le fait de comprendre pourquoi une décision a été prise peut fournir une base de connaissances très utile pour les futures décisions, notamment lorsque des membres du personnel sont remplacés par d'autres et que les décisionnaires d'origine ne sont donc plus disponibles. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 13

14 Évolution des normes de sécurité Lors de la sélection d'un fournisseur de cloud computing, les entreprises étaient autrefois contraintes de choisir la norme et le cadre à appliquer parmi des cadres établis dans un environnement antérieur au cloud computing. Parmi les cadres les plus communément utilisés en matière de risques, de contrôles et de sécurité de l'information figurent les normes de la famille publiées par l'organisation internationale de normalisation et la Commission électrotechnique internationale (ISO/CEI) ; le COBIT, cadre dédié à la gouvernance et à la gestion de l'informatique d'entreprise, publié par l'information Systems Audit and Control Association (ISACA) ; les normes de la série SP800 publiées par l'u.s. National Institute of Standards and Technology (NIST) et quelques autres. Les normes de la famille de l'organisation internationale de normalisation / Commission électrotechnique internationale (ISO/CEI) Les normes de la famille ISO englobent des cadres de référence comptant parmi les plus connus du monde en matière de sécurité de l'information. La norme britannique BS définissait les codes de bonne pratique relatifs à la gestion de la sécurité de l'information. Elle a ensuite été remplacée par la norme ISO/CEI en 2000, puis par la norme ISO en La version actuelle, ISO 27002:2005, est aujourd'hui la référence en matière de mise en œuvre des cadres de gestion de la sécurité de l'information. La norme ISO/CEI 27001, issue de la norme BS , décrit les exigences relatives à la mise en œuvre, à la surveillance, à la gestion et à l'optimisation en continu d'un SMSI (système de management de la sécurité de l'information). Elle utilise le cadre PDCA (Plan-Do-Check-Act) de la norme ISO/CEI. Les entreprises peuvent recevoir la certification ISO/CEI 27001, comme l'a fait Microsoft avec Windows Azure (services principaux) et plusieurs autres services en ligne Microsoft (identifiés plus loin dans cette section), ce qui a conduit à l'adoption de la norme ISO/CEI par les entreprises désireuses de valider leurs efforts de sécurisation de l'information auprès de leurs clients, des organismes de réglementation ou autres parties prenantes extérieures. Aujourd'hui, la famille de normes s'est agrandie pour englober les normes suivantes : Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 14

15 ISO/CEI 27000:2009, Systèmes de management de la sécurité de l'information Vue d'ensemble et vocabulaire ISO/CEI 27001:2005, Systèmes de management de la sécurité de l'information Exigences ISO/CEI 27002:2005, Code de bonne pratique pour la gestion de la sécurité de l'information ISO/CEI 27003, Guide de mise en œuvre des systèmes de management de la sécurité de l'information ISO/CEI 27004, Gestion de la sécurité de l'information Mesures ISO/CEI 27005:2008, Gestion des risques relatifs à la sécurité de l'information ISO/CEI 27006:2007, Exigences pour les organismes procédant à l'audit et à la certification Les normes de la famille ISO/CEI 27000, en particulier les normes ISO/CEI 27002, englobent les normes les plus communément reconnues en matière de gestion actuelle de la sécurité de l'information. ISO/CEI 27007:2011, Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information ISO/CEI 27031:2011, Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité Windows Azure, Microsoft Dynamics CRM, Office 365 et la couche d'infrastructure sousjacente GFS (Global Foundation Services) utilisent des cadres de sécurité basés sur la norme ISO/CEI 27001:2005. Les services principaux de Windows Azure (services cloud, stockage et réseau), Microsoft Dynamics CRM et Office 365 sont certifiés ISO En outre, l'infrastructure GFS sur laquelle s'exécutent Windows Azure (sauf CDN) ainsi que Office 365 et Microsoft Dynamics CRM est certifiée ISO Il n'existe pas de processus de certification ISO/CEI Pour autant, la norme propose différents contrôles adaptés pour un système de gestion de la sécurité l'information, documenté en Annexe A de la norme ISO/CEI Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 15

16 L'infrastructure de sécurité Microsoft, basée sur la norme ISO/CEI 27001, permet aux clients d'évaluer la manière dont Microsoft satisfait ou dépasse les normes et les directives de mise en œuvre en matière de sécurité. En outre, Windows Azure et l'infrastructure GFS font chaque année l'objet d'audits selon la norme SAS (Statement on Auditing Standards) No. 70 (SAS 70 Type II ou son successeur, SSAE16 et ISAE 3402). La Stratégie de sécurité relative aux informations, qui s'applique aux offres de cloud Microsoft, est également conforme à la norme ISO/CEI et renforcée par les exigences spécifiques à ces offres de Cloud Microsoft. Des liens vers les copies publiques des certifications FOPE ISO de Windows Azure, Microsoft Dynamics CRM et Office 365 sont disponibles à la section «Lectures complémentaires» du présent document. COBIT Le cadre de la technologie COBIT (Control Objectives for Information and related Technology) est une norme bien pensée et généralement acceptée qui a été publiée pour aider les entreprises à évaluer les risques en matière de technologie de l'information. Initialement publiée en 1996 et actuellement à sa cinquième révision (datant de 2012), le COBIT est publié par l'it Governance Institute, affilié à l'isaca (Information Systems Audit and Control Association). Comparée à la précédente version (4.1, publiée en 2007) organisée en 34 processus de haut niveau et 215 objectifs de contrôle détaillés, la nouvelle version présente des différences. Pour la version 5 du COBIT, l'isaca a choisi de diviser le document en 37 processus de haut niveau et 17 objectifs. Le COBIT est conçu pour faire le lien entre gestion et contrôle, d'une part et risques techniques et commerciaux, d'autre part. Pour plus d'informations sur le COBIT, reportez-vous à la section «Lectures complémentaires» du présent document. Le COBIT constitue un outil particulièrement utile pour mettre en corrélation des normes disparates telles que les normes ITIL (Information Technology Infrastructure Library), CMMi (Capability Maturity Model Integration) et ISO Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 16

17 NIST Special Publication (SP) - Série 800 Le NIST (National Institute of Standards and Technology) publie différentes normes destinées aux administrations publiques et départements américains. La plus importante de ces normes est la série SP800, qui se concentre sur la sécurité et la confidentialité. Le NIST est à l'origine de la définition globalement acceptée du cloud computing, désormais publiée en tant que Projet SP Ce projet de publication a été soumis à l'organisme de normalisation ISO/CEI afin d'être inclus dans la prochaine norme internationale. La série SP800 englobe également la norme SP800-53, qui définit les contrôles de sécurité à mettre en œuvre en matière de solutions informatiques pour répondre aux exigences du FISMA (Federal Information Security and Management Act). Ces contrôles sont aussi présents dans le FedRAMP (Federal Risk and Authorization Management Program), un programme du gouvernement américain offrant une approche normalisée en matière d'évaluation, d'autorisation et de surveillance de la sécurité des produits et services de cloud. Microsoft a obtenu la norme ATO (Moderate Authorization to Operate) du FISMA pour GFS et Office 365. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 17

18 Présentation du registre STAR Face à l'émergence du cloud computing et de son impressionnant potentiel, reconnu par le plus grand nombre, à aider les entreprises à créer, gérer et maintenir des outils de croissance, il apparaît désormais clair que les normes existantes, comme abordé à la précédente section, ne sont plus systématiquement efficaces pour répondre aux problèmes liés à la mise en œuvre rapide et à l'utilisation commerciale de cette technologie performante. La Cloud Security Alliance (CSA) et le registre STAR La Cloud Security Alliance (CSA) est une organisation à but non lucratif dont le but consiste à promouvoir l'utilisation de bonnes pratiques pour garantir la sécurité dans les environnements de cloud computing. Afin de réduire les efforts, l'ambiguïté et les coûts inhérents aux questions et informations les plus pertinentes en matière de pratiques liées à la sécurité et à la confidentialité des fournisseurs de solutions de cloud, la CSA publie et gère le registre STAR (Security, Trust & Assurance Registry). Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 18

19 Cloud Controls Matrix (CCM) Le registre STAR utilise l'outil CCM (Cloud Controls Matrix) pour offrir un cadre de contrôles afin de comprendre les concepts ainsi que les principes de sécurité, de confidentialité et de fiabilité basés sur les conseils de la Cloud Security Alliance et ce, dans 13 domaines. Ce document utilise la version 1.2 de l'outil CCM, la version actuelle, qui comprend une liste de 100 questions. L'outil CCM de la CSA offre aux entreprises un cadre doté de la structure, des détails et de la clarté nécessaires en matière de sécurité des informations, un cadre adapté aux fournisseurs de services du secteur du cloud. Domaines du registre STAR Le registre STAR utilise les 13 domaines suivants pour répondre aux questions de sécurité liées au cloud computing Cadre architectural du cloud computing Gouvernance et gestion des risques pour l'entreprise Découverte légale et électronique Conformité et audit Gestion du cycle de vie des informations Portabilité et interopérabilité Sécurité traditionnelle, continuité d'activité et récupération d'urgence Opérations du centre de données Réponse aux incidents, notification et résolution Sécurité des applications Chiffrement et gestion des clés Gestion des identités et des accès Virtualisation Les fournisseurs peuvent choisir d'envoyer un rapport documentant leur conformité avec l'outil CCM, rapports par ailleurs publiés par STAR. Proposé par la Cloud Security Alliance à l'adresse https://cloudsecurityalliance.org/star/, le registre STAR est un «registre public accessible qui documente les contrôles de sécurité fournis par diverses solutions de cloud computing et qui aide les utilisateurs à évaluer la sécurité des fournisseurs de solutions cloud auxquels ils font appel ou auxquels ils envisagent de faire appel». Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 19

20 Les consommateurs de services cloud peuvent utiliser les données contenues dans le registre STAR pour évaluer les fournisseurs et identifier les questions à leur poser avant d'adopter leurs services cloud. (STAR est un processus d'auto-évaluation des fournisseurs de cloud et la CSA ne vérifie ni ne garantit les réponses fournies. En plus de se pencher sur les 100 questions de l'outil CCM du registre STAR, Microsoft a choisi d'aligner les domaines sur les certifications ISO obtenues par divers services Microsoft afin d'offrir un niveau de confort supplémentaire aux consommateurs de services cloud. ) Microsoft a publié une présentation de ses capacités à répondre aux exigences de l'outil CCM. L'objectif de cette présentation du registre STAR consiste à fournir aux clients les informations nécessaires à l'évaluation des offres Microsoft. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 20

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Réponse standard pour les demandes d'information

Réponse standard pour les demandes d'information Réponse standard pour les demandes d'information >Sécurité et Respect de la vie privée Mars Version 1 Dédit de responsabilité Les informations contenues dans ce document représentent la vision de Microsoft

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel.

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. INTRODUCTION QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. Ce certificat est destiné à toutes les écoles d enseignement

Plus en détail

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

Présentation du déploiement des serveurs

Présentation du déploiement des serveurs Présentation du déploiement des serveurs OpenText Exceed ondemand Solutions de gestion de l accès aux applications pour l entreprise OpenText Connectivity Solutions Group Février 2011 Sommaire Aucun environnement

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

Par nature, Nous vous rendons. Plus performant. Séminaire Démarche écoresponsable et sites sensibles : l exemple du Life Promesse.

Par nature, Nous vous rendons. Plus performant. Séminaire Démarche écoresponsable et sites sensibles : l exemple du Life Promesse. Séminaire Démarche écoresponsable et sites sensibles : l exemple du Life Promesse Par nature, Nous vous rendons Plus performant. 11 décembre 2007 Group Présentation et comparaison de la norme ISO 14001

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Pré-requis. Objectifs. Préparation à la certification ITIL Foundation V3

Pré-requis. Objectifs. Préparation à la certification ITIL Foundation V3 La phase de stratégie de services Page 83 ITIL Pré-requis V3-2011 et objectifs Pré-requis La phase de stratégie de services Maîtriser le chapitre Introduction et généralités d'itil V3. Avoir appréhendé

Plus en détail

Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée

Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée Version Française 2012 Dédit de responsabilité Les informations contenues dans ce document représentent la vision de

Plus en détail

Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services.

Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services. Solutions de Service Management Guide d achat Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services. Aujourd hui, toutes

Plus en détail

Système d'administration de réseau. Une interface de gestion unique pour l'ensemble des systèmes et des terminaux

Système d'administration de réseau. Une interface de gestion unique pour l'ensemble des systèmes et des terminaux Système d'administration de réseau Alcatel-Lucent OmniVista 8770 Une interface de gestion unique pour l'ensemble des systèmes et des terminaux SUITE D'APPLICATIONS INTÉGRÉES Aujourd'hui, les entreprises

Plus en détail

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification Les référentiels SMI, normes, processus de certification 1 Définitions selon le Guide ISO/IEC 2:2004 Norme Document, établi par consensus et approuve par un organisme reconnu, qui fournit, pour des usages

Plus en détail

Optimisation WAN de classe Centre de Données

Optimisation WAN de classe Centre de Données Optimisation WAN de classe Centre de Données Que signifie «classe centre de données»? Un nouveau niveau de performance et d'évolutivité WAN Dans le milieu de l'optimisation WAN, les produits de classe

Plus en détail

Rationalisez vos processus et gagnez en visibilité grâce au cloud

Rationalisez vos processus et gagnez en visibilité grâce au cloud Présentation de la solution SAP s SAP pour les PME SAP Business One Cloud Objectifs Rationalisez vos processus et gagnez en visibilité grâce au cloud Favorisez une croissance rentable simplement et à moindre

Plus en détail

6 février 2009. Renouvellement des politiques : Directive sur la gestion des technologies de l information

6 février 2009. Renouvellement des politiques : Directive sur la gestion des technologies de l information 6 février 2009 Renouvellement des politiques : Directive sur la gestion des technologies de l information Facteurs déterminants du changement : Examens du GC Examens stratégiques, horizontaux et examens

Plus en détail

Principes de base et aspects techniques

Principes de base et aspects techniques HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques

Plus en détail

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients DOSSIER SOLUTION CA Service Assurance Mai 2010 assurez la qualité et la disponibilité des services fournis à vos clients est un portefeuille de solutions de gestion matures et intégrées, qui contribue

Plus en détail

Services Professionnels Centre de Contacts Mitel

Services Professionnels Centre de Contacts Mitel Services Professionnels Centre de Contacts Mitel Débutez un voyage vers la modernisation et l évolutivité : Elevez le niveau de votre performance commerciale Pour moderniser votre centre de contact : Passez

Plus en détail

ISO/CEI 17065 NORME INTERNATIONALE. Évaluation de la conformité Exigences pour les organismes certifiant les produits, les procédés et les services

ISO/CEI 17065 NORME INTERNATIONALE. Évaluation de la conformité Exigences pour les organismes certifiant les produits, les procédés et les services NORME INTERNATIONALE ISO/CEI 17065 Première édition 2012-09-15 Évaluation de la conformité Exigences pour les organismes certifiant les produits, les procédés et les services Conformity assessment Requirements

Plus en détail

En savoir plus pour bâtir le Système d'information de votre Entreprise

En savoir plus pour bâtir le Système d'information de votre Entreprise En savoir plus pour bâtir le Système d'information de votre Entreprise En savoir plus sur : Services en ligne, SaaS, IaaS, Cloud - 201305-2/5 SaaS, IaaS, Cloud, définitions Préambule Services en ligne,

Plus en détail

GUIDE 62. Exigences générales relatives aux organismes gérant l'évaluation et la certification/enregistrement des systèmes qualité

GUIDE 62. Exigences générales relatives aux organismes gérant l'évaluation et la certification/enregistrement des systèmes qualité GUIDE 62 Exigences générales relatives aux organismes gérant l'évaluation et la certification/enregistrement des systèmes qualité Première édition 1996 GUIDE ISO/CEI 62:1996(F) Sommaire Page Section 1:

Plus en détail

plate-forme mondiale de promotion

plate-forme mondiale de promotion plate-forme mondiale de promotion À propos de The Institute of Internal Auditors (Institut des auditeurs internes) L'institut des auditeurs internes (IIA) est la voix mondiale de la profession de l'audit

Plus en détail

NOUVEAUTES de Microsoft Dynamics CRM 2011 REF FR 80342A

NOUVEAUTES de Microsoft Dynamics CRM 2011 REF FR 80342A NOUVEAUTES de Microsoft Dynamics CRM 2011 REF FR 80342A Durée : 1 jour A propos de ce cours Cette formation d'un jour, Nouveautés de Microsoft Dynamics CRM 2011, fournit aux étudiants les outils et informations

Plus en détail

ITIL 2011 Offres et accords de services (SOA) avec certification 5 jours (anglais et français)

ITIL 2011 Offres et accords de services (SOA) avec certification 5 jours (anglais et français) ITIL 2011 Offres et accords de services (SOA) avec certification 5 jours (anglais et français) Vue d ensemble de la formation ITIL est un ensemble de conseils sur les meilleures pratiques, devenu un référentiel

Plus en détail

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel : La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

Gouvernance des Technologies de l Information

Gouvernance des Technologies de l Information Walid BOUZOUITA Auditeur Interne secteur des télécommunications CISA, ITIL walid.bouzouita@ooredoo.tn Gouvernance des Technologies de l Information 08 Mai 2014, Maison de l Exportateur Implémenter la

Plus en détail

Exercices Active Directory (Correction)

Exercices Active Directory (Correction) Exercices Active Directory (Correction) Exercice : Scénarios pour l'implémentation de composants logiques AD DS Lire les scénarios suivants et déterminer les composants logiques AD DS à déployer dans chaque

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

CONSEIL STRATÉGIQUE. Services professionnels. En bref

CONSEIL STRATÉGIQUE. Services professionnels. En bref Services professionnels CONSEIL STRATÉGIQUE En bref La bonne information, au bon moment, au bon endroit par l arrimage des technologies appropriées et des meilleures pratiques. Des solutions modernes adaptées

Plus en détail

ENTREPRISE CONTENT MANAGEMENT & RECORDS MANAGEMENT ECM & RM

ENTREPRISE CONTENT MANAGEMENT & RECORDS MANAGEMENT ECM & RM ENTREPRISE CONTENT MANAGEMENT & RECORDS MANAGEMENT PLAN Introduction Partie I : le records management Qu est ce que le RM? Les principes du RM Les objectifs du RM Les enjeux du RM Les étapes de la mise

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Changement dans les achats de solutions informatiques

Changement dans les achats de solutions informatiques Changement dans les achats de solutions informatiques Ce que cela signifie pour l informatique et les Directions Métiers Mai 2014 Le nouvel acheteur de technologies et la nouvelle mentalité d achat Un

Plus en détail

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401)

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) "Préface explicative" Chiffre Cette NAS donne des instructions sur un audit

Plus en détail

PRINCE2 en mille mots

PRINCE2 en mille mots PRINCE2 en mille mots Andy Murray, auteur principal de PRINCE2 (2009) et directeur de Outperform UK Ltd Livre blanc Septembre 2011 Table des matières 1 Qu'est-ce que PRINCE2? 3 2 Les bénéfices de PRINCE2

Plus en détail

Cloud Computing Concepts de base Année académique 2014/15

Cloud Computing Concepts de base Année académique 2014/15 Concepts de base Année académique 2014/15 Qu'est que le? online 2 Qu'est que le? Cela s'est-il produit auparavant? Innovation Produit Service 3 Qu'est que le? Considérons-le comme-ça... Crée ta propre

Plus en détail

CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS?

CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS? CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS? Les offres de Cloud public se sont multipliées et le Cloud privé se généralise. Désormais, toute la question est de savoir

Plus en détail

Besoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC 27001 de BSI.

Besoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC 27001 de BSI. Besoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC 27001 de BSI. L ISO/IEC 27001 de BSI - votre premier choix en matière de sécurité de l information. BSI est l organisme de normalisation

Plus en détail

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale : Norme ISO ISO signifie International Standards Organization. Il s agit de l organisation internationale de normalisation, qui chapeaute tous les organismes de normalisation nationaux et internationaux.

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

SYSTÈME D'ADMINISTRATION DE RÉSEAU ALCATEL-LUCENT OMNIVISTA 8770 UNE INTERFACE DE GESTION UNIQUE POUR L'ENSEMBLE DES SYSTÈMES ET DES TERMINAUX

SYSTÈME D'ADMINISTRATION DE RÉSEAU ALCATEL-LUCENT OMNIVISTA 8770 UNE INTERFACE DE GESTION UNIQUE POUR L'ENSEMBLE DES SYSTÈMES ET DES TERMINAUX SYSTÈME D'ADMINISTRATION DE RÉSEAU ALCATEL-LUCENT OMNIVISTA 8770 UNE INTERFACE DE GESTION UNIQUE POUR L'ENSEMBLE DES SYSTÈMES ET DES TERMINAUX SUITE D'APPLICATIONS INTÉGRÉES Aujourd'hui, les entreprises

Plus en détail

SharePoint Server 2013 Déploiement et administration de la plate-forme

SharePoint Server 2013 Déploiement et administration de la plate-forme Présentation des technologies SharePoint 1. Historique des technologies SharePoint 13 1.1 SharePoint Team Services v1 14 1.2 SharePoint Portal Server 2001 14 1.3 Windows SharePoint Services v2 et Office

Plus en détail

Gestion de parc et qualité de service

Gestion de parc et qualité de service Gestion de parc et qualité de service Journée Josy, 14 octobre 2008 A. Rivet Gestion de parc et qualité de service Gestion de parc Fonctions de base GT «Guide de bonnes pratiques» Référentiels et SI ITIL/ISO

Plus en détail

AUDITS QUALITÉ INTERNES

AUDITS QUALITÉ INTERNES AUDITS QUALITÉ INTERNES 0 Ind. Date Etabli par Vérifié par Approuvé par observations 1/6 1. OBJET Cette procédure a pour objet de définir l'organisation, la planification, la réalisation et le suivi des

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Les raisons du choix d un WMS en mode hébergé!

Les raisons du choix d un WMS en mode hébergé! Les raisons du choix d un WMS en mode hébergé! Tout le monde connait maintenant les avantages d une solution de gestion d entrepôt (WMS) : productivité accrue, accès en temps réel à l'information, précision

Plus en détail

Business & High Technology

Business & High Technology UNIVERSITE DE TUNIS INSTITUT SUPERIEUR DE GESTION DE TUNIS Département : Informatique Business & High Technology Chapitre 09 : CC : Cloud Computing Sommaire Introduction... 2 Définition... 2 Les différentes

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

DIRECTIVE DU COMMISSAIRE

DIRECTIVE DU COMMISSAIRE DIRECTIVE DU COMMISSAIRE SUJET: PROCESSUS INTERNE DE RÈGLEMENT DES DIFFÉRENDS N O: DC-12 DATE DE PUBLICATION: 10 AVRIL 2013 DATE D ENTRÉE EN VIGUEUR : 2 SEPTEMBRE 2013 INTRODUCTION Le gouvernement du Canada

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Financial Insurance Management Corp.

Financial Insurance Management Corp. Financial Insurance Management Corp. Augmenter le taux de renouvellement grâce à une solution mobile fournie en tout juste trois mois Les faits Le besoin FIMC souhaitait offrir une meilleure valeur ajoutée

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences NORME INTERNATIONALE ISO/CEI 27001 Deuxième édition 2013-10-01 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences Information technology

Plus en détail

NORME ISO ET GESTION DE PATRIMOINE

NORME ISO ET GESTION DE PATRIMOINE FINADOC www.finadoc.com et www.conseils-financiers.com Prendre de la hauteur de vue sur la finance et le patrimoine. De meilleures décisions en toute indépendance. NORME ISO ET GESTION DE PATRIMOINE Bureaux

Plus en détail

l esprit libre www.thalesgroup.com/security-services

l esprit libre www.thalesgroup.com/security-services > L infogérance l esprit libre Ou comment contribuer à la performance de l entreprise en externalisant ses systèmes d information critiques www.thalesgroup.com/security-services >> PERFORMANCE ET INFOGERANCE

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

SUSE Cloud. Devenez le cloud provider de votre entreprise

SUSE Cloud. Devenez le cloud provider de votre entreprise SUSE Cloud Devenez le cloud provider de votre entreprise Et si vous pouviez répondre plus rapidement aux demandes des clients et saisir immédiatement les opportunités commerciales? Et si vous pouviez améliorer

Plus en détail

Maîtrise Universitaire en Comptabilité, Contrôle et Finance. Audit des systèmes d information. Partie 5: Audit d une application informatique

Maîtrise Universitaire en Comptabilité, Contrôle et Finance. Audit des systèmes d information. Partie 5: Audit d une application informatique Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d information Partie 5: Audit d une application informatique Emanuel Campos - version 2015 Les présentations personnelles

Plus en détail

Alors avec des centaines de fournisseurs de services «CRM» rivalisant pour attirer votre attention, pourquoi choisir OSF Global Services?

Alors avec des centaines de fournisseurs de services «CRM» rivalisant pour attirer votre attention, pourquoi choisir OSF Global Services? Si vous en êtes arrivé à la conclusion que la gestion de la relation client est une priorité pour votre activité, vous avez sans aucun doute commencé à évaluer une solution de CRM et des prestataires de

Plus en détail

Réussir le. Management des systèmes d information. Les conseils et les astuces. des correcteurs de l épreuve. 36 exercices corrigés type examen

Réussir le. Management des systèmes d information. Les conseils et les astuces. des correcteurs de l épreuve. 36 exercices corrigés type examen Virginie Bilet Valérie Guerrin Miguel Liottier Collection dirigée par Xavier Durand Réussir le DSCG 5 Management des systèmes d information L essentiel à connaître pour réussir 36 exercices corrigés type

Plus en détail

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Exemple d examen EXIN Cloud Computing Foundation Édition Septembre 2012 Droits d auteur 2012 EXIN Tous droits réservés. Aucune partie de cette publication ne saurait être publiée, reproduite, copiée, entreposée

Plus en détail

ITIL Examen Fondation

ITIL Examen Fondation ITIL Examen Fondation Échantillon d examen A, version 5.1 Choix multiples Instructions 1. Essayez de répondre aux 40 questions. 2. Vos réponses doivent être inscrites sur la grille de réponses fournie.

Plus en détail

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT ORACLE PRIMAVERA PORTFOLIO MANAGEMENT FONCTIONNALITÉS GESTION DE PORTEFEUILLE Stratégie d approche permettant de sélectionner les investissements les plus rentables et de créer de la valeur Paramètres

Plus en détail

GÉNÉRER DE LA VALEUR ET ATTEINDRE DES RÉSULTATS AVEC LES MANAGED SERVICES

GÉNÉRER DE LA VALEUR ET ATTEINDRE DES RÉSULTATS AVEC LES MANAGED SERVICES UN GUIDE ESSENTIEL : GÉNÉRER DE LA VALEUR ET ATTEINDRE DES RÉSULTATS AVEC LES MANAGED SERVICES Vue d ensemble Dans presque tous les secteurs des services de santé aux services financiers de l industrie

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT SOMMAIRE Paragraphes Introduction... 1-5 Détermination de la nécessité de recourir à un expert... 6-7 Compétence et objectivité de l'expert...

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

Centre de données SHD

Centre de données SHD Centre de données SHD Description de prestations Objet du modèle de prestation L'objet de cette description de prestations est le modèle de prestation fourni par le centre de données SHD. Ce modèle de

Plus en détail

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne Contexte Depuis plusieurs années, les institutions publiques doivent faire face à de nouveaux défis pour améliorer leurs

Plus en détail

Lettre d'annonce ZP09-0108 d'ibm Europe, Moyen-Orient et Afrique datée du 5 mai 2009

Lettre d'annonce ZP09-0108 d'ibm Europe, Moyen-Orient et Afrique datée du 5 mai 2009 datée du 5 mai 2009 De nouveaux produits IBM Tivoli Storage Manager V6.1 offrent une protection des données et une gestion de l'espace optimisées dans les environnements Microsoft Windows Table des matières

Plus en détail

Note de mise en œuvre

Note de mise en œuvre Note de mise en œuvre Objet : Tenue des données par les institutions appliquant l approche standard ou une approche de mesure avancée (AMA) Catégorie : Fonds propres N o : A & A-1 Date : Mai 2006 I. Introduction

Plus en détail

Olivier Terrettaz, Expert diplômé en finance et controlling 1

Olivier Terrettaz, Expert diplômé en finance et controlling 1 Olivier Terrettaz Expert diplômé en finance et controlling Economiste d'entreprise HES Olivier Terrettaz, Expert diplômé en finance et controlling 1 Gouvernement d'entreprise Définition Le gouvernement

Plus en détail

GLOBAL SAAS HR SOLUTION INTÉGRÉE DE GESTION DES TALENTS

GLOBAL SAAS HR SOLUTION INTÉGRÉE DE GESTION DES TALENTS GLOBAL SAAS HR SOLUTION INTÉGRÉE DE GESTION DES TALENTS GLOBALISATION ET TRANSFORMATION RH UNE RÉPONSE FACE À L EXIGENCE DE PERFORMANCE ET DE COMPÉTITIVITÉ La globalisation des entreprises, accélérée par

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

La Continuité des Activités

La Continuité des Activités Caroline Fabre- Offering Manager BC&RS Ikbal Ltaief Consulting Manager BC&RS La Continuité des Activités Nouveaux enjeux, nouvelles technologies, nouvelles tendances Paris, le 9 juin 2010 Grandes entreprises

Plus en détail

Le client/serveur repose sur une communication d égal à égal entre les applications.

Le client/serveur repose sur une communication d égal à égal entre les applications. Table des matières LES PRINCIPES DE BASE... 1 Présentation distribuée-revamping...2 Présentation distante...3 Traitements distribués...3 données distantes-rd...4 données distribuées-rda distribué...4 L'ARCHITECTURE

Plus en détail

Management environnemental : ISO 14001

Management environnemental : ISO 14001 GEME Management environnemental : ISO 14001 Arnaud Hélias arnaud.helias@supagro.inra.fr PUB... Plan Introduction Généralités & grandes lignes de la normes Démarche Quelques chiffres les coûts, les entreprises

Plus en détail

Table des matières Chapitre 1 Virtualisation, enjeux et concepts Chapitre 2 Ligne de produit XEN

Table des matières Chapitre 1 Virtualisation, enjeux et concepts Chapitre 2 Ligne de produit XEN Table des matières 1 Chapitre 1 Virtualisation, enjeux et concepts 1. Définition et vue d'ensemble....13 1.1 Terminologie et concepts...13 1.2 Bénéfices....15 1.3 Technologies et solutions de virtualisation...16

Plus en détail

Phase 1: Planifier. Les principes. Les principaux référentiels. R Collomp - D Qualité II.2. Cer5f ISO 9001

Phase 1: Planifier. Les principes. Les principaux référentiels. R Collomp - D Qualité II.2. Cer5f ISO 9001 Phase 1: Planifier Les principes Les principaux référentiels 1 Phase 1: Planifier Les principaux référentiels Principes des certifications - accréditations Certification HAS Certification ISO 9001 Certification

Plus en détail

Rapport de vérification interne. Cadre de gestion et de contrôle des demandes d agrément. de la Division des régimes de retraite privés

Rapport de vérification interne. Cadre de gestion et de contrôle des demandes d agrément. de la Division des régimes de retraite privés Rapport de vérification interne du Cadre de gestion et de contrôle des demandes d agrément de la Division des régimes de retraite privés du Bureau du surintendant des institutions financières Novembre

Plus en détail

Rapport d'audit étape 2

Rapport d'audit étape 2 Rapport d'audit étape 2 Numéro d'affaire: Nom de l'organisme : CMA 76 Type d'audit : audit de renouvellement Remarques sur l'audit Normes de référence : Autres documents ISO 9001 : 2008 Documents du système

Plus en détail

Mise en œuvre. Gestion de projet et conduite du changement. Denis MEINGAN Gilles BALMISSE. Préface de Alain CROZIER, Président de Microsoft France

Mise en œuvre. Gestion de projet et conduite du changement. Denis MEINGAN Gilles BALMISSE. Préface de Alain CROZIER, Président de Microsoft France Mise en œuvre d Office 365 Gestion de projet et conduite du changement Préface de Alain CROZIER, Président de Microsoft France Denis MEINGAN Gilles BALMISSE Table des matières 1 Préface Avant-propos Partie

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

EXPERTISE COMPTABLE. Libérer. Développer. de la Gestion Quotidienne, la Stratégie d Entreprise.

EXPERTISE COMPTABLE. Libérer. Développer. de la Gestion Quotidienne, la Stratégie d Entreprise. EXPERTISE EXPERTISE COMPTABLE Libérer de la Gestion Quotidienne, Développer la Stratégie d Entreprise. De l'audit au conseil et à la mise en place de missions d'expertise comptable, S&A vous apporte une

Plus en détail

Informations essentielles sur la loi relative aux signatures électroniques

Informations essentielles sur la loi relative aux signatures électroniques Informations essentielles sur la loi relative aux signatures électroniques L'adoption de la directive européenne 1999/93/CE du 13 décembre 1999 établit un cadre communautaire pour l'utilisation de signatures

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Modèle Cobit www.ofppt.info

Modèle Cobit www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Document de fond sur le contrôle de qualité et un projet de système de notation

Document de fond sur le contrôle de qualité et un projet de système de notation RÉUNION DE LA REVUE DE LA STRATÉGIE DE L ITIE, HENLEY, 11-12 AVRIL 2012 Document de fond sur le contrôle de qualité et un projet de système de notation Secrétariat international de l ITIE Oslo, 4 avril

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

Direction du Service de l informatique

Direction du Service de l informatique Plan de travail 2007-2008 Direction du Service de l informatique Document rédigé par : Richard Lacombe Directeur du Service de l informatique Septembre 2007 Illustration de la page fronticipice: Imagezoo.com

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Parole d utilisateur. Parole d'utilisateur. Cable & Wireless renforce la protection de son environnement informatique. Témoignage Windows Server 2003

Parole d utilisateur. Parole d'utilisateur. Cable & Wireless renforce la protection de son environnement informatique. Témoignage Windows Server 2003 Parole d utilisateur Parole d'utilisateur Témoignage Windows Server 2003 Grâce à la gamme de produits Forefront, nous sommes à même d améliorer la sécurité des services orientés clients et ce, pour un

Plus en détail

CA ARCserve D2D. Une récupération après sinistre ultra-rapide vous permet d'éviter une interruption de service. DOSSIER SOLUTION : CA ARCserve D2D r16

CA ARCserve D2D. Une récupération après sinistre ultra-rapide vous permet d'éviter une interruption de service. DOSSIER SOLUTION : CA ARCserve D2D r16 CA ARCserve D2D CA ARCserve D2D est un produit de récupération sur disque conçu pour offrir la combinaison idéale de protection et de récupération rapides, simples et fiables de vos données professionnelles.

Plus en détail