PASSI Un label d exigence et de confiance?
|
|
- Alfred St-Arnaud
- il y a 8 ans
- Total affichages :
Transcription
1 PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec Blog Intrinsec sécurité Securite.intrinsec.com Twitter
2 INTRINSEC Identité Fondée en 1995, Intrinsec est un acteur historique de la sécurité des systèmes d information. Structure française, d environ 250 collaborateurs, dont 50 spécialisés en SSI : Evaluation : Test d intrusion et audit de sécurité Conseil : Etudes, Accompagnement RSSI, RSSI Temps partagé Sécurité opérationnelle : SOC as a service et CERT-Intrinsec Innovation : anticipation, projet d étude amont Intrinsec est qualifié PASSI par LSTI depuis juillet 2014 sur les activités suivantes Audit organisationnel et physique Audit de configuration Audit d architecture Audit de code source Test d intrusion Guillaume Lopes / Consultant Sécurité depuis plus de 6 ans Manager adjoint de l activité d Evaluation Responsable de la qualification PASSI d Intrinsec 2
3 RGS : Référentiel Général de Sécurité Référentiel destiné à sécuriser les échanges électroniques de la sphère publique Un recueil de règles et de bonnes pratiques en matière de sécurité des Systèmes d Informations (SSI) RGS Présentation Elaboré par L ANSSI Agence Nationale de la Sécurité des Systèmes d Information La DGME Direction Générale de la Modernisation de l Etat Objectifs Développer la confiance des usagers et des administrations dans leurs échanges numériques Favoriser l adoption de bonnes pratiques en matière de SSI Adapter les solutions techniques aux besoins SSI identifiés Favoriser le respect de la loi Informatique & Libertés 3
4 RGS Présentation Le RGS concerne les Autorités Administratives (AA) Administrations de l'état Collectivités territoriales Etablissements publics à caractère administratif Organismes gérant des régimes de protection sociale Organismes chargés de la gestion d'un service public administratif Et implique, donc, aussi les prestataires des AA Qu est ce qu une autorité administrative? (selon l ordonnance n du 8 décembre 2005) «Sont considérés comme autorités administratives au sens de la présente ordonnance les administrations de l Etat, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles L et L du code du travail et les autres organismes chargés de la gestion d un service public administratif» 4
5 RGS Présentation RGSv.1.0 a été rendu officiel en date du 6 mai 2010 Pas de notion de PASSI Mais PSCE et PSHE RGSv2.0 publié en juin 2014 et applicable au 1 er juillet 2014 Annexe C : PASSI Liste des documents constitutifs du RGS 5
6 Qu est-ce qu un prestataire de confiance? Atteste de sa conformité à un niveau de sécurité du RGS Habilité par un organisme de qualification RGS Prestataire de confiance Types de prestataires de confiance actuellement en place PSCE : Prestataires de services de certification électronique PSHE : Prestataires de services d horodatage électronique PASSI : Prestataires d audit de la sécurité des systèmes d information Ceux qui vont bientôt arriver PDIS : Prestataires de détection des incidents de sécurité PRIS : Prestataire de réponse aux incidents de sécurité PSSIN : Prestataire de services sécurisés d informatique en nuage 6
7 Une phase expérimentale a eu lieu de janvier 2012 à juin 2013 avec trois sociétés HSC, Sogeti et AMOSSYS PASSI Présentation A la date de cette présentation 4 sociétés sont qualifiées PASSI AMOSSYS / INTRINSEC / SOGETI ESEC / SOLUCOM 12 sociétés sont en cours de qualification CGI Business Consulting / CS Systèmes d information / DELOITTE CONSEIL / I-TRACING / OPPIDA / BULL / ADVENS / CONIX Technologies et Services / ORANGE CONSULTING / LEXSI / THALES Communications & Security SAS / HSC 7
8 Un prestataire ne peut être qualifié PASSI que sur des activités d audit visées par le référentiel Une activité d audit est appelée portée de qualification PASSI Présentation Audit d architecture Conformité des pratiques de sécurité relatives au choix, au positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés dans un SI L audit peut être étendu aux interconnexions et Internet Audit de configuration Vérifier la mise en œuvre de pratiques de sécurité conformes à l état de l art et aux exigences de l audité en matière de configuration du matériel et du logiciel Audit de code source Analyse de l ensemble ou d une partie du code source ou des conditions de compilation d une application Revue manuelle ou automatique du code L outil utilisé doit être mentionné dans le rapport! 8
9 PASSI Présentation Tests d intrusion Conditions réelles d une attaque sur le SI Un test d intrusion seul n a pas vocation à être exhaustif En complément d autres activités Les tests de vulnérabilités, notamment automatisés, ne représentent pas à eux seuls une activité d audit au sens du Référentiel Les vulnérabilités (logicielles) non publiques découvertes lors de l audit doivent être communiquées à l ANSSI Audit organisationnel et physique Revue des politiques et procédures de sécurité de l audité Conformité vis-à-vis de l état de l art ou des normes en vigueur Les mesures techniques appliquées sont correctes et efficaces Les aspects physiques de la sécurité du SI sont couverts Il est à noter qu un prestataire ne peut pas être qualifié uniquement sur le test d intrusion ou l audit organisationnel et physique Ces activités menées seules sont jugées insuffisantes 9
10 Modalités de la qualification des prestataires d audit LSTI est accrédité par le COFRAC et habilité par l ANSSI LSTI qualifie le prestataire de sécurité Le prestataire de sécurité audite le client (audité) PASSI Qualification La qualification nécessite que LSTI Audite le siège du prestataire d audit Evalue les auditeurs du prestataire d audit (examens écrits et oraux) Observe le prestataire d audit mener un ou plusieurs audits Actuellement, LSTI est le seul organisme habilité à qualifier les prestataires La qualification est attribuée pour une durée maximale de 3 ans Un audit de surveillance est prévu au bout de 18 mois après la décision de qualification 10
11 PASSI Exigences Exigences relatives aux prestataires d audit Entité ou partie d une entité dotée de la personnalité morale La prestation est réalisée selon une convention d audit approuvée par le commanditaire Le prestataire d audit assume la responsabilité de l audit Souscription d une assurance pour la réalisation des audits Sous-traitance acceptée (le commanditaire doit accepter) Respect de la loi française Description de son organisation d audit Pas d informations trompeuses ou fausses fournies au commanditaire Impartialité des audits Livrables en langue française Respect de l audité, du personnel et des infrastructures 11
12 PASSI Exigences Exigences relatives aux prestataires d audit (suite) Une charte éthique doit être formalisée et signée par tous les auditeurs Auditeurs en nombre suffisant et compétents Protection des informations récoltées lors de l audit Exigences relatives aux auditeurs Qualités personnelles (ISO ) Réglementation applicable aux audits Qualités rédactionnelles et de synthèse, bonne expression orale Expérience suffisante de l auditeur Au moins 1 an dans la SSI Aptitudes et connaissances spécifiques Contrat de travail avec le prestataire d audit 12
13 PASSI Exigences Exigences relatives au déroulement de l audit La démarche est identique à l ISO Le prestataire doit s assurer avant le démarrage de l audit que Le commanditaire fournit un espace de travail adéquat Le commanditaire a identifié correctement le périmètre de l audit L audit est adapté au contexte et aux objectifs souhaités A défaut, le prestataire doit prévenir le commanditaire Déroulement de l audit (version RGS) Etablissement de la convention d audit Préparation et déclenchement de l audit Exécution de l audit Elaboration du rapport d audit Conclusion de l audit Le déroulement de l audit doit respecter la norme ISO
14 PASSI Exigences Audit du siège du prestataire Locaux et notamment la sécurité physique Documents utilisés dans le cadre des activités d audit Politiques, procédures, livrables, etc. Protection des informations au niveau Diffusion Restreinte Rédaction des livrables et tests réalisés sur des machines distinctes La machine de rédaction ne doit pas être connectée à Internet Les livrables sont transmis au client uniquement de manière chiffrée Le système d information est homologué D.R. Organisation des audits Formation du personnel et maintien en compétences Echantillonnage pour les contrôles techniques 14
15 PASSI Exigences Suivi d un audit témoin Observer le prestataire d audit en conditions réelles Focus sur le déroulement de l audit et les compétences de l auditeur L observation est effectuée uniquement aux moments clés d un audit Réunion d ouverture de l audit Une journée d audit complète afin d observer la démarche de l auditeur Réunion de clôture 15
16 Evaluation des compétences des auditeurs Un examen écrit Un examen oral Une étude du CV de l auditeur PASSI Exigences Examen écrit Test commun sur l ISO et le RGS L obtention de ce test est nécessaire pour valider les portées de qualification Un test pour chaque activité d audit souhaitée Les tests comportent des QCM et des questions libres Examen oral Uniquement sur les portées obtenues à l écrit Les résultats de l écrit sont utilisés En général, 3 personnes dans le jury Une personne de LSTI Un enseignant chercheur (ex: SUPELEC) Un auditeur 16
17 PASSI Exigences Une attestation de compétence est fournie par LSTI au prestataire indiquant les portées obtenues par l auditeur Cette attestation est valable 3 ans, ensuite repassage de l examen L attestation de compétence est liée à l entreprise Si le consultant quitte la société, il doit repasser les examens L attestation peut être communiquée aux clients du prestataire qui en font la demande Un registre des auditeurs qualifiés est maintenu par LSTI mais ne sera pas divulgué publiquement L auditeur ne peut pas faire de publicité publiquement à titre individuel sur le fait qu il soit PASSI 17
18 L obtention de la qualification PASSI prend du temps!!! Gros effort sur les moyens techniques et la documentation PASSI En pratique Mise en place d une infrastructure Diffusion Restreinte Infrastructure isolée du réseau classique de l entreprise Contrôle d accès physique renforcé Postes de travail supplémentaires pour la rédaction Temps de formation et d examen des auditeurs Une demi-journée pour l examen écrit Une demi-journée pour l examen oral Temps de préparation (revue de l ISO et du RGS) Audit témoin Temps de recherche pour trouver un client acceptant que LSTI soit observateur de l audit 18
19 Le PASSI permet d utiliser un vocabulaire commun Un test d intrusion est bien différencié d un scan de vulnérabilités Une définition pour chaque type de prestation est fournie Et les tests attendus sont précisés PASSI Avantages Le PASSI apporte de la confiance aux parties prenantes Le processus de qualification rassure les commanditaires et audités L ANSSI est porteur de ce règlement Le PASSI permet d avoir une démarche commune Réunion d ouverture et de clôture Prévenir le client en cas de vulnérabilités Et surtout la démarche se base sur la norme ISO
20 L appel à des prestataires qualifiés n est pas obligatoire! Nombre d appel d offres publics n intègre pas cette dimension et/ou accorde une importance relativement faible dans l évaluation PASSI Limites La nécessité de recourir à des produits de sécurité ou à des prestataires de services de confiance a été régulièrement rappelée par le Premier ministre, ainsi il est recommandé [ ] de prendre en considération, pour le choix des prestataires, en plus de leur qualification, leur éventuelle certification selon la norme ISO ou d autres normes équivalentes (RGSv2 7.9) Les autorités administratives doivent, autant que possible, faire appel à des prestataires ayant obtenu une qualification (RGv2 7.11) Si une AA ne fait pas appel à un prestataire qualifié elle doit pouvoir démontrer que le prestataire choisi respecte les exigences du RGS Il reste encore un travail d évangélisation auprès des AA 20
21 Est-ce que les commanditaires vont respecter les règles? Demander un audit uniquement avec des consultants ayant été qualifiés PASSI mais sans respect de la démarche Demander un audit en respectant toutes les conditions du PASSI mais sans souhait que l audit soit une prestation qualifiée PASSI Limites Est-ce que toutes les sociétés pourront se permettre d être labellisées? Est-ce un intérêt? Si tous les cabinets d audit sont labellisés, est-ce que le PASSI demeure un élément différenciant? L augmentation du nombre de labels ne va-t-elle pas apporter de la confusion auprès des commanditaires? 21
22 INTRINSEC Site Web Intrinsec Blog Sécurité Intrinsec securite.intrinsec.com Questions Intrinsec Guillaume LOPES Consultant Sécurité 22
Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information
Premier ministre Agence nationale de la sécurité des systèmes d information Prestataires d audit de la sécurité des systèmes d information Référentiel d exigences Version 2.0 du 14 février 2013 HISTORIQUE
Plus en détailPRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
Plus en détailRÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ
Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ version 2.0 2
Plus en détailFedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"
FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels" Compte-Rendu Date publication : 19/07/2013 *SAE = Système d Archivage Electronique 1 1 Introduction Le présent
Plus en détailConférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015
Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailRéférentiel Général de Sécurité
Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailLes clauses «sécurité» d'un contrat SaaS
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric
Plus en détailInformation Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»
Information Technology Services - Learning & Certification «Développement et Certification des Compétences Technologiques» www.pluralisconsulting.com 1 IT Training and Consulting Services Pluralis Consulting
Plus en détailACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA
1 APPEL D OFFRES ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA JUILLET 2013 2 1. OBJET DE L APPEL D OFFRE Réalisation d un accompagnement
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailClub 27001 toulousain
Club 27001 toulousain Couverture organisme national Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailFORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000
FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 Les pratiques professionnelles de la Continuité Métier sont définies comme les aptitudes, connaissances et procédures
Plus en détail27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité
Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2
Plus en détailDématérialiser les échanges avec les entreprises et les collectivités
Dématérialiser les échanges avec les entreprises et les collectivités Conference Numerica Le 11/05/09 1 Sommaire Enjeux de la dématérialisation Possibilités concrètes d usages Moyens à mettre en œuvre
Plus en détailLA VERSION ELECTRONIQUE FAIT FOI
CONDITIONS D ACCREDITATION D ORGANISMES MULTISITES OU ORGANISES EN RESEAU OU METTANT EN COMMUN DES MOYENS GEN PROC 10 Révision 03 CONDITIONS D ACCREDITATION D ORGANISMES MULTISITES OU ORGANISES EN RESEAU
Plus en détailpolitique de la France en matière de cybersécurité
dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailEvaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information
Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Ali GHRIB Directeur Général ali.ghrib@ansi.tn Sommaire 1 2 Présentation de l agence nationale
Plus en détailSANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents
Créée en 1989, Hervé Schauer Consultants (HSC), est une société spécialisée dans l expertise de conseil en sécurité des systèmes d information. De taille humaine (28 personnes dont 22 consultants), HSC
Plus en détailSOMMAIRE. Bureau Veritas Certification FranceGP01 Certification de systèmes de management 2015-05-15.docx Page 2/21
Procédure de Certification de systèmes de management GP01 Version du 15 mai 2015 SOMMAIRE 1. Proposition de certification... 3 1.1 Candidature... 3 1.1.1 Schéma général... 3 1.1.2 Schéma Multi-sites...
Plus en détailAspects juridiques des tests d'intrusion
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2012 Aspects juridiques des tests d'intrusion Frédéric Connes
Plus en détailOrganisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique. www.it-cert.
Organisme de certification de personnes et d entreprises Certification en technologies de l information et monétique www.it-cert.eu Eric LILLO Directeur Général d IT CERT Fort de plus de vingt ans d expérience
Plus en détail3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde
3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques
Plus en détailSystèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Plus en détailCOMMANDE REF ADMIN-CS-540-CDD
Pôle de compétitivité mondial Aéronautique, Espace, Systèmes embarqués COMMANDE REF ADMIN-CS-540-CDD Objet : Prestation d assistance dans le cadre de l action collective AEROLEAN K portée par le pôle de
Plus en détailSécurité des Systèmes d Information
Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailL Assurance Qualité DOSSIER L ASSURANCE QUALITE
DOSSIER L ASSURANCE QUALITE L Assurance Qualité DOSSIER N D4-2-GW0301 Satisfaction.fr 164 ter rue d Aguesseau 92100 Boulogne Billancourt 01.48.25.76.76 http://www.satisfaction.fr/ Page 1 Définition Normalisée.
Plus en détailExcellence. Technicité. Sagesse
2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA
Plus en détailCatalogue de services standard Référence : CAT-SERVICES-2010-A
Catalogue de services standard Référence : CAT-SERVICES-2010-A Dans ce catalogue, le terme Client désigne l entité légale intéressée à l achat de services délivrés par ITE- AUDIT, que cet achat soit un
Plus en détailPour le Développement d une Relation Durable avec nos Clients
Pour le Développement d une Relation Durable avec nos Clients Prestation de Certification CERTIFICATION-D D-Indice 7 Applicable le 09//009 CERTIFICATION D Indice 7 Page /7 GLOBAL sas 8, rue du séminaire
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailLES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS
LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS MARCHÉS PUBLICS INTRODUCTION La dématérialisation des procédures de marchés publics est une technique permettant une gestion
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailECAP : Le niveau Accréditation du programme d études des comptables généraux accrédités
ECAP : Le niveau Accréditation du programme d études des comptables généraux accrédités Les connaissances comptables et financières, le professionnalisme et le leadership pour les besoins d aujourd hui
Plus en détailDOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89
DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détailCERTIFICATION CERTIPHYTO
CONDITIONS GENERALES DE CERTIFICATION MONOSITE Indice 2 Page 1/12 «Distribution de produits phytopharmaceutiques, Application en prestation de service de produits phytopharmaceutiques, Conseil à l utilisation
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détailGestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?
Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI
Plus en détailChapitre IV. La certification des comptes
Chapitre IV La certification des comptes Aux termes de la Constitution, «les comptes des administrations publiques sont réguliers, sincères et donnent une image fidèle de leur gestion, de leur patrimoine
Plus en détailL IDENTITÉ NUMÉRIQUE MULTISERVICES EN FRANCE : LE CONCEPT IDÉNUM
L IDENTITÉ NUMÉRIQUE MULTISERVICES EN FRANCE : LE CONCEPT IDÉNUM Par Francis Bruckmann ISEP 1975 Directeur délégué à la promotion de la sécurité Orange Cet article est paru dans le numéro 103 de Signaux,
Plus en détailCONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER
CONTROLE GENERAL ECONOMIQUE ET FINANCIER MISSION AUDIT 3, boulevard Diderot 75572 PARIS CEDEX 12 CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER CHARTE DE L'AUDIT Validée par le comité des audits du 4 avril 2012
Plus en détailMISE EN PLACE D UNE DEMARCHE CQP / CQPI AU SEIN D UNE BRANCHE
MISE EN PLACE D UNE DEMARCHE CQP / CQPI AU SEIN D UNE BRANCHE Guide méthodologique à usage des CPNE Guide validé par le CPNFP du 16 mars 2012 1 PLAN De quoi parle-t-on? Synthèse du processus d élaboration
Plus en détailISO/CEI 27001:2005 ISMS -Information Security Management System
ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002
Plus en détailPOLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0
POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT Version 1.0 HISTORIQUE DES VERSIONS DATE VERSION ÉVOLUTION DU DOCUMENT 17/07/2014 1.0 Publication de la première version de la Politique de sécurité
Plus en détailAutorité de Certification OTU
Référence du document : OTU.CG.0001 Révision du document : 1.0 Date du document : 24/10/2014 Classification Public Autorité de Certification OTU Conditions générales des services de Certification Conditions
Plus en détailComment financer sa stratégie d efficacité énergétique
Partageons le succès de nos expériences Comment financer sa stratégie d efficacité énergétique Pascal Lesage Directeur Commercial 06 86 68 85 92 01 41 42 33 95 14 Novembre 2014 5 domaines d intervention
Plus en détailISO 17799 la norme de la sécurité de l'information
ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.
Plus en détailGouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs
Plus en détailAUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre?
Réunion CCI Franche-Comté - Besançon 13 mai 2014 AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre? Paule.nusa @afnor.org Nour.diab@afnor.org
Plus en détailMise en œuvre de la radioprotection dans les entreprises: Certification d'entreprise et formation du personnel.
Mise en œuvre de la radioprotection dans les entreprises: Certification d'entreprise et formation du personnel. Alain BONTEMPS, Directeur du CEFRI -NOMBRE DE TRAVAILLEURS EXPOSES (Nucléaire): Total: 60
Plus en détailOrganisme Notifié N 1826 REFERENTIEL POUR LA CERTIFICATION DE CONFORMITE CE DES PLOTS RETROREFLECHISSANTS
ASCQUER Référentiel pour la certification de conformité CE Organisme Notifié N 1826 REFERENTIEL POUR LA CERTIFICATION DE CONFORMITE CE DES PLOTS RETROREFLECHISSANTS EN 1463 partie 1 & 2 Révision n 2 Edition
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détailInvestissements d avenir. Initiative PME - Biodiversité
Investissements d avenir Initiative PME - Biodiversité Calendrier de l Initiative L Initiative est ouverte le 9 juillet 2015. Les relevés des projets sont effectués : 1 re clôture 2 nde clôture 5 octobre
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détailRecommandations sur les mutualisations ISO 27001 ISO 20000 & ISO 27002 ITIL
Recommandations sur les mutualisations ISO 27001 ISO 20000 & ISO 27002 ITIL Groupe de travail du Club 27001 Toulouse Présentation du 10 novembre 2011 Nicole Genotelle, Joris Pegli, Emmanuel Prat, Sébastien
Plus en détailManuel Management Qualité ISO 9001 V2000. Réf. 20000-003-002 Indice 13 Pages : 13
Réf. 20000-003-002 Indice 13 Pages : 13 Manuel Management Qualité ISO 9001 V2000 EVOLUTIONS INDICE DATE NATURE DE L'EVOLUTION 00 09/06/2000 Edition Originale 01 29/09/2000 Modification suite à audit interne
Plus en détailConditions pour devenir un auditeur CanadaGAP
Conditions pour devenir un auditeur CanadaGAP Pour être admissibles aux postes d auditeurs du programme CanadaGAP, tous les nouveaux candidats ayant reçu la formation après le 1 er avril 2015 doivent remplir
Plus en détailAppendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs
Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme
Plus en détailCopyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
VOLET N 3 1 Politiques de sécurité et normes Définition d une politique cadre et des politiques ciblées de sécurité Exemples de politiques de sécurité Mise en œuvre des politiques de sécurité au sein de
Plus en détailNF Service avis en ligne : la seule certification qui améliore la confiance à accorder aux avis de consommateurs
Septembre 2015 NF Service avis en ligne : la seule certification qui améliore la confiance à accorder aux avis de consommateurs Créée en septembre 2013, la certification est la preuve, attestée après audit
Plus en détailLE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE
LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE Septembre 2011 Page 1 Au sommaire Préambule Le nouveau référentiel sur la forme Le nouveau référentiel sur le
Plus en détailVotre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance
Votre partenaire pour les meilleures pratiques La Gouvernance au service de la Performance & de la Compliance PRESENTATION CONSILIUM, mot latin signifiant «Conseil», illustre non seulement le nom de notre
Plus en détailLe Dossier Médical Personnel et la sécurité
FICHE PRATIQUE JUIN 2011 Le Dossier Médical Personnel et la sécurité www.dmp.gouv.fr L essentiel Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailMenaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014
Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient
Plus en détailIntroduction à l ISO/IEC 17025:2005
Introduction à l ISO/IEC 17025:2005 Relation avec d autres normes de Management de la Qualité Formation Assurance Qualité LNCM, Rabat 27-29 Novembre 2007 Marta Miquel, EDQM-CoE 1 Histoire de l ISO/IEC
Plus en détailVector Security Consulting S.A
Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante
Plus en détailCahier des charges pour l appel d offres. février 2015 SOMMAIRE
Actions Thématiques 2015 : développer les compétences des travailleurs handicapés, usagers des ESAT bas-normands dans la Branche sanitaire, sociale et médico-sociale privée, à but non lucratif Cahier des
Plus en détailLICENCE PROFESSIONNELLE. Systèmes informatiques et logiciels
LICENCE PROFESSIONNELLE Systèmes informatiques et logiciels Spécialité : Gestion des systèmes d information analyse de production exploitation systèmes réseaux et applications Arrêté d habilitation : 2001299
Plus en détailInvestissements d avenir. Action : «Projets agricoles et agroalimentaires d avenir (P3A)»
Investissements d avenir Action : «Projets agricoles et agroalimentaires d avenir (P3A)» Appel à projets «Innovation et compétitivité des filières agricoles et agroalimentaires» Volet compétitif «Initiatives
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailArchivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC
Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC Sommaire Description du modèle de surveillance Définitions Objectifs de la surveillance des PSDC Présentation
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailUne réponse concrète et adaptée pour valoriser votre engagement pour l environnement. www.evaluation-envol-afnor.org
Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement www.evaluation-envol-afnor.org Quelques mots à propos du groupe Afnor Opérateur central du système français de normalisation
Plus en détailISO 27001:2013 Béatrice Joucreau Julien Levrard
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Béatrice Joucreau Julien Levrard Sommaire La norme
Plus en détailRéussir l externalisation de sa consolidation
Réussir l externalisation de sa consolidation PAR ERWAN LIRIN Associé Bellot Mullenbach et Associés (BMA), activité Consolidation et Reporting ET ALAIN NAULEAU Directeur associé Bellot Mullenbach et Associés
Plus en détailGénie Logiciel LA QUALITE 1/5 LA QUALITE 3/5 LA QUALITE 2/5 LA QUALITE 4/5 LA QUALITE 5/5
Noël NOVELLI ; Université d Aix-Marseille; LIF et Département d Informatique Case 901 ; 163 avenue de Luminy 13 288 MARSEILLE cedex 9 Génie Logiciel LA QUALITE 1/5 La gestion de la qualité Enjeux de la
Plus en détailCOMMANDITÉ DE BROOKFIELD RENEWABLE ENERGY PARTNERS L.P. CHARTE DU COMITÉ D AUDIT
COMMANDITÉ DE BROOKFIELD RENEWABLE ENERGY PARTNERS L.P. CHARTE DU COMITÉ D AUDIT Février 2015 Un comité du conseil d administration (le «conseil») du commandité (le «commandité») de Brookfield Renewable
Plus en détaili) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :
Raison d être Plan des examens Audit interne et contrôles internes [MU1] 2011-2012 Les examens Audit interne et contrôles internes [MU1] ont été élaborés à l aide d un plan d examen. Le plan d examen,
Plus en détailComment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur
Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences
Plus en détailla sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information
la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détailSELECTION D UN CONSULTANT CHARGE DE LA MISE EN PLACE DES REFERENTIELS DE CONTROLE INTERNE ET DE LA MISE A JOUR DES MANUELS DE PROCEDURES DU GIM-UEMOA
TERMES DE REFERENCE SELECTION D UN CONSULTANT CHARGE DE LA MISE EN PLACE DES REFERENTIELS DE CONTROLE INTERNE ET DE LA MISE A JOUR DES MANUELS DE PROCEDURES DU GIM-UEMOA TDR : REFERENTIELS ET PROCEDURES
Plus en détailAssociation Française pour la promotion des bonnes pratiques de sourcing escm. escm for Dummies. Gilles Deparis. Introduction au référentiel escm
Association Française pour la promotion des bonnes pratiques de sourcing escm. escm for Dummies Gilles Deparis Introduction au référentiel escm Structure du référentiel Implémentation du référentiel 1
Plus en détailD ITIL à D ISO 20000, une démarche complémentaire
D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction
Plus en détailL application doit être validée et l infrastructure informatique doit être qualifiée.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés
Plus en détailAudits Sécurité. Des architectures complexes
Audits Sécurité Des architectures complexes L avènement d Internet et le développement des applications Intranet/Extranet ont permis aux entreprises d accroître leur compétitivité par l ouverture de leurs
Plus en détailModalités de candidature et de certification. Niveau 1. Certification de personnes Expert méthode HACCP/SMSDA
Modalités de candidature et de certification Niveau 1 Certification de personnes Expert méthode HACCP/SMSDA La certification d'expert méthode HACCP/SMSDA s adresse à des professionnels confirmés qui veulent
Plus en détailAudit interne. Audit interne
Définition de l'audit interne L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils
Plus en détailAudits de TI : informatique en nuage et services SaaS
Audits de TI : informatique en nuage et services SaaS Tommie W. Singleton, Ph. D., CISA, CITP, CMA, CPA La loi de Moore, qui s applique depuis des décennies et ne semble pas encore avoir atteint ses limites,
Plus en détailAgrément des hébergeurs de données de santé. 1 Questions fréquentes
Agrément des hébergeurs de données de santé 1 Questions fréquentes QUELS DROITS POUR LES PERSONNES CONCERNEES PAR LES DONNEES DE SANTE HEBERGEES? La loi précise que l'hébergement de données de santé à
Plus en détail