QSE : qualité et gouvernance des systèmes d information
|
|
- Marie-Agnès Bélanger
- il y a 7 ans
- Total affichages :
Transcription
1 12 mai 2014 QSE : qualité et gouvernance des systèmes d information Module n 1 : les processus d'intégration de la dans les projets SI
2 Agenda 1. Introduction 2. Une démarche-type d'isp 2
3 Introduction Pourquoi la dans les nouveaux projets? Tout changement sur le SI induit de nouveaux risques de de l information Introduction d un nouveau composant Modification d un composant existant Des risques pour le Métier Des risques pour l ensemble du SI Si les besoins de du Métier ne sont pas pris en compte Ex: divulgation de données sensibles, indisponibilité d une application, etc. Si le changement induit de nouvelles failles de sur le SI Ex: ouverture du SI à l extérieur, nouvelles vulnérabilités techniques, etc. Le Métier doit être partie prenante de la démarche Le RSSI doit garantir le niveau global de pour le SI La réflexion liée à la doit être réalisée lors de tout changement sur le SI, notamment lors de la conduite de projets SI 3
4 HORS PERIMETRE PERIMETRE Introduction Application de la démarche d Intégration de la Sécurité dans les Projets Généralement tous les nouveaux projets SI Applicatifs et d infrastructure Réalisés en interne et externalisés Basé sur un développement spécifique et basé sur un outil de marché Idéalement, les maintenances évolutives importantes Maintenances menées en mode projet Traitement de l intégration de sur le périmètre de maintenance Les changements mineurs Maintenances correctives Montées de versions mineures Modification de données en production Le SI existant 4
5 Introduction Enjeux de la méthodologie ISP 1 Prendre en compte au plus tôt les risques SSI dans les projets SI Pour prévenir les incidents de Pour mettre en place un SI intrinsèquement sécurisé, plutôt que de sécuriser un SI déjà en place 2 Disposer d un SI offrant un niveau de en adéquation avec les besoins Métiers et de l entreprise En adéquation avec la sensibilité exprimée par les Métiers et le niveau de risques accepté par le Métier En adéquation avec les standards de de l entreprise 3 Aider les chefs de projets à acquérir les réflexes pour intégrer les aspects de la de l information Sans que la n apparaisse seulement comme une contrainte (complexité, délai; coût ) 5
6 Introduction Comment s inscrit l ISP dans une gouvernance? 1 Dans la Politique de Sécurité du SI Pour les politiques alignées ISO 27002, souvent une directive dédiée à la dans les projets informatiques Chapitre 12 : mesures 12.1 : applicables aux SI et 12.2 : bon fonctionnement des applications 2 Dans le Plan d actions Après avoir mené les principaux chantiers transverses de sécurisation de l infrastructure Antivirus, gestion des accès, etc. le RSSI décide souvent de sécuriser les applications sensibles de manière spécifique 3 Lors d une certification ISO L ISP est un chantier généralement obligatoire lorsque des activités de développement sont dans le périmètre de certification 6
7 Agenda 1. Introduction 2. Une démarche-type d'isp 7
8 Livrables Phases Intégration de la Sécurité dans les Projets Phases projet Une démarche type d intégration de la dans les projets Objectif : s assurer que la est prise en compte tout au long du projet Un pré-requis facilitateur : disposer d une méthode de gestion de projet d entreprise Étude préalable Réalisation du Projet Production Etude opportunité Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Pré-analyse Analyse de risque SSI Définition des MOE des Recette des Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la en MCO Participation aux Comités Projet Fiche de qualification Expression des besoins de Scénarios de risques Spécifications fonctionnelles Spécifications techniques Cahier de recette Dossier d exploitation Processus Métiers Aspects intégrés dans les documents existants 8
9 Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Détails de la démarche type d ISP Appréciation de la sensibilité du produit Etude opportunité Etude de faisabilité Pré-analyse Analyse fonct. Analyse de risque Conception détaillée Définition des Réalisation MOE des Participation aux Comités Projet Qualif. Recette Recette des Mise en prod. Audit de conformité Avis du RSSI avant mise en prod Maintenance (MCO) Prise en compte de la en MCO Objectif Une première étape incontournable : l identification des projets les plus sensibles en termes de, afin de prioriser et d optimiser les efforts Appréciation par les Métiers / les MOA sur la base d un questionnaire simple lors du démarrage des projets Décision de la fonction de suivre la méthode ISP en fonction de la sensibilité Avec un mode dérogatoire lors de la phase de mise en place de la méthode Dans le cas de projets non sensibles : Pas de suite Dans le cas de projets sensibles : La méthode ISP doit être appliquée De manière complète ou simplifiée en fonction de la sensibilité Risques IT : utilisation de nouvelles technologies, ouverture sur des réseaux extérieurs, externalisation Exigences métiers : besoin de confidentialité, de dispo Points d attention S assurer d avoir une vue exhaustive des projets SI lors de leur démarrage Construire le questionnaire de manière à pouvoir faire varier la taille de la «maille» de sélection des projets éligibles à la méthode ISP Afin de pouvoir démarrer par le suivi des projets les plus sensibles en termes de et généraliser la démarche progressivement 9
10 Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Etude opportunité Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Détails de la démarche type d ISP Analyse de risques SSI du produit Pré-analyse Analyse de risque Définition des MOE des Participation aux Comités Projet Recette des Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la en MCO Objectif Une analyse de risques SSI à réaliser seulement pour les projets identifiés comme sensibles Permettant d identifier et de quantifier les risques portant sur le produit Impliquant à la fois Les Métiers pour analyser les enjeux et les attentes particulières Le Chef de Projet MOA transverse pour s assurer de la complétude de la réflexion Les responsables MOE et l exploitation pour identifier les menaces et les vulnérabilités potentielles pesant sur le produit Eventuellement les risk-managers pour valider le niveau de gravité des risques et pour comparer les niveaux de gravité d un projet à l autre Un support pour expliquer et faciliter la démarche d analyse de risques Les résultats de l analyse de risques peuvent alimenter l étude d opportunité en chiffrant les coûts liés à la Points d attention Une méthodologie à définir en cohérence avec les démarches de classification et d analyse de risques de l entreprise (notamment pour les échelles de classification) Un effort particulier pour faire accepter les risques résiduels par les Métiers eux-mêmes 10
11 Accepter Refuser Transférer Réduire Détails de la démarche type d ISP Analyse de risques SSI du produit un livrable type APPRECIATION DU RISQUE SSI TRAITEMENT DU RISQUE SSI Option de traitement Menaces Critères impactés Scénarios de risque Actifs impactés Vulnérabilités Probabilité Impact retenu Gravité Thème 3 Compromission des informations et des traitements 7. Écoute passive C Interception des flux echangés par l'application par un internaute X 8. Vol de supports ou de documents C interception courrier postaux ou 9. Vol de matériels D, C 10. Récupération de supports recyclés ou mis au rebus 11. Erreur d'utilisation I N/A Utilisation de données présentes sur les serveurs Les supports recyclés sont systématiquement effacés Erreur d'utilisation au niveau des flux utilisateurs (exemples : suppression d'utilisateur, saisies d'informations erronées, ) Pas de chiffrement des flux (http) x non chiffrés, et courrier envoyé en non recommandé x Pas de cryptage des données x N/A Interfaces d'utilisation sont compliquées pour la MOA x 12. Abus de droit / Divulgation I,C 12. Abus de droit / Divulgation I,C 13. Usurpation de droit C Thème 4 Défaillances techniques Attribution de droits à des personnes non habilitées (ex. visibilité ou accès en modification sur certaines données "sensibles" : données de rémunération) Diffulté d'utilisation des journaux des événements Connexion avec le profil d'un autre administrateur Gestion de Profil non déterminé ou mal déterminé x Pas de suivi des journaux x x Pas de changement régulier des mots de passe Pas de gestion durcie de la politique des mots de passe x 16. Panne matérielle / Dysfonctionnement du matériel D,I Panne de l'application suite à souci matériel Ensemble des actifs Absence de PCIT pour l'application x 17. Saturation du système informatique D,I Sous-dimensionnement de l'application Pas de test de montée en charge x 18. Dysfonctionnement logiciel D,I Mauvaise conception ou installation des logiciels incidents récurrents sur l'outil Caméléon x 11
12 Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Détails de la démarche type d ISP Définition et mise en œuvre des Etude opportunité Etude de faisabilité Pré-analyse Analyse fonct. Analyse de risque Conception détaillée Définition des Réalisation MOE des Participation aux Comités Projet Qualif. Recette Recette des Mise en prod. Audit de conformité Avis du RSSI avant mise en prod Maintenance (MCO) Prise en compte de la en MCO Objectif Identification des à prendre en compte pour chacun des acteurs La MOA pour le cahier des charges ou l appel d offres dans le cas du choix d un outil du marché La MOE pour les spécifications fonctionnelles et techniques, le développement et l intégration L exploitation Sur cette base, l expert a en charge de valider les aspects des différents livrables Spécifications fonctionnelles et techniques, dossier d architecture technique Dossier d exploitation, processus d exploitation Métiers (habilitations, formation des utilisateurs, PCA ) Points d attention Le choix des mesures de doit se baser sur un catalogue de spécifications fonctionnelles de, associées à chaque niveau de risques Les solutions de implémentées dans un projet peuvent être rationalisées et réutilisées dans d autres projets (ex: PKI, cloisonnement, etc.) Des projets connexes à mener dans un second temps Définition d un catalogue standard de solutions de (en collaboration avec les architectes) Rédaction de guides de développement (J2EE,.net ) Rédaction de guides de sécurisation (OS, IIS, Websphere ) 12
13 Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Etude opportunité Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Détails de la démarche type d ISP Recette et mise en production Pré-analyse Analyse de risque Définition des MOE des Participation aux Comités Projet Recette des Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la en MCO Objectif Réalisation d une recette lors des recettes fonctionnelle et technique Pour valider la prise en compte des mesures définies Pour valider leur efficacité Conduite de tests d intrusion pour les projets les plus sensibles Notamment pour les applications ouvertes à l extérieur Avis de la fonction avant la mise en production Bloquant ou consultatif pour la mise en production Portant notamment sur les risques impactant globalement le SI Des projets connexes à mener dans un second temps Intégration des scénarios dans les plans de tests Mise en place d un outil d audit du code Mise en place d un outil de scan de vulnérabilité 13
14 Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Détails de la démarche type d ISP Participation aux Comités de Pilotage Etude opportunité Etude de faisabilité Pré-analyse Analyse fonct. Analyse de risque Conception détaillée Définition des Réalisation MOE des Participation aux Comités Projet Qualif. Recette Recette des Mise en prod. Audit de conformité Avis du RSSI avant mise en prod Maintenance (MCO) Prise en compte de la en MCO Objectif Participation de la fonction aux Comités de Pilotage de suivi des projets phare Pour avoir la vision des projets en cours En parallèle de toutes les étapes de l ISP, implication de la fonction dans les Comités de Pilotage importants de chacun des projets suivis Pour pouvoir fournir les recommandations lors des étapes de validation du projet (spécifications, dossier d architecture, etc.) Pour pouvoir participer au Comité de validation de la mise en production Pour être reconnu comme un acteur à part entière d un projet SI 14
15 Détails de la démarche type d ISP Suivi des déclarations CNIL Objectif La phase d appréciation de la sensibilité du projet a permis de valider si le projet manipule des données à caractère personnel Dans certains contextes, le RSSI assure le suivi de la réalisation des déclarations CNIL Points d attention Les déclarations CNIL doivent être rédigées par le propriétaire de l application, qui n est pas toujours un interlocuteur de l équipe projet de la DSI La déclaration CNIL doit être rédigée avant la mise en production Et demain? Projet de règlement européen sur les données à caractère personnel Privacy by design : la protection des données à caractère personnel dès la conception des traitements Passage d une bonne pratique à une obligation règlementaire Passage d une étape au sein de l ISP à un processus en tant que tel 15
16 Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Détails de la démarche type d ISP Suivi et contrôle du déploiement de la méthode ISP Etude opportunité Etude de faisabilité Pré-analyse Analyse fonct. Analyse de risque Conception détaillée Définition des Réalisation MOE des Participation aux Comités Projet Qualif. Recette Recette des Mise en prod. Audit de conformité Avis du RSSI avant mise en prod Maintenance (MCO) Prise en compte de la en MCO Objectif Assurer le suivi et le contrôle du déploiement de la méthode ISP Parmi tous les projets, pointer ceux qui doivent suivre la méthodologie Pour ceux qui suivent la méthodologie, valider que toutes les étapes sont réalisées Tracer l avis de la fonction relatif à la mise en production Insérer ces indicateurs dans les tableaux de bord existants Un livrable type 16
17 Une démarche type d ISP Les facteurs clés de succès Adopter une méthodologie pragmatique et outillée S intégrer dans la méthode existante de gestion de projet de l entreprise et définir une documentation lisible et simple Réaliser un catalogue des spécifications fonctionnelles de, puis un catalogue des solutions de disponibles Impliquer et faire adhérer les acteurs Une adhésion des Métiers pour obtenir une vision claire des besoins et des équipes opérationnelles qui voient surtout les contraintes de délai et de budget Un accompagnement par des experts indispensable pour la mise en application de la méthodologie ISP Mettre en œuvre progressivement la méthodologie Ancrer les actions de sensibilisation dans les processus existants 17
18 Contact Etienne CAPGRAS Consultant Sénior Tel : +33 (0) Mobile : +33 (0) Mail : etienne.capgras@solucom.fr
19 Une démarche classique de déploiement d une méthode ISP Analyse du processus de gestion des projets Définition des volets Réalisation d un pilote (facultatif) Formation Accompagnement à la mise en œuvre Analyser la documentation existante Rencontrer les acteurs principaux des équipes SI Synthétiser l existant et définir les orientations de la méthode Définir la méthodologie ISP Définir le Dossier Sécurité et les outils Intégrer la méthodologie ISP dans la démarche de gestion de projets de l entreprise Tester sur un projet en cours d initialisation Mettre à jour la méthodologie en fonction des retours Former les CP à la méthodologie ISP Définir l outillage de suivi de la mise en oeuvre Accompagner les projets dans la mise en oeuvre Entretiens Synthèse et orientations Méthodologie v0 Dossier Sécurité v0 Réunions pilote Méthodologie v1 Dossier Sécurité v1 Support de formation Outillage de suivi du déploiement Dossiers Sécurité renseignés 19
Prestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailOrange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco
De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation
Plus en détailServices Réseaux et Télécom
OFFRE GLOBLE Services Réseaux et Télécom Pour les grands comptes (publics et privés) opérant leur propre réseau et services associés 1 Sommaire Notre Proposition Notre démarche Nos facteurs de réussite
Plus en détailSystèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Plus en détailGestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?
Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailAugmenter l efficacité et la sécurité avec la gestion des identités et le SSO
Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Alexandre Garret Directeur des opérations - Atheos Charles Tostain Consultant Sécurité - IBM 24 Juin 2009 2009 IBM Corporation
Plus en détailConférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015
Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif
Plus en détailGouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs
Plus en détailRecommandations sur les mutualisations ISO 27001 ISO 20000 & ISO 27002 ITIL
Recommandations sur les mutualisations ISO 27001 ISO 20000 & ISO 27002 ITIL Groupe de travail du Club 27001 Toulouse Présentation du 10 novembre 2011 Nicole Genotelle, Joris Pegli, Emmanuel Prat, Sébastien
Plus en détailMettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité
Mettre en oeuvre l authentification forte au sein d une banque d investissement Alain ROUX Consultant sécurité GS Days Présentation EdelWeb Décembre 2009 Agenda Présentation d EdelWeb Contexte Les solutions
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailRéférentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Plus en détailCopyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
VOLET N 2 1 Définition des objectifs de sécurité Principes fondamentaux de la sécurité du système d information Scenarios génériques de menaces Méthodes et bonnes pratiques de l analyse de risques Plan
Plus en détailMenaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014
Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient
Plus en détailCRIP 17/09/14 : Thématique ITIL & Gouvernance
CRIP 17/09/14 : Thématique ITIL & Gouvernance 1 Présentation de GRTgaz Exploiter et maintenir les réseaux dans les meilleures conditions de coût et de sécurité pour les personnes et les biens Répondre
Plus en détailITIL V3. Objectifs et principes-clés de la conception des services
ITIL V3 Objectifs et principes-clés de la conception des services Création : janvier 2008 Mise à jour : juillet 2011 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a
Plus en détailApproche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailL innovation au cœur des processus et des systèmes
L innovation au cœur des processus et des systèmes www.novigo-consulting.com NOS OFFRES Notre vocation est d appuyer les entreprises pour évaluer la multitude de besoins et assurer le succès des projets
Plus en détailIngénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?
DEVOPS et le déploiement d application Les Livres Blancs de MARTE Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1? L alignement
Plus en détailSynthèse. Quelle performance opérationnelle pour la sécurité de l information?
Synthèse Quelle performance opérationnelle pour la sécurité de l information? Décembre 2010 : Synthèse de notre étude des enjeux et de la démarche d optimisation Benchmark des priorités et bonnes pratiques
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détail) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011.
Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT 27 avril 2011 Paris ) ) ) ) Ce document est la propriété de Provadys SAS et ne peut être reproduit
Plus en détailMaîtrise d ouvrage agile
Maîtrise d ouvrage agile Offre de service Smartpoint 17 rue Neuve Tolbiac 75013 PARIS - www.smartpoint.fr SAS au capital de 37 500 - RCS PARIS B 492 114 434 Smartpoint, en quelques mots Smartpoint est
Plus en détailLes nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme
Les nouveaux guides de la CNIL Comment gérer des risques dont l impact ne porte pas sur l organisme Matthieu GRALL CLUSIF Colloque «conformité et analyse des risques» 13 décembre 2012 Service de l expertise
Plus en détailLa continuité des activités informatiques. Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008
La continuité des activités informatiques Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008 Pas de recette toute faite!!! Vérité n 1 : «il existe autant de PCA différents que de sociétés» Votre
Plus en détailInformation Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»
Information Technology Services - Learning & Certification «Développement et Certification des Compétences Technologiques» www.pluralisconsulting.com 1 IT Training and Consulting Services Pluralis Consulting
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailCONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION
COSEIL ET EXPERTISE FOCTIO rchitecte informatique CLSSIFICTIO / GROUPE RISO D ETRE / ISSIO Participe à la construction du contenu du cadre de référence de l urbanisme du SI (description des applications
Plus en détailPlan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA
Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales
Plus en détailPROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE
PROFIL DE POSTE BAP : CORPS : NATURE : SPÉCIALITÉ : E ITRF Externe IGR 2, Chef de projet développement ÉTABLISSEMENT : Rectorat SERVICE : VILLE : SERIA (service informatique académique) DESCRIPTION DU
Plus en détailLes conséquences de Bâle II pour la sécurité informatique
Les conséquences de Bâle II pour la sécurité informatique - 1 - PLAN GENERAL PLAN DO CHECK ACT Introduction : Présentation de l ISO 17799 Analyse de risque opérationnel Organisation de la sécurité Recommandations
Plus en détailGESTION DE PROJET. www.ziggourat.com - Tél : 01 44 61 96 00 N enregistrement formation : 11752861675
GESTION DE PROJET www.ziggourat.com - Tél : 01 44 61 96 00 N enregistrement formation : 11752861675 Introduction à la Gestion de Projet... 3 Management de Projet... 4 Gestion de Projet informatique...
Plus en détailLa sécurité applicative
La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques
Plus en détailPolitique de Sécurité des Systèmes d Information
Politique de Sécurité des Systèmes d Information Sommaire 1 PREAMBULE...3 2 CONTEXTE...4 3 ORIENTATION STRATEGIQUE...4 4 PERIMETRE...5 5 ENJEUX DE LA PSSI AU CONSEIL DE L EUROPE...6 6 LES BESOINS DE SECURITE...7
Plus en détailPolitique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ
PC Gestion des certificats émis par l AC Notaires Format RFC 3647 Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PC Notaires Référence du
Plus en détailQualité retour d expérience. Christophe Petit Responsable du pôle qualité de la DSI christophe.petit@ac-lille.fr
Qualité retour d expérience Christophe Petit Responsable du pôle qualité de la DSI christophe.petit@ac-lille.fr - - mercredi février 0 Genèse 00 : Nomination des correspondants qualité dans les Académies
Plus en détailMicrosoft IT Operation Consulting
Microsoft IT Operation Consulting Des offres de services qui vous permettent : D améliorer l agilité et l alignement de votre IT aux besoins métier de votre entreprise. De maîtriser votre informatique
Plus en détailLa rationalisation Moderniser l organisation pour dynamiser l entreprise
La rationalisation Moderniser l organisation pour dynamiser l entreprise - la transformation en marche - 1 Les enjeux de la rationalisation Qu est ce que c est? Pour qui? Etymologie : du latin ratio, calcul,
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailGestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services
Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Jaafar DEHBI 2003 Acadys - all rights reserved Conception des services Buts et objectifs Concevoir les nouveaux
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailModule Projet Personnel Professionnel
Module Projet Personnel Professionnel Elaborer un projet personnel professionnel. Connaissance d un métier, d une entreprise ou d un secteur d activités. Travail individuel de recherche SUIO-IP Internet
Plus en détailDEVELOPPEMENT ET MAINTENANCE DE LOGICIEL: OUTIL DE PILOTAGE
DEVELOPPEMENT ET MAINTENANCE DE LOGICIEL: OUTIL DE PILOTAGE Développement et maintenance de logiciel Automne 2006 François-Xavier RIU Thomas POUPART Seng LAO Zhe WU SOMMAIRE Introduction Introduction INTRODUCTION
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détailSTRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI
STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin
Plus en détailTable des matières. Partie I CobiT et la gouvernance TI
Partie I CobiT et la gouvernance TI Chapitre 1 Présentation générale de CobiT....................... 3 Historique de CobiT....................................... 3 CobiT et la gouvernance TI.................................
Plus en détailITIL V3. Transition des services : Principes et politiques
ITIL V3 Transition des services : Principes et politiques Création : janvier 2008 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé
Plus en détailCobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D
D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des
Plus en détailELABORATION D'UN AUDIT ET DU SCHÉMA DIRECTEUR DU SYSTÈME D INFORMATION DE LA CNOPS
ELABORATION D'UN AUDIT ET DU SCHÉMA DIRECTEUR DU SYSTÈME D INFORMATION DE LA CNOPS Présentation à la journée des cadres de la CNOPS Hicham El Achgar Version 1.0 Rabat, le 26 mars 2011 1 Le sommaire Synthèse
Plus en détailIntégrateur de compétences
Intégrateur de compétences DUNEV Consulting, c est une équipe de spécialistes issus de l informatique, renforcer par un département Coaching, qui favorise le développement des potentiels, condition de
Plus en détailIndustrialisation du déploiement d'applications et de socles techniques
Industrialisation du déploiement d'applications et de socles techniques 3 février 2011 Thierry Delacroix Cédric Andry José Poscente Sommaire! Notre approche de l'industrialisation! Retours d expériences
Plus en détailHSE MONITOR GESTION DU SYSTÈME DE MANAGEMENT. 8 modules de management intégrés. www.red-on-line.net
HSE MONITOR GESTION DU SYSTÈME DE MANAGEMENT 8 modules de management intégrés www.red-on-line.net www.red-on-line.net HSE MONITOR GESTION DU SYSTÈME DE MANAGEMENT 1. 2. 3. 1. 4. 2. 3. 4. 5. 6. 7. 5. 1.
Plus en détail2 nde édition Octobre 2008 LIVRE BLANC. ISO 27001 Le nouveau nirvana de la sécurité?
2 nde édition Octobre 2008 LIVRE BLANC ISO 27001 Le nouveau nirvana de la sécurité? Livre Blanc ISO 27001 Sommaire L ISO 27001, 3 ans après sa publication 4 L ISO 27001 : un SMSI basé sur 4 principes fondamentaux
Plus en détailEtude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information
Plus en détailAPX Solution de Consolidation de Sauvegarde, restauration et Archivage
APX Solution de Consolidation de Sauvegarde, restauration et Archivage APX vous accompagne de la Conception à l Exploitation de votre Système d Information. Ce savoir faire est décliné dans les 3 pôles
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailQu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Plus en détailAccélérer l agilité de votre site de e-commerce. Cas client
Accélérer l agilité de votre site de e-commerce Cas client L agilité «outillée» devient nécessaire au delà d un certain facteur de complexité (clients x produits) Elevé Nombre de produits vendus Faible
Plus en détailRéférences des missions en Gestion des Risques
Références des missions en Gestion des Risques DIRECTION DES RISQUES Service Calculs, Modèles et Reporting Depuis janvier 2011, ALGOFI accompagne la Direction des Risques sur la maîtrise d ouvrage bancaire
Plus en détailOFFRES DE SERVICES SDS CONSULTING
OFFRES DE SERVICES SDS CONSULTING AUTOUR DE LA SOLUTION TSM DERNIERE MISE A JOUR : MAI 2011 préalable 1 Liste des services proposés Nos équipes sont spécialisées depuis de nombreuses années dans le domaine
Plus en détailCircuit du médicament informatisé
Circuit du médicament informatisé Points de vigilance axe technique SOMMAIRE... 1 FICHE N 1- DISPONIBILITE ET PERFORMANCE... 2 FICHE N 2- ENVIRONNEMENT DE TEST... 4 FICHE N 3- VERSIONNING... 5 FICHE N
Plus en détailLes 10 pratiques pour adopter une démarche DevOps efficace
Les 10 pratiques pour adopter une démarche DevOps efficace William Gravier RESPONSABLE D ACTIVITE DEVOPS SOCIETE POESI 1 QU EST-CE QUE DEVOPS? 2 LES TROIS PROCESSUS DEVOPS 3 L AGILITE DES ETUDES ET L ITILISISATION
Plus en détailCatalogue de services standard Référence : CAT-SERVICES-2010-A
Catalogue de services standard Référence : CAT-SERVICES-2010-A Dans ce catalogue, le terme Client désigne l entité légale intéressée à l achat de services délivrés par ITE- AUDIT, que cet achat soit un
Plus en détailLa pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle
La pratique de l ITSM Définir un plan d'améliorations ITSM à partir de la situation actuelle Création : avril 2012 Mise à jour : avril 2012 A propos A propos du document Ce document pratique est le résultat
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détailFaire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.
IBM Global Services Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. Les services d infrastructure et d intégration IBM Pour une infrastructure informatique qui participe
Plus en détailn spécial Assises de la Sécurité 2009
n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailInformation Technology Services - Learning & Certification. www.pluralisconsulting.com
Information Technology Services - Learning & Certification www.pluralisconsulting.com 1 IT Consulting &Training Créateur de Performance Pluralis Consulting Services et de Conseil en Système d Information
Plus en détailNEXTDB Implémentation d un SGBD Open Source
DIT - INFRA Demande d information (RFI) NEXTDB Implémentation d un SGBD Open Source Réf. : INFRA_NEXTDB_RFI.docx Page 1/8 Demande d information Projet NEXTDB Implémentation d un SGBD Open Source SOMMAIRE
Plus en détailGestion des autorisations / habilitations dans le SI:
Autorisations RBAC (Role Based Access Control) Séparation des pouvoirs (SoD) Annuaire central de sécurité Gestion des autorisations / habilitations dans le SI: S'appuyer sur la modélisation fonctionnelle
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailIntroduction Fabrice Pesin, Secrétaire général adjoint de l ACP
Introduction Fabrice Pesin, Secrétaire général adjoint de l ACP Banque de France - Autorité de Contrôle Prudentiel Sommaire 1 ère partie : le contrôle des systèmes d information par l ACP : objectifs,
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailSécurité des Systèmes d Information
Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de
Plus en détailAméliorer l efficacité de votre fonction RH
Améliorer l efficacité de votre fonction RH Des tendances accentuées par un environnement économique et social en constante évolution La fonction RH doit répondre à des exigences croissantes en termes
Plus en détailLes audits de l infrastructure des SI
Les audits de l infrastructure des SI Réunion responsables de Catis 23 avril 2009 Vers un nouveau modèle pour l infrastructure (CDSI Avril et Juin 2008) En dix ans, les évolutions des SI ont eu un fort
Plus en détailFORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000
FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 Les pratiques professionnelles de la Continuité Métier sont définies comme les aptitudes, connaissances et procédures
Plus en détailSommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service
Mars 2012 Sommaire Présentation OXIA Le déroulement d un projet d infogérance L organisation du centre de service La production dans un centre de service 2 Fournisseurs Technologies Banque & Finance Telecom
Plus en détailINDICATIONS DE CORRECTION
SUJET NATIONAL POUR L'ENSEMBLE DES CENTRES DE GESTION ORGANISATEURS CONCOURS INTERNE ET TROISIÈME VOIE DE TECHNICIEN TERRITORIAL PRINCIPAL DE 2 ème CLASSE SESSION 2014 SPÉCIALITÉ : INGENIERIE, INFORMATIQUE
Plus en détailALDEA ET SYSTEMES D INFORMATION
ALDEA CONSEIL EN ORGANISATION ET SYSTEMES D INFORMATION Professionnalisation de la gestion de projet 30 avenue du Général Leclerc 92100 Boulogne-Billancourt Tel : +33 1 55 38 99 38 Fax : +33 1 55 38 99
Plus en détail<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts
La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion
Plus en détailNE PAS EXTERNALISER SA RESPONSABILITÉ
NE PAS EXTERNALISER SA RESPONSABILITÉ OUTSOURCING IT Le succès d une opération d outsourcing se mesure au degré de préparation et d implication des parties concernées. Mieux vaut donc faire preuve de pragmatisme
Plus en détail27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité
Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2
Plus en détailGestion des utilisateurs et Entreprise Etendue
Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission
Plus en détailMontrer que la gestion des risques en sécurité de l information est liée au métier
Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme
Plus en détailCinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr>
Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue
Plus en détailDÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER
DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER Pour les banques, le papier devrait servir à imprimer des billets ; pas à en garder la trace dans
Plus en détailL approche PTS Consulting
L approche PTS Consulting A propos... PTS Consulting Group propose une offre de consultance et de gestion de projets de classe mondiale aux plus grandes entreprises internationales. Fondée au Royaume-Uni
Plus en détailPérimètre d Intervention. Notre Offre
5 Nos Références 4 Nos Valeurs 3 Périmètre d Intervention 1 2 Notre Offre 1 La société La Société Qui sommes nous? 20 ans d expérience - 4 ans d existence Management des Systèmes d information Performance
Plus en détailGénie Logiciel LA QUALITE 1/5 LA QUALITE 3/5 LA QUALITE 2/5 LA QUALITE 4/5 LA QUALITE 5/5
Noël NOVELLI ; Université d Aix-Marseille; LIF et Département d Informatique Case 901 ; 163 avenue de Luminy 13 288 MARSEILLE cedex 9 Génie Logiciel LA QUALITE 1/5 La gestion de la qualité Enjeux de la
Plus en détailMarché à Procédure adaptée. Tierce maintenance applicative pour le portail web www.debatpublic.fr
Marché à Procédure adaptée Passé en application de l article 28 du code des marchés publics Tierce maintenance applicative pour le portail web www.debatpublic.fr CNDP/ 03 /2015 Cahier des clauses techniques
Plus en détailCahier des charges pour la réalisation d un audit externe du programme GUS / OFS
Département fédéral de l intérieur (DFI) Office Fédéral de la Statistique OFS Etat-major Cahier des charges pour la réalisation d un audit externe du programme GUS / OFS Table des matières 1 Généralités
Plus en détail