n spécial Assises de la Sécurité 2009

Dimension: px
Commencer à balayer dès la page:

Download "n spécial Assises de la Sécurité 2009"

Transcription

1 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif de son périmètre. Si l audit de sécurité ponctuel est un de ses outils classiques pour évaluer les faiblesses techniques, il est insuffisant pour garantir à tout instant le niveau de sécurité de son SI. La mise en place du contrôle permanent de la sécurité des SI permet de pallier ce manque, en garantissant une maîtrise continue du niveau de sécurité. Parce qu il est l élément central du dispositif de contrôle du RSSI, ainsi qu une partie intégrante du contrôle interne de l entreprise, nous avons choisi de dédier cette Lettre Sécurité spéciale Assises de la Sécurité au contrôle permanent qui sera également le thème de l atelier que nous animerons. Nous ferons ainsi le point sur les raisons de cette récente évolution, mais aborderons surtout les éléments clés de la réussite d un projet de mise en œuvre du contrôle permanent de la sécurité. Ces derniers sont le choix d une cible cohérente et pragmatique et celui d une stratégie de mise en œuvre qui se doit progressive et intégrée à l existant pour obtenir l adhésion de tous. Chrystel-Anne Pomel (Natixis) et Philippe Stévenin (SNCF) ont accepté de partager leurs expériences riches en enseignements sur la mise en place d un tel projet, et je les en remercie chaleureusement. Bonne lecture à tous! Frédéric GOUX Directeur Practice Sécurité & risk management n spécial Assises de la Sécurité 2009 Le contrôle permanent : vers un pilotage au quotidien de la sécurité du SI Pour répondre aux préoccupations des Directions générales et à la multiplication des sollicitations, les DSI doivent aujourd hui pouvoir s engager à tout moment, et de façon probante, sur le niveau de sécurité du SI. Complément naturel des audits, le dispositif de contrôle permanent est aujourd hui présenté comme l outil idéal pour répondre à ces attentes. Mais quels objectifs lui assigner, comment définir le dispositif idéal et surtout comment le déployer efficacement? Autant de questions que nous vous proposons d aborder dans ce dossier. Il est aujourd hui rare pour un DSI de pouvoir passer plus de quelques jours sans être interrogé sur le niveau de confiance qu il accorde à son SI. Devenu comptable de la sécurité de la majorité des informations et des outils des métiers, il doit pouvoir à tout moment rassurer sur ce point, et bien souvent indiquer comment il compte améliorer encore ce niveau de sécurité. Car l importance de la sécurité du SI pour l entreprise est désormais évidente : en tant que support des processus métiers, le SI embarque naturellement de nombreux dispositifs de contrôle essentiels à la fiabilité des informations (contrôles d intégrité, référentiels, contrôle des accès, etc.). Mais le SI induit également des risques propres : interruptions de services, corruption de données, divulgation d informations, etc. Risques d autant plus critiques qu ils sont de nature très transverse : lorsqu ils sont avérés, ils peuvent rapidement toucher tous les processus métiers supportés par le SI! La mise sous contrôle de la sécurité du SI Depuis des années, pour répondre à l inquiétude légitime liée à ces risques, les audits de sécurité ont été généralisés, permettant ainsi de vérifier régulièrement que le système audité est toujours au «bon» niveau de sécurité. Réalisés avec une fréquence relativement faible (pour un système donné), ils ne permettent pas néanmoins de disposer de façon pérenne d une évaluation d ensemble. Or, «disposer d une vision partielle et ponctuelle du niveau de sécurité SI d un processus n est pas suffisant» explique Chrystel-Anne Pomel, adjointe au RSSI de Natixis et ses filiales. C est pourquoi dans de nombreux domaines (comme le contrôle des comptes) l audit intègre désormais, en plus de vérifications ponctuelles «sur pièces», une évaluation du dispositif de contrôle interne lui-même. Ainsi, Suite en page 2 DÉCRYPTAGES P4 Une cible de contrôle permanent à adapter au contexte de l entreprise P6 Insuffler progressivement une culture de contrôle

2 n spécial Assises de la Sécurité 2009 il devient possible de s engager sur ce qui se passe entre deux photographies «instantanées», donc sur le maintien du niveau de sécurité entre les audits. Cette notion de contrôle interne, qui fit son grand retour aux Etats-Unis en 2003 via le Sarbanes-Oxley Act (puis la Loi de Sécurité Financière en France), est définie comme le «processus, mis en œuvre par l ensemble de l entreprise, visant à disposer d une assurance raisonnable quant à l atteinte des objectifs fixés» dans différents domaines : objectifs financiers ou opérationnels, conformité à la réglementation et bien sûr sécurité de l information! Concrètement, le contrôle interne recouvre ainsi toutes les mesures prises au quotidien pour maîtriser les processus (politiques, procédures, etc.), les vérifications effectuées par les opérationnels dans le cadre de leurs activités courantes, et plus généralement la «culture de contrôle» de l organisation. Pour développer cette maîtrise des processus, de nombreuses organisations ont ainsi défini et mis en œuvre, souvent sous la houlette du RSSI, des procédures, des responsabilités, et le reporting associé, via des démarches ITIL, CMMI ou ISO selon les thèmes adressés. Concrètement, en matière de sécurité SI, des processus d habilitation, de sauvegarde ou de gestion des changements ont ainsi été définis. Le contrôle permanent : un nouveau Graal en matière de sécurité du SI? Sur ces bases, il est alors possible de vérifier régulièrement que les mesures de maîtrise des risques sont bien définies et implémentées par les opérationnels. Il s agit en effet de vérifier que la pertinence et la qualité de réalisation des contrôles sont adaptées aux enjeux : c est l objet du dispositif de contrôle permanent. Le contrôle permanent devient alors un élément clé du dispositif global de contrôle interne : en s appuyant sur les auto-évaluations effectuées par les opérationnels, et bien souvent en menant des contrôles complémentaires, il permet de s engager de façon pérenne sur le niveau de sécurité du SI, et également de répondre plus aisément aux exigences d audit. Prenons, à titre d exemple, le cas du processus de sauvegarde des données : un audit de sécurité se contentera de contrôler que les «Portraits Chrystel-Anne POMEL Responsable adjointe de la Direction de la sécurité du SI de Natixis et ses filiales Chrystel-Anne POMEL est responsable adjointe de la Direction de la sécurité du système d information (SSI) de Natixis et de ses filiales. Elle assure notamment le pilotage de grands projets transverses liés à la sécurité sur l ensemble du périmètre de Natixis et de ses filiales. «Adossé au groupe BPCE, n 2 du secteur bancaire français, Natixis compte trois métiers cœurs : la banque de financement et d investissement, l épargne et les services financiers spécialisés. Rattachée à la Direction de la conformité, la Direction SSI joue pour l ensemble du groupe un rôle de conseil (par exemple l élaboration des politiques de sécurité) et de contrôle en matière de sécurité du SI. Dans ce cadre, la mise en place d un dispositif de contrôle permanent est essentielle pour garantir et améliorer le niveau de maîtrise du SI en matière de sécurité. Elle constitue une étape majeure de la stratégie de contrôle permanent de l ensemble des risques du SI de Natixis. Ce projet ambitieux et complexe qui concerne directement les différents pôles informatiques et leurs responsables sécurité est piloté au plus haut niveau par la Direction des systèmes d information et la Direction de la conformité qui en attendent une amélioration significative de la visibilité sur le niveau de sécurité du SI du groupe.» «La mise en place d un dispositif de contrôle permanent est essentielle pour garantir et améliorer le niveau de maîtrise du SI en matière de sécurité» Chrystel-Anne POMEL 2 La Lettre Sécurité N 20 Octobre 2009

3 sauvegardes prévues ont bien été effectuées, généralement par sondage sur quelques supports. Le contrôle interne apportera un premier niveau de garantie, en décrivant le cadre méthodologique (politique, procédures et modes opératoires) à appliquer. Le contrôle permanent, en vérifiant à une fréquence régulière (quotidienne, hebdomadaire, etc.) que ce cadre est bien respecté, ou que les écarts sont bien identifiés et traités, apporte finalement un niveau de confort encore plus élevé. «Un dispositif de contrôle permanent permet, par le biais d un cadre méthodologique et d un catalogue d outils, d avoir des résultats opposables à l échelle du groupe en termes d évaluation du niveau de sécurité et d exposition aux menaces sur le SI» ajoute Philippe Stévenin, Responsable sécurité informatique et télécoms entreprise du groupe SNCF. On le voit, convaincre du bien-fondé d une telle approche n est pas réellement délicat : chacun conçoit aisément qu un contrôle plus fréquent, même moins poussé, complète heureusement des vérifications plus approfondies mais ponctuelles. En revanche, les vraies difficultés apparaissent lorsqu il s agit de définir concrètement le processus de contrôle, son périmètre, l organisation associée, etc. Et plus encore lorsqu il s agit d établir le plan d évolution vers le Graal que l on a ainsi fait miroiter aux clients de la DSI. Ce sont ces deux aspects que nous vous proposons d approfondir dans la suite de ce dossier. Florian CARRIERE «Un dispositif de contrôle permanent permet d avoir des résultats opposables en termes d évaluation du niveau de sécurité et d exposition aux menaces sur le SI» Philippe STÉVENIN Phillippe STÉVENIN Responsable sécurité informatique et télécoms entreprise du groupe SNCF Philippe STÉVENIN, Responsable sécurité informatique et télécoms entreprise (RSIT-E), est en charge du pôle Sécurité des SI (DSIT-SEC) sur le périmètre du groupe SNCF. Il assure notamment, le pilotage des budgets et des projets liés à la sécurité des SI, l assistance à maîtrise d ouvrage sécurité sur les projets, le pilotage des raccordements des accès externes au SI, la coordination de la gestion de crise SSI et l animation des cellules de gestion opérationnelle de la sécurité et d audits & contrôles de la sécurité du SI. «Mis en place en 2007 au sein de la SNCF, le plan de contrôle SSI est un vrai succès avec une adhésion totale de toute l entreprise. La SNCF n est pas soumise à des contraintes réglementaires spécifiques, aussi la mise en œuvre d un plan de contrôle s inscrit dans une démarche de prise de mesure terrain des risques liés à la sécurité du SI. L équipe Audits & contrôles de la sécurité du SI est constituée aujourd hui de 5 personnes et la mise en œuvre du plan de contrôle mobilise environ 10 ETP au niveau des relais opérationnels et des équipes locales. L équipe Audits & contrôles est en charge de la réalisation des audits et contrôles de niveau 2 et du pilotage de la réalisation des contrôles de niveau 1 par les opérationnels.* Pour les contrôles de niveau 2, cette équipe réalise tous les ans plus d une cinquantaine de contrôles basés sur une quinzaine de méthodologies ciblées (gestion des sauvegardes, sécurité des applications web, sécurité physique et environnementale des locaux IT, gestion des infogérants, etc.). Pour les contrôles de niveau 1, l équipe pilote tous les ans la réalisation de plus de 60 autocontrôles (comprenant 200 points de contrôle) au sein des différentes entités avec une mise à disposition progressive de l outil auprès des filiales du groupe». La SNCF en quelques chiffres : collaborateurs 25 milliards d euros de chiffre d affaires Plus de filiales * Voir explication de la notion de «niveaux» dans l article page 4. Octobre 2009 La Lettre Sécurité N 20 3

4 n spécial Assises de la Sécurité 2009 Une cible de contrôle permanent à adapter au contexte de l entreprise Comment définir sa cible en matière de contrôle permanent de la sécurité? Il faut tout d abord définir son «modèle» de contrôle (à deux ou trois niveaux) et l organisation associée, puis les contrôles à réaliser à chaque niveau. Le maître-mot : construire en s appuyant sur les organisations et pratiques existantes... Un modèle de contrôle à deux ou trois niveaux En fonction du contexte de l entreprise (réglementaire, organisationnel, etc.), le contrôle interne se décline en un modèle à deux ou trois niveaux. Le contrôle permanent de la sécurité, qui s inscrit dans la démarche globale de contrôle interne, se décline selon le même modèle. Le niveau 1 comprend les contrôles réalisés «au quotidien» par les équipes opérationnelles elles-mêmes (remontées d indicateurs, contrôles techniques et méthodologiques, etc.). Il est intégré à leurs procédures et processus réguliers, selon le principe de «l autocontrôle». Il s agit par exemple de s assurer que les infections virales sont maîtrisées par consultation quotidienne des logs et reporting au niveau d une console centrale, de revoir de manière régulière les droits utilisateur d une application, de s assurer que l application des correctifs de sécurité se fait en accord avec Modèle à deux ou trois niveaux la politique de sécurité, etc. Ces contrôles de niveau 1 sont souvent largement automatisés et industrialisés. Le niveau 2 comprend les contrôles permettant, d une part, de vérifier la validité des contrôles de niveau 1 effectués par les opérationnels et, d autre part, de faire le lien avec la maîtrise des risques métiers et stratégiques. C est le niveau des «contrôles de conformité». Il s agit par exemple de vérifier que les contrôles de droits d accès sont effectivement menés et suivis de mesures correctives, de conduire des revues des tests PCA, etc. Le niveau 2 est réalisé par une équipe indépendante des équipes opérationnelles, et idéalement indépendante de la DSI. Il peut s agir de la «filière contrôle», en charge du fonctionnement du dispositif de contrôle interne au sein de l entreprise ou, par délégation, de la filière sécurité (RSSI) : par exemple une cellule «contrôles» rattachée au RSSI, agissant par délégation de la Direction du contrôle interne ou de la Direction de l audit et des risques. Le niveau 3 est en dehors du périmètre du contrôle permanent : il comprend les contrôles périodiques diligentés par une entité externe au contrôle permanent (Inspection générale, Contrôle général, etc.). Il intègre également les audits externes. Dans le secteur bancaire où le contrôle est largement développé et réglementé, les trois niveaux existent le plus souvent. Dans d autres secteurs, les fonctions de niveau 2 et 3 peuvent ne pas être dissociées ou être réalisées par les mêmes équipes. Les processus de contrôle et les outils associés Le contrôle permanent de la sécurité s articule autour de plusieurs processus clés à décliner dans l entreprise. Il comprend tout d abord les processus de définition et de pilotage du contrôle permanent, incluant l identification du «périmètre ciblé» : que faut-il intégrer dans le contrôle permanent de la sécurité? Et par quoi commencer? Ce choix doit être réalisé en prenant en compte notamment la réglementation s appliquant à l entreprise, les référentiels qu elle utilise, mais en considérant aussi des critères liés aux actifs à protéger : actifs critiques, spécifiquement menacés, faisant l objet d incidents ou d attaques répétés. Le choix du périmètre ciblé en priorité peut aussi s appuyer dans un premier temps sur le «ressenti terrain» des experts sécurité et des équipes opérationnelles : «dans notre cas, les analyses de risques SSI sont arrivées bien après la mise en œuvre du plan de contrôle. Si elles permettent de relativiser les thèmes et périmètres à contrôler en fonction des enjeux métiers, les contrôles SSI que nous avons réalisés jusque là nous aident à objectiver les analyses de risques en les confrontant aux réalités du terrain» indique Philippe Stévenin (SNCF). Le contrôle permanent inclut également des processus de pilotage et de réalisation des contrôles de niveau 1 et 2. Dans ce cadre, il faut d abord choisir les contrôles à effectuer. Ceci peut être réalisé à l aide de référentiels méthodologiques pour disposer des mêmes techniques et échelles d évaluation pour l ensemble des contrôles. L utilisation de référentiels de mesure partagés entre métiers et IT (COBIT par exemple) est souvent mise en avant. Comme l explique Chrystel-Anne 4 La Lettre Sécurité N 20 Octobre 2009

5 Pomel (Natixis), utiliser un référentiel reconnu comme COBIT, qui dépasse le seul domaine de la sécurité SI, permet de fédérer plus facilement les approches existantes comme ITIL ou CMMI. «L enjeu est de s appuyer sur un référentiel permettant d adosser les moyens informatiques mis en œuvre et leur niveau de sécurité avec les enjeux business de Natixis», affirme-t-elle. «De plus, cela permet de disposer d un langage commun avec l Inspection générale». «Pour autant», comme l explique Philippe Stévenin, «les contrôles doivent aussi être pragmatiques et proches des réalités opérationnelles ; il ne faut pas se baser uniquement sur des référentiels». Ainsi, pour les contrôles de niveau 1 notamment, il est le plus souvent préférable de définir les contrôles de manière conjointe avec les opérationnels et ainsi d insérer les contrôles dans les processus existants, élément clé de réussite de la démarche. Des outils techniques pour réaliser les contrôles sur le SI doivent également être identifiés pour permettre la mesure du niveau de vulnérabilité des composants SI. Ces outils contribuent à l automatisation des contrôles. À ce titre, l élaboration de fiches de contrôles permanents, selon un formalisme standard, est un passage obligé. Ces documents doivent légitimer les contrôles menés, en présentant les objectifs et la démarche retenue. Enfin, un processus de suivi du contrôle permanent coordonné par le niveau 2 est nécessaire. Il doit répondre à trois objectifs : mesurer le niveau de sécurité du SI et la qualité des contrôles au moyen d échelles de mesures communes piloter la démarche sécurité en identifiant les chantiers d amélioration tenir informé les décideurs en alimentant les tableaux de bord sécurité du SI. «L efficacité de ce dispositif dans le temps implique la mise en place d un suivi régulier. Un reporting adapté aux différents niveaux hiérarchiques est essentiel» confirme Chrystel-Anne Pomel. Formaliser et coordonner les pratiques existantes Le plus souvent, la démarche de contrôle permanent de la sécurité ne fait que formaliser, structurer et renforcer des pratiques existantes : «le message vers les porteurs de contrôles est simple : vous faites du contrôle permanent depuis des années sans le savoir ; cette démarche contribue à mettre en évidence la qualité de votre travail» conclut Chrystel-Anne Pomel. Il reste cependant à cadrer, coordonner et structurer «de bout en bout» la filière de contrôle permanent, tout en évitant les redondances de responsabilités et de contrôles, pour obtenir une vue d ensemble répondant aux objectifs de contrôle et de maîtrise des risques. Sylvain ROGER Processus clés du contrôle permanent Octobre 2009 La Lettre Sécurité N 20 5

6 n spécial Assises de la Sécurité 2009 Insuffler progressivement une culture de contrôle La mise en place d un dispositif de contrôle permanent de la sécurité du SI constitue un projet à part entière qui doit être adapté à la taille et au contexte de l entreprise. La réussite d un tel projet est fortement liée à la possibilité de fournir des résultats à court terme et de créer une dynamique pour insuffler une culture de contrôle au sein de l entreprise. Véritable projet transverse, la mise en place d un dispositif de contrôle permanent de la sécurité doit avant tout bénéficier d un appui fort de la Direction générale en termes de légitimité et de ressources allouées à sa mise en œuvre. Aussi, comme l explique Philippe Stévenin (SNCF), «il faut commencer par mobiliser la Direction générale en expliquant que, sans contrôles réguliers, le RSSI ne dispose pas d indicateurs pertinents pour justifier sa stratégie sécurité et les budgets engagés pour couvrir les risques». Privilégier une stratégie de mise en œuvre par étapes Avant toute chose, il est préférable d identifier et de définir les points de contrôle le plus en amont possible, par exemple dès la formalisation des politiques de sécurité ou la définition des mesures de sécurité dans les projets. Ensuite, deux approches concurrentes sont possibles : choisir un domaine et le traiter exhaustivement ou bien, au contraire, choisir des points de contrôle répartis sur différents domaines. Selon Chrystel-Anne Pomel (Natixis), «la seconde approche a l avantage de commencer à sensibiliser toutes les équipes, sans les solliciter excessivement». Pour faire connaître la nouvelle organisation de contrôle permanent et privilégier des retours d expérience rapides et fréquents, il est recommandé d opter pour une stratégie de mise en œuvre progressive. «Il faut compter plusieurs années pour installer un dispositif de contrôle permanent complet et «industrialisé» : les lots et leur déploiement doivent intégrer cette donnée, atteindre des objectifs concrets rapidement pour éviter «l effet tunnel» et la démotivation devant l ampleur des actions à mener» ajoute Chrystel-Anne Pomel. Une première phase pilote (cadencée, par exemple, sur une première année) peut être l occasion de développer la culture de contrôle au sein des différentes entités et de familiariser l entreprise avec la réalisation de contrôles permanents à grande échelle. Le choix des thèmes et périmètres des «contrôles pilotes» doit être opéré en fonction des activités critiques de l entreprise, en cohérence avec l analyse des risques, en ciblant si possible des périmètres démonstratifs pour interpeller les décideurs. Comme le précise Philippe Stévenin, «dans un premier temps, pour faire réagir et sensibiliser la Direction, il est intéressant de réaliser une prise de mesure sur des sujets que l on suppose mal maîtrisés (par exemple la gestion des habilitations)». Une autre approche consiste à choisir des périmètres fonctionnels suffisamment délimités pour permettre aux acteurs d appréhender complètement la démarche et de s investir à la hauteur de leurs moyens sur un nombre limité de points de contrôle. Aussi, selon Chrystel-Anne Pomel, «privilégier dans un premier temps les domaines d excellence de la DSI est le meilleur moyen pour créer la dynamique nécessaire». Faire adhérer rapidement l ensemble des acteurs Une fois le périmètre de «contrôles pilotes» défini, les équipes opérationnelles (relais sécurité et entités contrôlées) doivent être accompagnées dans la réalisation des contrôles. L appui de la Direction est certes essentiel pour initier la démarche de mise en œuvre d un dispositif de contrôle permanent, mais il est tout aussi important de faire adhérer rapidement l ensemble des acteurs impliqués dans la réalisation et le suivi des contrôles en communiquant sur l organisation et sur les résultats des 6 La Lettre Sécurité N 20 Octobre 2009

7 «contrôles pilotes». L objectif à moyen terme est de créer une dynamique dans laquelle les entités deviendront pleinement actrices des contrôles et solliciteront directement la filière SSI pour réaliser des contrôles sur des périmètres perçus comme faiblement sécurisés ou sensibles. Pour faciliter la conduite du changement, il convient de : Communiquer «positivement» sur le dispositif mis en place : la démarche de contrôle permanent n est pas définie dans un objectif répressif, mais bien en vue d améliorer la sécurité du SI et peut présenter de réels avantages pour les équipes : déclenchement de financement de plans d améliorations de la sécurité, mise en oeuvre et donc amélioration de la qualité de service sur leur périmètre, etc. Porter une attention particulière à la formalisation de recommandations applicables. Comme l explique Chrystel-Anne Pomel, «le dispositif de contrôle permanent doit permettre des relations constructives avec les équipes contrôlées : nous attendons de ces contrôles qu ils favorisent des recommandations opérationnelles, concrètes, allant au-delà du simple constat d absence de procédure». Ne pas négliger la charge nécessaire au suivi et à la mise en œuvre des plans d actions : selon Philippe Stévenin, «il est difficile d assurer un réel suivi de l ensemble des recommandations émises dans le cadre des contrôles (plusieurs centaines par an). Aussi, il convient d isoler annuellement 4 ou 5 actions critiques au niveau de l entreprise et de s en occuper en priorité. C est également le rôle de la filière Sécurité d identifier les actions critiques, de les suivre et de susciter des décisions de la Direction pour lancer de grands projets sécurité». S appuyer sur les retours d expérience A l issue de la phase de réalisation des «contrôles pilotes», un retour d expérience doit être réalisé, afin d identifier les réussites et les faiblesses de la démarche et de mettre en évidence les axes d amélioration pour les évolutions futures du plan de contrôle. Ce retour d expérience doit porter aussi bien sur la démarche globale de contrôle (organisation, pilotage et moyens mis en œuvre) que sur chaque contrôle individuellement, et s appuie sur différentes sources d information : interviews de certaines entités qui ont participé à la réalisation des contrôles (adhésion à la démarche, accompagnement des équipes, attentes pour les évolutions futures, etc.), étude de la pertinence des résultats remontés au regard de la charge réelle associée à la mise en œuvre de chaque contrôle, etc. Il doit mettre en évidence l efficacité des différents contrôles (thèmes et périmètres organisationnels) et permettre d arbitrer sur les contrôles qu il est opportun de maintenir, abandonner ou faire évoluer. Avec l extension du périmètre, il s agira ensuite de définir et de mettre en œuvre des outils pour faciliter l industrialisation du plan de contrôle : collecte des informations auprès des équipes opérationnelles, suivi des plans d actions, reporting, etc. Toutefois, même en phase d industrialisation, pour poursuivre la démarche d amélioration continue et de réévaluation de l efficacité du dispositif, il est important de continuer la formalisation de retours d expérience à intervalles réguliers (par exemple tous les ans). En effet, le contrôle permanent ne mesure bien entendu que ce pour quoi il a été conçu, il doit luimême être mis sous contrôle et à cet effet, il est essentiel de maintenir une démarche de réalisation d audits périodiques. Enfin, pour conclure, une dernière réflexion : d un point de vue opérationnel, le contrôle permanent peut être perçu comme un nouveau niveau de contraintes et de règles fastidieuses à respecter. Ce serait malheureusement occulter l apport de ce dispositif à mettre en évidence les contributions de chacun dans une démarche d amélioration du niveau de sécurité du SI. Or il s agit là, comme chacun sait, de la meilleure incitation possible à la performance Il conviendra donc de s en souvenir chaque fois que la résistance au changement remettra en cause la motivation collective à avancer vers ce but commun. Vincent ROYER Octobre 2009 La Lettre Sécurité N 20 7

8 Solucom en bref Solucom 5 ème acteur du conseil SI en France Solucom est un cabinet de conseil en management et système d information. Les clients de Solucom sont dans le top 200 des grandes entreprises et administrations. Pour eux, Solucom est capable de mobiliser et de conjuguer les compétences de près de collaborateurs. Sa mission? Porter l innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d information un véritable actif au service de la stratégie de l entreprise. Solucom s appuie pour cela sur une palette d offres, organisée en 6 practices, alignées sur les enjeux 2009 de ses clients et sur une organisation lui permettant de conjuguer sans couture l ensemble des compétences présentes au sein de ses équipes : Stratégie & management Transformation SI Gouvernance SI Télécoms & innovation Architecture SI Sécurité & risk management. Pour en savoir plus : Une practice Sécurité & risk management au service de votre actualité Forte de 150 consultants, la practice Sécurité & risk management de Solucom intervient sur tous les aspects de la sécurité des systèmes d information. Voici un rapide tour d horizon des thématiques majeures sur lesquelles nous intervenons actuellement. Audit et management de la sécurité : de l audit ponctuel au contrôle permanent Fiabiliser leur engagement quant au niveau de sécurité du SI est une préoccupation récente des DSI et des RSSI. Si ces derniers sont rompus aux audits de sécurité des SI, ils sont généralement moins confiants sur le niveau de sécurité garanti en dehors de ces contrôles ponctuels. Ainsi, nous accompagnons actuellement plusieurs clients dans la mise en place de leur processus de contrôle permanent, afin d assurer au quotidien la maîtrise des processus et mesures de sécurité mis en œuvre pour diminuer les risques, et améliorer ainsi le niveau de sécurité. Identity management : enfin de véritables réalisations pour la fédération d identités Autre sujet en plein essor, longtemps cantonné à la veille technologique, voire aux études d opportunité, la fédération d identités aborde aujourd hui une nouvelle phase, celle des réalisations concrètes. Au-delà des gains attendus par les équipes informatiques, les véritables moteurs de ce service sont le confort et l ergonomie qu il offre aux utilisateurs finaux. Nous menons actuellement plusieurs projets visant à faciliter et à sécuriser les échanges entre différents types d acteurs. Plan de continuité d activité : la pandémie grippale s impose dans les PCA Enfin, une menace actuellement très médiatisée : si de nombreuses entreprises avaient écarté le scénario de pandémie grippale lors de la constitution de leur Plan de Continuité d Activité (PCA), elles se voient aujourd hui contraintes de prendre en compte rapidement cette menace. Solucom accompagne en ce moment plusieurs de ses clients dans l élaboration de leur réponse à la grippe A. La menace de pandémie requiert à la fois une organisation sans faille et des outils SI opérationnels (le plus souvent en travail à distance) pour les activités critiques. Une gestion de crise efficace est bien sûr nécessaire, afin de permettre la réactivité et des réponses adaptées à l évolution de la pandémie avec à la clé un exercice grandeur nature cet automne! Depuis 2008, Solucom est certifié ISO/IEC 27001:2005 pour ses prestations d audits de sécurité des systèmes d information. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Florian Carrière, Marion Couturier, Clotilde Henriot, Brieg Le Dean, Laurent Perruche, Sylvain Roger, Vincent Royer. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue trimestrielle de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris-La-Défense abonnement :

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION SUR LES CONDITIONS DE PRÉPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL AINSI QUE SUR LES PROCÉDURES DE CONTRÔLE INTERNE MISES EN PLACE PAR LA SOCIÉTÉ

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

ISO 27001 conformité, oui. Certification?

ISO 27001 conformité, oui. Certification? ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche

Plus en détail

Piloter le contrôle permanent

Piloter le contrôle permanent Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF

Plus en détail

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique. Introduction Un projet ITIL n est pas anodin Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique. Un projet ITIL ne peut

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité? Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1 Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle

Plus en détail

Plaisir, le 19 Décembre 2011 Rapport sur le contrôle interne et le gouvernement d entreprise.

Plaisir, le 19 Décembre 2011 Rapport sur le contrôle interne et le gouvernement d entreprise. Plaisir, le 19 Décembre 2011 Rapport sur le contrôle interne et le gouvernement d entreprise. LES DISPOSITIFS DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE L objet de ce rapport est de rendre compte aux

Plus en détail

Les pratiques du sourcing IT en France

Les pratiques du sourcing IT en France 3 juin 2010 Les pratiques du sourcing IT en France Une enquête Solucom / Ae-SCM Conférence IBM CIO : «Optimisez vos stratégies de Sourcing» Laurent Bellefin Solucom en bref Cabinet indépendant de conseil

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Vers l excellence opérationnelle de la DSI avec Lean Six Sigma

Vers l excellence opérationnelle de la DSI avec Lean Six Sigma Vers l excellence opérationnelle de la DSI avec Lean Six Sigma Dans le monde des services, Lean Six Sigma est en train de s imposer comme démarche d excellence opérationnelle et de progrès permanent. Au

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

Périmètre d Intervention. Notre Offre

Périmètre d Intervention. Notre Offre 5 Nos Références 4 Nos Valeurs 3 Périmètre d Intervention 1 2 Notre Offre 1 La société La Société Qui sommes nous? 20 ans d expérience - 4 ans d existence Management des Systèmes d information Performance

Plus en détail

CONSULTING, BANQUE & ASSURANCE. axiwell LE SENS DE L ESSENTIEL

CONSULTING, BANQUE & ASSURANCE. axiwell LE SENS DE L ESSENTIEL CONSULTING, BANQUE & ASSURANCE axiwell LE SENS DE L ESSENTIEL SOMMAIRE Édito... page 3 Axiwell Financial Services... Exemples de missions réalisées... Nos offres spécifiques... Risques / Conformité / Réglementaire...

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

L Application Performance Management pourquoi et pour quoi faire?

L Application Performance Management pourquoi et pour quoi faire? Management pourquoi et pour quoi faire? Un guide pratique pour comprendre l intérêt des solutions d Application Management, à l heure où les systèmes d information sont au cœur de l efficacité opérationnelle

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 19 - Août 2009 La Lettre Sécurité Édito À l heure où de nombreuses entreprises préfèrent limiter les investissements sur leurs systèmes d information, l actualité montre, au contraire, que l anticipation

Plus en détail

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE Management par les processus les éléments structurants Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise en

Plus en détail

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés. 2014.

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés. 2014. Practice Finance & Risk Management BCBS 239 enjeux et perspectives 2014 Contexte du BCBS 239 2 Une nouvelle exigence Les Principes aux fins de l agrégation des données sur les et de la notification des

Plus en détail

Créer un tableau de bord SSI

Créer un tableau de bord SSI Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com

Plus en détail

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Yphise optimise en Coût Valeur Risque l informatique d entreprise Réussir le Service Management avec ISO 20000-1 Novembre 2007 Xavier Flez yphise@yphise.com Propriété Yphise 1 Introduction (1/2) Il existe une norme internationale sur le Service Management en plus d ITIL

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

Gouvernance de la sécurité des systèmes d information

Gouvernance de la sécurité des systèmes d information Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

Plus en détail

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015 Optimisation de la gestion des risques opérationnels EIFR 10 février 2015 L ADN efront METIER TECHNOLOGIE Approche métier ERM/GRC CRM Gestion Alternative Approche Technologique Méthodologie Implémentation

Plus en détail

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON RAPPORT DU PRESIDENT A L ASSEMBLÉE GÉNÉRALE ORDINAIRE DU 1er JUIN 2004 SUR

Plus en détail

Maîtrise des risques sur le système d information des banques : Enjeux réglementaires et prudentiels

Maîtrise des risques sur le système d information des banques : Enjeux réglementaires et prudentiels Secrétariat général de la Commission bancaire Maîtrise des risques sur le système d information des banques : Enjeux Forum des Compétences 7 décembre 2005 Pierre-Yves Thoraval Secrétaire général adjoint

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? DEVOPS et le déploiement d application Les Livres Blancs de MARTE Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? L alignement

Plus en détail

Leader de l Actuariat Conseil et de la Gestion des Risques

Leader de l Actuariat Conseil et de la Gestion des Risques Leader de l Actuariat Conseil et de la Gestion des Risques Optimind Winter respecte les meilleurs standards européens sur l ensemble des expertises associées à la chaîne des risques des organismes assureurs,

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

Table des matières. Partie I CobiT et la gouvernance TI

Table des matières. Partie I CobiT et la gouvernance TI Partie I CobiT et la gouvernance TI Chapitre 1 Présentation générale de CobiT....................... 3 Historique de CobiT....................................... 3 CobiT et la gouvernance TI.................................

Plus en détail

Programme de formation " ITIL Foundation "

Programme de formation  ITIL Foundation Programme de formation " ITIL Foundation " CONTEXTE Les «Référentiels» font partie des nombreux instruments de gestion et de pilotage qui doivent se trouver dans la «boite à outils» d une DSI ; ils ont

Plus en détail

Conformité et efficience de la délégation de gestion : vers une norme de marché

Conformité et efficience de la délégation de gestion : vers une norme de marché INFO # 28 Conformité et efficience de la délégation de gestion : vers une norme de marché CONTEXTE ACTUEL DE LA DÉLÉGATION DE GESTION Une accélération sensible des mutations autour de l activité de délégation

Plus en détail

Présentation à l EIFR. 25 mars 2014

Présentation à l EIFR. 25 mars 2014 Présentation à l EIFR 25 mars 2014 1 Contexte BCBS 239 Les établissements font face depuis les cinq dernières années aux nombreux changements réglementaires visant à renforcer la résilience du secteur:

Plus en détail

FILIÈRE METHODOLOGIE & PROJET

FILIÈRE METHODOLOGIE & PROJET FILIÈRE METHODOLOGIE & PROJET 109 Gestion de projet METHODOLOGIE ET PROJET Durée 3 jours Conduite de projet COND-PRO s Intégrer les conditions de réussite d une démarche de management par projet. Impliquer

Plus en détail

Comment réussir la mise en place d un ERP?

Comment réussir la mise en place d un ERP? 46 Jean-François Lange par Denis Molho consultant, DME Spécial Financium La mise en place d un ERP est souvent motivée par un constat d insuffisance dans la gestion des flux de l entreprise. Mais, si on

Plus en détail

par le Réseau Anact avec le département d ergonomie de l université de Bordeaux

par le Réseau Anact avec le département d ergonomie de l université de Bordeaux Des difficultés à investir le champ des conditions de travail L évolution du monde du travail montre la prégnance des conditions et de l organisation du travail dans le de nouveaux risques. Ces questions

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE PROFIL DE POSTE BAP : CORPS : NATURE : SPÉCIALITÉ : E ITRF Externe IGR 2, Chef de projet développement ÉTABLISSEMENT : Rectorat SERVICE : VILLE : SERIA (service informatique académique) DESCRIPTION DU

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L. 225-37 DU CODE DE COMMERCE)

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L. 225-37 DU CODE DE COMMERCE) 3 3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L. 225-37 DU CODE DE COMMERCE) Pour l élaboration du présent rapport, le Président a consulté le Vice-Président Exécutif, Directeur Financier

Plus en détail

Donnez une impulsion à votre carrière

Donnez une impulsion à votre carrière Donnez une impulsion à votre carrière Devenir le 1 er cabinet de conseil indépendant en France Un métier de conseil en management & IT Solucom, un cabinet coté sur NYSE Euronext environ 1 200 collaborateurs

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

&203$6'\QDPLTXH 0DQXHOG $GRSWLRQ. GUIDE POUR L ADOPTION DU COMPAS Qualité ET DU COMPAS Dynamique

&203$6'\QDPLTXH 0DQXHOG $GRSWLRQ. GUIDE POUR L ADOPTION DU COMPAS Qualité ET DU COMPAS Dynamique GUIDE POUR L ADOPTION DU COMPAS Qualité ET DU COMPAS Dynamique Page 1/ 17 Page 2/ 17 6RPPDLUH,1752'8&7,21 A QUI S ADRESSE CE MANUEL?... 6 QUEL EST L OBJECTIF DE CE MANUEL?... 6 /(6)$&7(856'(5(866,7(3285/

Plus en détail

Sécurité des Systèmes d Information

Sécurité des Systèmes d Information Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de

Plus en détail

LIVRE BLANC. Dématérialisation des factures fournisseurs

LIVRE BLANC. Dématérialisation des factures fournisseurs LIVRE BLANC 25/03/2014 Dématérialisation des factures fournisseurs Ce livre blanc a été réalisé par la société KALPA Conseils, société créée en février 2003 par des managers issus de grandes entreprises

Plus en détail

La conformité et la sécurité des opérations financières

La conformité et la sécurité des opérations financières La conformité et la sécurité des opérations financières Au service de vos systèmes d information critiques www.thalesgroup.com/security-services Des services financiers plus sûrs, même dans les passes

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service Mars 2012 Sommaire Présentation OXIA Le déroulement d un projet d infogérance L organisation du centre de service La production dans un centre de service 2 Fournisseurs Technologies Banque & Finance Telecom

Plus en détail

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006 Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité Olivier de Chantérac 08 novembre 2006 PCA, MCO et ROI Une Responsabilité de Direction Générale ou Métier - Disposer d une

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

Beyond business performance. Together. Accélération des délais de clôture

Beyond business performance. Together. Accélération des délais de clôture Beyond business performance. Together. Accélération des délais de clôture Enjeux L accélération des délais de clôture ou Fast Close s est tout d abord très largement répandu dans les grandes entreprises

Plus en détail

L innovation au cœur des processus et des systèmes

L innovation au cœur des processus et des systèmes L innovation au cœur des processus et des systèmes www.novigo-consulting.com NOS OFFRES Notre vocation est d appuyer les entreprises pour évaluer la multitude de besoins et assurer le succès des projets

Plus en détail

Methode Mehari www.ofppt.info

Methode Mehari www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Methode Mehari DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

"DÉVELOPPER LA PERFORMANCE MANAGÉRIALE : CE QUE FONT VRAIMENT LES ENTREPRISES"

DÉVELOPPER LA PERFORMANCE MANAGÉRIALE : CE QUE FONT VRAIMENT LES ENTREPRISES "DÉVELOPPER LA PERFORMANCE MANAGÉRIALE : CE QUE FONT VRAIMENT LES ENTREPRISES" ENQUÊTE RÉALISÉE PAR HOMMES & PERFORMANCE ET EMLYON BUSINESS SCHOOL EN PARTENARIAT AVEC L'APEC Juin 2011 OBJECTIFS DE L ÉTUDE

Plus en détail

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE 22.05.08 RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE Le Conseil d administration de la Société Générale a pris connaissance du rapport ci-joint du Comité spécial qu il a constitué le 30

Plus en détail

Réussir l externalisation de sa consolidation

Réussir l externalisation de sa consolidation Réussir l externalisation de sa consolidation PAR ERWAN LIRIN Associé Bellot Mullenbach et Associés (BMA), activité Consolidation et Reporting ET ALAIN NAULEAU Directeur associé Bellot Mullenbach et Associés

Plus en détail

ITIL v3. La clé d une gestion réussie des services informatiques

ITIL v3. La clé d une gestion réussie des services informatiques ITIL v3 La clé d une gestion réussie des services informatiques Questions : ITIL et vous Connaissez-vous : ITIL v3? ITIL v2? un peu! beaucoup! passionnément! à la folie! pas du tout! Plan général ITIL

Plus en détail

CRIP 17/09/14 : Thématique ITIL & Gouvernance

CRIP 17/09/14 : Thématique ITIL & Gouvernance CRIP 17/09/14 : Thématique ITIL & Gouvernance 1 Présentation de GRTgaz Exploiter et maintenir les réseaux dans les meilleures conditions de coût et de sécurité pour les personnes et les biens Répondre

Plus en détail

de la DSI aujourd hui

de la DSI aujourd hui de la DSI aujourd hui Partout, l industrialisation de l IT est en cours. ITS Group accompagne ce mouvement avec une palette de compétences exhaustives permettant de répondre aux principaux challenges que

Plus en détail

Présentation succincte des formations sécurité

Présentation succincte des formations sécurité Sarl au capital de 65 700 R.C.S. Evry B 423 410 901 N TVA : FR 61 423 410 901 Institut de formation NBS System Présentation succincte des formations sécurité Introduction NBS System vous propose de partager

Plus en détail

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Ali GHRIB Directeur Général ali.ghrib@ansi.tn Sommaire 1 2 Présentation de l agence nationale

Plus en détail

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne Contexte Depuis plusieurs années, les institutions publiques doivent faire face à de nouveaux défis pour améliorer leurs

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE Gouvernance du Système d Information Comment bien démarrer? Page 1 Soirée «Gouverner son informatique et sa sécurité : le défi des entreprises» CLUSIS / ISACA

Plus en détail

Le management des risques de l entreprise Cadre de Référence. Synthèse

Le management des risques de l entreprise Cadre de Référence. Synthèse Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Novembre 2013. Regard sur service desk

Novembre 2013. Regard sur service desk Novembre 2013 Regard sur service desk édito «reprenez le contrôle grâce à votre service desk!» Les attentes autour du service desk ont bien évolué. Fort de la riche expérience acquise dans l accompagnement

Plus en détail

La notation en matière de sécurité

La notation en matière de sécurité La notation en matière de sécurité Août 2008 Le CDSE Le Club des Directeurs Sécurité d Entreprise est l association des directeurs de sécurité d entreprise et de leurs collaborateurs. Il fédère des entreprises

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

PASSI Un label d exigence et de confiance?

PASSI Un label d exigence et de confiance? PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,

Plus en détail

COMMUNIQUE DE PRESSE CONJOINT MODELLIS & DATAVALUE CONSULTING

COMMUNIQUE DE PRESSE CONJOINT MODELLIS & DATAVALUE CONSULTING COMMUNIQUE DE PRESSE CONJOINT MODELLIS & DATAVALUE CONSULTING 12/01/15 La Direction Financière du Groupe Chèque Déjeuner innove en optant pour une solution Cloud d élaboration budgétaire, gage d agilité

Plus en détail

M2S. Formation Gestion de projet. formation

M2S. Formation Gestion de projet. formation Formation Gestion de projet M2S formation Conduire et gérer un projet Construire et rédiger un chahier des charges de projet Conduite de projet informatiques Découpage et planification de projet Les méthodes

Plus en détail

Copyright Agirc-Arrco Mars 2012. 2 QUESTIONS pour comprendre le Système d Information Retraite Complémentaire (SI-RC)

Copyright Agirc-Arrco Mars 2012. 2 QUESTIONS pour comprendre le Système d Information Retraite Complémentaire (SI-RC) 2 QUESTIONS pour comprendre le Système d Information Retraite Complémentaire (SI-RC) SOMMAIRE (1/3) ENJEUX DE L INFORMATIQUE RETRAITE COMPLÉMENTAIRE 1. Depuis quand un programme de convergence informatique

Plus en détail

des principes à la pratique

des principes à la pratique Le management par les risques informatiques : des principes à la pratique Partie 1 19 janvier 2012 Le management par les risques Opportunité Menace Aider l entreprise à atteindre ses objectifs métier grâce

Plus en détail

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 SOMMAIRE Synthèse et Conclusion... 1 Introduction... 4 1. La description

Plus en détail

LA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN

LA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN ÉTUDE ITIL ITIL/ITSM ITSM Novice ou expert? LA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN Sondage réalisé auprès de 93 entreprises pour le compte d'ibm conception graphique et réalisation

Plus en détail

2 nde édition Octobre 2008 LIVRE BLANC. ISO 27001 Le nouveau nirvana de la sécurité?

2 nde édition Octobre 2008 LIVRE BLANC. ISO 27001 Le nouveau nirvana de la sécurité? 2 nde édition Octobre 2008 LIVRE BLANC ISO 27001 Le nouveau nirvana de la sécurité? Livre Blanc ISO 27001 Sommaire L ISO 27001, 3 ans après sa publication 4 L ISO 27001 : un SMSI basé sur 4 principes fondamentaux

Plus en détail

Étude : Les PME à l heure du travail collaboratif et du nomadisme

Étude : Les PME à l heure du travail collaboratif et du nomadisme Étude : Les PME à l heure du travail collaboratif et du nomadisme Synthèse des principaux enseignements Octobre 2012 sfrbusinessteam.fr FICHE TECHNIQUE DE L ETUDE Echantillon : 300 entreprises de 20 à

Plus en détail

Introduction à ITIL V3. et au cycle de vie des services

Introduction à ITIL V3. et au cycle de vie des services Introduction à ITIL V3 et au cycle de vie des services Création : janvier 2008 Mise à jour : juillet 2011 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé

Plus en détail

CHARGE DE RELATION MS MDSI ATOS Consulting

CHARGE DE RELATION MS MDSI ATOS Consulting CHARGE DE RELATION MS MDSI ATOS Consulting Mathis BAKARY 11/01/2013 Sommaire I. Présentation... 3 1. Activités... 3 2. Objectifs... 4 3. Localisation en Europe... 4 4. Localisation en France... 5 II. Stratégie...

Plus en détail

Business Emergency Solutions. kpmg.fr

Business Emergency Solutions. kpmg.fr Business Emergency Solutions kpmg.fr Des situations de plus en plus complexes et délicates dans des environnements souvent dégradés Les entreprises doivent de plus en plus souvent faire face à des situations

Plus en détail

Conférence XBRL France. Projet Reporting S2 Groupe CNP Assurances 3 Avril 2014. Olivier BOYER et Aurélia MULLER

Conférence XBRL France. Projet Reporting S2 Groupe CNP Assurances 3 Avril 2014. Olivier BOYER et Aurélia MULLER Conférence XBRL France Projet Reporting S2 Groupe CNP Assurances 3 Avril 2014 Olivier BOYER et Aurélia MULLER 1 2 1- Présentation du Groupe CNP Assurances Un métier, la protection des personnes Assureur

Plus en détail

Plan de maîtrise des risques de la branche Retraite Présentation générale

Plan de maîtrise des risques de la branche Retraite Présentation générale DIRECTION DELEGUEE DIRECTION FINANCIERE ET COMPTABLE YC/PR/MS Le 18 novembre 2011 Plan de maîtrise des risques de la branche Retraite Présentation générale Le plan de maîtrise des risques de la Branche

Plus en détail

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques,

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques, L-ebore SAS 2013 La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques, choisissez des solutions à portée de main... Qui sommes-nous? Spécialisée dans le domaine de

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

La fonction d audit interne garantit la correcte application des procédures en vigueur et la fiabilité des informations remontées par les filiales.

La fonction d audit interne garantit la correcte application des procédures en vigueur et la fiabilité des informations remontées par les filiales. Chapitre 11 LA FONCTION CONTRÔLE DE GESTION REPORTING AUDIT INTERNE Un système de reporting homogène dans toutes les filiales permet un contrôle de gestion efficace et la production d un tableau de bord

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

Paroles d expert. ITIL V3, accélérateur de la stratégie de services

Paroles d expert. ITIL V3, accélérateur de la stratégie de services 33 3 3 3 ITIL V3, accélérateur de la stratégie de Dans le référentiel ITIL V2, les ouvrages Business Perspective, Plan to Implement, et ceux traitant des processus eux-mêmes, ont, à divers degrés, abordé

Plus en détail

Réussir le. Management des systèmes d information. Les conseils et les astuces. des correcteurs de l épreuve. 36 exercices corrigés type examen

Réussir le. Management des systèmes d information. Les conseils et les astuces. des correcteurs de l épreuve. 36 exercices corrigés type examen Virginie Bilet Valérie Guerrin Miguel Liottier Collection dirigée par Xavier Durand Réussir le DSCG 5 Management des systèmes d information L essentiel à connaître pour réussir 36 exercices corrigés type

Plus en détail

Yphise accompagne l équipe de management des DSI. Séminaires de réflexion destinés aux décideurs et managers

Yphise accompagne l équipe de management des DSI. Séminaires de réflexion destinés aux décideurs et managers Yphise accompagne l équipe de management des DSI Séminaires de réflexion destinés aux décideurs et managers La réflexion pluridisciplinaire des managers DSI Formations par métier d une informatique : voir

Plus en détail

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr www.lexsi.fr AUDIT CONSEIL CYBERSÉCURITÉ FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN CYBERSÉCURITÉ / PARIS LYON LILLE MONTREAL SINGAPOUR www.lexsi.fr SERVICES LEXSI est actif à l international

Plus en détail

étude de rémunérations

étude de rémunérations étude de rémunérations dans la finance de marché Les salaires des métiers de la Moe et de la Moa AVEC NOUS, VOTRE TALENT PREND DE LA VALEUR 1 Sommaire Le mot des dirigeants Présentation METIERS DE LA MOE

Plus en détail

Business Emergency Solutions (Team)

Business Emergency Solutions (Team) Business Emergency Solutions (Team) Situations non conformes kpmg.fr Des situations de plus en plus complexes et délicates dans des environnements souvent dégradés Les entreprises doivent de plus en plus

Plus en détail

Business Optimising Consulting Group. Consulting en systèmes d information

Business Optimising Consulting Group. Consulting en systèmes d information Business Optimising Consulting Group Consulting en systèmes d information Introduction La place toujours plus centrale des Directions des systèmes d'information au sein des entreprises les expose encore

Plus en détail