La continuité d'activité

Dimension: px
Commencer à balayer dès la page:

Download "La continuité d'activité"

Transcription

1 La continuité d'activité 1. la distinction entre sauvegarde et archivage L'archivage consiste à recueillir, classer et conserver des données et documents à des fins de consultation ultérieure, voire à des fins de preuve. Il ne faut pas confondre archivage et sauvegarde. L'archivage implique des moyens permettant de conserver les données et documents d'une manière fiable et de permettre leur restitution fidèle, même après une longue période (plusieurs années, voire plusieurs dizaines d'années), alors que la sauvegarde est effectuée pour des raisons de sécurité et sert à restaurer tout ou partie d'un système, suite à une défaillance. Une sauvegarde a une vocation transitoire. Elle est remplacée par une nouvelle version suivant le calendrier des sauvegardes et la rotation des supports retenus. 2. le périmètre d'une sauvegarde Le périmètre d'une sauvegarde correspond: aux services, matériels, sites, utilisateurs, etc, à prendre en compte lors des sauvegardes; aux données à sauvegarder (fichiers utilisateurs, fichiers serveurs, documents contractuels, e- mails, bases de données, etc.). Le contenu de la sauvegarde évolue dans le temps avec l'ajout de nouvelles applications ou données. Cette contrainte doit être prise en compte dans la définition du périmètre afin de veiller à la complétude des sauvegardes. 3. Les besoins auxquels répond l'archivage L'archivage répond à trois besoins distincts: le besoin de preuve: les entreprises doivent justifier de leur activité vis-à-vis des autorités de tutelle, de l'état, des auditeurs, voire, lors de contentieux, produire les pièces nécessaires à la défense de leurs droits et de leurs intérêts; le besoin de réutilisation des données dans le cadre d'un nouveau projet (capitalisation des connaissances) ; le besoin de préserver la mémoire pour constituer une culture d'entreprise et communiquer avec des tiers (clients, partenaires, salariés, etc.). 4. Les enjeux de l'archivage Les enjeux de l'archivage sont de maîtriser les risques suivants: le risque juridique: le principal risque pour une entité est de ne pas pouvoir produire des données pouvant être retenues comme éléments de preuve valides. Pour pallier ce risque, les données doivent avoir été archivées et présenter des caractéristiques d'authenticité, d'intégrité et de non-répudiation; le risque logistique: les données ont été archivées mais il est impossible d'y accéder car elles n'ont pas été indexées pour pouvoir effectuer des recherches ou elles ne sont pas exploitables; le risque sécuritaire: des données confidentielles (données stratégiques, financières, etc.) risquent d'être divulguées parce qu'elles sont peu ou pas protégées, ou encore parce qu'elles auraient dû être détruites; le risque technique: le risque se situe tant au niveau de l'interopérabilité entre systèmes qu'au niveau de la pérennité des données sur le long terme, face à l'obsolescence des formats, supports et outils de restitution; le risque financier: l'enjeu financier est de ne pas supporter le coût d'un redressement fiscal ou d'une condamnation judiciaire suite à la non-réutilisation de données archivées. 5. Comment la norme OSI doit procéder pour déterminer les besoins d'archivage Pour déterminer les besoins d'archivage, la DSI devra travailler en étroite collaboration avec les directions métiers et la direction générale pour: réaliser la cartographie des données à archiver: la DSI devra isoler les données à archiver, c'est-à-dire celles qui sont validées et qui ne seront plus modifiées afin de tracer un événement à un instant donné. De plus, elle devra les catégoriser en: informations vitales, 1/13 07-COURS_MSI_Securite_SI_exo_Corr

2 données légales ou réglementaires, archives défendant les intérêts de l'entreprise en cas de litige, données réutilisables pour l'activité future et informations historiques; déterminer la criticité des données: la OSI devra déterminer le degré de sensibilité des informations, la fréquence et l'urgence de consultation de chacune d'elles afin d'apprécier leur criticité et de prendre des mesures visant à optimiser le stockage des données; connaître les exigences de conservation: en fonction des textes en vigueur (exemple: règles fiscales et comptables), des risques de contentieux et des besoins de réutilisation, la OSI choisira la durée d'archivage requise pour chaque type d'information. Comme l'entreprise est responsable de la conservation des données, elle devra également s'assurer que l'archivage donne une date certaine au document et permette une authentification de son auteur, que le support informatique soit pérenne et que les données soient intelligibles; déterminer les volumes à stocker et les autorisations d'accès aux données: la masse de données à archiver nécessitera un classement selon les priorités de gestion analysées, mais aussi une définition claire des besoins matériels adéquats. Les accès aux diverses données seront autorisés selon les degrés de sécurité et de confidentialité adaptés. 6. le lien entre politique de sauvegarde et politique de continuité d'activité Une politique de sauvegarde d'un système d'information minimise les risques d'arrêt d'activité d'une entité. Elle est l'élément indispensable à route politique de continuité d'activité puisqu'elle permet la reprise des opérations. En effet, les mesures de réparation ou de reconstruction d'un plan de continuité ont lieu à partir de sauvegardes. La qualité des sauvegardes de données est fondamentale pour un retour à l'activité normale d'une entreprise après un sinistre. 7. le rôle de l'organisation internationale de normalisation ISO et des normes ISO L'ISO (International Organization for Standardisation) est le plus important producteur et éditeur mondial de normes internationales. Cette Organisation internationale de normalisation représente un réseau d'instituts de normalisation couvrant 160 pays, établissant un consensus sur des solutions répondant aux exigences du monde économique et aux besoins de la société. 2/13 07-COURS_MSI_Securite_SI_exo_Corr

3 Selon l'iso, «les normes ISO: permettent de développer, fabriquer et fournir des produits et services plus efficaces, plus sûrs et plus propres; facilitent le commerce entre les pays et le rendent plus équitable; fournissent aux gouvernements une base technique pour la santé, la sécurité et la législation relative à l'environnement, ainsi que l'évaluation de la conformité; assurent le partage des avancées technologiques et des bonnes pratiques de gestion; contribuent à diffuser l'innovation; servent à protéger les consommateurs, et les utilisateurs en général, de produits et services; simplifient la vie en apportant des solutions aux problèmes communs», 8. les apports de la norme ISO pour les entreprises et les auditeurs La norme ISO permettra à ses adoptants d'émettre un signal positif à destination des tiers de l'organisation (clients, fournisseurs, banques, etc.) étant donné qu'elle montrera son intention d'améliorer sa politique de continuité d'activité. Ce signal sera d'autant plus important que la norme appartiendra à la catégorie «système de gestion» et visera à se rapprocher d'une cible de bonnes pratiques plutôt que de proposer des bonnes pratiques à appliquer. Ainsi, l'engagement de la direction générale sera nécessaire pour définir la politique de continuité répondant aux exigences de la norme mais adapté à l'entité et à suivre dans le temps dans un cycle d'amélioration (PDCA, Plan, Do, Check, Act). La norme facilitera la vérification de son application réelle par des auditeurs en précisant les exigences à respecter en matière de continuité d'activité. En effet, la norme précise un ensemble de points à conduire comme la définition du périmètre sur lequel le système de gestion va porter, une analyse des risques et un BIA (Business Impact Analysis), la définition et le choix d'options de continuité, la mise en place de procédures, la construction des Business Continuity Plans, la vérification des procédures, la mise en place d'actions correctives et de maintenance. La norme pourra constituer un cadre de référence pour les auditeurs en complément du référentiel de gouvernance des systèmes d'information CobiT (Control OBjectives for Information and related Technology), par exemple. 3/13 07-COURS_MSI_Securite_SI_exo_Corr

4 Infogérance et évaluation financière d'un projet NAS Première partie - Étude de la solution d'infogérance 1. le coût de la solution d'infogérance pour les quatre premières années Coût de la prestation fournie par la SSII Coût du changement N N+1 N+2 N Coût total de l'informatique Coûts cumulés l'intérêt, au plan financier, d'opter pour l'infogérance Coût interne de l'informatique N N+1 N+2 N+3 Coût total de l'informatique Coûts cumulés Comparaison des coûts cumulés N N+1 N+2 N+3 Solution d'infogérance Solution actuelle Écart Il existe un écart favorable de pour la solution d'infogérance par rapport à la solution actuelle. Si la solution d'infogérance représente un coût plus important la première année en raison des frais de transition de et du coût du changement de , elle s'avère avantageuse dès la deuxième année, avec un écart favorable de Au travers de l'analyse des coûts cumulés, il résulte que la solution d'infogérance devient financièrement intéressante à partir de la troisième année. 3. Les différentes formes d'infogérance, ses avantages et ses limites On peut distinguer différentes formes d'infogérance: le FM (Facilities Management) global: la prise en charge du système d'information du client est totale. Elle porte à la fois sur les infrastructures et sur le parc applicatif. Ce genre de FM se généralise de plus en plus; le FM partiel: seule une partie du SI du client est confiée au prestataire; la fourniture d'énergie informatique: ce service permet à un client d'utiliser les ressources d'une unité centrale d'un prestataire; le service bureau: un client confie à un prestataire la gestion de certains de ses services internes. Dans le cas du service bureau, le prestataire traite pour le compte de plusieurs clients certaines de leurs applications (paie, comptabilité... ) selon ses propres moyens logistiques; l'hébergement: un environnement logistique complet et sécurisé est mis à disposition du client. Dans ce cas, le client assure lui-même l'exploitation de ses applications et l'hébergeur se charge du bon fonctionnement des applications. L'infogérance présente de réels atouts mais les limites de cette solution viennent freiner son déploiement. Avantages Recentrage sur le métier de base. Optimisation de la gestion du SI grâce aux compétences du prestataire qui permet un gain de temps, une réduction des coûts (des moyens matériels et Limites Dépendance du résultat de l'entreprise au SI. Dépossession de compétences informatiques. 4/13 07-COURS_MSI_Securite_SI_exo_Corr

5 Avantages logiciels et de personnel), une plus grande flexibilité et un service de qualité. Réduction des risques (de départ des hommes clés, d'obsolescence). Solution de transition lorsqu'une entreprise doit gérer sa croissance, voire une restructuration. Solution pour résoudre un problème spécifique, technique ou organisationnel en l'absence de compétences internes. Limites Dépendance vis-à-vis du prestataire. Toutefois, pour remédier à un tel danger, le prestataire s'engage en général, quelle que soit la cause de l'arrivée du terme du contrat, à prendre toutes les dispositions utiles ou à apporter à son client son concours pour assurer la réversibilité de son système informatique. Cette réversibilité permettra au client de reprendre l'exploitation de son système informatique. Risque de défaillance du prestataire. Solution pour se consacrer à la mise en place de nouvelles applications, en externalisant les anciennes («FM de migration»). Risque de gonflement des coûts. Deuxième partie - Évaluation financière du projet NAS 4. L'utilité de l'intranet pour une entreprise Un intranet est un ensemble de services Internet accessibles par les postes d'un réseau local ou d'un ensemble de réseaux définis, utilisant les standards client/serveur d'internet (protocoles TCP/IP).II induit un coût relativement faible, se réduisant au coût du matériel, de son entretien et de sa mise à jour, avec des postes clients fonctionnant avec des navigateurs. D'autre part, en raison de la nature «universelle» des moyens mis en jeu, n'importe quel type de machine peut être connecté au réseau local, donc à l'intranet. Un intranet permet de mettre à la disposition des utilisateurs ou des groupes d'utilisateurs une base de documents de tous types (textes, images, vidéos, sons, etc.), dont les accès peuvent être définis par des droits d'accès (lecture, écriture, modification, suppression). De plus, il peut réaliser une fonction de «groupware» (en français, «collectique»), qui représente les méthodes et les outils logiciels (appelés «collecticiels») permettant à des utilisateurs de mener un travail collaboratif. Il offre également les fonctions suivantes: annuaire du personnel, messagerie électronique, conférence électronique, forums de discussion, listes de diffusion, moteur de recherche, publication d'informations sur l'entreprise (rapports de gestion), de documents internes (documentation technique), échange de données entre acteurs, gestion de projets, etc. Un intranet favorise la communication, la coopération et la coordination au sein de l'organisation et limite les erreurs dues à la mauvaise circulation d'une information. Toutefois, l'information disponible sur l'intranet doit être mise à jour régulièrement. 5. Le serveur NAS et ses avantages Un NAS (Network Attached Storage) ou serveur NAS est un périphérique de stockage relié à un réseau dont la principale fonction est le stockage de données en un gros volume centralisé pour des clients réseau hétérogènes. Un NAS est un serveur à part entière disposant de son propre système d'exploitation et d'un logiciel de configuration paramétré avec des valeurs par défaut convenant dans la majorité des cas. La technologie RAID (Redundant Array of Inexpensive Disks) est employée pour sécuriser les données stockées contre la défaillance d'un ou de plusieurs disques durs. Le serveur NAS a pour vocation d'être accessible depuis des serveurs clients à travers le réseau pour y stocker des données. Il permet ainsi la gestion centralisée de fichiers, ce qui procure plusieurs avantages: la gestion facilitée des sauvegardes des données d'un réseau; un accès par plusieurs serveurs clients aux mêmes données stockées sur le NAS; la réduction des coûts informatiques par l'achat de disques de grande capacité plutôt que l'achat de disques en grand nombre à installer sur chaque serveur du réseau; la réduction du temps d'administration des serveurs clients en gestion d'espace disques. 5/13 07-COURS_MSI_Securite_SI_exo_Corr

6 Par ailleurs, le NAS augmente la sécurité des données présentes sur celui-ci étant donné que: le système RAID autorise la défaillance de disque sans perte de données; la simplicité du système d'exploitation ainsi que des applications présentes réduisent le nombre de failles de sécurité. 6. Le TRI du projet, le délai de récupération du capital investi et l'opportunité de cet investissement ANNÉE 0 N N+1 N+2 N+3 Chiffre d'affaires Charges spécifiques Dotation aux amortissements Résultat avant IS IS Résultat après IS Dotation aux amortissements CAF Investissement FNT FNT cumulés TRI 19,41 % DRCI Détail des calculs: 2 ans, 9 mois et 12 jours CA N = (8 x 2 000) + (2 x 3 000) + (2 x 4 000) + (1 x 6 000) = CA N+ 1 = (6 x 2 000) + (4 x 3 000) + (2 x 4 000) + (1 x 6 000) = CA N + 2 = ( 4 x 2 000) + (4 x 3 000) + (4 x 4 000) + (1 x 6 000) = CA N+ 3 = (4 x 2 000) + (3 x 3 000) + (5 x 4 000) + (1 x 6 000) = DRCI = 2 ans et (360 x ! 22167) jours = 2 ans 9 mois et 12 jours Conclusion Le projet est très rentable sur quatre années avec un TRI avec prise en compte de la fiscalité de 19,41 %. Le délai de récupération du capital investi, sans actualisation des Aux nets de trésorerie. est de 2 ans et 9 mois, et s'avère acceptable pour ce projet où le GIE exige comme critère de recevabilité une récupération du capital investi dans un délai de (rois ans. Toutefois, il aurait été plus pertinent de réaliser ce calcul avec actualisation. Le projet au regard du TRI et du critère de récupération du capital investi doit donc être jugé intéressant. 6/13 07-COURS_MSI_Securite_SI_exo_Corr

7 RCOM Première partie: mise en conformité PCI / DSS 1. Analyse des écarts : Fautes qu'a pu commettre l'entreprise par rapport aux 12 points évoqués dans le tableau de synthèse 1) Installez et maintenez un firewall pour protéger vos données. Puisqu'un fraudeur extérieur a pu rentrer dans le système de l'entreprise RCOM, c'est que la protection par firewall était défaillante. 2) N'utilisez pas les mots de passe par défaut fournis avec les équipements et les logiciels. La politique de changement périodique de mots de passe permet en particulier d'éviter les problèmes de personnel ayant quitté l'entreprise et conservant des accès possibles au système d'information. 3) Protégez les données stockées. Le meilleur moyen de protéger les données stockées est de les chiffrer (exemple en 3 DES) et de les déchiffrer à la volée afin que tout accès illicite ne puisse conduire qu'à la consultation de données chiffrées et donc incompréhensibles. 4) Toutes les transmissions contenant des données bancaires sur des réseaux publics (Internet, X25) doivent impérativement être correctement chiffrées (VPN, SSL). C'est le cas en particulier à 2 moments dans la transaction: quand l'utilisateur rentre ses données bancaires pour le paiement de la transaction, et à ce moment l'utilisation de TLS ou SSL est préconisée, et quand le commerçant communique ces informations à la banque (ici le Crédit Financier), et là un chiffrement 3 DES sur un VPN est recommandé. 5) Utilisez et maintenez des antivirus à jour. C'est effectivement un des moyens pour les fraudeurs de rentrer dans le système de l'entreprise ISA (virus, cheval de Troie) : la protection par antivirus pouvait être défaillante. 6) Développez et maintenez la sécurité de vos systèmes et de vos applications (appliquez les correctifs de sécurité). Les constructeurs fournissent des patchs, ou des releases afin de maintenir les systèmes d'exploitation dans un état de sécurité au niveau connu à un instant T. Il convient donc en permanence d'effectuer les mises à jour de sécurité préconisées. 7) Restreignez l'accès aux seules données dont l'utilisateur (employés compris) a besoin (<< business need-to-know»). Une politique de sécurité est un tout et la plus petite faille peut être un point d'entrée pour les fraudeurs. Dans le cas de l'entreprise 1 SA, il faut se demander si le stockage des données de numéros de carte était vraiment utile. La réponse est dans la majorité des cas que ce stockage est inutile. 8) Chaque utilisateur doit posséder un identifiant unique. Les codes d'accès personnel que plusieurs personnes utilisent posent le problème de l'absence possible de traçabilité en cas de fraude ou de suspicion de fraude. 9) Restreignez l'accès physique aux serveurs contenant des données sur les cartes bancaires des clients. Si la réponse à la recommandation W 7 impliquait le stockage sécurisé des numéros de cartes bancaires, l'accès à ces données doit être très limité et très sécurisé tant du point de vu physique que logique. 10) Surveillez et stockez les événements d'accès aux ressources et aux données bancaires des clients (Conservation et analyse de logs). La conservation des traces doit être accompagnée de l'analyse périodique, mais aussi impromptue, de ces logs. 11) Testez régulièrement la sécurité de vos systèmes et de vos processus par des audits de sécurité. 7/13 07-COURS_MSI_Securite_SI_exo_Corr

8 L'audit de sécurité s'applique au système informatique lui-même, mais aussi aux procédures PCI/DSS. 12) Assurez le maintien et la communication de la politique de sécurité pour tous les collaborateurs. 80% des fraudes commerçants impliquent une complicité, une inconséquence, une maladresse ou une incompétence de la part d'un employé de la société. La mise en uvre d'une politique de sécurité requiert de communiquer sur les actions entreprises mais aussi des tests périodiques permettant de maintenir le personnel en éveil. 2. Mise en oeuvre de protection : Principaux items d'un Plan de Sécurité des Systèmes d'information destiné à éviter qu'un tel incident se reproduise - Commentaire La mise en place de la PSSI sur l'exploitation va permettre de : Rendre le fonctionnement du SI moins dépendant des personnes qui le composent. Sensibiliser l'ensemble des utilisateurs du SI à l'usage et aux risques inhérents au SI. Améliorer les relations avec les fournisseurs et les intervenants extérieurs en fixant des règles claires et admises par tous. Assurer la sécurité et la qualité de l'information contenue dans le SI et sur les postes nomades. Assurer la confiance dans l'utilisation des applications métiers et de la messagerie. Assurer le contrôle des échanges dans et à l'extérieur du SI. Inversement, si le PSSI est inexistant, les risques sont: Le système informatique dépend d'une personne qui détient la connaissance. Sans le savoir, un utilisateur peut contaminer votre système informatique. Un prestataire peut sortir des données sensibles hors de l'entreprise lors d'une opération de maintenance. Les concurrents peuvent voler sans que vous le sachiez des données en s'introduisant dans votre réseau. Les items du PSS : 1. Définir chacune des fonctions de l'entreprise, faire un schéma pour chacune d'elles Production (chaîne 1,2, 3... ), gestion, contrôle, comptabilité Lister les biens à protéger Données clients et entreprises, logiciels, équipements, savoir-faire Lister les menaces associées à chaque bien Corruption volontaire de données, panne machine... 4) Décrire les vulnérabilités du SI (faille du système) Accès, équipements, applications, hommes... 5) Calculer, pour chaque vulnérabilité, les risques associés Si attaque sur les numéros de carte => le serveur de données doit être arrêté => les données clients ne sont plus accessibles. 6) Associer à chaque fonction la stratégie de l'entreprise Prioriser les fonctions (temps d'arrêt possible), définir la confidentialité des informations, choisir de mettre en oeuvre (non-répudiation des transactions, authentification des utilisateurs... )... 7) Définir les contre-mesures possibles et estimer les coûts correspondants Back up distant, identification forte des utilisateurs, formation des hommes. 8) Valider les choix en direction générale: Ne rien faire, s'assurer contre tout ou partie du risque, ou mettre en uvre les contre-mesures proposées. 8/13 07-COURS_MSI_Securite_SI_exo_Corr

9 Deuxième partie: mise en place de plans d'action en cas de crise 3. Principales actions à entreprendre pour la mise en oeuvre des différents plans Les crises les plus faciles à résoudre sont celles. qui ne se déclenchent pas. Bonne gestion d'une situation sensible. Gestion du «silence». La gravité d'une crise dépend des premières heures Nécessité de disposer d'un excellent système d'alerte et... d'être préparé. Identification en amont des risques. Les personnes responsables de ces différents plans sont les suivantes: a) PGC: Plan de Gestion de Crise Le Plan de Gestion de Crise est basé un système d'alerte: Il faut mettre en place un veilleur qui doit établir un diagnostic préliminaire à partir des éléments de l'alerte: Comptabilité: balance carrée... Production: taux d'incident... RH : absentéisme des employés... Projet: retard moyen... Commerciaux: enquête de satisfaction clients... Stratégie: évolution des parts de marché... Informatique: taux d'incidents... Financier: évolution de la trésorerie... Communication: image perçue de l'entreprise... Achat: état de santé des sous traitants; Dès l'apparition de l'alerte, le veilleur doit: Se rendre sur le site concerné (s'il n'y est déjà) ; Établir un diagnostic préliminaire. Le veilleur doit comprendre les signaux d'alerte et identifier les risques latents. Pour cela, il doit: Écouter ; Analyser ; Veiller ; 9/13 07-COURS_MSI_Securite_SI_exo_Corr

10 Anticiper. Le veilleur doit déclencher un plan d'alerte L'objectif général de ce plan est d'informer le personnel de l'entreprise, du site concerné, de l'existence du sinistre, et de convoquer les équipes de secours; Le veilleur doit, suite de son diagnostic, informer la Direction Générale. Selon la nature de ce diagnostic, la DG peut décider de convoquer une Cellule de Crise, et cette réunion décisionnelle statuera sur de la suite à donner. A l'issue de la réunion de la cellule de crise, la décision d'activer ou non un scénario de secours doit être prise. Il faut prévoir de mettre en oeuvre cette cellule de crise, dont les rôles sont: - Coordination de l'action; Décision, si nécessaire, de convoquer les équipes de secours; Définition de la communication interne; Définition de la communication externe; Convocation des représentants des directions; Estimation du planning de reprise. La cellule de crise a pour vocation de constater la réalité du sinistre et d'évaluer la situation. La question majeure est de savoir si l'exploitation peut être reprise, même en mode dégradé, dans un temps inférieur au délai de reprise en configuration de secours. Cependant, il faut en avoir préalablement identifié les membres (car au moment de la survenance de cette crise, le temps est un facteur crucial). Cette Cellule comprend généralement: Un Responsable de la Cellule de Crise; Une équipe Communication (interne et externe) ; Les Directeurs des Métiers à reprendre après la crise; Les collaborateurs de crise pour chaque Direction; En soutien, une équipe Logistique avec le Responsable Opérationnel du site principal et ses Correspondants Locaux. Il faut définir un plan d'action de la cellule de crise, dont les décisions concernent également: l'évaluation des dommages et les possibilités de remise en état; la définition et la mise en oeuvre des politiques de communication interne et externe; la sélection de la stratégie la mieux adaptée aux circonstances. b) PRA: Plan de Reprise d'activité Il faut prévoir le retour à la normale Guide des actions de retour à la normale: quelles actions doivent être menées pour assurer la reprise d'activité en mode normal? Planning de retour à la normale: la mise à disposition d'une configuration technique de secours et d'un site de repli utilisateurs est limitée dans le temps. Il est donc indispensable, dès stabilisation de la solution de secours, d'organiser la transition vers la situation normale ou vers une autre situation de type similaire. La problématique majeure est donc de maîtriser le planning de ce retour, et de disposer d'une visibilité suffisante sur l'avancement des travaux pour pouvoir, si nécessaire, adapter la stratégie de retour à la normale. Il convient donc d'écrire les procédures qui mettent la stratégie en oeuvre. Ceci inclut les procédures d'intervention immédiate - Qui prévenir? 10/13 07-COURS_MSI_Securite_SI_exo_Corr

11 Qui peut démarrer le plan et sur quels critères? Où les équipes doivent-elles se réunir? Le Plan de Reprise d'activité est placé sous la responsabilité du Responsable du Système d'information (OSI). Il contient les informations suivantes: La composition et le rôle des «équipes de pilotage du plan de reprise» ; Les dirigeants qui ont autorité pour engager des dépenses; Le porte-parole en charge des contacts avec les tiers: les clients et les fournisseurs, etc. ; Au niveau tactique, les responsables qui coordonnent les actions; Au niveau opérationnel, les hommes de terrain qui travaillent sur le site sinistré et sur le site de remplacement. Les membres des équipes doivent recevoir une formation. Les procédures pour rétablir les services essentiels, y compris le rôle des prestataires externes. Les procédures doivent être accessibles aux membres des équipes de pilotage, même en cas d'indisponibilité des bâtiments. Le plan doit être régulièrement essayé au cours d'exercices. Un exercice peut être une simple revue des procédures, Un jeu de rôles entre les équipes de pilotage. Un exercice peut aussi être mené en grandeur réelle, mais peut se limiter: A la reprise d'une ressource (par exemple, le serveur principal), A une seule fonction du plan (par exemple, la procédure d'intervention immédiate). Le but de l'exercice est multiple: Vérifier que les procédures permettent d'assurer la continuité d'activité; Vérifier que le plan est complet et réalisable; Maintenir un niveau de compétence suffisant parmi les équipes de pilotage; Évaluer la résistance au stress des équipes de pilotage. c) PCA: Plan de Continuité d'activité C'est un système organisé qui garantit la continuité des opérations en cas de crise. Il doit être mis en oeuvre Lorsqu'un risque majeur survient et qu'il rend le site inaccessible ou inexploitable pour plus de 24 heures. Il doit permettre : d'assurer un lien permanent avec ses clients, ses fournisseurs et les collaborateurs; de garantir l'excellence opérationnelle. Les procédures actuelles ne prennent pas tout en compte. Cependant, plusieurs axes doivent être explorés: - Pérennité de l'organisation en cas de crise; Minimiser l'arrêt d'exploitation (gestion des flux) ; Offrir une Qualité de Service satisfaisante; Piloter et Manager les risques en les anticipant. Le Plan de Continuité d'activité impose la nomination d'un chef de projet indépendant de la OSI : Le responsable nommé pour prendre la direction du projet de PCA doit jouir d'une certaine indépendance vis-à-vis de la direction des systèmes d'information (OSI). Il est en effet censé réaliser des préconisations organisationnelles et technologiques avec statut de consultant, au même titre que d'autres départements de l'entreprise jugés critiques. Il peut être par exemple détaché par la direction générale auprès du département de gestion des risques (Risk Management). 11/13 07-COURS_MSI_Securite_SI_exo_Corr

12 Le Plan de Continuité d'activité doit s'appuyer sur un audit des activités critiques de l'entreprise Lister les activités de l'entreprise considérées comme critiques, c'est-à-dire sans lesquelles elle ne peut poursuivre sa ou ses missions principales. Dans ce but, il est conseillé d'interviewer les responsables de chaque activité, en vue de cerner leurs besoins en termes humains et de reprise applicative. Une méthodologie qui permettra de sensibiliser les responsables à la démarche tout en faisant le point sur leur niveau d'exigence. Le Plan de Continuité d'activité doit conduire à la réalisation d'un document de synthèse Il formalise une classification des activités par niveau d'exigence (ou niveau de criticité). Il précise également les liens existant entre elles pour en assurer le bon fonctionnement «Les forces politiques existantes dans l'entreprise doivent absolument être prises en compte dans cette hiérarchisation pour éviter tout blocage des manageurs lors de la phase de mise en uvre». Le Plan de Continuité d'activité doit s'appuyer sur la validation des niveaux d'exigence La classification des activités est validée par un comité de pilotage. Un groupe composé du responsable du projet, de représentants de la direction générale et de la DSI, ainsi que de responsables des directions administratives et financières, sans oublier les départements correspondant aux activités jugées critiques. Le Plan de Continuité d'activité permet l'élaboration d'un cahier des charges Un cahier des charges est réalisé. Pour chaque activité, il passe en revue les éléments nécessaires au plan de reprise, en termes: D'infrastructure logicielle et matérielle (nombre de positions de travail, de serveurs, d'accès réseau, etc.) ; D'applications (outils métier, etc.) ; De ressources humaines (compétences, effectif à mobiliser au moment où intervient le sinistre, etc.). Des niveaux de tolérance sont établis, en termes de temps de reprise (maximum) par applications et de pertes de données. Les interdépendances entre applicatifs sont formalisées. Le Plan de Continuité d'activité doit être formalisé Décrire clairement les processus à mettre en place. L'objectif est de structurer les actions nécessaires à la préservation des moyens indispensables à la continuité des activités; L'ensemble des ressources qui doivent être mises en oeuvre par chaque direction pour permettre la continuité de service en cas d'indisponibilité d'un ou plusieurs sites; - Informatique (applications métiers, bureautique) ; Télécommunications (liaisons informatiques, téléphonie) ; Logistique (bureaux, matériels... ) ; Sauvegarde des écrits (documents commerciaux et légaux... ). Déterminer les profils humains et les moyens techniques nécessaires. Détailler la cascade d'alertes à activer lors de l'incident. Détailler les différentes étapes visant à mettre sur pied la cellule de crise, et la campagne d'information clients et partenaires qui s'impose. Le Plan de Continuité d'activité doit être testé et maintenu Soumettre les processus du PCA à une batterie de tests visant à cerner les difficultés techniques et humaines qui pourraient subvenir lors de l'activation. 12/13 07-COURS_MSI_Securite_SI_exo_Corr

13 Maintenance du plan en situation opérationnelle, c'est-à-dire son adaptation (à la fois technique et humaine) au fil de l'eau en fonction des évolutions de l'activité de l'entreprise. «Tests et configurations successives doivent être clairement historisés». Le PCA en place, celui-ci n'en est pas pour autant appelé à demeurer figé. En effet, l'organisation de l'entreprise et son système d'information connaîtront inévitablement des évolutions. Cela impose ainsi de définir les responsabilités et les procédures pour maintenir le PCA dans un état opérationnel. A défaut de mise à jour, les risques sont élevés d'être confronté à une défaillance au moment de la crise, sans compter les frais découlant d'une réinitialisation du PCA, et en l'espace de quelques semaines, votre plan de secours informatique peut s'avérer inopérant A défaut d'une mise à jour de la procédure de reconstruction du site de secours, l'activité, au lieu démarrer en 24 heures, ne reprendra qu'au bout de 3 ou 4 jours, voire plus. 13/13 07-COURS_MSI_Securite_SI_exo_Corr

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

Politique et charte de l entreprise INTRANET/EXTRANET

Politique et charte de l entreprise INTRANET/EXTRANET Politique et charte de l entreprise INTRANET/EXTRANET INTRANET/EXTRANET LES RESEAUX / 2 DEFINITION DE L INTRANET C est l internet interne à un réseau local (LAN) c'est-à-dire accessibles uniquement à partir

Plus en détail

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT LA SECURITE DU PATRIMOINE NUMERIQUE, DBB Groupe ICT Plan LA SECURITE DU PATRIMOINE NUMERIQUE, Le Patrimoine informationnel Menaces & Conséquences Responsabilité du Chef d Entreprise Comment répondre aux

Plus en détail

Les métiers de l assistanat Evolutions Compétences - Parcours

Les métiers de l assistanat Evolutions Compétences - Parcours Les métiers de l assistanat Evolutions Compétences - Parcours Neuf pôles d activité La majorité des assistantes ont des activités couvrant ces différents pôles, à des niveaux différents, à l exception

Plus en détail

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES SDTICE/SDITE Version : 1.0 - Date création : 09/01/09 1. Périmètre des S2i2e Les S2i2e ont pour objectif principal

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

Check-list de maintenance du système Instructions impératives pour l'utilisateur du système Dernière mise à jour 09 juin 2011

Check-list de maintenance du système Instructions impératives pour l'utilisateur du système Dernière mise à jour 09 juin 2011 ANNEXE 3 Check-list de maintenance du système Instructions impératives pour l'utilisateur du système Dernière mise à jour 09 juin 2011 Généralités Afin de pouvoir garantir un support sûr et efficace du

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

AUDIT MAINTENANCE CURATIVE MAINTENANCE PREVENTIVE HOTLINE

AUDIT MAINTENANCE CURATIVE MAINTENANCE PREVENTIVE HOTLINE Fort de son expérience auprès des PME et Collectivités, MDSI vous propose la gestion complète ou partielle de votre système informatique en associant au sein d'un même contrat : audit, conseil, maintenance

Plus en détail

Choisissez un pôle d activité ou un profil et cliquez

Choisissez un pôle d activité ou un profil et cliquez Organisation et planification des activités du service Gestion des ressources matérielles Gestion et coordination des informations Relations professionnelles Rédaction et mise en forme de documents professionnels

Plus en détail

Notre offre PCA/PRA systemes@arrabal-is.com

Notre offre PCA/PRA systemes@arrabal-is.com systemes@arrabal-is.com De plus en plus, le rôle que jouent l'accès à Internet, la messagerie et les logiciels métier, rend essentielle la continuité de l'activité des PME, notamment en cas de panne ou

Plus en détail

3 - Sélection des fournisseurs... 4. 4 Marche courante... 5. 4.1 Conditionnement Transport... 5. 4.2 Livraison... 5

3 - Sélection des fournisseurs... 4. 4 Marche courante... 5. 4.1 Conditionnement Transport... 5. 4.2 Livraison... 5 1 SOMMAIRE 1 Introduction... 3 2 Principes... 3 3 - Sélection des fournisseurs... 4 4 Marche courante... 5 4.1 Conditionnement Transport... 5 4.2 Livraison... 5 4.3 - Garantie qualité / Conformité... 5

Plus en détail

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Table des Matières Conditions Spécifiques à la Location de Serveurs...2 1 - Description du Service...2 2 - Obligations & Responsabilités

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

FAIRE FACE A UN SINISTRE INFORMATIQUE

FAIRE FACE A UN SINISTRE INFORMATIQUE FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation

Plus en détail

OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE

OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE Commission paritaire nationale de l'emploi de la Métallurgie Qualification : MQ 2007 10 89 0264 FICHE D IDENTITE DE LA QUALIFICATION VALIDEE TITRE DE LA QUALIFICATION : Coordonnateur (trice) du développement

Plus en détail

Programme détaillé BTS ASSISTANT DE MANAGER. Objectifs de la formation DIPLÔME D ETAT

Programme détaillé BTS ASSISTANT DE MANAGER. Objectifs de la formation DIPLÔME D ETAT Programme détaillé BTS ASSISTANT DE MANAGER Objectifs de la formation Le Brevet de Technicien Supérieur d'assistant de Manager est un diplôme national de l enseignement supérieur dont le titulaire exerce

Plus en détail

Software Asset Management Savoir optimiser vos coûts licensing

Software Asset Management Savoir optimiser vos coûts licensing Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons

Plus en détail

APX Solution de Consolidation de Sauvegarde, restauration et Archivage

APX Solution de Consolidation de Sauvegarde, restauration et Archivage APX Solution de Consolidation de Sauvegarde, restauration et Archivage APX vous accompagne de la Conception à l Exploitation de votre Système d Information. Ce savoir faire est décliné dans les 3 pôles

Plus en détail

Olivier Mauras. Directeur R&D Beemo Technologie

Olivier Mauras. Directeur R&D Beemo Technologie Olivier Mauras Directeur R&D Beemo Technologie La sauvegarde informatique est-elle une composante de la politique de sécurité? Oui, à condition qu'elle s'intègre dans un plan global - Introduction - La

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Tous droits réservés SELENIS

Tous droits réservés SELENIS 1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,

Plus en détail

Référentiel de compétences en système d'information

Référentiel de compétences en système d'information ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable

Plus en détail

3. Guide Technique Type de l «utilisateur»

3. Guide Technique Type de l «utilisateur» 3. Guide Technique Type de l «utilisateur» Sommaire 1. Préambule.......................... page 25 2. Champ d application................... page 25 3. Procédures de sécurité................. page 25 3.1

Plus en détail

Les clauses «sécurité» d'un contrat SaaS

Les clauses «sécurité» d'un contrat SaaS HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

NC 06 Norme comptable relative aux Immobilisations incorporelles

NC 06 Norme comptable relative aux Immobilisations incorporelles NC 06 Norme comptable relative aux Immobilisations incorporelles Objectif 01. Une entreprise peut acquérir des éléments incorporels ou peut elle-même les développer. Ces éléments peuvent constituer des

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Extrait 54 Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

Plus en détail

Système d'information Page 1 / 7

Système d'information Page 1 / 7 Système d'information Page 1 / 7 Sommaire 1 Définition... 1 2 Fonctions du système d information... 4 2.1 Recueil de l information... 4 2.2 Mémorisation de l information... 4 2.3 Traitement de l information...

Plus en détail

Migration d un logiciel de gestion

Migration d un logiciel de gestion Auteur : David PERRET Publication : 01/11/2015 Toute société utilisatrice de logiciel de gestion est inéluctablement confrontée à des migrations de données. Ces migrations représentent des risques et un

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Réussir l externalisation de sa consolidation

Réussir l externalisation de sa consolidation Réussir l externalisation de sa consolidation PAR ERWAN LIRIN Associé Bellot Mullenbach et Associés (BMA), activité Consolidation et Reporting ET ALAIN NAULEAU Directeur associé Bellot Mullenbach et Associés

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

RECUEIL POLITIQUE DES

RECUEIL POLITIQUE DES RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) Adoptée par le Conseil d'administration

Plus en détail

LES PROCESSUS SUPPORT

LES PROCESSUS SUPPORT Manuel de management de la qualité Chapitre 3 : Approuvé par Guy MAZUREK Le 1/10/2014 Visa Page 2 / 11 SOMMAIRE 1 LA GESTION DES DOCUMENTS ET DONNEES DU SMQ... 4 1.1 Architecture de la documentation du

Plus en détail

Befimmo SA Règlement de l'audit interne

Befimmo SA Règlement de l'audit interne Befimmo SA Règlement de l'audit interne Table des matières Article 1 - Nature... 1 Article 2 - Mission, objectifs et activités... 2 Article 3 - Programme annuel... 3 Article 4 - Reporting... 3 Article

Plus en détail

D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002)

D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002) L'approche processus D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002) Diaporama : Marie-Hélène Gentil (Maître de Conférences,

Plus en détail

Association ESSONNE CADRES

Association ESSONNE CADRES Association ESSONNE CADRES 10 avenue du Noyer Lambert - 91300 MASSY : 01 60 12 01 45 Email : competences91@essonnecadres.org Site web : www.essonnecadres.org Besoin d un Professionnel pour une situation

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Bien comprendre les fonctionnalités d'une GED

Bien comprendre les fonctionnalités d'une GED Bien comprendre les fonctionnalités d'une GED StarXpert 2011 STARXPERT - Siège social : 100 rue des Fougères 69009 LYON SAS au capital de 40 000 - Siret : 449 436 732 00035 - NAF : 723Z Table des matières

Plus en détail

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales

Plus en détail

PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE

PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE Référentiel de certification du Baccalauréat professionnel GESTION ADMINISTRATION PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE 1 Le référentiel de certification du Baccalauréat GESTION ADMINISTRATION Architecture

Plus en détail

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...

Plus en détail

Fiche de l'awt Principes d'élaboration de solutions Web interactives

Fiche de l'awt Principes d'élaboration de solutions Web interactives Fiche de l'awt Principes d'élaboration de solutions Web interactives Présentation des principales catégories d'applications Internet et des composants standards d'une application Web interactive Créée

Plus en détail

Pré-requis. Objectifs. Préparation à la certification ITIL Foundation V3

Pré-requis. Objectifs. Préparation à la certification ITIL Foundation V3 La phase de stratégie de services Page 83 ITIL Pré-requis V3-2011 et objectifs Pré-requis La phase de stratégie de services Maîtriser le chapitre Introduction et généralités d'itil V3. Avoir appréhendé

Plus en détail

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Table des Matières Conditions Spécifiques à l'utilisation des Services d'hébergement Mutualisé...2 1 - Obligations & Responsabilités

Plus en détail

RÉFLEXION STRATÉGIQUE QUANT À LA MISE EN PLACE D'UN PROJET E-BUSINESS

RÉFLEXION STRATÉGIQUE QUANT À LA MISE EN PLACE D'UN PROJET E-BUSINESS RÉFLEXION STRATÉGIQUE QUANT À LA MISE EN PLACE D'UN PROJET E-BUSINESS REMARQUES PRÉLIMINAIRES Ces questions ont un double objectif. D'une part, mieux cerner les tenants et aboutissants de votre projet

Plus en détail

INDUSTRIALISATION ET RATIONALISATION

INDUSTRIALISATION ET RATIONALISATION INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

V 1 Février Mars Avril

V 1 Février Mars Avril Brevet de Technicien Supérieur Assistant de gestion PME-PMI A1.1 Recherche de clientèle et contacts Définir et mettre en place une méthode de prospection Repérer et qualifier les prospects Veiller à la

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Concours EXTERNE d ingénieur des systèmes d information et de communication. «Session 2009»

Concours EXTERNE d ingénieur des systèmes d information et de communication. «Session 2009» Concours EXTERNE d ingénieur des systèmes d information et de communication «Session 2009» Meilleure copie "Rapport Technique" Thème : conception et développement logiciel Note : 15,75/20 Rapport technique

Plus en détail

Fiche métier Responsable de la préparation des produits

Fiche métier Responsable de la préparation des produits Fiche métier Responsable de la préparation Il peut aussi s appeler > Chef/responsable de station de conditionnement. > Chef d entrepôt. Caractéristiques du métier > Le/la responsable de la préparation

Plus en détail

Un projet de PRA peut se découper en quatre phases :

Un projet de PRA peut se découper en quatre phases : Définition Le plan de continuité de service PCA est mis en place pour faire face à une situation de crise pouvant perturber ou interrompre l activité de l entreprise. Le PCA est donc l ensemble des procédures

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

PARC ET RESSOURCES INFORMATIQUES POLITIQUE DE GESTION

PARC ET RESSOURCES INFORMATIQUES POLITIQUE DE GESTION Le 27/08/2014 Gestion du parc informatique de l école Jean Moulin Page 1 sur 5 PARC ET RESSOURCES INFORMATIQUES DE L ÉCOLE PRIMAIRE JEAN-MOULIN : POLITIQUE DE GESTION Synthèse : Pour garder des outils

Plus en détail

L impact d un incident de sécurité pour le citoyen et l entreprise

L impact d un incident de sécurité pour le citoyen et l entreprise L impact d un incident de sécurité pour le citoyen et l entreprise M e Jean Chartier Président Carrefour de l industrie de la sécurité 21 octobre 2013 - La Malbaie (Québec) Présentation générale La Commission

Plus en détail

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Introduction Face à l évolution constante des besoins fonctionnels et des outils informatiques, il est devenu essentiel pour

Plus en détail

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 Les 12 recommandations de la Cour des comptes ont été approuvées. Actuellement

Plus en détail

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000.

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000. Manuel 1 Objectif Décrire brièvement l organisation du système mis en place à l ICEDD afin de démontrer le respect des exigences de la norme ISO 9001 : 2000. Accessoirement, cela peut faciliter la recherche

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Tableau de Bord. Clas 1.1 Conduite d'un projet de communication

Tableau de Bord. Clas 1.1 Conduite d'un projet de communication Bande de Com! Tableau de Bord Julien Pansier PROJET Clas 1.1 Conduite d'un projet de communication 1.1.1 Prise en charge du dossier de l annonceur C11.1. S approprier la demande de l annonceur - Comprendre

Plus en détail

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur :

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur : COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 30/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Responsable d affaires I OBJECTIF PROFESSIONNEL

Plus en détail

C11.2 Identifier les solutions à mettre en œuvre C11.3 Préparer le cahier des charges

C11.2 Identifier les solutions à mettre en œuvre C11.3 Préparer le cahier des charges Classe de situation (3) Clas.1.1. Conduite d'un projet de F1 Mise en œuvre et suivi de projets de (3 classes de situations / 10 situations / 12 compétences) Situations (4+2+4) Compétences (6+2+4) Compétences

Plus en détail

PROGRAMME DE FORMATION

PROGRAMME DE FORMATION F-5.04 : METHODOLOGIE D UN PROJET DE DEMATERIALISATION ET D ARCHIVAGE ELECTRONIQUE, APPLICATION AUX MAILS /// Objectifs pédagogiques Apporter aux participants les informations essentielles pour aborder

Plus en détail

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE Management par les processus Les facteurs clés de succès Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise

Plus en détail

ITIL Mise en oeuvre de la démarche ITIL en entreprise

ITIL Mise en oeuvre de la démarche ITIL en entreprise Introduction 1. Préambule 21 2. Approfondir ITIL V3 22 2.1 Introduction 22 2.2 La cartographie 23 2.2.1 La cartographie de la démarche ITIL V3 23 2.2.2 La cartographie des processus dans les phases du

Plus en détail

Référentiel C2I Niveau 1 Version 2

Référentiel C2I Niveau 1 Version 2 Référentiel C2I Niveau 1 Version 2 D1: Travailler dans un environnement numérique D1.1 : Organiser un espace de travail complexe Configurer son environnement de travail local et distant Organiser ses données

Plus en détail

La gestion de la documentation

La gestion de la documentation La gestion de la documentation Des aspects méthodologiques & organisationnels.vers la mise en œuvre d un outil de GED M S. CLERC JOSY 13 OCTOBRE 2015 PLAN Définition d un projet de gestion de la documentation

Plus en détail

L externalisation de la formation Résultats de l enquête 2011-2012

L externalisation de la formation Résultats de l enquête 2011-2012 L externalisation de la formation Résultats de l enquête 2011-2012 20 juin 2012 Bénédicte Bailleul Directrice de l activité Externalisation 1 Agenda Présentation de Demos Outsourcing Méthodologie d enquête

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012 Cahier des charges MAINTENANCE INFORMATIQUE Mai 2013 Table des matières Sommaire 1 Introduction... 3 1.1 Objectifs...

Plus en détail

La télésauvegarde est-elle la solution pour réduire les risques quotidiens de la sauvegarde?

La télésauvegarde est-elle la solution pour réduire les risques quotidiens de la sauvegarde? La télésauvegarde est-elle la solution pour réduire les risques quotidiens de la sauvegarde? SOMMAIRE Introduction I. Les risques encourus avec un système de sauvegarde traditionnelle II. Les attentes

Plus en détail

Système d'administration de réseau. Une interface de gestion unique pour l'ensemble des systèmes et des terminaux

Système d'administration de réseau. Une interface de gestion unique pour l'ensemble des systèmes et des terminaux Système d'administration de réseau Alcatel-Lucent OmniVista 8770 Une interface de gestion unique pour l'ensemble des systèmes et des terminaux SUITE D'APPLICATIONS INTÉGRÉES Aujourd'hui, les entreprises

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e)

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e) Profil professionnel du Diplôme de technicien / Diplôme d'aptitude professionnelle (ne) en informatique / Informaticien(ne) qualifié(e) Finalisé le /0/009 PROFIL PROFESSIONNEL (BERUFSPROFIL) Partie A a.

Plus en détail

Concepts et définitions

Concepts et définitions Division des industries de service Enquête annuelle sur le développement de logiciels et les services informatiques, 2002 Concepts et définitions English on reverse Les définitions qui suivent portent

Plus en détail

Module: Organisation. 3.3. L informatique dans la structure d une organisation. Abdessamed Réda GHOMARI Maître de Conférences a_ghomari@esi.

Module: Organisation. 3.3. L informatique dans la structure d une organisation. Abdessamed Réda GHOMARI Maître de Conférences a_ghomari@esi. Module: Organisation 3.3. L informatique dans la structure d une organisation Abdessamed Réda GHOMARI Maître de Conférences a_ghomari@esi.dz Plan Introduction Informatique dans les organisations Rattachement

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication.

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication. CONNECTER LES SYSTEMES ENTRE EUX L informatique, au cœur des tâches courantes, a permis de nombreuses avancées technologiques. Aujourd hui, la problématique est de parvenir à connecter les systèmes d information

Plus en détail

Ouvrir dossier D appel

Ouvrir dossier D appel Ouvrir dossier D appel Table des matières 1. TRAITER UN APPEL... 3 1.1. ORGANISATION GENERALE D'UN SERVICE DESK... 3 1.2. PRINCIPE DE FONCTIONNEMENT... 4 2. PRISE EN CHARGE DE L'UTILISATEUR ET DE SON APPEL...

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

Le client/serveur repose sur une communication d égal à égal entre les applications.

Le client/serveur repose sur une communication d égal à égal entre les applications. Table des matières LES PRINCIPES DE BASE... 1 Présentation distribuée-revamping...2 Présentation distante...3 Traitements distribués...3 données distantes-rd...4 données distribuées-rda distribué...4 L'ARCHITECTURE

Plus en détail

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56 CHARTE ADMINISTRATEUR CORRELYCE Version du 31/08/2007 10:56 Table des matières 1. CONTEXTE... 3 2. OBJET... 3 3. REFERENTIEL... 3 4. PREROGATIVES DE L ADMINISTRATEUR SYSTEME CORRELYCE... 4 4.1 DROIT D

Plus en détail

Organisation du dispositif de maîtrise des risques

Organisation du dispositif de maîtrise des risques Organisation du dispositif de maîtrise des risques Conférence EIFR 18 décembre 2014 Marie-Agnès NICOLET Regulation Partners Présidente fondatrice 35, Boulevard Berthier 75017 Paris marieagnes.nicolet@regulationpartners.com

Plus en détail

Améliorer votre approche processus

Améliorer votre approche processus Améliorer votre approche processus Décrire de manière complète les processus, Mettre en place des tableaux de bord de manière à en surveiller le fonctionnement et à en déterminer l efficacité, Réaliser

Plus en détail