n spécial Assises de la Sécurité 2009

Dimension: px
Commencer à balayer dès la page:

Download "n spécial Assises de la Sécurité 2009"

Transcription

1 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif de son périmètre. Si l audit de sécurité ponctuel est un de ses outils classiques pour évaluer les faiblesses techniques, il est insuffisant pour garantir à tout instant le niveau de sécurité de son SI. La mise en place du contrôle permanent de la sécurité des SI permet de pallier ce manque, en garantissant une maîtrise continue du niveau de sécurité. Parce qu il est l élément central du dispositif de contrôle du RSSI, ainsi qu une partie intégrante du contrôle interne de l entreprise, nous avons choisi de dédier cette Lettre Sécurité spéciale Assises de la Sécurité au contrôle permanent qui sera également le thème de l atelier que nous animerons. Nous ferons ainsi le point sur les raisons de cette récente évolution, mais aborderons surtout les éléments clés de la réussite d un projet de mise en œuvre du contrôle permanent de la sécurité. Ces derniers sont le choix d une cible cohérente et pragmatique et celui d une stratégie de mise en œuvre qui se doit progressive et intégrée à l existant pour obtenir l adhésion de tous. Chrystel-Anne Pomel (Natixis) et Philippe Stévenin (SNCF) ont accepté de partager leurs expériences riches en enseignements sur la mise en place d un tel projet, et je les en remercie chaleureusement. Bonne lecture à tous! Frédéric GOUX Directeur Practice Sécurité & risk management n spécial Assises de la Sécurité 2009 Le contrôle permanent : vers un pilotage au quotidien de la sécurité du SI Pour répondre aux préoccupations des Directions générales et à la multiplication des sollicitations, les DSI doivent aujourd hui pouvoir s engager à tout moment, et de façon probante, sur le niveau de sécurité du SI. Complément naturel des audits, le dispositif de contrôle permanent est aujourd hui présenté comme l outil idéal pour répondre à ces attentes. Mais quels objectifs lui assigner, comment définir le dispositif idéal et surtout comment le déployer efficacement? Autant de questions que nous vous proposons d aborder dans ce dossier. Il est aujourd hui rare pour un DSI de pouvoir passer plus de quelques jours sans être interrogé sur le niveau de confiance qu il accorde à son SI. Devenu comptable de la sécurité de la majorité des informations et des outils des métiers, il doit pouvoir à tout moment rassurer sur ce point, et bien souvent indiquer comment il compte améliorer encore ce niveau de sécurité. Car l importance de la sécurité du SI pour l entreprise est désormais évidente : en tant que support des processus métiers, le SI embarque naturellement de nombreux dispositifs de contrôle essentiels à la fiabilité des informations (contrôles d intégrité, référentiels, contrôle des accès, etc.). Mais le SI induit également des risques propres : interruptions de services, corruption de données, divulgation d informations, etc. Risques d autant plus critiques qu ils sont de nature très transverse : lorsqu ils sont avérés, ils peuvent rapidement toucher tous les processus métiers supportés par le SI! La mise sous contrôle de la sécurité du SI Depuis des années, pour répondre à l inquiétude légitime liée à ces risques, les audits de sécurité ont été généralisés, permettant ainsi de vérifier régulièrement que le système audité est toujours au «bon» niveau de sécurité. Réalisés avec une fréquence relativement faible (pour un système donné), ils ne permettent pas néanmoins de disposer de façon pérenne d une évaluation d ensemble. Or, «disposer d une vision partielle et ponctuelle du niveau de sécurité SI d un processus n est pas suffisant» explique Chrystel-Anne Pomel, adjointe au RSSI de Natixis et ses filiales. C est pourquoi dans de nombreux domaines (comme le contrôle des comptes) l audit intègre désormais, en plus de vérifications ponctuelles «sur pièces», une évaluation du dispositif de contrôle interne lui-même. Ainsi, Suite en page 2 DÉCRYPTAGES P4 Une cible de contrôle permanent à adapter au contexte de l entreprise P6 Insuffler progressivement une culture de contrôle

2 n spécial Assises de la Sécurité 2009 il devient possible de s engager sur ce qui se passe entre deux photographies «instantanées», donc sur le maintien du niveau de sécurité entre les audits. Cette notion de contrôle interne, qui fit son grand retour aux Etats-Unis en 2003 via le Sarbanes-Oxley Act (puis la Loi de Sécurité Financière en France), est définie comme le «processus, mis en œuvre par l ensemble de l entreprise, visant à disposer d une assurance raisonnable quant à l atteinte des objectifs fixés» dans différents domaines : objectifs financiers ou opérationnels, conformité à la réglementation et bien sûr sécurité de l information! Concrètement, le contrôle interne recouvre ainsi toutes les mesures prises au quotidien pour maîtriser les processus (politiques, procédures, etc.), les vérifications effectuées par les opérationnels dans le cadre de leurs activités courantes, et plus généralement la «culture de contrôle» de l organisation. Pour développer cette maîtrise des processus, de nombreuses organisations ont ainsi défini et mis en œuvre, souvent sous la houlette du RSSI, des procédures, des responsabilités, et le reporting associé, via des démarches ITIL, CMMI ou ISO selon les thèmes adressés. Concrètement, en matière de sécurité SI, des processus d habilitation, de sauvegarde ou de gestion des changements ont ainsi été définis. Le contrôle permanent : un nouveau Graal en matière de sécurité du SI? Sur ces bases, il est alors possible de vérifier régulièrement que les mesures de maîtrise des risques sont bien définies et implémentées par les opérationnels. Il s agit en effet de vérifier que la pertinence et la qualité de réalisation des contrôles sont adaptées aux enjeux : c est l objet du dispositif de contrôle permanent. Le contrôle permanent devient alors un élément clé du dispositif global de contrôle interne : en s appuyant sur les auto-évaluations effectuées par les opérationnels, et bien souvent en menant des contrôles complémentaires, il permet de s engager de façon pérenne sur le niveau de sécurité du SI, et également de répondre plus aisément aux exigences d audit. Prenons, à titre d exemple, le cas du processus de sauvegarde des données : un audit de sécurité se contentera de contrôler que les «Portraits Chrystel-Anne POMEL Responsable adjointe de la Direction de la sécurité du SI de Natixis et ses filiales Chrystel-Anne POMEL est responsable adjointe de la Direction de la sécurité du système d information (SSI) de Natixis et de ses filiales. Elle assure notamment le pilotage de grands projets transverses liés à la sécurité sur l ensemble du périmètre de Natixis et de ses filiales. «Adossé au groupe BPCE, n 2 du secteur bancaire français, Natixis compte trois métiers cœurs : la banque de financement et d investissement, l épargne et les services financiers spécialisés. Rattachée à la Direction de la conformité, la Direction SSI joue pour l ensemble du groupe un rôle de conseil (par exemple l élaboration des politiques de sécurité) et de contrôle en matière de sécurité du SI. Dans ce cadre, la mise en place d un dispositif de contrôle permanent est essentielle pour garantir et améliorer le niveau de maîtrise du SI en matière de sécurité. Elle constitue une étape majeure de la stratégie de contrôle permanent de l ensemble des risques du SI de Natixis. Ce projet ambitieux et complexe qui concerne directement les différents pôles informatiques et leurs responsables sécurité est piloté au plus haut niveau par la Direction des systèmes d information et la Direction de la conformité qui en attendent une amélioration significative de la visibilité sur le niveau de sécurité du SI du groupe.» «La mise en place d un dispositif de contrôle permanent est essentielle pour garantir et améliorer le niveau de maîtrise du SI en matière de sécurité» Chrystel-Anne POMEL 2 La Lettre Sécurité N 20 Octobre 2009

3 sauvegardes prévues ont bien été effectuées, généralement par sondage sur quelques supports. Le contrôle interne apportera un premier niveau de garantie, en décrivant le cadre méthodologique (politique, procédures et modes opératoires) à appliquer. Le contrôle permanent, en vérifiant à une fréquence régulière (quotidienne, hebdomadaire, etc.) que ce cadre est bien respecté, ou que les écarts sont bien identifiés et traités, apporte finalement un niveau de confort encore plus élevé. «Un dispositif de contrôle permanent permet, par le biais d un cadre méthodologique et d un catalogue d outils, d avoir des résultats opposables à l échelle du groupe en termes d évaluation du niveau de sécurité et d exposition aux menaces sur le SI» ajoute Philippe Stévenin, Responsable sécurité informatique et télécoms entreprise du groupe SNCF. On le voit, convaincre du bien-fondé d une telle approche n est pas réellement délicat : chacun conçoit aisément qu un contrôle plus fréquent, même moins poussé, complète heureusement des vérifications plus approfondies mais ponctuelles. En revanche, les vraies difficultés apparaissent lorsqu il s agit de définir concrètement le processus de contrôle, son périmètre, l organisation associée, etc. Et plus encore lorsqu il s agit d établir le plan d évolution vers le Graal que l on a ainsi fait miroiter aux clients de la DSI. Ce sont ces deux aspects que nous vous proposons d approfondir dans la suite de ce dossier. Florian CARRIERE «Un dispositif de contrôle permanent permet d avoir des résultats opposables en termes d évaluation du niveau de sécurité et d exposition aux menaces sur le SI» Philippe STÉVENIN Phillippe STÉVENIN Responsable sécurité informatique et télécoms entreprise du groupe SNCF Philippe STÉVENIN, Responsable sécurité informatique et télécoms entreprise (RSIT-E), est en charge du pôle Sécurité des SI (DSIT-SEC) sur le périmètre du groupe SNCF. Il assure notamment, le pilotage des budgets et des projets liés à la sécurité des SI, l assistance à maîtrise d ouvrage sécurité sur les projets, le pilotage des raccordements des accès externes au SI, la coordination de la gestion de crise SSI et l animation des cellules de gestion opérationnelle de la sécurité et d audits & contrôles de la sécurité du SI. «Mis en place en 2007 au sein de la SNCF, le plan de contrôle SSI est un vrai succès avec une adhésion totale de toute l entreprise. La SNCF n est pas soumise à des contraintes réglementaires spécifiques, aussi la mise en œuvre d un plan de contrôle s inscrit dans une démarche de prise de mesure terrain des risques liés à la sécurité du SI. L équipe Audits & contrôles de la sécurité du SI est constituée aujourd hui de 5 personnes et la mise en œuvre du plan de contrôle mobilise environ 10 ETP au niveau des relais opérationnels et des équipes locales. L équipe Audits & contrôles est en charge de la réalisation des audits et contrôles de niveau 2 et du pilotage de la réalisation des contrôles de niveau 1 par les opérationnels.* Pour les contrôles de niveau 2, cette équipe réalise tous les ans plus d une cinquantaine de contrôles basés sur une quinzaine de méthodologies ciblées (gestion des sauvegardes, sécurité des applications web, sécurité physique et environnementale des locaux IT, gestion des infogérants, etc.). Pour les contrôles de niveau 1, l équipe pilote tous les ans la réalisation de plus de 60 autocontrôles (comprenant 200 points de contrôle) au sein des différentes entités avec une mise à disposition progressive de l outil auprès des filiales du groupe». La SNCF en quelques chiffres : collaborateurs 25 milliards d euros de chiffre d affaires Plus de filiales * Voir explication de la notion de «niveaux» dans l article page 4. Octobre 2009 La Lettre Sécurité N 20 3

4 n spécial Assises de la Sécurité 2009 Une cible de contrôle permanent à adapter au contexte de l entreprise Comment définir sa cible en matière de contrôle permanent de la sécurité? Il faut tout d abord définir son «modèle» de contrôle (à deux ou trois niveaux) et l organisation associée, puis les contrôles à réaliser à chaque niveau. Le maître-mot : construire en s appuyant sur les organisations et pratiques existantes... Un modèle de contrôle à deux ou trois niveaux En fonction du contexte de l entreprise (réglementaire, organisationnel, etc.), le contrôle interne se décline en un modèle à deux ou trois niveaux. Le contrôle permanent de la sécurité, qui s inscrit dans la démarche globale de contrôle interne, se décline selon le même modèle. Le niveau 1 comprend les contrôles réalisés «au quotidien» par les équipes opérationnelles elles-mêmes (remontées d indicateurs, contrôles techniques et méthodologiques, etc.). Il est intégré à leurs procédures et processus réguliers, selon le principe de «l autocontrôle». Il s agit par exemple de s assurer que les infections virales sont maîtrisées par consultation quotidienne des logs et reporting au niveau d une console centrale, de revoir de manière régulière les droits utilisateur d une application, de s assurer que l application des correctifs de sécurité se fait en accord avec Modèle à deux ou trois niveaux la politique de sécurité, etc. Ces contrôles de niveau 1 sont souvent largement automatisés et industrialisés. Le niveau 2 comprend les contrôles permettant, d une part, de vérifier la validité des contrôles de niveau 1 effectués par les opérationnels et, d autre part, de faire le lien avec la maîtrise des risques métiers et stratégiques. C est le niveau des «contrôles de conformité». Il s agit par exemple de vérifier que les contrôles de droits d accès sont effectivement menés et suivis de mesures correctives, de conduire des revues des tests PCA, etc. Le niveau 2 est réalisé par une équipe indépendante des équipes opérationnelles, et idéalement indépendante de la DSI. Il peut s agir de la «filière contrôle», en charge du fonctionnement du dispositif de contrôle interne au sein de l entreprise ou, par délégation, de la filière sécurité (RSSI) : par exemple une cellule «contrôles» rattachée au RSSI, agissant par délégation de la Direction du contrôle interne ou de la Direction de l audit et des risques. Le niveau 3 est en dehors du périmètre du contrôle permanent : il comprend les contrôles périodiques diligentés par une entité externe au contrôle permanent (Inspection générale, Contrôle général, etc.). Il intègre également les audits externes. Dans le secteur bancaire où le contrôle est largement développé et réglementé, les trois niveaux existent le plus souvent. Dans d autres secteurs, les fonctions de niveau 2 et 3 peuvent ne pas être dissociées ou être réalisées par les mêmes équipes. Les processus de contrôle et les outils associés Le contrôle permanent de la sécurité s articule autour de plusieurs processus clés à décliner dans l entreprise. Il comprend tout d abord les processus de définition et de pilotage du contrôle permanent, incluant l identification du «périmètre ciblé» : que faut-il intégrer dans le contrôle permanent de la sécurité? Et par quoi commencer? Ce choix doit être réalisé en prenant en compte notamment la réglementation s appliquant à l entreprise, les référentiels qu elle utilise, mais en considérant aussi des critères liés aux actifs à protéger : actifs critiques, spécifiquement menacés, faisant l objet d incidents ou d attaques répétés. Le choix du périmètre ciblé en priorité peut aussi s appuyer dans un premier temps sur le «ressenti terrain» des experts sécurité et des équipes opérationnelles : «dans notre cas, les analyses de risques SSI sont arrivées bien après la mise en œuvre du plan de contrôle. Si elles permettent de relativiser les thèmes et périmètres à contrôler en fonction des enjeux métiers, les contrôles SSI que nous avons réalisés jusque là nous aident à objectiver les analyses de risques en les confrontant aux réalités du terrain» indique Philippe Stévenin (SNCF). Le contrôle permanent inclut également des processus de pilotage et de réalisation des contrôles de niveau 1 et 2. Dans ce cadre, il faut d abord choisir les contrôles à effectuer. Ceci peut être réalisé à l aide de référentiels méthodologiques pour disposer des mêmes techniques et échelles d évaluation pour l ensemble des contrôles. L utilisation de référentiels de mesure partagés entre métiers et IT (COBIT par exemple) est souvent mise en avant. Comme l explique Chrystel-Anne 4 La Lettre Sécurité N 20 Octobre 2009

5 Pomel (Natixis), utiliser un référentiel reconnu comme COBIT, qui dépasse le seul domaine de la sécurité SI, permet de fédérer plus facilement les approches existantes comme ITIL ou CMMI. «L enjeu est de s appuyer sur un référentiel permettant d adosser les moyens informatiques mis en œuvre et leur niveau de sécurité avec les enjeux business de Natixis», affirme-t-elle. «De plus, cela permet de disposer d un langage commun avec l Inspection générale». «Pour autant», comme l explique Philippe Stévenin, «les contrôles doivent aussi être pragmatiques et proches des réalités opérationnelles ; il ne faut pas se baser uniquement sur des référentiels». Ainsi, pour les contrôles de niveau 1 notamment, il est le plus souvent préférable de définir les contrôles de manière conjointe avec les opérationnels et ainsi d insérer les contrôles dans les processus existants, élément clé de réussite de la démarche. Des outils techniques pour réaliser les contrôles sur le SI doivent également être identifiés pour permettre la mesure du niveau de vulnérabilité des composants SI. Ces outils contribuent à l automatisation des contrôles. À ce titre, l élaboration de fiches de contrôles permanents, selon un formalisme standard, est un passage obligé. Ces documents doivent légitimer les contrôles menés, en présentant les objectifs et la démarche retenue. Enfin, un processus de suivi du contrôle permanent coordonné par le niveau 2 est nécessaire. Il doit répondre à trois objectifs : mesurer le niveau de sécurité du SI et la qualité des contrôles au moyen d échelles de mesures communes piloter la démarche sécurité en identifiant les chantiers d amélioration tenir informé les décideurs en alimentant les tableaux de bord sécurité du SI. «L efficacité de ce dispositif dans le temps implique la mise en place d un suivi régulier. Un reporting adapté aux différents niveaux hiérarchiques est essentiel» confirme Chrystel-Anne Pomel. Formaliser et coordonner les pratiques existantes Le plus souvent, la démarche de contrôle permanent de la sécurité ne fait que formaliser, structurer et renforcer des pratiques existantes : «le message vers les porteurs de contrôles est simple : vous faites du contrôle permanent depuis des années sans le savoir ; cette démarche contribue à mettre en évidence la qualité de votre travail» conclut Chrystel-Anne Pomel. Il reste cependant à cadrer, coordonner et structurer «de bout en bout» la filière de contrôle permanent, tout en évitant les redondances de responsabilités et de contrôles, pour obtenir une vue d ensemble répondant aux objectifs de contrôle et de maîtrise des risques. Sylvain ROGER Processus clés du contrôle permanent Octobre 2009 La Lettre Sécurité N 20 5

6 n spécial Assises de la Sécurité 2009 Insuffler progressivement une culture de contrôle La mise en place d un dispositif de contrôle permanent de la sécurité du SI constitue un projet à part entière qui doit être adapté à la taille et au contexte de l entreprise. La réussite d un tel projet est fortement liée à la possibilité de fournir des résultats à court terme et de créer une dynamique pour insuffler une culture de contrôle au sein de l entreprise. Véritable projet transverse, la mise en place d un dispositif de contrôle permanent de la sécurité doit avant tout bénéficier d un appui fort de la Direction générale en termes de légitimité et de ressources allouées à sa mise en œuvre. Aussi, comme l explique Philippe Stévenin (SNCF), «il faut commencer par mobiliser la Direction générale en expliquant que, sans contrôles réguliers, le RSSI ne dispose pas d indicateurs pertinents pour justifier sa stratégie sécurité et les budgets engagés pour couvrir les risques». Privilégier une stratégie de mise en œuvre par étapes Avant toute chose, il est préférable d identifier et de définir les points de contrôle le plus en amont possible, par exemple dès la formalisation des politiques de sécurité ou la définition des mesures de sécurité dans les projets. Ensuite, deux approches concurrentes sont possibles : choisir un domaine et le traiter exhaustivement ou bien, au contraire, choisir des points de contrôle répartis sur différents domaines. Selon Chrystel-Anne Pomel (Natixis), «la seconde approche a l avantage de commencer à sensibiliser toutes les équipes, sans les solliciter excessivement». Pour faire connaître la nouvelle organisation de contrôle permanent et privilégier des retours d expérience rapides et fréquents, il est recommandé d opter pour une stratégie de mise en œuvre progressive. «Il faut compter plusieurs années pour installer un dispositif de contrôle permanent complet et «industrialisé» : les lots et leur déploiement doivent intégrer cette donnée, atteindre des objectifs concrets rapidement pour éviter «l effet tunnel» et la démotivation devant l ampleur des actions à mener» ajoute Chrystel-Anne Pomel. Une première phase pilote (cadencée, par exemple, sur une première année) peut être l occasion de développer la culture de contrôle au sein des différentes entités et de familiariser l entreprise avec la réalisation de contrôles permanents à grande échelle. Le choix des thèmes et périmètres des «contrôles pilotes» doit être opéré en fonction des activités critiques de l entreprise, en cohérence avec l analyse des risques, en ciblant si possible des périmètres démonstratifs pour interpeller les décideurs. Comme le précise Philippe Stévenin, «dans un premier temps, pour faire réagir et sensibiliser la Direction, il est intéressant de réaliser une prise de mesure sur des sujets que l on suppose mal maîtrisés (par exemple la gestion des habilitations)». Une autre approche consiste à choisir des périmètres fonctionnels suffisamment délimités pour permettre aux acteurs d appréhender complètement la démarche et de s investir à la hauteur de leurs moyens sur un nombre limité de points de contrôle. Aussi, selon Chrystel-Anne Pomel, «privilégier dans un premier temps les domaines d excellence de la DSI est le meilleur moyen pour créer la dynamique nécessaire». Faire adhérer rapidement l ensemble des acteurs Une fois le périmètre de «contrôles pilotes» défini, les équipes opérationnelles (relais sécurité et entités contrôlées) doivent être accompagnées dans la réalisation des contrôles. L appui de la Direction est certes essentiel pour initier la démarche de mise en œuvre d un dispositif de contrôle permanent, mais il est tout aussi important de faire adhérer rapidement l ensemble des acteurs impliqués dans la réalisation et le suivi des contrôles en communiquant sur l organisation et sur les résultats des 6 La Lettre Sécurité N 20 Octobre 2009

7 «contrôles pilotes». L objectif à moyen terme est de créer une dynamique dans laquelle les entités deviendront pleinement actrices des contrôles et solliciteront directement la filière SSI pour réaliser des contrôles sur des périmètres perçus comme faiblement sécurisés ou sensibles. Pour faciliter la conduite du changement, il convient de : Communiquer «positivement» sur le dispositif mis en place : la démarche de contrôle permanent n est pas définie dans un objectif répressif, mais bien en vue d améliorer la sécurité du SI et peut présenter de réels avantages pour les équipes : déclenchement de financement de plans d améliorations de la sécurité, mise en oeuvre et donc amélioration de la qualité de service sur leur périmètre, etc. Porter une attention particulière à la formalisation de recommandations applicables. Comme l explique Chrystel-Anne Pomel, «le dispositif de contrôle permanent doit permettre des relations constructives avec les équipes contrôlées : nous attendons de ces contrôles qu ils favorisent des recommandations opérationnelles, concrètes, allant au-delà du simple constat d absence de procédure». Ne pas négliger la charge nécessaire au suivi et à la mise en œuvre des plans d actions : selon Philippe Stévenin, «il est difficile d assurer un réel suivi de l ensemble des recommandations émises dans le cadre des contrôles (plusieurs centaines par an). Aussi, il convient d isoler annuellement 4 ou 5 actions critiques au niveau de l entreprise et de s en occuper en priorité. C est également le rôle de la filière Sécurité d identifier les actions critiques, de les suivre et de susciter des décisions de la Direction pour lancer de grands projets sécurité». S appuyer sur les retours d expérience A l issue de la phase de réalisation des «contrôles pilotes», un retour d expérience doit être réalisé, afin d identifier les réussites et les faiblesses de la démarche et de mettre en évidence les axes d amélioration pour les évolutions futures du plan de contrôle. Ce retour d expérience doit porter aussi bien sur la démarche globale de contrôle (organisation, pilotage et moyens mis en œuvre) que sur chaque contrôle individuellement, et s appuie sur différentes sources d information : interviews de certaines entités qui ont participé à la réalisation des contrôles (adhésion à la démarche, accompagnement des équipes, attentes pour les évolutions futures, etc.), étude de la pertinence des résultats remontés au regard de la charge réelle associée à la mise en œuvre de chaque contrôle, etc. Il doit mettre en évidence l efficacité des différents contrôles (thèmes et périmètres organisationnels) et permettre d arbitrer sur les contrôles qu il est opportun de maintenir, abandonner ou faire évoluer. Avec l extension du périmètre, il s agira ensuite de définir et de mettre en œuvre des outils pour faciliter l industrialisation du plan de contrôle : collecte des informations auprès des équipes opérationnelles, suivi des plans d actions, reporting, etc. Toutefois, même en phase d industrialisation, pour poursuivre la démarche d amélioration continue et de réévaluation de l efficacité du dispositif, il est important de continuer la formalisation de retours d expérience à intervalles réguliers (par exemple tous les ans). En effet, le contrôle permanent ne mesure bien entendu que ce pour quoi il a été conçu, il doit luimême être mis sous contrôle et à cet effet, il est essentiel de maintenir une démarche de réalisation d audits périodiques. Enfin, pour conclure, une dernière réflexion : d un point de vue opérationnel, le contrôle permanent peut être perçu comme un nouveau niveau de contraintes et de règles fastidieuses à respecter. Ce serait malheureusement occulter l apport de ce dispositif à mettre en évidence les contributions de chacun dans une démarche d amélioration du niveau de sécurité du SI. Or il s agit là, comme chacun sait, de la meilleure incitation possible à la performance Il conviendra donc de s en souvenir chaque fois que la résistance au changement remettra en cause la motivation collective à avancer vers ce but commun. Vincent ROYER Octobre 2009 La Lettre Sécurité N 20 7

8 Solucom en bref Solucom 5 ème acteur du conseil SI en France Solucom est un cabinet de conseil en management et système d information. Les clients de Solucom sont dans le top 200 des grandes entreprises et administrations. Pour eux, Solucom est capable de mobiliser et de conjuguer les compétences de près de collaborateurs. Sa mission? Porter l innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d information un véritable actif au service de la stratégie de l entreprise. Solucom s appuie pour cela sur une palette d offres, organisée en 6 practices, alignées sur les enjeux 2009 de ses clients et sur une organisation lui permettant de conjuguer sans couture l ensemble des compétences présentes au sein de ses équipes : Stratégie & management Transformation SI Gouvernance SI Télécoms & innovation Architecture SI Sécurité & risk management. Pour en savoir plus : Une practice Sécurité & risk management au service de votre actualité Forte de 150 consultants, la practice Sécurité & risk management de Solucom intervient sur tous les aspects de la sécurité des systèmes d information. Voici un rapide tour d horizon des thématiques majeures sur lesquelles nous intervenons actuellement. Audit et management de la sécurité : de l audit ponctuel au contrôle permanent Fiabiliser leur engagement quant au niveau de sécurité du SI est une préoccupation récente des DSI et des RSSI. Si ces derniers sont rompus aux audits de sécurité des SI, ils sont généralement moins confiants sur le niveau de sécurité garanti en dehors de ces contrôles ponctuels. Ainsi, nous accompagnons actuellement plusieurs clients dans la mise en place de leur processus de contrôle permanent, afin d assurer au quotidien la maîtrise des processus et mesures de sécurité mis en œuvre pour diminuer les risques, et améliorer ainsi le niveau de sécurité. Identity management : enfin de véritables réalisations pour la fédération d identités Autre sujet en plein essor, longtemps cantonné à la veille technologique, voire aux études d opportunité, la fédération d identités aborde aujourd hui une nouvelle phase, celle des réalisations concrètes. Au-delà des gains attendus par les équipes informatiques, les véritables moteurs de ce service sont le confort et l ergonomie qu il offre aux utilisateurs finaux. Nous menons actuellement plusieurs projets visant à faciliter et à sécuriser les échanges entre différents types d acteurs. Plan de continuité d activité : la pandémie grippale s impose dans les PCA Enfin, une menace actuellement très médiatisée : si de nombreuses entreprises avaient écarté le scénario de pandémie grippale lors de la constitution de leur Plan de Continuité d Activité (PCA), elles se voient aujourd hui contraintes de prendre en compte rapidement cette menace. Solucom accompagne en ce moment plusieurs de ses clients dans l élaboration de leur réponse à la grippe A. La menace de pandémie requiert à la fois une organisation sans faille et des outils SI opérationnels (le plus souvent en travail à distance) pour les activités critiques. Une gestion de crise efficace est bien sûr nécessaire, afin de permettre la réactivité et des réponses adaptées à l évolution de la pandémie avec à la clé un exercice grandeur nature cet automne! Depuis 2008, Solucom est certifié ISO/IEC 27001:2005 pour ses prestations d audits de sécurité des systèmes d information. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Florian Carrière, Marion Couturier, Clotilde Henriot, Brieg Le Dean, Laurent Perruche, Sylvain Roger, Vincent Royer. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue trimestrielle de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris-La-Défense abonnement :

Gérer concrètement ses risques avec l'iso 27001

Gérer concrètement ses risques avec l'iso 27001 SMSI Oui! Certification? Peut être Gérer concrètement ses risques avec l'iso 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 23 octobre 2008 Agenda 1. L'ISO 27001 : pour

Plus en détail

Les pratiques du sourcing IT en France

Les pratiques du sourcing IT en France 3 juin 2010 Les pratiques du sourcing IT en France Une enquête Solucom / Ae-SCM Conférence IBM CIO : «Optimisez vos stratégies de Sourcing» Laurent Bellefin Solucom en bref Cabinet indépendant de conseil

Plus en détail

Piloter le contrôle permanent

Piloter le contrôle permanent Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF

Plus en détail

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,

Plus en détail

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE Management par les processus les éléments structurants Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise en

Plus en détail

S26B. Démarche de de sécurité dans les projets

S26B. Démarche de de sécurité dans les projets S26B Démarche de de sécurité dans les projets Théorie et et réalité Patrick CHAMBET Bouygues Telecom http://www.chambet.com Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com

Plus en détail

Banque Accord redonne de l agilité à son système d information avec l aide de MEGA

Banque Accord redonne de l agilité à son système d information avec l aide de MEGA redonne de l agilité à son système d information avec l aide de MEGA À propos de Banque Accord : Filiale financière du groupe Auchan Seule banque française détenue à 100% par un distributeur 3 activités

Plus en détail

RESSOURCES HUMAINES. Yourcegid Ressources Humaines, des solutions pour les entreprises qui s investissent dans leur capital humain.

RESSOURCES HUMAINES. Yourcegid Ressources Humaines, des solutions pour les entreprises qui s investissent dans leur capital humain. Yourcegid Ressources Humaines, des solutions pour les entreprises qui s investissent dans leur capital humain. Solutions de gestion RESSOURCES HUMAINES Parce que votre entreprise est unique, parce que

Plus en détail

Dispositifs. Évaluation. Des informations clés pour évaluer l impact de chaque session et piloter l offre de formation

Dispositifs. Évaluation. Des informations clés pour évaluer l impact de chaque session et piloter l offre de formation Dispositifs d Évaluation Des informations clés pour évaluer l impact de chaque session et piloter l offre de formation > Innovant : une technologie SaaS simple et adaptable dotée d une interface intuitive

Plus en détail

ITIL v3. La clé d une gestion réussie des services informatiques

ITIL v3. La clé d une gestion réussie des services informatiques ITIL v3 La clé d une gestion réussie des services informatiques Questions : ITIL et vous Connaissez-vous : ITIL v3? ITIL v2? un peu! beaucoup! passionnément! à la folie! pas du tout! Plan général ITIL

Plus en détail

Tous droits réservés SELENIS

Tous droits réservés SELENIS 1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,

Plus en détail

STRATÉGIE DE SURVEILLANCE

STRATÉGIE DE SURVEILLANCE STRATÉGIE DE SURVEILLANCE Décembre 2013 SOMMAIRE OBJET page 3 OBJECTIFS DE LA SURVEILLANCE page 3 PRINCIPES D ÉLABORATION DU PROGRAMME page 4 PROGRAMME 2014 page 5 RESSOURCES page 6 PERSPECTIVES 2015/2016

Plus en détail

DIRECTION DE L INFORMATION LEGALE

DIRECTION DE L INFORMATION LEGALE FICHE DE DESCRIPTION DE POSTE DIRECTION DE L INFORMATION LEGALE ET ADMINISTRATIVE TITULAIRE DU POSTE Nom : RESPONSABLE HIERARCHIQUE DIRECT Nom : CHAUMONT Anne Laure Prénom : Fonction : Visa : Visa : Date

Plus en détail

L achat de formation en 3 étapes :

L achat de formation en 3 étapes : L achat de formation en 3 étapes : 1- La définition du besoin de formation L origine du besoin en formation peut avoir 4 sources : Une évolution des choix stratégiques de l entreprise (nouveau métier,

Plus en détail

ECOLE DU MANAGEMENT - Niveau 3 Cycle Supérieur Industriel

ECOLE DU MANAGEMENT - Niveau 3 Cycle Supérieur Industriel Responsables opérationnels débutants ou expérimentés en lien direct avec le comité de direction. Responsables d unités de production. Responsables de projet (technique, organisation, industrialisation).

Plus en détail

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION SUR LES CONDITIONS DE PRÉPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL AINSI QUE SUR LES PROCÉDURES DE CONTRÔLE INTERNE MISES EN PLACE PAR LA SOCIÉTÉ

Plus en détail

Transformation digitale et communication interne

Transformation digitale et communication interne Transformation digitale et communication interne Présentation des résultats de l enquête en ligne Novembre 2015 Sommaire 1 2 3 4 Profil des répondants et de leur organisation Position et rôle : perception

Plus en détail

Présentation commerciale. Novembre 2014

Présentation commerciale. Novembre 2014 Présentation commerciale Novembre 2014 Présentation du cabinet (1/2) BIAT (Banque Internationale Arabe de Tunisie) La banque commerciale privée leader en Tunisie et l une des plus importantes au Maghreb.

Plus en détail

Gouvernance de la sécurité des systèmes d information

Gouvernance de la sécurité des systèmes d information Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

Plus en détail

INGENIEUR SPECIALITE GESTION ET PREVENTION DES RISQUES DIPLOMÉ DE ARTS ET METIERS PARISTECH EN PARTENARIAT AVEC ITII 2 SAVOIES

INGENIEUR SPECIALITE GESTION ET PREVENTION DES RISQUES DIPLOMÉ DE ARTS ET METIERS PARISTECH EN PARTENARIAT AVEC ITII 2 SAVOIES INGENIEUR SPECIALITE GESTION ET PREVENTION DES RISQUES DIPLOMÉ DE ARTS ET METIERS PARISTECH EN PARTENARIAT AVEC ITII 2 SAVOIES RÉFÉRENTIEL D ACTIVITÉS ET RÉFÉRENTIEL DE CERTIFICATION ACTIVITE et TACHES

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne Contexte Depuis plusieurs années, les institutions publiques doivent faire face à de nouveaux défis pour améliorer leurs

Plus en détail

ECOLE DU MANAGEMENT - Niveau 3 Cycle Supérieur Industriel

ECOLE DU MANAGEMENT - Niveau 3 Cycle Supérieur Industriel Responsables opérationnels débutants ou expérimentés en lien direct avec le comité de direction. Responsables d unités de production. Responsables de projet (technique, organisation, industrialisation).

Plus en détail

L expérience des Hommes

L expérience des Hommes L expérience des Hommes audia est un cabinet d expertise comptable et de commissariat aux comptes, fort d une équipe qualifiée et experte installée au Maroc à Casablanca. Notre cabinet vous apportera l

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

NORME INTERNATIONALE D AUDIT 220 CONTRÔLE QUALITE D UN AUDIT D ETATS FINANCIERS

NORME INTERNATIONALE D AUDIT 220 CONTRÔLE QUALITE D UN AUDIT D ETATS FINANCIERS NORME INTERNATIONALE D AUDIT 220 CONTRÔLE QUALITE D UN AUDIT D ETATS FINANCIERS Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE

Plus en détail

PSSI générique et management de la sécurité

PSSI générique et management de la sécurité PSSI générique et management de la sécurité Dominique Launay Pôle SSI RENATER Séminaire des correspondants Sécurité 13 juin 2012, Strasbourg agenda introduction au projet PSSI générique introduction aux

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

Le RSSI: un manager transverse

Le RSSI: un manager transverse Le RSSI: un manager transverse Thomas Jolivet Responsable du pôle Conseil 20/06/2013 Agenda 1. Le RSSI :un manager pas comme les autres 2. Les Interactions entre la SSI et l organisation 3. Mobiliser les

Plus en détail

JOURNÉE PORTES OUVERTES

JOURNÉE PORTES OUVERTES JOURNÉE PORTES OUVERTES Approfondir l utilisation d outils RH vers une gestion dynamique et prospective des RH 7 octobre 2014 Mission Conseils et Organisation RH Face aux contraintes d activités, l évolution

Plus en détail

FILIÈRE METHODOLOGIE & PROJET

FILIÈRE METHODOLOGIE & PROJET FILIÈRE METHODOLOGIE & PROJET 109 Gestion de projet METHODOLOGIE ET PROJET Durée 3 jours Conduite de projet COND-PRO s Intégrer les conditions de réussite d une démarche de management par projet. Impliquer

Plus en détail

L innovation au cœur des processus et des systèmes

L innovation au cœur des processus et des systèmes L innovation au cœur des processus et des systèmes www.novigo-consulting.com NOS OFFRES Notre vocation est d appuyer les entreprises pour évaluer la multitude de besoins et assurer le succès des projets

Plus en détail

LEAN SIX SIGMA Au service de l excellence opérationnelle

LEAN SIX SIGMA Au service de l excellence opérationnelle LEAN SIX SIGMA Au service de l excellence opérationnelle enjeux Comment accroître la qualité de vos services tout en maîtrisant vos coûts? Equinox Consulting vous accompagne aussi bien dans la définition

Plus en détail

par le Réseau Anact avec le département d ergonomie de l université de Bordeaux

par le Réseau Anact avec le département d ergonomie de l université de Bordeaux Des difficultés à investir le champ des conditions de travail L évolution du monde du travail montre la prégnance des conditions et de l organisation du travail dans le de nouveaux risques. Ces questions

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Axe 1 Réussir la phase de conception des RSE

Axe 1 Réussir la phase de conception des RSE 60 PROPOSITIONS POUR DEVELOPPER DES USAGES INNOVANTS DES RESEAUX SOCIAUX D ENTREPRISE DANS LES ADMINISTRATIONS Piloté par le secrétariat général pour la modernisation de l action publique (SGMAP) et la

Plus en détail

Certification des Etablissements de Santé en France

Certification des Etablissements de Santé en France Certification des Etablissements de Santé en France Pouvait-on faire sans elle en France? Peut-elle faire mieux? Les enjeux et les perspectives de la procédure 2014 Plan de l intervention 1. Partie 1 :

Plus en détail

Synthèse de notre offre. Page 1

Synthèse de notre offre. Page 1 Synthèse de notre offre Page 1 Notre cabinet Nous vous accompagnons sur plusieurs thématiques 99 Advisory conseille les équipes dirigeantes du monde financier dans leurs prises de décisions et dans la

Plus en détail

Information Technology Services - Learning & Certification. www.pluralisconsulting.com

Information Technology Services - Learning & Certification. www.pluralisconsulting.com Information Technology Services - Learning & Certification www.pluralisconsulting.com 1 IT Consulting &Training Créateur de Performance Pluralis Consulting Services et de Conseil en Système d Information

Plus en détail

Ludovic JAMART Consultant Sécurité. Club 27001 Jeudi 17 janvier 2008. ISO 27001:2005 Lead Auditor

Ludovic JAMART Consultant Sécurité. Club 27001 Jeudi 17 janvier 2008. ISO 27001:2005 Lead Auditor La boîte à outils ISO 27001 : retour d expérience sur l utilisation de l ISO27001 pour la prise en compte de la sécurité dans l externalisation de prestations informatiques. Ludovic JAMART Consultant Sécurité

Plus en détail

La conduite du changement

La conduite du changement point de vue stratégie et gouvernance des systèmes d'information La conduite du changement dans les projets SI 1 En préambule Devant les mutations économiques, sociales et technologiques engagées depuis

Plus en détail

Software Asset Management Savoir optimiser vos coûts licensing

Software Asset Management Savoir optimiser vos coûts licensing Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

Atelier thématique QUA1 -Présentation de la norme ISO 9001-

Atelier thématique QUA1 -Présentation de la norme ISO 9001- Forum QHSE - QUALITE Atelier thématique QUA1 -Présentation de la norme ISO 9001- Laurent GUINAUDY OC2 Consultants Atelier ISO 9001 1 Présentation du Cabinet OC2 Consultants Cabinet créé en 1996 Zone d

Plus en détail

Vous accompagner à la maîtrise de vos projets SIRH

Vous accompagner à la maîtrise de vos projets SIRH Vous accompagner à la maîtrise de vos projets SIRH I.Vous accompagner au pilotage métier de projet Le pilotage métier est le levier de sécurisation du projet de refonte SIRH. Avec Magn Ulteam, conjuguez

Plus en détail

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique La gestion Citrix Du support technique. Désignation d un Responsable de la relation technique Dans les environnements informatiques complexes, une relation de support technique proactive s avère essentielle.

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

PÉRENNISER LA PERFORMANCE

PÉRENNISER LA PERFORMANCE PÉRENNISER LA PERFORMANCE La recherche de performance est aujourd hui au cœur des préoccupations des organisations : succession des plans de productivité et de profitabilité, plans de reprise d activités,

Plus en détail

Conseil opérationnel en transformation des organisations

Conseil opérationnel en transformation des organisations Conseil opérationnel en transformation des organisations STRICTEMENT CONFIDENTIEL Toute reproduction ou utilisation de ces informations sans autorisation préalable de Calliopa est interdite Un cabinet

Plus en détail

INNOVATION COLLABORATIVE, CO-INNOVER AVEC SON ÉCOSYSTÈME : Quels modes de relation établir?

INNOVATION COLLABORATIVE, CO-INNOVER AVEC SON ÉCOSYSTÈME : Quels modes de relation établir? INNOVATION COLLABORATIVE, CO-INNOVER AVEC SON ÉCOSYSTÈME : Quels modes de relation établir? étude Bird & Bird et Buy.O Group Empower your Business Relationships Edito Globalisation, démocratisation de

Plus en détail

Réussir le. Management des systèmes d information. Les conseils et les astuces. des correcteurs de l épreuve. 36 exercices corrigés type examen

Réussir le. Management des systèmes d information. Les conseils et les astuces. des correcteurs de l épreuve. 36 exercices corrigés type examen Virginie Bilet Valérie Guerrin Miguel Liottier Collection dirigée par Xavier Durand Réussir le DSCG 5 Management des systèmes d information L essentiel à connaître pour réussir 36 exercices corrigés type

Plus en détail

Créer un tableau de bord SSI

Créer un tableau de bord SSI Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

Une fiche de Mission pour les Référents SSI. Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI»

Une fiche de Mission pour les Référents SSI. Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI» Une fiche de Mission pour les Référents SSI Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI» Compte-rendu du groupe de Travail 24 octobre 2014 Personnes présentes François TESSON Véronique

Plus en détail

Vector Security Consulting S.A

Vector Security Consulting S.A Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante

Plus en détail

ISO 27001 conformité, oui. Certification?

ISO 27001 conformité, oui. Certification? ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche

Plus en détail

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Jaafar DEHBI 2003 Acadys - all rights reserved Conception des services Buts et objectifs Concevoir les nouveaux

Plus en détail

CHARGE DE RELATION MS MDSI ATOS Consulting

CHARGE DE RELATION MS MDSI ATOS Consulting CHARGE DE RELATION MS MDSI ATOS Consulting Mathis BAKARY 11/01/2013 Sommaire I. Présentation... 3 1. Activités... 3 2. Objectifs... 4 3. Localisation en Europe... 4 4. Localisation en France... 5 II. Stratégie...

Plus en détail

Sécurité de l information : vers une convergence des approches par le risque et par l audit?

Sécurité de l information : vers une convergence des approches par le risque et par l audit? Sécurité de l information : vers une convergence des approches par le risque et par l audit? Retour d expérience Groupe France Télécom - Orange / Conix Security François Zamora Emmanuel Christiann Sébastien

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Ensemble mobilisons nos énergies

Ensemble mobilisons nos énergies Ensemble mobilisons nos énergies «Lancé en Juin 2005, SIRIUS est désormais un projet au cœur de notre entreprise, au service des ambitions et des objectifs qui s inscrivent dans le cadre de notre stratégie

Plus en détail

CBRH. Solutions RH pour PME RESSOURCES HUMAINES

CBRH. Solutions RH pour PME RESSOURCES HUMAINES CBRH Solutions RH pour PME RESSOURCES HUMAINES 1 Yourcegid Ressources Humaines CBRH : Paie et administration du personnel Activité GPEC : Compétences et carrière / Entretien / Formation IDR Contrôle de

Plus en détail

Comment faire des investissements informatiques pertinents en pleine connaissance de cause et mesurer les résultats obtenus?

Comment faire des investissements informatiques pertinents en pleine connaissance de cause et mesurer les résultats obtenus? Pourquoi le C - GSI Comment faire des investissements informatiques pertinents en pleine connaissance de cause et mesurer les résultats obtenus? La gouvernance des systèmes d information désigne l ensemble

Plus en détail

Programme de Développement concerté de l Administration Numérique Territoriale

Programme de Développement concerté de l Administration Numérique Territoriale Programme de Développement concerté de l Administration Numérique Territoriale Les 4 principes directeurs 4 principes directeurs pour développer l Administration numérique territoriale a. Une gouvernance

Plus en détail

La Gestion de projet. Pour aller plus loin, la Gestion des Risques. Système de Pilotage Programme d Urgence

La Gestion de projet. Pour aller plus loin, la Gestion des Risques. Système de Pilotage Programme d Urgence Système de Pilotage Programme d Urgence Actualités Rôle du PMO Gestion de projet Prince2 Gestion Risques La suite Actualités Le rôle du PMO Dans le cadre du plan d actions défini lors de la présentation

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

FICHE D IDENTITÉ DE LA QUALIFICATION VALIDÉE OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE

FICHE D IDENTITÉ DE LA QUALIFICATION VALIDÉE OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE COMMISSION PARITAIRE NATIONALE DE L'EMPLOI DE LA METALLURGIE Qualification : 2001 01 89 0195 (Cette fiche annule et remplace, à compter du 9 janvier 2007, la précédente fiche d identité) FICHE D IDENTITÉ

Plus en détail

La mise en œuvre de Centres de services -

La mise en œuvre de Centres de services - Association Française pour la promotion des bonnes pratiques de sourcing escm. La mise en œuvre de Centres de services - Retour d expérience Crédit Agricole Corporate and Investment Bank Julien KOKOCINSKI

Plus en détail

ATELIERS «MISE EN ŒUVRE DE L ENTRETIEN PROFESSIONNEL» MARDI 15 ET JEUDI 17 SEPTEMBRE 2015 SYNTHESE

ATELIERS «MISE EN ŒUVRE DE L ENTRETIEN PROFESSIONNEL» MARDI 15 ET JEUDI 17 SEPTEMBRE 2015 SYNTHESE ATELIERS «MISE EN ŒUVRE DE L ENTRETIEN PROFESSIONNEL» MARDI 15 ET JEUDI 17 SEPTEMBRE 2015 SYNTHESE I. PRESENTATION GENERALE DES ATELIERS II. SYNTHESE DE CHAQUE ATELIER (identification des idées fortes)

Plus en détail

Améliorer votre approche processus

Améliorer votre approche processus Améliorer votre approche processus Décrire de manière complète les processus, Mettre en place des tableaux de bord de manière à en surveiller le fonctionnement et à en déterminer l efficacité, Réaliser

Plus en détail

Associer nos savoir-faire

Associer nos savoir-faire MAC-ERCI International, cabinet spécialisé en recrutement, évaluation et gestion des compétences, a été créé début 2007. En croissance depuis notre création, nous n avons de cesse de nous remettre en question

Plus en détail

Paris - Tunis - Casablanca. Partenaire idéal de vos opérations stratégiques

Paris - Tunis - Casablanca. Partenaire idéal de vos opérations stratégiques Paris - Tunis - Casablanca Partenaire idéal de vos opérations stratégiques Fondé en 2004, FICOM est un cabinet indépendant d études et de conseil, implanté à Paris, Tunis et Casablanca. Nous accompagnons

Plus en détail

Prendre la bonne décision, au bon moment, sur le bon sujet, sur la base des meilleures analyses, pour agir sur le bon indicateur.

Prendre la bonne décision, au bon moment, sur le bon sujet, sur la base des meilleures analyses, pour agir sur le bon indicateur. 2 Toute entreprise dispose d un capital informationnel qui, s il est efficacement géré, contribue à sa valeur et à sa performance. La société RHeport, propose une solution logicielle : RH&View, innovante,

Plus en détail

MINISTERE DES AFFAIRES SOCIALES ET DE LA SANTE

MINISTERE DES AFFAIRES SOCIALES ET DE LA SANTE Direction générale de l offre de soins Sous-direction du pilotage de la performance des acteurs de l offre de soins MINISTERE D AFFAIR SOCIAL ET DE LA SANTE Bureau de l efficience des établissements de

Plus en détail

Périmètre d Intervention. Notre Offre

Périmètre d Intervention. Notre Offre 5 Nos Références 4 Nos Valeurs 3 Périmètre d Intervention 1 2 Notre Offre 1 La société La Société Qui sommes nous? 20 ans d expérience - 4 ans d existence Management des Systèmes d information Performance

Plus en détail

quels enjeux pour le secteur financier?

quels enjeux pour le secteur financier? Préambule 2 Auteurs de l enquête Cette étude a été conduite par le pôle développement durable d Equinox Consulting Sophie Madet, associée Blandine Sébileau, senior manager Sybille Brugues et Sophie Pornin,

Plus en détail

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Introduction Face à l évolution constante des besoins fonctionnels et des outils informatiques, il est devenu essentiel pour

Plus en détail

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 Les 12 recommandations de la Cour des comptes ont été approuvées. Actuellement

Plus en détail

ITSM - Gestion des Services informatiques

ITSM - Gestion des Services informatiques Chapitre 1 - COMPRENDRE LE MARCHÉ ITSM - Gestion des Services informatiques Copyright 2011 CXP. 1 ITSM - Gestion des Services informatiques L'étude a été réalisée par : Dalila Souiah OBJECTIF DU DOCUMENT.

Plus en détail

Association ESSONNE CADRES

Association ESSONNE CADRES Association ESSONNE CADRES 10 avenue du Noyer Lambert - 91300 MASSY : 01 60 12 01 45 Email : competences91@essonnecadres.org Site web : www.essonnecadres.org Besoin d un Professionnel pour une situation

Plus en détail

CIGREF 2010. La contribution des SI à la création de valeur

CIGREF 2010. La contribution des SI à la création de valeur 1 CIGREF 2010 La contribution des SI à la création de valeur Michel DELATTRE Directeur des Systèmes d Information du Groupe La Poste Administrateur du CIGREF CIGREF 2 Créé en 1970 Association de Grandes

Plus en détail

Colloque International IEMA-4

Colloque International IEMA-4 Comment mettre en place un dispositif coordonné d intelligence collective au service de la stratégie de l entreprise. Conférence de Mr. Alain JUILLET - Le 17/05/2010 IEMA4 Pour ne pas rester dans les banalités

Plus en détail

Actuate Customer Day

Actuate Customer Day Le conseil opérationnel par les processus Observatoire 2007/2008 Actuate Customer Day Romain Louzier Associé & Philippe Crabos Senior Manager louzier@audisoft-consultants.com 06 86 68 84 57 www.audisoft-consultants.com

Plus en détail

Puisse, cette caisse à outils, vous apporter autant d efficacité qu elle en a apporté à ceux avec qui, et pour qui, nous les avons rassemblés ici.

Puisse, cette caisse à outils, vous apporter autant d efficacité qu elle en a apporté à ceux avec qui, et pour qui, nous les avons rassemblés ici. Introduction Cet ouvrage a été conçu à partir de sollicitations exprimées par des managers de terrain soucieux de donner une dimension plus opérationnelle à leur management au quotidien. Il rassemble des

Plus en détail

Référentiel de compétences en système d'information

Référentiel de compétences en système d'information ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable

Plus en détail

Gouvernance et pilotage du Plan Autisme 2013-2016 Suivi de la mise en œuvre du Plan. Proposition commune des associations d usagers

Gouvernance et pilotage du Plan Autisme 2013-2016 Suivi de la mise en œuvre du Plan. Proposition commune des associations d usagers 1 Gouvernance et pilotage du Plan Autisme 2013-2016 Suivi de la mise en œuvre du Plan Proposition commune des associations d usagers (document élaboré sur la base de la note publique rédigée par Saïd Acef)

Plus en détail

Formations Management

Formations Management Formations Management MANAGEMENT ET COMMUNICATION Ecole du Management : Cycle Animateur d équipe Ecole du Management : Cycle Maîtrise Ecole du Management : Cycle Coordinateur Technique Animateur (trice)

Plus en détail

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Que la stratégie soit belle est un fait, mais n oubliez pas de regarder le résultat. Winston Churchill PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Conseil en Organisation, stratégie opérationnelle

Plus en détail

Programme de formations

Programme de formations Programme de formations Member of Group LES DEFIS DE LA QUALITE Pourquoi mettre en place un Système de Management de la Qualité? Faire évoluer les comportements, les méthodes de travail et les moyens pour

Plus en détail

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE Management par les processus Les facteurs clés de succès Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise

Plus en détail

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur :

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur : COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : C* Dernière modification : 11/09/2008 REFERENTIEL DU CQPM TITRE DU CQPM : Management d équipe(s) autonome(s) I OBJECTIF

Plus en détail

Programme de formation " ITIL Foundation "

Programme de formation  ITIL Foundation Programme de formation " ITIL Foundation " CONTEXTE Les «Référentiels» font partie des nombreux instruments de gestion et de pilotage qui doivent se trouver dans la «boite à outils» d une DSI ; ils ont

Plus en détail

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Yphise optimise en Coût Valeur Risque l informatique d entreprise Gérer le risque opérationnel ORM - Operational Risk Management Juin 2008 Xavier Flez yphise@yphise.com Propriété Yphise GM Gouvernance PR Projets IS Systèmes d Information SO Service Management 1 Le risque

Plus en détail

Aligner le SI sur la stratégie de l entreprise

Aligner le SI sur la stratégie de l entreprise En convention avec la chaire Ecole Polytechnique Thales «Ingénierie des systèmes complexes» Aligner le SI sur la stratégie de l entreprise Etude de cas: Transformation d un Système d Information Philippe

Plus en détail

Stratégie Tier 2 : Quels avantages pour votre entreprise?

Stratégie Tier 2 : Quels avantages pour votre entreprise? Stratégie Tier 2 : Quels avantages pour votre entreprise? Les décideurs ont beaucoup à gagner de l intégration des données de gestion externes et internes, afin d assurer la disponibilité des informations

Plus en détail

OPTIMISATION DE LA FONCTION FINANCIERE

OPTIMISATION DE LA FONCTION FINANCIERE OPTIMISATION DE LA FONCTION FINANCIERE Janvier 2012 Créateur de performance économique 1 Sommaire CONTEXTE page 3 OPPORTUNITES page 4 METHODOLOGIE page 6 COMPETENCES page 7 TEMOIGNAGES page 8 A PROPOS

Plus en détail

La dimension humaine du changement

La dimension humaine du changement La dimension humaine du changement Un triptyque indissociable : Responsabilité Engagement Performance Créateur de performance La dimension humaine du changement et les défis de l entreprise Gérer une forte

Plus en détail

Risques d accès non autorisés : les atouts d une solution IAM

Risques d accès non autorisés : les atouts d une solution IAM Risques d accès non autorisés : les atouts d une solution IAM Comment l'entreprise peut-elle réduire ses risques informatiques liés aux droits d accès des utilisateurs Livre Blanc Introduction Tous les

Plus en détail

Dispositif d'accompagnement

Dispositif d'accompagnement PRÉFET DE LA RÉGION POITOU-CHARENTES Direction régionale des s, de la Concurrence, de la Consommation, du Travail et de l Emploi de Poitou-Charentes Pôle 3E Service développement économique-innovationentreprises

Plus en détail

PRESENTATION GENERALE DE L INRA...

PRESENTATION GENERALE DE L INRA... Marché à procédure adaptée (MAPA) pour l assistance à maîtrise d ouvrage afin d accompagner l Inra dans la phase de lancement de l instrumentation de ses processus sur le périmètre fonctionnel de la gestion

Plus en détail