n spécial Assises de la Sécurité 2009

Dimension: px
Commencer à balayer dès la page:

Download "n spécial Assises de la Sécurité 2009"

Transcription

1 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif de son périmètre. Si l audit de sécurité ponctuel est un de ses outils classiques pour évaluer les faiblesses techniques, il est insuffisant pour garantir à tout instant le niveau de sécurité de son SI. La mise en place du contrôle permanent de la sécurité des SI permet de pallier ce manque, en garantissant une maîtrise continue du niveau de sécurité. Parce qu il est l élément central du dispositif de contrôle du RSSI, ainsi qu une partie intégrante du contrôle interne de l entreprise, nous avons choisi de dédier cette Lettre Sécurité spéciale Assises de la Sécurité au contrôle permanent qui sera également le thème de l atelier que nous animerons. Nous ferons ainsi le point sur les raisons de cette récente évolution, mais aborderons surtout les éléments clés de la réussite d un projet de mise en œuvre du contrôle permanent de la sécurité. Ces derniers sont le choix d une cible cohérente et pragmatique et celui d une stratégie de mise en œuvre qui se doit progressive et intégrée à l existant pour obtenir l adhésion de tous. Chrystel-Anne Pomel (Natixis) et Philippe Stévenin (SNCF) ont accepté de partager leurs expériences riches en enseignements sur la mise en place d un tel projet, et je les en remercie chaleureusement. Bonne lecture à tous! Frédéric GOUX Directeur Practice Sécurité & risk management n spécial Assises de la Sécurité 2009 Le contrôle permanent : vers un pilotage au quotidien de la sécurité du SI Pour répondre aux préoccupations des Directions générales et à la multiplication des sollicitations, les DSI doivent aujourd hui pouvoir s engager à tout moment, et de façon probante, sur le niveau de sécurité du SI. Complément naturel des audits, le dispositif de contrôle permanent est aujourd hui présenté comme l outil idéal pour répondre à ces attentes. Mais quels objectifs lui assigner, comment définir le dispositif idéal et surtout comment le déployer efficacement? Autant de questions que nous vous proposons d aborder dans ce dossier. Il est aujourd hui rare pour un DSI de pouvoir passer plus de quelques jours sans être interrogé sur le niveau de confiance qu il accorde à son SI. Devenu comptable de la sécurité de la majorité des informations et des outils des métiers, il doit pouvoir à tout moment rassurer sur ce point, et bien souvent indiquer comment il compte améliorer encore ce niveau de sécurité. Car l importance de la sécurité du SI pour l entreprise est désormais évidente : en tant que support des processus métiers, le SI embarque naturellement de nombreux dispositifs de contrôle essentiels à la fiabilité des informations (contrôles d intégrité, référentiels, contrôle des accès, etc.). Mais le SI induit également des risques propres : interruptions de services, corruption de données, divulgation d informations, etc. Risques d autant plus critiques qu ils sont de nature très transverse : lorsqu ils sont avérés, ils peuvent rapidement toucher tous les processus métiers supportés par le SI! La mise sous contrôle de la sécurité du SI Depuis des années, pour répondre à l inquiétude légitime liée à ces risques, les audits de sécurité ont été généralisés, permettant ainsi de vérifier régulièrement que le système audité est toujours au «bon» niveau de sécurité. Réalisés avec une fréquence relativement faible (pour un système donné), ils ne permettent pas néanmoins de disposer de façon pérenne d une évaluation d ensemble. Or, «disposer d une vision partielle et ponctuelle du niveau de sécurité SI d un processus n est pas suffisant» explique Chrystel-Anne Pomel, adjointe au RSSI de Natixis et ses filiales. C est pourquoi dans de nombreux domaines (comme le contrôle des comptes) l audit intègre désormais, en plus de vérifications ponctuelles «sur pièces», une évaluation du dispositif de contrôle interne lui-même. Ainsi, Suite en page 2 DÉCRYPTAGES P4 Une cible de contrôle permanent à adapter au contexte de l entreprise P6 Insuffler progressivement une culture de contrôle

2 n spécial Assises de la Sécurité 2009 il devient possible de s engager sur ce qui se passe entre deux photographies «instantanées», donc sur le maintien du niveau de sécurité entre les audits. Cette notion de contrôle interne, qui fit son grand retour aux Etats-Unis en 2003 via le Sarbanes-Oxley Act (puis la Loi de Sécurité Financière en France), est définie comme le «processus, mis en œuvre par l ensemble de l entreprise, visant à disposer d une assurance raisonnable quant à l atteinte des objectifs fixés» dans différents domaines : objectifs financiers ou opérationnels, conformité à la réglementation et bien sûr sécurité de l information! Concrètement, le contrôle interne recouvre ainsi toutes les mesures prises au quotidien pour maîtriser les processus (politiques, procédures, etc.), les vérifications effectuées par les opérationnels dans le cadre de leurs activités courantes, et plus généralement la «culture de contrôle» de l organisation. Pour développer cette maîtrise des processus, de nombreuses organisations ont ainsi défini et mis en œuvre, souvent sous la houlette du RSSI, des procédures, des responsabilités, et le reporting associé, via des démarches ITIL, CMMI ou ISO selon les thèmes adressés. Concrètement, en matière de sécurité SI, des processus d habilitation, de sauvegarde ou de gestion des changements ont ainsi été définis. Le contrôle permanent : un nouveau Graal en matière de sécurité du SI? Sur ces bases, il est alors possible de vérifier régulièrement que les mesures de maîtrise des risques sont bien définies et implémentées par les opérationnels. Il s agit en effet de vérifier que la pertinence et la qualité de réalisation des contrôles sont adaptées aux enjeux : c est l objet du dispositif de contrôle permanent. Le contrôle permanent devient alors un élément clé du dispositif global de contrôle interne : en s appuyant sur les auto-évaluations effectuées par les opérationnels, et bien souvent en menant des contrôles complémentaires, il permet de s engager de façon pérenne sur le niveau de sécurité du SI, et également de répondre plus aisément aux exigences d audit. Prenons, à titre d exemple, le cas du processus de sauvegarde des données : un audit de sécurité se contentera de contrôler que les «Portraits Chrystel-Anne POMEL Responsable adjointe de la Direction de la sécurité du SI de Natixis et ses filiales Chrystel-Anne POMEL est responsable adjointe de la Direction de la sécurité du système d information (SSI) de Natixis et de ses filiales. Elle assure notamment le pilotage de grands projets transverses liés à la sécurité sur l ensemble du périmètre de Natixis et de ses filiales. «Adossé au groupe BPCE, n 2 du secteur bancaire français, Natixis compte trois métiers cœurs : la banque de financement et d investissement, l épargne et les services financiers spécialisés. Rattachée à la Direction de la conformité, la Direction SSI joue pour l ensemble du groupe un rôle de conseil (par exemple l élaboration des politiques de sécurité) et de contrôle en matière de sécurité du SI. Dans ce cadre, la mise en place d un dispositif de contrôle permanent est essentielle pour garantir et améliorer le niveau de maîtrise du SI en matière de sécurité. Elle constitue une étape majeure de la stratégie de contrôle permanent de l ensemble des risques du SI de Natixis. Ce projet ambitieux et complexe qui concerne directement les différents pôles informatiques et leurs responsables sécurité est piloté au plus haut niveau par la Direction des systèmes d information et la Direction de la conformité qui en attendent une amélioration significative de la visibilité sur le niveau de sécurité du SI du groupe.» «La mise en place d un dispositif de contrôle permanent est essentielle pour garantir et améliorer le niveau de maîtrise du SI en matière de sécurité» Chrystel-Anne POMEL 2 La Lettre Sécurité N 20 Octobre 2009

3 sauvegardes prévues ont bien été effectuées, généralement par sondage sur quelques supports. Le contrôle interne apportera un premier niveau de garantie, en décrivant le cadre méthodologique (politique, procédures et modes opératoires) à appliquer. Le contrôle permanent, en vérifiant à une fréquence régulière (quotidienne, hebdomadaire, etc.) que ce cadre est bien respecté, ou que les écarts sont bien identifiés et traités, apporte finalement un niveau de confort encore plus élevé. «Un dispositif de contrôle permanent permet, par le biais d un cadre méthodologique et d un catalogue d outils, d avoir des résultats opposables à l échelle du groupe en termes d évaluation du niveau de sécurité et d exposition aux menaces sur le SI» ajoute Philippe Stévenin, Responsable sécurité informatique et télécoms entreprise du groupe SNCF. On le voit, convaincre du bien-fondé d une telle approche n est pas réellement délicat : chacun conçoit aisément qu un contrôle plus fréquent, même moins poussé, complète heureusement des vérifications plus approfondies mais ponctuelles. En revanche, les vraies difficultés apparaissent lorsqu il s agit de définir concrètement le processus de contrôle, son périmètre, l organisation associée, etc. Et plus encore lorsqu il s agit d établir le plan d évolution vers le Graal que l on a ainsi fait miroiter aux clients de la DSI. Ce sont ces deux aspects que nous vous proposons d approfondir dans la suite de ce dossier. Florian CARRIERE «Un dispositif de contrôle permanent permet d avoir des résultats opposables en termes d évaluation du niveau de sécurité et d exposition aux menaces sur le SI» Philippe STÉVENIN Phillippe STÉVENIN Responsable sécurité informatique et télécoms entreprise du groupe SNCF Philippe STÉVENIN, Responsable sécurité informatique et télécoms entreprise (RSIT-E), est en charge du pôle Sécurité des SI (DSIT-SEC) sur le périmètre du groupe SNCF. Il assure notamment, le pilotage des budgets et des projets liés à la sécurité des SI, l assistance à maîtrise d ouvrage sécurité sur les projets, le pilotage des raccordements des accès externes au SI, la coordination de la gestion de crise SSI et l animation des cellules de gestion opérationnelle de la sécurité et d audits & contrôles de la sécurité du SI. «Mis en place en 2007 au sein de la SNCF, le plan de contrôle SSI est un vrai succès avec une adhésion totale de toute l entreprise. La SNCF n est pas soumise à des contraintes réglementaires spécifiques, aussi la mise en œuvre d un plan de contrôle s inscrit dans une démarche de prise de mesure terrain des risques liés à la sécurité du SI. L équipe Audits & contrôles de la sécurité du SI est constituée aujourd hui de 5 personnes et la mise en œuvre du plan de contrôle mobilise environ 10 ETP au niveau des relais opérationnels et des équipes locales. L équipe Audits & contrôles est en charge de la réalisation des audits et contrôles de niveau 2 et du pilotage de la réalisation des contrôles de niveau 1 par les opérationnels.* Pour les contrôles de niveau 2, cette équipe réalise tous les ans plus d une cinquantaine de contrôles basés sur une quinzaine de méthodologies ciblées (gestion des sauvegardes, sécurité des applications web, sécurité physique et environnementale des locaux IT, gestion des infogérants, etc.). Pour les contrôles de niveau 1, l équipe pilote tous les ans la réalisation de plus de 60 autocontrôles (comprenant 200 points de contrôle) au sein des différentes entités avec une mise à disposition progressive de l outil auprès des filiales du groupe». La SNCF en quelques chiffres : collaborateurs 25 milliards d euros de chiffre d affaires Plus de filiales * Voir explication de la notion de «niveaux» dans l article page 4. Octobre 2009 La Lettre Sécurité N 20 3

4 n spécial Assises de la Sécurité 2009 Une cible de contrôle permanent à adapter au contexte de l entreprise Comment définir sa cible en matière de contrôle permanent de la sécurité? Il faut tout d abord définir son «modèle» de contrôle (à deux ou trois niveaux) et l organisation associée, puis les contrôles à réaliser à chaque niveau. Le maître-mot : construire en s appuyant sur les organisations et pratiques existantes... Un modèle de contrôle à deux ou trois niveaux En fonction du contexte de l entreprise (réglementaire, organisationnel, etc.), le contrôle interne se décline en un modèle à deux ou trois niveaux. Le contrôle permanent de la sécurité, qui s inscrit dans la démarche globale de contrôle interne, se décline selon le même modèle. Le niveau 1 comprend les contrôles réalisés «au quotidien» par les équipes opérationnelles elles-mêmes (remontées d indicateurs, contrôles techniques et méthodologiques, etc.). Il est intégré à leurs procédures et processus réguliers, selon le principe de «l autocontrôle». Il s agit par exemple de s assurer que les infections virales sont maîtrisées par consultation quotidienne des logs et reporting au niveau d une console centrale, de revoir de manière régulière les droits utilisateur d une application, de s assurer que l application des correctifs de sécurité se fait en accord avec Modèle à deux ou trois niveaux la politique de sécurité, etc. Ces contrôles de niveau 1 sont souvent largement automatisés et industrialisés. Le niveau 2 comprend les contrôles permettant, d une part, de vérifier la validité des contrôles de niveau 1 effectués par les opérationnels et, d autre part, de faire le lien avec la maîtrise des risques métiers et stratégiques. C est le niveau des «contrôles de conformité». Il s agit par exemple de vérifier que les contrôles de droits d accès sont effectivement menés et suivis de mesures correctives, de conduire des revues des tests PCA, etc. Le niveau 2 est réalisé par une équipe indépendante des équipes opérationnelles, et idéalement indépendante de la DSI. Il peut s agir de la «filière contrôle», en charge du fonctionnement du dispositif de contrôle interne au sein de l entreprise ou, par délégation, de la filière sécurité (RSSI) : par exemple une cellule «contrôles» rattachée au RSSI, agissant par délégation de la Direction du contrôle interne ou de la Direction de l audit et des risques. Le niveau 3 est en dehors du périmètre du contrôle permanent : il comprend les contrôles périodiques diligentés par une entité externe au contrôle permanent (Inspection générale, Contrôle général, etc.). Il intègre également les audits externes. Dans le secteur bancaire où le contrôle est largement développé et réglementé, les trois niveaux existent le plus souvent. Dans d autres secteurs, les fonctions de niveau 2 et 3 peuvent ne pas être dissociées ou être réalisées par les mêmes équipes. Les processus de contrôle et les outils associés Le contrôle permanent de la sécurité s articule autour de plusieurs processus clés à décliner dans l entreprise. Il comprend tout d abord les processus de définition et de pilotage du contrôle permanent, incluant l identification du «périmètre ciblé» : que faut-il intégrer dans le contrôle permanent de la sécurité? Et par quoi commencer? Ce choix doit être réalisé en prenant en compte notamment la réglementation s appliquant à l entreprise, les référentiels qu elle utilise, mais en considérant aussi des critères liés aux actifs à protéger : actifs critiques, spécifiquement menacés, faisant l objet d incidents ou d attaques répétés. Le choix du périmètre ciblé en priorité peut aussi s appuyer dans un premier temps sur le «ressenti terrain» des experts sécurité et des équipes opérationnelles : «dans notre cas, les analyses de risques SSI sont arrivées bien après la mise en œuvre du plan de contrôle. Si elles permettent de relativiser les thèmes et périmètres à contrôler en fonction des enjeux métiers, les contrôles SSI que nous avons réalisés jusque là nous aident à objectiver les analyses de risques en les confrontant aux réalités du terrain» indique Philippe Stévenin (SNCF). Le contrôle permanent inclut également des processus de pilotage et de réalisation des contrôles de niveau 1 et 2. Dans ce cadre, il faut d abord choisir les contrôles à effectuer. Ceci peut être réalisé à l aide de référentiels méthodologiques pour disposer des mêmes techniques et échelles d évaluation pour l ensemble des contrôles. L utilisation de référentiels de mesure partagés entre métiers et IT (COBIT par exemple) est souvent mise en avant. Comme l explique Chrystel-Anne 4 La Lettre Sécurité N 20 Octobre 2009

5 Pomel (Natixis), utiliser un référentiel reconnu comme COBIT, qui dépasse le seul domaine de la sécurité SI, permet de fédérer plus facilement les approches existantes comme ITIL ou CMMI. «L enjeu est de s appuyer sur un référentiel permettant d adosser les moyens informatiques mis en œuvre et leur niveau de sécurité avec les enjeux business de Natixis», affirme-t-elle. «De plus, cela permet de disposer d un langage commun avec l Inspection générale». «Pour autant», comme l explique Philippe Stévenin, «les contrôles doivent aussi être pragmatiques et proches des réalités opérationnelles ; il ne faut pas se baser uniquement sur des référentiels». Ainsi, pour les contrôles de niveau 1 notamment, il est le plus souvent préférable de définir les contrôles de manière conjointe avec les opérationnels et ainsi d insérer les contrôles dans les processus existants, élément clé de réussite de la démarche. Des outils techniques pour réaliser les contrôles sur le SI doivent également être identifiés pour permettre la mesure du niveau de vulnérabilité des composants SI. Ces outils contribuent à l automatisation des contrôles. À ce titre, l élaboration de fiches de contrôles permanents, selon un formalisme standard, est un passage obligé. Ces documents doivent légitimer les contrôles menés, en présentant les objectifs et la démarche retenue. Enfin, un processus de suivi du contrôle permanent coordonné par le niveau 2 est nécessaire. Il doit répondre à trois objectifs : mesurer le niveau de sécurité du SI et la qualité des contrôles au moyen d échelles de mesures communes piloter la démarche sécurité en identifiant les chantiers d amélioration tenir informé les décideurs en alimentant les tableaux de bord sécurité du SI. «L efficacité de ce dispositif dans le temps implique la mise en place d un suivi régulier. Un reporting adapté aux différents niveaux hiérarchiques est essentiel» confirme Chrystel-Anne Pomel. Formaliser et coordonner les pratiques existantes Le plus souvent, la démarche de contrôle permanent de la sécurité ne fait que formaliser, structurer et renforcer des pratiques existantes : «le message vers les porteurs de contrôles est simple : vous faites du contrôle permanent depuis des années sans le savoir ; cette démarche contribue à mettre en évidence la qualité de votre travail» conclut Chrystel-Anne Pomel. Il reste cependant à cadrer, coordonner et structurer «de bout en bout» la filière de contrôle permanent, tout en évitant les redondances de responsabilités et de contrôles, pour obtenir une vue d ensemble répondant aux objectifs de contrôle et de maîtrise des risques. Sylvain ROGER Processus clés du contrôle permanent Octobre 2009 La Lettre Sécurité N 20 5

6 n spécial Assises de la Sécurité 2009 Insuffler progressivement une culture de contrôle La mise en place d un dispositif de contrôle permanent de la sécurité du SI constitue un projet à part entière qui doit être adapté à la taille et au contexte de l entreprise. La réussite d un tel projet est fortement liée à la possibilité de fournir des résultats à court terme et de créer une dynamique pour insuffler une culture de contrôle au sein de l entreprise. Véritable projet transverse, la mise en place d un dispositif de contrôle permanent de la sécurité doit avant tout bénéficier d un appui fort de la Direction générale en termes de légitimité et de ressources allouées à sa mise en œuvre. Aussi, comme l explique Philippe Stévenin (SNCF), «il faut commencer par mobiliser la Direction générale en expliquant que, sans contrôles réguliers, le RSSI ne dispose pas d indicateurs pertinents pour justifier sa stratégie sécurité et les budgets engagés pour couvrir les risques». Privilégier une stratégie de mise en œuvre par étapes Avant toute chose, il est préférable d identifier et de définir les points de contrôle le plus en amont possible, par exemple dès la formalisation des politiques de sécurité ou la définition des mesures de sécurité dans les projets. Ensuite, deux approches concurrentes sont possibles : choisir un domaine et le traiter exhaustivement ou bien, au contraire, choisir des points de contrôle répartis sur différents domaines. Selon Chrystel-Anne Pomel (Natixis), «la seconde approche a l avantage de commencer à sensibiliser toutes les équipes, sans les solliciter excessivement». Pour faire connaître la nouvelle organisation de contrôle permanent et privilégier des retours d expérience rapides et fréquents, il est recommandé d opter pour une stratégie de mise en œuvre progressive. «Il faut compter plusieurs années pour installer un dispositif de contrôle permanent complet et «industrialisé» : les lots et leur déploiement doivent intégrer cette donnée, atteindre des objectifs concrets rapidement pour éviter «l effet tunnel» et la démotivation devant l ampleur des actions à mener» ajoute Chrystel-Anne Pomel. Une première phase pilote (cadencée, par exemple, sur une première année) peut être l occasion de développer la culture de contrôle au sein des différentes entités et de familiariser l entreprise avec la réalisation de contrôles permanents à grande échelle. Le choix des thèmes et périmètres des «contrôles pilotes» doit être opéré en fonction des activités critiques de l entreprise, en cohérence avec l analyse des risques, en ciblant si possible des périmètres démonstratifs pour interpeller les décideurs. Comme le précise Philippe Stévenin, «dans un premier temps, pour faire réagir et sensibiliser la Direction, il est intéressant de réaliser une prise de mesure sur des sujets que l on suppose mal maîtrisés (par exemple la gestion des habilitations)». Une autre approche consiste à choisir des périmètres fonctionnels suffisamment délimités pour permettre aux acteurs d appréhender complètement la démarche et de s investir à la hauteur de leurs moyens sur un nombre limité de points de contrôle. Aussi, selon Chrystel-Anne Pomel, «privilégier dans un premier temps les domaines d excellence de la DSI est le meilleur moyen pour créer la dynamique nécessaire». Faire adhérer rapidement l ensemble des acteurs Une fois le périmètre de «contrôles pilotes» défini, les équipes opérationnelles (relais sécurité et entités contrôlées) doivent être accompagnées dans la réalisation des contrôles. L appui de la Direction est certes essentiel pour initier la démarche de mise en œuvre d un dispositif de contrôle permanent, mais il est tout aussi important de faire adhérer rapidement l ensemble des acteurs impliqués dans la réalisation et le suivi des contrôles en communiquant sur l organisation et sur les résultats des 6 La Lettre Sécurité N 20 Octobre 2009

7 «contrôles pilotes». L objectif à moyen terme est de créer une dynamique dans laquelle les entités deviendront pleinement actrices des contrôles et solliciteront directement la filière SSI pour réaliser des contrôles sur des périmètres perçus comme faiblement sécurisés ou sensibles. Pour faciliter la conduite du changement, il convient de : Communiquer «positivement» sur le dispositif mis en place : la démarche de contrôle permanent n est pas définie dans un objectif répressif, mais bien en vue d améliorer la sécurité du SI et peut présenter de réels avantages pour les équipes : déclenchement de financement de plans d améliorations de la sécurité, mise en oeuvre et donc amélioration de la qualité de service sur leur périmètre, etc. Porter une attention particulière à la formalisation de recommandations applicables. Comme l explique Chrystel-Anne Pomel, «le dispositif de contrôle permanent doit permettre des relations constructives avec les équipes contrôlées : nous attendons de ces contrôles qu ils favorisent des recommandations opérationnelles, concrètes, allant au-delà du simple constat d absence de procédure». Ne pas négliger la charge nécessaire au suivi et à la mise en œuvre des plans d actions : selon Philippe Stévenin, «il est difficile d assurer un réel suivi de l ensemble des recommandations émises dans le cadre des contrôles (plusieurs centaines par an). Aussi, il convient d isoler annuellement 4 ou 5 actions critiques au niveau de l entreprise et de s en occuper en priorité. C est également le rôle de la filière Sécurité d identifier les actions critiques, de les suivre et de susciter des décisions de la Direction pour lancer de grands projets sécurité». S appuyer sur les retours d expérience A l issue de la phase de réalisation des «contrôles pilotes», un retour d expérience doit être réalisé, afin d identifier les réussites et les faiblesses de la démarche et de mettre en évidence les axes d amélioration pour les évolutions futures du plan de contrôle. Ce retour d expérience doit porter aussi bien sur la démarche globale de contrôle (organisation, pilotage et moyens mis en œuvre) que sur chaque contrôle individuellement, et s appuie sur différentes sources d information : interviews de certaines entités qui ont participé à la réalisation des contrôles (adhésion à la démarche, accompagnement des équipes, attentes pour les évolutions futures, etc.), étude de la pertinence des résultats remontés au regard de la charge réelle associée à la mise en œuvre de chaque contrôle, etc. Il doit mettre en évidence l efficacité des différents contrôles (thèmes et périmètres organisationnels) et permettre d arbitrer sur les contrôles qu il est opportun de maintenir, abandonner ou faire évoluer. Avec l extension du périmètre, il s agira ensuite de définir et de mettre en œuvre des outils pour faciliter l industrialisation du plan de contrôle : collecte des informations auprès des équipes opérationnelles, suivi des plans d actions, reporting, etc. Toutefois, même en phase d industrialisation, pour poursuivre la démarche d amélioration continue et de réévaluation de l efficacité du dispositif, il est important de continuer la formalisation de retours d expérience à intervalles réguliers (par exemple tous les ans). En effet, le contrôle permanent ne mesure bien entendu que ce pour quoi il a été conçu, il doit luimême être mis sous contrôle et à cet effet, il est essentiel de maintenir une démarche de réalisation d audits périodiques. Enfin, pour conclure, une dernière réflexion : d un point de vue opérationnel, le contrôle permanent peut être perçu comme un nouveau niveau de contraintes et de règles fastidieuses à respecter. Ce serait malheureusement occulter l apport de ce dispositif à mettre en évidence les contributions de chacun dans une démarche d amélioration du niveau de sécurité du SI. Or il s agit là, comme chacun sait, de la meilleure incitation possible à la performance Il conviendra donc de s en souvenir chaque fois que la résistance au changement remettra en cause la motivation collective à avancer vers ce but commun. Vincent ROYER Octobre 2009 La Lettre Sécurité N 20 7

8 Solucom en bref Solucom 5 ème acteur du conseil SI en France Solucom est un cabinet de conseil en management et système d information. Les clients de Solucom sont dans le top 200 des grandes entreprises et administrations. Pour eux, Solucom est capable de mobiliser et de conjuguer les compétences de près de collaborateurs. Sa mission? Porter l innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d information un véritable actif au service de la stratégie de l entreprise. Solucom s appuie pour cela sur une palette d offres, organisée en 6 practices, alignées sur les enjeux 2009 de ses clients et sur une organisation lui permettant de conjuguer sans couture l ensemble des compétences présentes au sein de ses équipes : Stratégie & management Transformation SI Gouvernance SI Télécoms & innovation Architecture SI Sécurité & risk management. Pour en savoir plus : Une practice Sécurité & risk management au service de votre actualité Forte de 150 consultants, la practice Sécurité & risk management de Solucom intervient sur tous les aspects de la sécurité des systèmes d information. Voici un rapide tour d horizon des thématiques majeures sur lesquelles nous intervenons actuellement. Audit et management de la sécurité : de l audit ponctuel au contrôle permanent Fiabiliser leur engagement quant au niveau de sécurité du SI est une préoccupation récente des DSI et des RSSI. Si ces derniers sont rompus aux audits de sécurité des SI, ils sont généralement moins confiants sur le niveau de sécurité garanti en dehors de ces contrôles ponctuels. Ainsi, nous accompagnons actuellement plusieurs clients dans la mise en place de leur processus de contrôle permanent, afin d assurer au quotidien la maîtrise des processus et mesures de sécurité mis en œuvre pour diminuer les risques, et améliorer ainsi le niveau de sécurité. Identity management : enfin de véritables réalisations pour la fédération d identités Autre sujet en plein essor, longtemps cantonné à la veille technologique, voire aux études d opportunité, la fédération d identités aborde aujourd hui une nouvelle phase, celle des réalisations concrètes. Au-delà des gains attendus par les équipes informatiques, les véritables moteurs de ce service sont le confort et l ergonomie qu il offre aux utilisateurs finaux. Nous menons actuellement plusieurs projets visant à faciliter et à sécuriser les échanges entre différents types d acteurs. Plan de continuité d activité : la pandémie grippale s impose dans les PCA Enfin, une menace actuellement très médiatisée : si de nombreuses entreprises avaient écarté le scénario de pandémie grippale lors de la constitution de leur Plan de Continuité d Activité (PCA), elles se voient aujourd hui contraintes de prendre en compte rapidement cette menace. Solucom accompagne en ce moment plusieurs de ses clients dans l élaboration de leur réponse à la grippe A. La menace de pandémie requiert à la fois une organisation sans faille et des outils SI opérationnels (le plus souvent en travail à distance) pour les activités critiques. Une gestion de crise efficace est bien sûr nécessaire, afin de permettre la réactivité et des réponses adaptées à l évolution de la pandémie avec à la clé un exercice grandeur nature cet automne! Depuis 2008, Solucom est certifié ISO/IEC 27001:2005 pour ses prestations d audits de sécurité des systèmes d information. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Florian Carrière, Marion Couturier, Clotilde Henriot, Brieg Le Dean, Laurent Perruche, Sylvain Roger, Vincent Royer. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue trimestrielle de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris-La-Défense abonnement :

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION SUR LES CONDITIONS DE PRÉPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL AINSI QUE SUR LES PROCÉDURES DE CONTRÔLE INTERNE MISES EN PLACE PAR LA SOCIÉTÉ

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

3. Rapport du Président du conseil d administration

3. Rapport du Président du conseil d administration 3. Rapport du Président du conseil d administration Conformément aux dispositions de l article L.225-37 du code de commerce, le président du conseil d administration rend compte, au terme de ce rapport,

Plus en détail

BCBS 239 Repenser la gestion des données Risques

BCBS 239 Repenser la gestion des données Risques 1 BCBS 239 Repenser la gestion des données Risques Etude Ailancy du 19 janvier 2015 2 1. Quelques mots sur Ailancy 2. Présentation de BCBS 239 et de ses impacts pour les Banques QUELQUES MOTS SUR AILANCY

Plus en détail

Plan de Continuité d Activité, Plan de Reprise d Activité

Plan de Continuité d Activité, Plan de Reprise d Activité Plan de Continuité d Activité, Plan de Reprise d Activité Synthèse de la conférence thématique du CLUSIF du 10 avril 2014. Aujourd hui, toutes les entreprises et organisations, quel que soit leur secteur,

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

Réalisation d un «Schéma Directeur Informatique»

Réalisation d un «Schéma Directeur Informatique» Réalisation d un «Schéma Directeur Informatique» Qu est ce qu un Schéma Directeur Informatique (SDI)? Un Schéma Directeur Informatique est un document conçu pour préparer l évolution et l adaptation de

Plus en détail

CHARTE ACTION LOGEMENT SUR :

CHARTE ACTION LOGEMENT SUR : CHARTE ACTION LOGEMENT SUR : LA GESTION DES RISQUES LE CONTROLE INTERNE L AUDIT INTERNE Validée par le Conseil de surveillance du 18 septembre 2013 1/22 SOMMAIRE INTRODUCTION... 3 I. LE CADRE DE REFERENCE...

Plus en détail

Présentation du cabinet

Présentation du cabinet Présentation du cabinet Medi Experts Conseil en Management des Organisations Stratégie, Capital Organisation Humain, Organisation, Ressources Humaines et Systèmes d information. Systèmes d Information

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité? Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1 Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle

Plus en détail

Piloter le contrôle permanent

Piloter le contrôle permanent Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF

Plus en détail

ISO 27001 conformité, oui. Certification?

ISO 27001 conformité, oui. Certification? ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche

Plus en détail

Gérer concrètement ses risques avec l'iso 27001

Gérer concrètement ses risques avec l'iso 27001 SMSI Oui! Certification? Peut être Gérer concrètement ses risques avec l'iso 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 23 octobre 2008 Agenda 1. L'ISO 27001 : pour

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Formation - Manager les projets de la DSI

Formation - Manager les projets de la DSI QUALIPSO Formation - Manager les projets de la DSI 4 x 2 jours + 2 jours de bilan Instaurer le PMO pour le support réactif des chefs de projet et l arbitrage et l équilibrage de portefeuille de projets

Plus en détail

S26B. Démarche de de sécurité dans les projets

S26B. Démarche de de sécurité dans les projets S26B Démarche de de sécurité dans les projets Théorie et et réalité Patrick CHAMBET Bouygues Telecom http://www.chambet.com Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com

Plus en détail

Les pratiques du sourcing IT en France

Les pratiques du sourcing IT en France 3 juin 2010 Les pratiques du sourcing IT en France Une enquête Solucom / Ae-SCM Conférence IBM CIO : «Optimisez vos stratégies de Sourcing» Laurent Bellefin Solucom en bref Cabinet indépendant de conseil

Plus en détail

Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC

Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC Le 5 Mars 2015 Version de travail Projet Février 2015-1 Ordre du jour Avancement des travaux Rappel du

Plus en détail

Formation - Manager les projets de la DSI

Formation - Manager les projets de la DSI QUALIPSO Formation - Manager les projets de la DSI 4 x 2 jours + 2 jours de bilan Instaurer le PMO pour le support réactif des chefs de projet et l arbitrage et l équilibrage de portefeuille de projets

Plus en détail

Plaisir, le 19 Décembre 2011 Rapport sur le contrôle interne et le gouvernement d entreprise.

Plaisir, le 19 Décembre 2011 Rapport sur le contrôle interne et le gouvernement d entreprise. Plaisir, le 19 Décembre 2011 Rapport sur le contrôle interne et le gouvernement d entreprise. LES DISPOSITIFS DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE L objet de ce rapport est de rendre compte aux

Plus en détail

La Gestion Electronique des Documents

La Gestion Electronique des Documents La Gestion Electronique des Documents La mise en place d une solution La gestion de l information est devenue un enjeu stratégique majeur à l intérieur des organisations. D après l observation des projets

Plus en détail

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Yphise optimise en Coût Valeur Risque l informatique d entreprise Réussir le Service Management avec ISO 20000-1 Novembre 2007 Xavier Flez yphise@yphise.com Propriété Yphise 1 Introduction (1/2) Il existe une norme internationale sur le Service Management en plus d ITIL

Plus en détail

Périmètre d Intervention. Notre Offre

Périmètre d Intervention. Notre Offre 5 Nos Références 4 Nos Valeurs 3 Périmètre d Intervention 1 2 Notre Offre 1 La société La Société Qui sommes nous? 20 ans d expérience - 4 ans d existence Management des Systèmes d information Performance

Plus en détail

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L. 225-37 DU CODE DE COMMERCE)

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L. 225-37 DU CODE DE COMMERCE) RAPPORT DE GESTION, ÉTATS FINANCIERS ET INFORMATIONS FINANCIÈRES COMPLÉMENTAIRES 3 3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L. 225-37 DU CODE DE COMMERCE) Pour l élaboration du présent

Plus en détail

PSSI générique et management de la sécurité

PSSI générique et management de la sécurité PSSI générique et management de la sécurité Dominique Launay Pôle SSI RENATER Séminaire des correspondants Sécurité 13 juin 2012, Strasbourg agenda introduction au projet PSSI générique introduction aux

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

DIRECTION DE L INFORMATION LEGALE

DIRECTION DE L INFORMATION LEGALE FICHE DE DESCRIPTION DE POSTE DIRECTION DE L INFORMATION LEGALE ET ADMINISTRATIVE TITULAIRE DU POSTE Nom : RESPONSABLE HIERARCHIQUE DIRECT Nom : CHAUMONT Anne Laure Prénom : Fonction : Visa : Visa : Date

Plus en détail

CONSULTING, BANQUE & ASSURANCE. axiwell LE SENS DE L ESSENTIEL

CONSULTING, BANQUE & ASSURANCE. axiwell LE SENS DE L ESSENTIEL CONSULTING, BANQUE & ASSURANCE axiwell LE SENS DE L ESSENTIEL SOMMAIRE Édito... page 3 Axiwell Financial Services... Exemples de missions réalisées... Nos offres spécifiques... Risques / Conformité / Réglementaire...

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité :

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité : Fiche Pratique PRA - PCA Club des Responsables d Infrastructures et de Production L audit de la continuité d activité d un organisme La continuité d activité correspond à la capacité d un organisme (entreprise

Plus en détail

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,

Plus en détail

Leader de l Actuariat Conseil et de la Gestion des Risques

Leader de l Actuariat Conseil et de la Gestion des Risques Leader de l Actuariat Conseil et de la Gestion des Risques Optimind Winter respecte les meilleurs standards européens sur l ensemble des expertises associées à la chaîne des risques des organismes assureurs,

Plus en détail

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique. Introduction Un projet ITIL n est pas anodin Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique. Un projet ITIL ne peut

Plus en détail

ZODIAC AEROSPACE Page 1 sur 7

ZODIAC AEROSPACE Page 1 sur 7 Plaisir, le 18 décembre Rapport sur le contrôle interne et le gouvernement d entreprise DISPOSITIFS DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE Cette partie du rapport s appuie sur le cadre de référence

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON RAPPORT DU PRESIDENT A L ASSEMBLÉE GÉNÉRALE ORDINAIRE DU 1er JUIN 2004 SUR

Plus en détail

Japanese SOX. Comment répondre de manière pragmatique aux nouvelles obligations en matière de contrôle interne

Japanese SOX. Comment répondre de manière pragmatique aux nouvelles obligations en matière de contrôle interne Japanese SOX Comment répondre de manière pragmatique aux nouvelles obligations en matière de contrôle interne Avant-propos Au cours des dernières années, les législateurs à travers le monde ont émis de

Plus en détail

Vers l excellence opérationnelle de la DSI avec Lean Six Sigma

Vers l excellence opérationnelle de la DSI avec Lean Six Sigma Vers l excellence opérationnelle de la DSI avec Lean Six Sigma Dans le monde des services, Lean Six Sigma est en train de s imposer comme démarche d excellence opérationnelle et de progrès permanent. Au

Plus en détail

Charte du management des risques du groupe La Poste

Charte du management des risques du groupe La Poste Direction de l'audit et des Risques du Groupe Direction des Risques du Groupe Destinataires Tous services Contact Béatrice MICHEL Tél : 01 55 44 15 06 Fax : E-mail : beatrice.michel@laposte.fr Date de

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Créer un tableau de bord SSI

Créer un tableau de bord SSI Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com

Plus en détail

L Application Performance Management pourquoi et pour quoi faire?

L Application Performance Management pourquoi et pour quoi faire? Management pourquoi et pour quoi faire? Un guide pratique pour comprendre l intérêt des solutions d Application Management, à l heure où les systèmes d information sont au cœur de l efficacité opérationnelle

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

Les rôles respectifs des acteurs et des Instances dans la conduite d un projet informatique

Les rôles respectifs des acteurs et des Instances dans la conduite d un projet informatique Les rôles respectifs des acteurs et des Instances dans la conduite d un projet informatique Conduite de projet dossier Le souci de maîtriser des projets informatiques a donné lieu à de multiples tentatives

Plus en détail

Le RSSI: un manager transverse

Le RSSI: un manager transverse Le RSSI: un manager transverse Thomas Jolivet Responsable du pôle Conseil 20/06/2013 Agenda 1. Le RSSI :un manager pas comme les autres 2. Les Interactions entre la SSI et l organisation 3. Mobiliser les

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

Vous accompagner à la maîtrise de vos projets SIRH

Vous accompagner à la maîtrise de vos projets SIRH Vous accompagner à la maîtrise de vos projets SIRH I.Vous accompagner au pilotage métier de projet Le pilotage métier est le levier de sécurisation du projet de refonte SIRH. Avec Magn Ulteam, conjuguez

Plus en détail

Maîtrise des risques sur le système d information des banques : Enjeux réglementaires et prudentiels

Maîtrise des risques sur le système d information des banques : Enjeux réglementaires et prudentiels Secrétariat général de la Commission bancaire Maîtrise des risques sur le système d information des banques : Enjeux Forum des Compétences 7 décembre 2005 Pierre-Yves Thoraval Secrétaire général adjoint

Plus en détail

La professionnalisation de la fonction «ressources humaines» au sein des établissements de santé est donc en Ile-de- France un enjeu majeur.

La professionnalisation de la fonction «ressources humaines» au sein des établissements de santé est donc en Ile-de- France un enjeu majeur. Annexe : extrait du programme fonctionnel 1- Périmètre 1.1. Contexte du projet L Agence régionale de santé d Ile de France L Agence Régionale de Santé (ARS) est la clef de voûte de la nouvelle organisation

Plus en détail

Réussir sa transformation grâce à l architecture d entreprise

Réussir sa transformation grâce à l architecture d entreprise POINT DE VUE Réussir sa transformation grâce à l architecture d entreprise Delivering Transformation. Together. Hichem Dhrif Hichem est Directeur de la division Défense et Sécurité de Sopra Steria Consulting.

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

Le management des risques de l entreprise

Le management des risques de l entreprise présentent Le management des risques de l entreprise Cadre de Référence Techniques d application COSO II Report Préface de PHILIPPE CHRISTELLE Président de l Institut de l Audit Interne et de SERGE VILLEPELET

Plus en détail

Tous droits réservés SELENIS

Tous droits réservés SELENIS 1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,

Plus en détail

Sécurité de l information : vers une convergence des approches par le risque et par l audit?

Sécurité de l information : vers une convergence des approches par le risque et par l audit? Sécurité de l information : vers une convergence des approches par le risque et par l audit? Retour d expérience Groupe France Télécom - Orange / Conix Security François Zamora Emmanuel Christiann Sébastien

Plus en détail

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier Sécurité Active Analyser l Renforcer l Maîtriser l Étudier Analyser l Renforcer l Maîtriser l Étudier L offre Sécurité Active évalue et fortifie les systèmes d information vis-à-vis des meilleures pratiques

Plus en détail

LIVRE BLANC. Dématérialisation des factures fournisseurs

LIVRE BLANC. Dématérialisation des factures fournisseurs LIVRE BLANC 25/03/2014 Dématérialisation des factures fournisseurs Ce livre blanc a été réalisé par la société KALPA Conseils, société créée en février 2003 par des managers issus de grandes entreprises

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

JOURNÉE PORTES OUVERTES

JOURNÉE PORTES OUVERTES JOURNÉE PORTES OUVERTES Approfondir l utilisation d outils RH vers une gestion dynamique et prospective des RH 7 octobre 2014 Mission Conseils et Organisation RH Face aux contraintes d activités, l évolution

Plus en détail

Yphise accompagne l équipe de management des DSI. Séminaires de réflexion destinés aux décideurs et managers

Yphise accompagne l équipe de management des DSI. Séminaires de réflexion destinés aux décideurs et managers Yphise accompagne l équipe de management des DSI Séminaires de réflexion destinés aux décideurs et managers La réflexion pluridisciplinaire des managers DSI Formations par métier d une informatique : voir

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

INTRODUCTION A LA VEILLE METHODE ET OUTILS. Christophe GINESY - Cyril PEREIRA

INTRODUCTION A LA VEILLE METHODE ET OUTILS. Christophe GINESY - Cyril PEREIRA INTRODUCTION A LA VEILLE METHODE ET OUTILS Christophe GINESY - Cyril PEREIRA PLAN GENERAL I INTRODUCTION Définition : veille, IE, recherches d information II NOTRE APPROCHE Constats, retours d expérience

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

Étude des métiers du contrôle dans la banque

Étude des métiers du contrôle dans la banque Observatoire des métiers, des qualifications et de l égalité professionnelle entre les femmes et les hommes dans la banque Étude des métiers du contrôle dans la banque Paris, le 15 décembre 2009 0 Table

Plus en détail

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE

Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE Management par les processus les éléments structurants Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise en

Plus en détail

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés. 2014.

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés. 2014. Practice Finance & Risk Management BCBS 239 enjeux et perspectives 2014 Contexte du BCBS 239 2 Une nouvelle exigence Les Principes aux fins de l agrégation des données sur les et de la notification des

Plus en détail

Conformité et efficience de la délégation de gestion : vers une norme de marché

Conformité et efficience de la délégation de gestion : vers une norme de marché INFO # 28 Conformité et efficience de la délégation de gestion : vers une norme de marché CONTEXTE ACTUEL DE LA DÉLÉGATION DE GESTION Une accélération sensible des mutations autour de l activité de délégation

Plus en détail

Utilisation de la méthode EBIOS :

Utilisation de la méthode EBIOS : Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université

Plus en détail

FILIÈRE METHODOLOGIE & PROJET

FILIÈRE METHODOLOGIE & PROJET FILIÈRE METHODOLOGIE & PROJET 109 Gestion de projet METHODOLOGIE ET PROJET Durée 3 jours Conduite de projet COND-PRO s Intégrer les conditions de réussite d une démarche de management par projet. Impliquer

Plus en détail

Gouvernance de la sécurité des systèmes d information

Gouvernance de la sécurité des systèmes d information Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

Plus en détail

L essentiel Parcours de personnes âgées :

L essentiel Parcours de personnes âgées : ANTICIPER ET COMPRENDRE L essentiel Parcours de personnes âgées : l animation territoriale MARS 2013 Une réflexion sur l animation territoriale de l offre Les enjeux liés à la démographie et au vieillissement

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 19 - Août 2009 La Lettre Sécurité Édito À l heure où de nombreuses entreprises préfèrent limiter les investissements sur leurs systèmes d information, l actualité montre, au contraire, que l anticipation

Plus en détail

M2S. Formation Gestion de projet. formation

M2S. Formation Gestion de projet. formation Formation Gestion de projet M2S formation Conduire et gérer un projet Construire et rédiger un chahier des charges de projet Conduite de projet informatiques Découpage et planification de projet Les méthodes

Plus en détail

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 SOMMAIRE Synthèse et Conclusion... 1 Introduction... 4 1. La description

Plus en détail

Banque Accord redonne de l agilité à son système d information avec l aide de MEGA

Banque Accord redonne de l agilité à son système d information avec l aide de MEGA redonne de l agilité à son système d information avec l aide de MEGA À propos de Banque Accord : Filiale financière du groupe Auchan Seule banque française détenue à 100% par un distributeur 3 activités

Plus en détail

par le Réseau Anact avec le département d ergonomie de l université de Bordeaux

par le Réseau Anact avec le département d ergonomie de l université de Bordeaux Des difficultés à investir le champ des conditions de travail L évolution du monde du travail montre la prégnance des conditions et de l organisation du travail dans le de nouveaux risques. Ces questions

Plus en détail

Deux approches peuvent être. Analyse de données. Dossier : Audit

Deux approches peuvent être. Analyse de données. Dossier : Audit Dossier : Audit Analyse de données Mathieu Laubignat CISA, Auditeur informatique Les techniques d analyse des données, utilisées depuis 1998 au sein de l Audit Informatique du Groupe La Poste, constituent

Plus en détail

Management de transition Une réponse au besoin de sécuriser l organisation financière de l entreprise

Management de transition Une réponse au besoin de sécuriser l organisation financière de l entreprise Article paru dans la revue de l Association des Directeurs de Comptabilité et de Gestion, décembre 2007. Management de transition Une réponse au besoin de sécuriser l organisation financière de l entreprise

Plus en détail

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015 Optimisation de la gestion des risques opérationnels EIFR 10 février 2015 L ADN efront METIER TECHNOLOGIE Approche métier ERM/GRC CRM Gestion Alternative Approche Technologique Méthodologie Implémentation

Plus en détail

Le management des risques de l entreprise Cadre de Référence. Synthèse

Le management des risques de l entreprise Cadre de Référence. Synthèse Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction

Plus en détail

Comprendre la gouvernance de l informatique

Comprendre la gouvernance de l informatique Comprendre la gouvernance de l informatique Xavier Flez Novembre 2006 Propriété Yphise yphise@yphise.com 1 Plan Introduction Ce qu est la gouvernance informatique Sa traduction en terme de management opérationnel

Plus en détail

NOM DU PROJET. Contrat de projet commenté

NOM DU PROJET. Contrat de projet commenté Commentaire général préalable: Le «contrat de projet» présenté ci-après fait suite à la lettre de mission envoyée par le Directeur Général au Maître d Ouvrage d un projet. Il a 3 objectifs majeurs : -

Plus en détail

Présentation des formations en sécurité des systèmes d information

Présentation des formations en sécurité des systèmes d information Sarl au capital de 65 700 R.C.S. Evry B 423 410 901 N TVA : FR 61 423 410 901 Institut de formation NBS System Présentation des formations en sécurité des systèmes d information Sarl au capital de 65 700

Plus en détail

Urbanisation des Systèmes d'information

Urbanisation des Systèmes d'information Urbanisation des Systèmes d'information Les Audits de Systèmes d Information et leurs méthodes 1 Gouvernance de Système d Information Trois standards de référence pour trois processus du Système d Information

Plus en détail

ITIL v3. La clé d une gestion réussie des services informatiques

ITIL v3. La clé d une gestion réussie des services informatiques ITIL v3 La clé d une gestion réussie des services informatiques Questions : ITIL et vous Connaissez-vous : ITIL v3? ITIL v2? un peu! beaucoup! passionnément! à la folie! pas du tout! Plan général ITIL

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Que la stratégie soit belle est un fait, mais n oubliez pas de regarder le résultat. Winston Churchill PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Conseil en Organisation, stratégie opérationnelle

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

Fiche Pratique. Améliorer le pilotage des Opérations Informatiques ITIL. Club des Responsables d Infrastructures et de Production

Fiche Pratique. Améliorer le pilotage des Opérations Informatiques ITIL. Club des Responsables d Infrastructures et de Production Fiche Pratique ITIL Club des Responsables d Infrastructures et de Production Améliorer le pilotage des Opérations Informatiques Les Opérations Informatiques sont sensibilisées depuis plusieurs années aux

Plus en détail

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? DEVOPS et le déploiement d application Les Livres Blancs de MARTE Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? L alignement

Plus en détail

L expert-consolidation

L expert-consolidation L expert-consolidation Un savoir-faire reconnu dans les comptes consolidés au service de nos clients, Une expertise-métier également au service de nos confrères et partenaires pour leurs clients, Une offre

Plus en détail

étude de rémunérations

étude de rémunérations étude de rémunérations dans la finance de marché Les salaires des métiers de la Moe et de la Moa AVEC NOUS, VOTRE TALENT PREND DE LA VALEUR 1 Sommaire Le mot des dirigeants Présentation METIERS DE LA MOE

Plus en détail

Programme de Développement concerté de l Administration Numérique Territoriale

Programme de Développement concerté de l Administration Numérique Territoriale Programme de Développement concerté de l Administration Numérique Territoriale Les 4 principes directeurs 4 principes directeurs pour développer l Administration numérique territoriale a. Une gouvernance

Plus en détail

Étude : Les PME à l heure du travail collaboratif et du nomadisme

Étude : Les PME à l heure du travail collaboratif et du nomadisme Étude : Les PME à l heure du travail collaboratif et du nomadisme Synthèse des principaux enseignements Octobre 2012 sfrbusinessteam.fr FICHE TECHNIQUE DE L ETUDE Echantillon : 300 entreprises de 20 à

Plus en détail