Panorama général des normes et outils d audit. François VERGEZ AFAI

Dimension: px
Commencer à balayer dès la page:

Download "Panorama général des normes et outils d audit. François VERGEZ AFAI"

Transcription

1 Panorama général des normes et outils d audit. François VERGEZ AFAI 3

2 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels, logiciels, organisationnels et humains visant à acquérir, stocker, traiter, diffuser ou détruire de l information. 4

3 Système d information, une tentative de définition (2/2) Mais aussi 5

4 La problématique de sécurité du système d information (1/2) Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l ensemble des moyens supportant le système d information. L objectif de ces mesures de sécurité est d assurer la confidentialité, l intégrité, la disponibilité et la traçabilité de l information. Ces mesures de sécurité doivent être mises en œuvre dans un cadre cohérent et organisé. Ces mesures de sécurité répondent à des objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d information. 6

5 La problématique de sécurité du système d information (2/2) Les mesures de sécurité répondent à des objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d information. 7

6 Les questions auxquelles se doivent de répondre les audits de sécurité du SI? A quelles exigences légales et réglementaires le Système d Information estil soumis? Ces contraintes légales et réglementaires sont-elles respectées? La politique de sécurité est elle alignée sur la stratégie d entreprise? L organisation de la sécurité est-elle fonctionnelle? Les objectifs et contrôles de sécurité sont-ils exhaustif? La continuité des activités de l entreprise est-elle assurée? Les mesures de sécurité opérationnelles sont-elles alignées sur la politique de sécurité? Les mesures de sécurité opérationnelles mises en place sont-elles efficaces? En une phrase Quels sont les risques auxquels est exposée l entreprise? 8

7 L audit de sécurité du système d information L audit de sécurité du système d information est un examen méthodique d une situation liée à la sécurité de l information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. Compte tenu du cadre de gestion de la sécurité de l information, les audits de sécurité peuvent adresser des problématiques différentes comme par exemple : La prise en compte des contraintes, L analyse des risques, La politique de sécurité, La prise en compte de contraintes spécifiques dans la mise en œuvre d un système d information particulier (problématique liée à l audit des projets), La mise en œuvre de politique de sécurité, Les mesures de sécurité. 9

8 Les types d audit de sécurité 10

9 Les principaux types d audit de sécurité Audit de la politique de sécurité, Adéquation de la politique de sécurité à la stratégie de risques de l entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Audit de la mise en œuvre de politique de sécurité, Respect des exigences de sécurité au sein de l entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes, Audit de la prise en compte de la sécurité dans un projet Audit de l efficacité des mesures de sécurité. Test d intrusion, audit de vulnérabilité sur l ensemble des composantes du SI 11

10 Les référentiels utilisés dans le cadre des audits de sécurité Les référentiels sont adaptés à chaque grand type d audit de sécurité. Audit de Sécurité Référentiel Audit de la politique de sécurité Adéquation de la politique de sécurité à la stratégie de risques de l entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Contexte légale et réglementaire, Stratégie de risque de l entreprise, ISO 13335, ISO Audit de la mise en œuvre de la politique de sécurité Respect des exigences de sécurité au sein de l entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes Politique de sécurité de l entreprise, ISO 27002, CoBIT (mapping avec l ISO 17799), Audit Program de l ISACA. ITIL Audit de l efficacité des mesures de OWASP (Open Web Application Security sécurité Project), Information Security Web sites, Bases de vulnérabilités. 12

11 ISO La nouvelle famille de norme ISO/IEC

12 ISO Domaines de sécurité de l'information (niveau 1) La norme ISO/IEC 17799:2005 recense de nombreux objectifs de contrôle répartis dans chacun des onze domaines Catégories de sécurité (niveau 2) La structure de la norme est semblable pour chacune des 39 catégories de sécurité : Un objectif de contrôle qui fait l'état sur ce qui doit être appliqué est énoncé, Un ou plusieurs contrôles à appliquer sont proposés pour remplir l'objectif de contrôle de la catégorie de sécurité Contrôles (niveau 3) Au niveau inférieur, la structure de la norme est semblable pour chacun des 137 objectifs de contrôle qui ont été définis : Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle, Implementation guidance : le guide d'implémentation propose les informations détaillées pour permettre d'effectuer l'implémentation du contrôle et de satisfaire à l'objectif de contrôle. Other information 14

13 Les principaux types d audit de sécurité Audit de la politique de sécurité L audit de la politique de sécurité doit permettre de s assurer de la pertinence de celle-ci compte tenu de la stratégie de risques de l entreprise, du contexte légale et réglementaire ainsi que des bonnes pratiques. Le terme «politique de sécurité» peut recouvrir la politique de sécurité du groupe, la déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers ainsi que de l ensemble des politiques de sécurité détaillées couvrant les domaines comme le contrôle d accès, la continuité, la classification de l information, la protection antivirale L audit peut également couvrir : la méthodologie d analyse de risques mise en œuvre, des standards et procédures qui découlent de la politique de sécurité. L approche repose sur des interviews et des analyses documentaires. 15

14 Les principaux types d audit de sécurité Audit de la politique de sécurité Stratégique Politique de sécurité globale Politique de sécurité spécifique 1 Politique de sécurité spécifique 2 Politique de sécurité spécifique 3 Politique de sécurité locale Standards (architecture, solutions) Mesures techniques spécifiques Opérationnel 16

15 Les principaux types d audit de sécurité Audit de la mise en oeuvre de la PSSI L audit de la mise en œuvre de la politique de sécurité doit permettre de s assurer que les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de sécurité. Les grilles d investigation sont construites sur la base de la politique de sécurité et/ou de l ISO et/ou de Cobit. L approche repose sur des interviews, des visites de sites, des analyses documentaires et des revues de paramétrage. Compte tenu du caractère technique du système d information des grilles d investigation spécifiques sont construites pour approfondir des thématiques comme les solutions antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de continuité + Grille d investigation globale Grilles d investigation détaillées 17

16 Les principaux types d audit de sécurité Audit de la mise en oeuvre de la PSSI Pour chaque domaine de la grille d investigation ISO 27002, les processus sont répartis en cinq niveaux de maturité qu une organisation va gravir en fonction de la qualité des processus qu elle a mis en oeuvre. 18

17 Les principaux types d audit de sécurité Audit de la mise en oeuvre de la PSSI Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de l audit suivant les 11 domaines décrits dans l ISO

18 Les principaux types d audit de sécurité Audit de la mise en oeuvre de la PSSI Pour approfondir la dimension technique de l audit de sécurité, des grilles d investigation sont nécessaires pour chaque composante du système d information. Audit de la connexion Internet Audit de la Gestion des Tiers Audit des accès distants Audit d un poste de travail Audit de la solution Anti-viru Revue du plan de continuité Audit de Gestion d Incident 20

19 Les principaux types d audit de sécurité Audit de la mise en oeuvre de la PSSI Les grilles d investigation détaillée peuvent être issues de : «IS Auditing Procedures» de l ISACA P3IDSReview P4VirusandMaliciousLogic P6Firewalls «Audit program & Internal control questionnaire» de l ISACA OracleDatabaseSecurityAuditPlanandICQ OS390-zOSAuditProgram SecuringtheNetworkPerimeterAuditProgramand Des organismes officiels de certification, Des éditeurs ou des constructeurs, Des plans d audit de sociétés spécialisées, 21

20 Les principaux types d audit de sécurité Audit de l efficacité des mesures de SSI Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit permettre de s assurer qu aucune vulnérabilité ne puisse porter atteinte à la confidentialité, l intégrité ou la disponibilité de l information. Test d Intrusion Pour s assurer de la sécurité de l Infrastructure face à des scénarii d attaques de personnes malveillantes (pirate, prestataire, exemployé, utilisateur interne ) Audit de Sécurité Technique Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils, applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus 22

21 Les principaux types d audit de sécurité Audit de l efficacité des mesures de SSI Tests de vulnérabilités ou tests d intrusion 23

22 Les principaux types d audit de sécurité Audit de l efficacité des mesures de SSI Le périmètre des audits de sécurité techniques 24

23 La démarche d audit L ISACA (association pour le contrôle et l'audit des systèmes d'information) a établi que le caractère spécialisé de l'audit des systèmes d'information et les compétences requises pour effectuer un tel audit rendent nécessaires le développement et la promulgation de Normes Générales pour l'audit des Systèmes d'information. L'audit des systèmes d'information se définit comme tout audit qui comprend l'examen et l'évaluation de tous les aspects (ou une partie d'entre eux) des systèmes de traitement automatisé de l'information, y compris les procédures connexes nonautomatisées, et les interfaces qui les relient entre eux. La démarche d audit présente 4 grandes étapes : Planification Réalisation du travail d audit Rapport Activités de suivi 25

24 Le contexte de l audit de sécurité Pour qui? Direction Générale, Audit interne, Métier, Maison mère, Organisme certificateur Sur quel périmètre? Organisation, Site, Service, Environnement technique, Application, Par qui? Interne / externe Dans quel but? Alignement de la politique de sécurité sur la stratégie d entreprise, Conformité aux lois et règlements, Efficacité et efficience des contrôles, SOX, contrôle interne, Identification des risques auxquels est exposé le SI Selon quel référentiel? Lois et règlements Organisme Bonnes pratiques (ISO, ) De quelle nature? Audit de la politique de sécurité, Audit de la mise en œuvre de la politique de sécurité, Audit de l efficacité des mesures de sécurité. 26

25 Les risques d un audit de sécurité Référentiel inadapté Compétences inadaptées Rapport inadapté : Inadéquation de la recommandation dans le contexte (incompréhension des risques spécifiques liés à l activité de l organisme avec le métier. Inadaptabilité de la recommandation dans le contexte de l organisme (à qui prescrire une cage de faraday!). Rapport non recevable : Constats non factuels. Constats non validés. Non prise en compte de la confidentialité Dérapage dans le temps : Ne pas avoir identifié les bons interlocuteurs. Absence de clauses d audit dans les contrats d externalisation IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS 27

26 Merci de votre attention Questions / Réponses 28

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 02/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Préventeur (trice) en cybersécurité des

Plus en détail

Vector Security Consulting S.A

Vector Security Consulting S.A Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

Principes de base et aspects techniques

Principes de base et aspects techniques HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques

Plus en détail

des référentiels r rentiels Jean-Louis Bleicher Régis Delayat

des référentiels r rentiels Jean-Louis Bleicher Régis Delayat L évolution récente r des référentiels r rentiels Jean-Louis Bleicher Régis Delayat 7 Avril 2009 Plan COBIT V4.1 COBIT Quickstart V2 Guide d audit informatique COBIT Val IT Risk IT Le Guide pratique CIGREF/

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Urbanisation des Systèmes d'information

Urbanisation des Systèmes d'information Urbanisation des Systèmes d'information Les Audits de Systèmes d Information et leurs méthodes 1 Gouvernance de Système d Information Trois standards de référence pour trois processus du Système d Information

Plus en détail

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE Gouvernance du Système d Information Comment bien démarrer? Page 1 Soirée «Gouverner son informatique et sa sécurité : le défi des entreprises» CLUSIS / ISACA

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

S U P E R V I S É PA R N. A B R I O U X

S U P E R V I S É PA R N. A B R I O U X Tableau de bord SSI S U P E R V I S É PA R N. A B R I O U X S. B A L S S A L. B O B E T M. H A L L O U M I J. M A N O H A R A N 1 Plan Présentation Méthodologie d élaboration Cas pratique Conclusion Nom

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques» Information Technology Services - Learning & Certification «Développement et Certification des Compétences Technologiques» www.pluralisconsulting.com 1 IT Training and Consulting Services Pluralis Consulting

Plus en détail

Cartographie des risques informatiques : exemples, méthodes et outils

Cartographie des risques informatiques : exemples, méthodes et outils : exemples, méthodes et outils Gina Gullà-Ménez, Directeur de l Audit des Processus et des Projets SI, Sanofi-Aventis Vincent Manière Consultant Construction d une cartographie des risques : quel modèle

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

Systèmes d information dans les entreprises (GTI515)

Systèmes d information dans les entreprises (GTI515) Systèmes d information dans les entreprises (GTI515) Chargé: JF Couturier Cours # 11 MTI515 Automne 2013 JF Couturier 1 Plan Audit Gestion des services Développement Opération et maintenance Introduction

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

1. La sécurité applicative

1. La sécurité applicative ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI,

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI, Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information Awatef HOMRI, ISO27001 Lead Auditor, ITIL Ingénieur en chef, ANSI Awatef.homri@ansi.tn 1 Agenda Management de la Sécurité

Plus en détail

exemple d examen ITMP.FR

exemple d examen ITMP.FR exemple d examen ITMP.FR Les Principes de Management du Système d Information (ITMP.FR) édition 2010 table des matières introduction 3 examen 4 barème 9 évaluation 17 A la fin de l examen vous devez rendre

Plus en détail

Gouvernance de la sécurité des systèmes d information

Gouvernance de la sécurité des systèmes d information Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC 6 FÉVRIER 2013 http://www.isaca quebec.ca VOLET GOUVERNANCE Ordre du jour Introduction/Objectifs;

Plus en détail

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 2012-2013 Formations Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 01/11/2012 Table des Matières Présentation du Cabinet CESSI... 3 1- ISO 27001 Foundation... 5 2- ISO 27001 Lead Auditor...

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

MANAGEMENT ENVIRONNEMENT ISO 14001 PAR ETAPES BILAN CARBONE. Accompagnement groupé laboratoires d analyses médicales

MANAGEMENT ENVIRONNEMENT ISO 14001 PAR ETAPES BILAN CARBONE. Accompagnement groupé laboratoires d analyses médicales MANAGEMENT ENVIRONNEMENT ISO 14001 PAR ETAPES BILAN CARBONE Accompagnement groupé laboratoires d analyses médicales La démarche d analyse et d accompagnement, constituée de 3 étapes telles qu elles sont

Plus en détail

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier Sécurité Active Analyser l Renforcer l Maîtriser l Étudier Analyser l Renforcer l Maîtriser l Étudier L offre Sécurité Active évalue et fortifie les systèmes d information vis-à-vis des meilleures pratiques

Plus en détail

Sécurité des Systèmes d Information

Sécurité des Systèmes d Information Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de

Plus en détail

La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité IT - Une précaution vitale pour votre entreprise Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION Sommaire Notre équipe Nos atouts Notre chaine de valeur Nos offres de service Notre démarche Nos références & réalisations Nos coordonnées

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

COBIT5 Présentation 2013 Pierre CALVANESE

COBIT5 Présentation 2013 Pierre CALVANESE COBIT5 Présentation 2013 Pierre CALVANESE Evolution of scope Un référentiel global d entreprise Governance of Enterprise IT IT Governance Management Val IT 2.0 (2008) Control Audit Risk IT (2009) COBIT1

Plus en détail

Management des Systèmes d information (SI)

Management des Systèmes d information (SI) ENGDE - DSCG 2 - Formation initiale Préparation au concours 2015 - UE5 Management des Systèmes d information (SI) S6 - Audit et Gouvernance Yves MEISTERMANN Rappel : Sommaire de l UE5 4. Gestion de la

Plus en détail

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet ActiveSentry : le monitoring permanent de la sécurits curité des architectures Internet OSSIR 11/09/2001 Fabrice Frade Directeur Technique Intranode 2001 Qui est Intranode? Intranode est un éditeur d une

Plus en détail

Mise en œuvre de solutions d IT Service Management. Samia Benali Responsable des offres de services d IT Service Management

Mise en œuvre de solutions d IT Service Management. Samia Benali Responsable des offres de services d IT Service Management Mise en œuvre de solutions d IT Service Management Samia Benali Responsable des offres de services d IT Service Management Global Technology Services Sommaire 1 Des meilleures pratiques à la mise en oeuvre

Plus en détail

Table des matières. Partie I CobiT et la gouvernance TI

Table des matières. Partie I CobiT et la gouvernance TI Partie I CobiT et la gouvernance TI Chapitre 1 Présentation générale de CobiT....................... 3 Historique de CobiT....................................... 3 CobiT et la gouvernance TI.................................

Plus en détail

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité? Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1 Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Table des matières Table des matières 1 Les exemples à télécharger sont disponibles à l'adresse

Plus en détail

ITIL V3. Objectifs et principes-clés de la conception des services

ITIL V3. Objectifs et principes-clés de la conception des services ITIL V3 Objectifs et principes-clés de la conception des services Création : janvier 2008 Mise à jour : juillet 2011 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

Gestion des services IT Foundation Bridge basée sur la norme ISO/CIE 20000

Gestion des services IT Foundation Bridge basée sur la norme ISO/CIE 20000 Exemple d examen Gestion des services IT Foundation Bridge basée sur la norme ISO/CIE 20000 Édition Novembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published,

Plus en détail

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur

Plus en détail

Utilisation de la méthode EBIOS :

Utilisation de la méthode EBIOS : Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

ISO 27001:2013 Béatrice Joucreau Julien Levrard

ISO 27001:2013 Béatrice Joucreau Julien Levrard HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Béatrice Joucreau Julien Levrard Sommaire La norme

Plus en détail

dans un contexte d infogérance J-François MAHE Gie GIPS

dans un contexte d infogérance J-François MAHE Gie GIPS Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion

Plus en détail

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos:

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos: Gouvernance et sécurité des systèmes d information Avant- propos: Auteur : Kamal HAJJOU Consultant Manager sécurité systèmes d information Cet article tente de dresser un état des lieux sur les approches

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

CAHIER DES CHARGES. Etabli le : 24.09.15 Par : Savrak SAR Remplace la version du :

CAHIER DES CHARGES. Etabli le : 24.09.15 Par : Savrak SAR Remplace la version du : CAHIER DES CHARGES 1. Actualisation Etabli le : 24.09.15 Par : Savrak SAR Remplace la version du : Motif d actualisation : Nouveau poste 2. Identification du poste Département : DFJC Service : DGES Entité

Plus en détail

Ludovic JAMART Consultant Sécurité. Club 27001 Jeudi 17 janvier 2008. ISO 27001:2005 Lead Auditor

Ludovic JAMART Consultant Sécurité. Club 27001 Jeudi 17 janvier 2008. ISO 27001:2005 Lead Auditor La boîte à outils ISO 27001 : retour d expérience sur l utilisation de l ISO27001 pour la prise en compte de la sécurité dans l externalisation de prestations informatiques. Ludovic JAMART Consultant Sécurité

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

PROGRAMME DE FORMATION

PROGRAMME DE FORMATION F-5.04 : METHODOLOGIE D UN PROJET DE DEMATERIALISATION ET D ARCHIVAGE ELECTRONIQUE, APPLICATION AUX MAILS /// Objectifs pédagogiques Apporter aux participants les informations essentielles pour aborder

Plus en détail

Audits Sécurité. Des architectures complexes

Audits Sécurité. Des architectures complexes Audits Sécurité Des architectures complexes L avènement d Internet et le développement des applications Intranet/Extranet ont permis aux entreprises d accroître leur compétitivité par l ouverture de leurs

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité :

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité : Fiche Pratique PRA - PCA Club des Responsables d Infrastructures et de Production L audit de la continuité d activité d un organisme La continuité d activité correspond à la capacité d un organisme (entreprise

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Référentiel de compétences en système d'information

Référentiel de compétences en système d'information ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable

Plus en détail

Créer un tableau de bord SSI

Créer un tableau de bord SSI Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com

Plus en détail

Audit interne. Audit interne

Audit interne. Audit interne Définition de l'audit interne L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

Sécurité Applicative & ISO 27034

Sécurité Applicative & ISO 27034 Club 27001 Toulouse 04/07/2014 - Sébastien RABAUD - Sécurité Applicative & ISO 27034 Agenda Sécurité applicative Constats Solutions? ISO 27034 Présentation Analyse 2 Agenda Sécurité applicative Constats

Plus en détail

Directives d éligibilité et de périmètre ISO/CEI 20000

Directives d éligibilité et de périmètre ISO/CEI 20000 Directives d éligibilité et de périmètre ISO/CEI 20000 traduction française 1 V1.1 du document «itsmf ISO/CEI 20000 Certification Scheme Scoping Guidelines» 1. Introduction Ce document doit être considéré

Plus en détail

KYRON SI. PME/ETI: tous concernés par la sécurité de nos Systèmes d Information

KYRON SI. PME/ETI: tous concernés par la sécurité de nos Systèmes d Information PME/ETI: tous concernés par la sécurité de nos Systèmes d Information Bienvenue dans le monde de la Sécurité 2 Aujourd hui, les entreprises doivent continuellement faire face à de nouveaux enjeux en matière

Plus en détail

Mise en œuvre de la certification ISO 27001

Mise en œuvre de la certification ISO 27001 Mise en œuvre de la certification ISO 27001 1 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO 27001 4. Implémentation 5. Surveillance et audit

Plus en détail

des systèmes d'information

des systèmes d'information Responsable du pilotage de systèmes d information E1A21 Pilotage, administration et gestion des systèmes d information - IR Le responsable du pilotage de système d'information définit et fait évoluer un

Plus en détail

Audit informatique et libertés

Audit informatique et libertés Audit informatique et libertés 6ix Secured E-commerce REFERENCE: 2012/DOC/INT/006/v1.0 DIFFUSION : PUBLIQUE ETAT DES VALIDATIONS Fonction Rédacteur Vérificateur/Approbateur Signé par Karim Slamani Karim

Plus en détail

La gestion de la documentation

La gestion de la documentation La gestion de la documentation Des aspects méthodologiques & organisationnels.vers la mise en œuvre d un outil de GED M S. CLERC JOSY 13 OCTOBRE 2015 PLAN Définition d un projet de gestion de la documentation

Plus en détail

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

Plus en détail

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007 Architecture de référence pour la protection des données Mercredi 21 Mars 2007 Intervenants Serge Richard CISSP /IBM France 2 Introduction Sécurité des données Cadres de référence Description d une méthodologie

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

NOS MODULES D AUDIT. Analyse - Accompagnement - Sérénité - Sécurité

NOS MODULES D AUDIT. Analyse - Accompagnement - Sérénité - Sécurité NOS MODULES D AUDIT Analyse - Accompagnement - Sérénité - Sécurité Audit Technique Audit des serveurs Mise à jour, vulnérabilités classiques Respect des politiques de mots de passe Contrôle des accès à

Plus en détail

Les besoins de formation continue à la sécurité des systèmes d'information

Les besoins de formation continue à la sécurité des systèmes d'information Journée Sécurité animée par le Clusis INFORUM 2005 26 octobre 2005 Cette présentation est disponible sur le site INFORUM.BIZ Les besoins de formation continue à la sécurité des systèmes d'information et

Plus en détail

Francis Chapelier. Infogérance Sélective de Production

Francis Chapelier. Infogérance Sélective de Production Francis Chapelier Infogérance Sélective de Production 2 Programme Qu est ce que l infogérance sélective? Présentation de l Infogérance Sélective de Production (ISP) Quelques références Questions / réponses

Plus en détail

Rapport d'audit étape 2

Rapport d'audit étape 2 Rapport d'audit étape 2 Numéro d'affaire: Nom de l'organisme : CMA 76 Type d'audit : audit de renouvellement Remarques sur l'audit Normes de référence : Autres documents ISO 9001 : 2008 Documents du système

Plus en détail

METIERS DE L INFORMATIQUE

METIERS DE L INFORMATIQUE METIERS DE L INFORMATIQUE ISO 27001 LEAD AUDITOR REF : GOMO019 DUREE : 5 JOURS TARIF : 3 500 HT Public Toute personne amenée à conduire des audits dans le domaine de la sécurité des systèmes d'information.

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI

Plus en détail