La continuité d'activité

Dimension: px
Commencer à balayer dès la page:

Download "La continuité d'activité"

Transcription

1 La continuité d'activité 1. la distinction entre sauvegarde et archivage L'archivage consiste à recueillir, classer et conserver des données et documents à des fins de consultation ultérieure, voire à des fins de preuve. Il ne faut pas confondre archivage et sauvegarde. L'archivage implique des moyens permettant de conserver les données et documents d'une manière fiable et de permettre leur restitution fidèle, même après une longue période (plusieurs années, voire plusieurs dizaines d'années), alors que la sauvegarde est effectuée pour des raisons de sécurité et sert à restaurer tout ou partie d'un système, suite à une défaillance. Une sauvegarde a une vocation transitoire. Elle est remplacée par une nouvelle version suivant le calendrier des sauvegardes et la rotation des supports retenus. 2. le périmètre d'une sauvegarde Le périmètre d'une sauvegarde correspond: aux services, matériels, sites, utilisateurs, etc, à prendre en compte lors des sauvegardes; aux données à sauvegarder (fichiers utilisateurs, fichiers serveurs, documents contractuels, e- mails, bases de données, etc.). Le contenu de la sauvegarde évolue dans le temps avec l'ajout de nouvelles applications ou données. Cette contrainte doit être prise en compte dans la définition du périmètre afin de veiller à la complétude des sauvegardes. 3. Les besoins auxquels répond l'archivage L'archivage répond à trois besoins distincts: le besoin de preuve: les entreprises doivent justifier de leur activité vis-à-vis des autorités de tutelle, de l'état, des auditeurs, voire, lors de contentieux, produire les pièces nécessaires à la défense de leurs droits et de leurs intérêts; le besoin de réutilisation des données dans le cadre d'un nouveau projet (capitalisation des connaissances) ; le besoin de préserver la mémoire pour constituer une culture d'entreprise et communiquer avec des tiers (clients, partenaires, salariés, etc.). 4. Les enjeux de l'archivage Les enjeux de l'archivage sont de maîtriser les risques suivants: le risque juridique: le principal risque pour une entité est de ne pas pouvoir produire des données pouvant être retenues comme éléments de preuve valides. Pour pallier ce risque, les données doivent avoir été archivées et présenter des caractéristiques d'authenticité, d'intégrité et de non-répudiation; le risque logistique: les données ont été archivées mais il est impossible d'y accéder car elles n'ont pas été indexées pour pouvoir effectuer des recherches ou elles ne sont pas exploitables; le risque sécuritaire: des données confidentielles (données stratégiques, financières, etc.) risquent d'être divulguées parce qu'elles sont peu ou pas protégées, ou encore parce qu'elles auraient dû être détruites; le risque technique: le risque se situe tant au niveau de l'interopérabilité entre systèmes qu'au niveau de la pérennité des données sur le long terme, face à l'obsolescence des formats, supports et outils de restitution; le risque financier: l'enjeu financier est de ne pas supporter le coût d'un redressement fiscal ou d'une condamnation judiciaire suite à la non-réutilisation de données archivées. 5. Comment la norme OSI doit procéder pour déterminer les besoins d'archivage Pour déterminer les besoins d'archivage, la DSI devra travailler en étroite collaboration avec les directions métiers et la direction générale pour: réaliser la cartographie des données à archiver: la DSI devra isoler les données à archiver, c'est-à-dire celles qui sont validées et qui ne seront plus modifiées afin de tracer un événement à un instant donné. De plus, elle devra les catégoriser en: informations vitales, 1/13 07-COURS_MSI_Securite_SI_exo_Corr

2 données légales ou réglementaires, archives défendant les intérêts de l'entreprise en cas de litige, données réutilisables pour l'activité future et informations historiques; déterminer la criticité des données: la OSI devra déterminer le degré de sensibilité des informations, la fréquence et l'urgence de consultation de chacune d'elles afin d'apprécier leur criticité et de prendre des mesures visant à optimiser le stockage des données; connaître les exigences de conservation: en fonction des textes en vigueur (exemple: règles fiscales et comptables), des risques de contentieux et des besoins de réutilisation, la OSI choisira la durée d'archivage requise pour chaque type d'information. Comme l'entreprise est responsable de la conservation des données, elle devra également s'assurer que l'archivage donne une date certaine au document et permette une authentification de son auteur, que le support informatique soit pérenne et que les données soient intelligibles; déterminer les volumes à stocker et les autorisations d'accès aux données: la masse de données à archiver nécessitera un classement selon les priorités de gestion analysées, mais aussi une définition claire des besoins matériels adéquats. Les accès aux diverses données seront autorisés selon les degrés de sécurité et de confidentialité adaptés. 6. le lien entre politique de sauvegarde et politique de continuité d'activité Une politique de sauvegarde d'un système d'information minimise les risques d'arrêt d'activité d'une entité. Elle est l'élément indispensable à route politique de continuité d'activité puisqu'elle permet la reprise des opérations. En effet, les mesures de réparation ou de reconstruction d'un plan de continuité ont lieu à partir de sauvegardes. La qualité des sauvegardes de données est fondamentale pour un retour à l'activité normale d'une entreprise après un sinistre. 7. le rôle de l'organisation internationale de normalisation ISO et des normes ISO L'ISO (International Organization for Standardisation) est le plus important producteur et éditeur mondial de normes internationales. Cette Organisation internationale de normalisation représente un réseau d'instituts de normalisation couvrant 160 pays, établissant un consensus sur des solutions répondant aux exigences du monde économique et aux besoins de la société. 2/13 07-COURS_MSI_Securite_SI_exo_Corr

3 Selon l'iso, «les normes ISO: permettent de développer, fabriquer et fournir des produits et services plus efficaces, plus sûrs et plus propres; facilitent le commerce entre les pays et le rendent plus équitable; fournissent aux gouvernements une base technique pour la santé, la sécurité et la législation relative à l'environnement, ainsi que l'évaluation de la conformité; assurent le partage des avancées technologiques et des bonnes pratiques de gestion; contribuent à diffuser l'innovation; servent à protéger les consommateurs, et les utilisateurs en général, de produits et services; simplifient la vie en apportant des solutions aux problèmes communs», 8. les apports de la norme ISO pour les entreprises et les auditeurs La norme ISO permettra à ses adoptants d'émettre un signal positif à destination des tiers de l'organisation (clients, fournisseurs, banques, etc.) étant donné qu'elle montrera son intention d'améliorer sa politique de continuité d'activité. Ce signal sera d'autant plus important que la norme appartiendra à la catégorie «système de gestion» et visera à se rapprocher d'une cible de bonnes pratiques plutôt que de proposer des bonnes pratiques à appliquer. Ainsi, l'engagement de la direction générale sera nécessaire pour définir la politique de continuité répondant aux exigences de la norme mais adapté à l'entité et à suivre dans le temps dans un cycle d'amélioration (PDCA, Plan, Do, Check, Act). La norme facilitera la vérification de son application réelle par des auditeurs en précisant les exigences à respecter en matière de continuité d'activité. En effet, la norme précise un ensemble de points à conduire comme la définition du périmètre sur lequel le système de gestion va porter, une analyse des risques et un BIA (Business Impact Analysis), la définition et le choix d'options de continuité, la mise en place de procédures, la construction des Business Continuity Plans, la vérification des procédures, la mise en place d'actions correctives et de maintenance. La norme pourra constituer un cadre de référence pour les auditeurs en complément du référentiel de gouvernance des systèmes d'information CobiT (Control OBjectives for Information and related Technology), par exemple. 3/13 07-COURS_MSI_Securite_SI_exo_Corr

4 Infogérance et évaluation financière d'un projet NAS Première partie - Étude de la solution d'infogérance 1. le coût de la solution d'infogérance pour les quatre premières années Coût de la prestation fournie par la SSII Coût du changement N N+1 N+2 N Coût total de l'informatique Coûts cumulés l'intérêt, au plan financier, d'opter pour l'infogérance Coût interne de l'informatique N N+1 N+2 N+3 Coût total de l'informatique Coûts cumulés Comparaison des coûts cumulés N N+1 N+2 N+3 Solution d'infogérance Solution actuelle Écart Il existe un écart favorable de pour la solution d'infogérance par rapport à la solution actuelle. Si la solution d'infogérance représente un coût plus important la première année en raison des frais de transition de et du coût du changement de , elle s'avère avantageuse dès la deuxième année, avec un écart favorable de Au travers de l'analyse des coûts cumulés, il résulte que la solution d'infogérance devient financièrement intéressante à partir de la troisième année. 3. Les différentes formes d'infogérance, ses avantages et ses limites On peut distinguer différentes formes d'infogérance: le FM (Facilities Management) global: la prise en charge du système d'information du client est totale. Elle porte à la fois sur les infrastructures et sur le parc applicatif. Ce genre de FM se généralise de plus en plus; le FM partiel: seule une partie du SI du client est confiée au prestataire; la fourniture d'énergie informatique: ce service permet à un client d'utiliser les ressources d'une unité centrale d'un prestataire; le service bureau: un client confie à un prestataire la gestion de certains de ses services internes. Dans le cas du service bureau, le prestataire traite pour le compte de plusieurs clients certaines de leurs applications (paie, comptabilité... ) selon ses propres moyens logistiques; l'hébergement: un environnement logistique complet et sécurisé est mis à disposition du client. Dans ce cas, le client assure lui-même l'exploitation de ses applications et l'hébergeur se charge du bon fonctionnement des applications. L'infogérance présente de réels atouts mais les limites de cette solution viennent freiner son déploiement. Avantages Recentrage sur le métier de base. Optimisation de la gestion du SI grâce aux compétences du prestataire qui permet un gain de temps, une réduction des coûts (des moyens matériels et Limites Dépendance du résultat de l'entreprise au SI. Dépossession de compétences informatiques. 4/13 07-COURS_MSI_Securite_SI_exo_Corr

5 Avantages logiciels et de personnel), une plus grande flexibilité et un service de qualité. Réduction des risques (de départ des hommes clés, d'obsolescence). Solution de transition lorsqu'une entreprise doit gérer sa croissance, voire une restructuration. Solution pour résoudre un problème spécifique, technique ou organisationnel en l'absence de compétences internes. Limites Dépendance vis-à-vis du prestataire. Toutefois, pour remédier à un tel danger, le prestataire s'engage en général, quelle que soit la cause de l'arrivée du terme du contrat, à prendre toutes les dispositions utiles ou à apporter à son client son concours pour assurer la réversibilité de son système informatique. Cette réversibilité permettra au client de reprendre l'exploitation de son système informatique. Risque de défaillance du prestataire. Solution pour se consacrer à la mise en place de nouvelles applications, en externalisant les anciennes («FM de migration»). Risque de gonflement des coûts. Deuxième partie - Évaluation financière du projet NAS 4. L'utilité de l'intranet pour une entreprise Un intranet est un ensemble de services Internet accessibles par les postes d'un réseau local ou d'un ensemble de réseaux définis, utilisant les standards client/serveur d'internet (protocoles TCP/IP).II induit un coût relativement faible, se réduisant au coût du matériel, de son entretien et de sa mise à jour, avec des postes clients fonctionnant avec des navigateurs. D'autre part, en raison de la nature «universelle» des moyens mis en jeu, n'importe quel type de machine peut être connecté au réseau local, donc à l'intranet. Un intranet permet de mettre à la disposition des utilisateurs ou des groupes d'utilisateurs une base de documents de tous types (textes, images, vidéos, sons, etc.), dont les accès peuvent être définis par des droits d'accès (lecture, écriture, modification, suppression). De plus, il peut réaliser une fonction de «groupware» (en français, «collectique»), qui représente les méthodes et les outils logiciels (appelés «collecticiels») permettant à des utilisateurs de mener un travail collaboratif. Il offre également les fonctions suivantes: annuaire du personnel, messagerie électronique, conférence électronique, forums de discussion, listes de diffusion, moteur de recherche, publication d'informations sur l'entreprise (rapports de gestion), de documents internes (documentation technique), échange de données entre acteurs, gestion de projets, etc. Un intranet favorise la communication, la coopération et la coordination au sein de l'organisation et limite les erreurs dues à la mauvaise circulation d'une information. Toutefois, l'information disponible sur l'intranet doit être mise à jour régulièrement. 5. Le serveur NAS et ses avantages Un NAS (Network Attached Storage) ou serveur NAS est un périphérique de stockage relié à un réseau dont la principale fonction est le stockage de données en un gros volume centralisé pour des clients réseau hétérogènes. Un NAS est un serveur à part entière disposant de son propre système d'exploitation et d'un logiciel de configuration paramétré avec des valeurs par défaut convenant dans la majorité des cas. La technologie RAID (Redundant Array of Inexpensive Disks) est employée pour sécuriser les données stockées contre la défaillance d'un ou de plusieurs disques durs. Le serveur NAS a pour vocation d'être accessible depuis des serveurs clients à travers le réseau pour y stocker des données. Il permet ainsi la gestion centralisée de fichiers, ce qui procure plusieurs avantages: la gestion facilitée des sauvegardes des données d'un réseau; un accès par plusieurs serveurs clients aux mêmes données stockées sur le NAS; la réduction des coûts informatiques par l'achat de disques de grande capacité plutôt que l'achat de disques en grand nombre à installer sur chaque serveur du réseau; la réduction du temps d'administration des serveurs clients en gestion d'espace disques. 5/13 07-COURS_MSI_Securite_SI_exo_Corr

6 Par ailleurs, le NAS augmente la sécurité des données présentes sur celui-ci étant donné que: le système RAID autorise la défaillance de disque sans perte de données; la simplicité du système d'exploitation ainsi que des applications présentes réduisent le nombre de failles de sécurité. 6. Le TRI du projet, le délai de récupération du capital investi et l'opportunité de cet investissement ANNÉE 0 N N+1 N+2 N+3 Chiffre d'affaires Charges spécifiques Dotation aux amortissements Résultat avant IS IS Résultat après IS Dotation aux amortissements CAF Investissement FNT FNT cumulés TRI 19,41 % DRCI Détail des calculs: 2 ans, 9 mois et 12 jours CA N = (8 x 2 000) + (2 x 3 000) + (2 x 4 000) + (1 x 6 000) = CA N+ 1 = (6 x 2 000) + (4 x 3 000) + (2 x 4 000) + (1 x 6 000) = CA N + 2 = ( 4 x 2 000) + (4 x 3 000) + (4 x 4 000) + (1 x 6 000) = CA N+ 3 = (4 x 2 000) + (3 x 3 000) + (5 x 4 000) + (1 x 6 000) = DRCI = 2 ans et (360 x ! 22167) jours = 2 ans 9 mois et 12 jours Conclusion Le projet est très rentable sur quatre années avec un TRI avec prise en compte de la fiscalité de 19,41 %. Le délai de récupération du capital investi, sans actualisation des Aux nets de trésorerie. est de 2 ans et 9 mois, et s'avère acceptable pour ce projet où le GIE exige comme critère de recevabilité une récupération du capital investi dans un délai de (rois ans. Toutefois, il aurait été plus pertinent de réaliser ce calcul avec actualisation. Le projet au regard du TRI et du critère de récupération du capital investi doit donc être jugé intéressant. 6/13 07-COURS_MSI_Securite_SI_exo_Corr

7 RCOM Première partie: mise en conformité PCI / DSS 1. Analyse des écarts : Fautes qu'a pu commettre l'entreprise par rapport aux 12 points évoqués dans le tableau de synthèse 1) Installez et maintenez un firewall pour protéger vos données. Puisqu'un fraudeur extérieur a pu rentrer dans le système de l'entreprise RCOM, c'est que la protection par firewall était défaillante. 2) N'utilisez pas les mots de passe par défaut fournis avec les équipements et les logiciels. La politique de changement périodique de mots de passe permet en particulier d'éviter les problèmes de personnel ayant quitté l'entreprise et conservant des accès possibles au système d'information. 3) Protégez les données stockées. Le meilleur moyen de protéger les données stockées est de les chiffrer (exemple en 3 DES) et de les déchiffrer à la volée afin que tout accès illicite ne puisse conduire qu'à la consultation de données chiffrées et donc incompréhensibles. 4) Toutes les transmissions contenant des données bancaires sur des réseaux publics (Internet, X25) doivent impérativement être correctement chiffrées (VPN, SSL). C'est le cas en particulier à 2 moments dans la transaction: quand l'utilisateur rentre ses données bancaires pour le paiement de la transaction, et à ce moment l'utilisation de TLS ou SSL est préconisée, et quand le commerçant communique ces informations à la banque (ici le Crédit Financier), et là un chiffrement 3 DES sur un VPN est recommandé. 5) Utilisez et maintenez des antivirus à jour. C'est effectivement un des moyens pour les fraudeurs de rentrer dans le système de l'entreprise ISA (virus, cheval de Troie) : la protection par antivirus pouvait être défaillante. 6) Développez et maintenez la sécurité de vos systèmes et de vos applications (appliquez les correctifs de sécurité). Les constructeurs fournissent des patchs, ou des releases afin de maintenir les systèmes d'exploitation dans un état de sécurité au niveau connu à un instant T. Il convient donc en permanence d'effectuer les mises à jour de sécurité préconisées. 7) Restreignez l'accès aux seules données dont l'utilisateur (employés compris) a besoin (<< business need-to-know»). Une politique de sécurité est un tout et la plus petite faille peut être un point d'entrée pour les fraudeurs. Dans le cas de l'entreprise 1 SA, il faut se demander si le stockage des données de numéros de carte était vraiment utile. La réponse est dans la majorité des cas que ce stockage est inutile. 8) Chaque utilisateur doit posséder un identifiant unique. Les codes d'accès personnel que plusieurs personnes utilisent posent le problème de l'absence possible de traçabilité en cas de fraude ou de suspicion de fraude. 9) Restreignez l'accès physique aux serveurs contenant des données sur les cartes bancaires des clients. Si la réponse à la recommandation W 7 impliquait le stockage sécurisé des numéros de cartes bancaires, l'accès à ces données doit être très limité et très sécurisé tant du point de vu physique que logique. 10) Surveillez et stockez les événements d'accès aux ressources et aux données bancaires des clients (Conservation et analyse de logs). La conservation des traces doit être accompagnée de l'analyse périodique, mais aussi impromptue, de ces logs. 11) Testez régulièrement la sécurité de vos systèmes et de vos processus par des audits de sécurité. 7/13 07-COURS_MSI_Securite_SI_exo_Corr

8 L'audit de sécurité s'applique au système informatique lui-même, mais aussi aux procédures PCI/DSS. 12) Assurez le maintien et la communication de la politique de sécurité pour tous les collaborateurs. 80% des fraudes commerçants impliquent une complicité, une inconséquence, une maladresse ou une incompétence de la part d'un employé de la société. La mise en uvre d'une politique de sécurité requiert de communiquer sur les actions entreprises mais aussi des tests périodiques permettant de maintenir le personnel en éveil. 2. Mise en oeuvre de protection : Principaux items d'un Plan de Sécurité des Systèmes d'information destiné à éviter qu'un tel incident se reproduise - Commentaire La mise en place de la PSSI sur l'exploitation va permettre de : Rendre le fonctionnement du SI moins dépendant des personnes qui le composent. Sensibiliser l'ensemble des utilisateurs du SI à l'usage et aux risques inhérents au SI. Améliorer les relations avec les fournisseurs et les intervenants extérieurs en fixant des règles claires et admises par tous. Assurer la sécurité et la qualité de l'information contenue dans le SI et sur les postes nomades. Assurer la confiance dans l'utilisation des applications métiers et de la messagerie. Assurer le contrôle des échanges dans et à l'extérieur du SI. Inversement, si le PSSI est inexistant, les risques sont: Le système informatique dépend d'une personne qui détient la connaissance. Sans le savoir, un utilisateur peut contaminer votre système informatique. Un prestataire peut sortir des données sensibles hors de l'entreprise lors d'une opération de maintenance. Les concurrents peuvent voler sans que vous le sachiez des données en s'introduisant dans votre réseau. Les items du PSS : 1. Définir chacune des fonctions de l'entreprise, faire un schéma pour chacune d'elles Production (chaîne 1,2, 3... ), gestion, contrôle, comptabilité Lister les biens à protéger Données clients et entreprises, logiciels, équipements, savoir-faire Lister les menaces associées à chaque bien Corruption volontaire de données, panne machine... 4) Décrire les vulnérabilités du SI (faille du système) Accès, équipements, applications, hommes... 5) Calculer, pour chaque vulnérabilité, les risques associés Si attaque sur les numéros de carte => le serveur de données doit être arrêté => les données clients ne sont plus accessibles. 6) Associer à chaque fonction la stratégie de l'entreprise Prioriser les fonctions (temps d'arrêt possible), définir la confidentialité des informations, choisir de mettre en oeuvre (non-répudiation des transactions, authentification des utilisateurs... )... 7) Définir les contre-mesures possibles et estimer les coûts correspondants Back up distant, identification forte des utilisateurs, formation des hommes. 8) Valider les choix en direction générale: Ne rien faire, s'assurer contre tout ou partie du risque, ou mettre en uvre les contre-mesures proposées. 8/13 07-COURS_MSI_Securite_SI_exo_Corr

9 Deuxième partie: mise en place de plans d'action en cas de crise 3. Principales actions à entreprendre pour la mise en oeuvre des différents plans Les crises les plus faciles à résoudre sont celles. qui ne se déclenchent pas. Bonne gestion d'une situation sensible. Gestion du «silence». La gravité d'une crise dépend des premières heures Nécessité de disposer d'un excellent système d'alerte et... d'être préparé. Identification en amont des risques. Les personnes responsables de ces différents plans sont les suivantes: a) PGC: Plan de Gestion de Crise Le Plan de Gestion de Crise est basé un système d'alerte: Il faut mettre en place un veilleur qui doit établir un diagnostic préliminaire à partir des éléments de l'alerte: Comptabilité: balance carrée... Production: taux d'incident... RH : absentéisme des employés... Projet: retard moyen... Commerciaux: enquête de satisfaction clients... Stratégie: évolution des parts de marché... Informatique: taux d'incidents... Financier: évolution de la trésorerie... Communication: image perçue de l'entreprise... Achat: état de santé des sous traitants; Dès l'apparition de l'alerte, le veilleur doit: Se rendre sur le site concerné (s'il n'y est déjà) ; Établir un diagnostic préliminaire. Le veilleur doit comprendre les signaux d'alerte et identifier les risques latents. Pour cela, il doit: Écouter ; Analyser ; Veiller ; 9/13 07-COURS_MSI_Securite_SI_exo_Corr

10 Anticiper. Le veilleur doit déclencher un plan d'alerte L'objectif général de ce plan est d'informer le personnel de l'entreprise, du site concerné, de l'existence du sinistre, et de convoquer les équipes de secours; Le veilleur doit, suite de son diagnostic, informer la Direction Générale. Selon la nature de ce diagnostic, la DG peut décider de convoquer une Cellule de Crise, et cette réunion décisionnelle statuera sur de la suite à donner. A l'issue de la réunion de la cellule de crise, la décision d'activer ou non un scénario de secours doit être prise. Il faut prévoir de mettre en oeuvre cette cellule de crise, dont les rôles sont: - Coordination de l'action; Décision, si nécessaire, de convoquer les équipes de secours; Définition de la communication interne; Définition de la communication externe; Convocation des représentants des directions; Estimation du planning de reprise. La cellule de crise a pour vocation de constater la réalité du sinistre et d'évaluer la situation. La question majeure est de savoir si l'exploitation peut être reprise, même en mode dégradé, dans un temps inférieur au délai de reprise en configuration de secours. Cependant, il faut en avoir préalablement identifié les membres (car au moment de la survenance de cette crise, le temps est un facteur crucial). Cette Cellule comprend généralement: Un Responsable de la Cellule de Crise; Une équipe Communication (interne et externe) ; Les Directeurs des Métiers à reprendre après la crise; Les collaborateurs de crise pour chaque Direction; En soutien, une équipe Logistique avec le Responsable Opérationnel du site principal et ses Correspondants Locaux. Il faut définir un plan d'action de la cellule de crise, dont les décisions concernent également: l'évaluation des dommages et les possibilités de remise en état; la définition et la mise en oeuvre des politiques de communication interne et externe; la sélection de la stratégie la mieux adaptée aux circonstances. b) PRA: Plan de Reprise d'activité Il faut prévoir le retour à la normale Guide des actions de retour à la normale: quelles actions doivent être menées pour assurer la reprise d'activité en mode normal? Planning de retour à la normale: la mise à disposition d'une configuration technique de secours et d'un site de repli utilisateurs est limitée dans le temps. Il est donc indispensable, dès stabilisation de la solution de secours, d'organiser la transition vers la situation normale ou vers une autre situation de type similaire. La problématique majeure est donc de maîtriser le planning de ce retour, et de disposer d'une visibilité suffisante sur l'avancement des travaux pour pouvoir, si nécessaire, adapter la stratégie de retour à la normale. Il convient donc d'écrire les procédures qui mettent la stratégie en oeuvre. Ceci inclut les procédures d'intervention immédiate - Qui prévenir? 10/13 07-COURS_MSI_Securite_SI_exo_Corr

11 Qui peut démarrer le plan et sur quels critères? Où les équipes doivent-elles se réunir? Le Plan de Reprise d'activité est placé sous la responsabilité du Responsable du Système d'information (OSI). Il contient les informations suivantes: La composition et le rôle des «équipes de pilotage du plan de reprise» ; Les dirigeants qui ont autorité pour engager des dépenses; Le porte-parole en charge des contacts avec les tiers: les clients et les fournisseurs, etc. ; Au niveau tactique, les responsables qui coordonnent les actions; Au niveau opérationnel, les hommes de terrain qui travaillent sur le site sinistré et sur le site de remplacement. Les membres des équipes doivent recevoir une formation. Les procédures pour rétablir les services essentiels, y compris le rôle des prestataires externes. Les procédures doivent être accessibles aux membres des équipes de pilotage, même en cas d'indisponibilité des bâtiments. Le plan doit être régulièrement essayé au cours d'exercices. Un exercice peut être une simple revue des procédures, Un jeu de rôles entre les équipes de pilotage. Un exercice peut aussi être mené en grandeur réelle, mais peut se limiter: A la reprise d'une ressource (par exemple, le serveur principal), A une seule fonction du plan (par exemple, la procédure d'intervention immédiate). Le but de l'exercice est multiple: Vérifier que les procédures permettent d'assurer la continuité d'activité; Vérifier que le plan est complet et réalisable; Maintenir un niveau de compétence suffisant parmi les équipes de pilotage; Évaluer la résistance au stress des équipes de pilotage. c) PCA: Plan de Continuité d'activité C'est un système organisé qui garantit la continuité des opérations en cas de crise. Il doit être mis en oeuvre Lorsqu'un risque majeur survient et qu'il rend le site inaccessible ou inexploitable pour plus de 24 heures. Il doit permettre : d'assurer un lien permanent avec ses clients, ses fournisseurs et les collaborateurs; de garantir l'excellence opérationnelle. Les procédures actuelles ne prennent pas tout en compte. Cependant, plusieurs axes doivent être explorés: - Pérennité de l'organisation en cas de crise; Minimiser l'arrêt d'exploitation (gestion des flux) ; Offrir une Qualité de Service satisfaisante; Piloter et Manager les risques en les anticipant. Le Plan de Continuité d'activité impose la nomination d'un chef de projet indépendant de la OSI : Le responsable nommé pour prendre la direction du projet de PCA doit jouir d'une certaine indépendance vis-à-vis de la direction des systèmes d'information (OSI). Il est en effet censé réaliser des préconisations organisationnelles et technologiques avec statut de consultant, au même titre que d'autres départements de l'entreprise jugés critiques. Il peut être par exemple détaché par la direction générale auprès du département de gestion des risques (Risk Management). 11/13 07-COURS_MSI_Securite_SI_exo_Corr

12 Le Plan de Continuité d'activité doit s'appuyer sur un audit des activités critiques de l'entreprise Lister les activités de l'entreprise considérées comme critiques, c'est-à-dire sans lesquelles elle ne peut poursuivre sa ou ses missions principales. Dans ce but, il est conseillé d'interviewer les responsables de chaque activité, en vue de cerner leurs besoins en termes humains et de reprise applicative. Une méthodologie qui permettra de sensibiliser les responsables à la démarche tout en faisant le point sur leur niveau d'exigence. Le Plan de Continuité d'activité doit conduire à la réalisation d'un document de synthèse Il formalise une classification des activités par niveau d'exigence (ou niveau de criticité). Il précise également les liens existant entre elles pour en assurer le bon fonctionnement «Les forces politiques existantes dans l'entreprise doivent absolument être prises en compte dans cette hiérarchisation pour éviter tout blocage des manageurs lors de la phase de mise en uvre». Le Plan de Continuité d'activité doit s'appuyer sur la validation des niveaux d'exigence La classification des activités est validée par un comité de pilotage. Un groupe composé du responsable du projet, de représentants de la direction générale et de la DSI, ainsi que de responsables des directions administratives et financières, sans oublier les départements correspondant aux activités jugées critiques. Le Plan de Continuité d'activité permet l'élaboration d'un cahier des charges Un cahier des charges est réalisé. Pour chaque activité, il passe en revue les éléments nécessaires au plan de reprise, en termes: D'infrastructure logicielle et matérielle (nombre de positions de travail, de serveurs, d'accès réseau, etc.) ; D'applications (outils métier, etc.) ; De ressources humaines (compétences, effectif à mobiliser au moment où intervient le sinistre, etc.). Des niveaux de tolérance sont établis, en termes de temps de reprise (maximum) par applications et de pertes de données. Les interdépendances entre applicatifs sont formalisées. Le Plan de Continuité d'activité doit être formalisé Décrire clairement les processus à mettre en place. L'objectif est de structurer les actions nécessaires à la préservation des moyens indispensables à la continuité des activités; L'ensemble des ressources qui doivent être mises en oeuvre par chaque direction pour permettre la continuité de service en cas d'indisponibilité d'un ou plusieurs sites; - Informatique (applications métiers, bureautique) ; Télécommunications (liaisons informatiques, téléphonie) ; Logistique (bureaux, matériels... ) ; Sauvegarde des écrits (documents commerciaux et légaux... ). Déterminer les profils humains et les moyens techniques nécessaires. Détailler la cascade d'alertes à activer lors de l'incident. Détailler les différentes étapes visant à mettre sur pied la cellule de crise, et la campagne d'information clients et partenaires qui s'impose. Le Plan de Continuité d'activité doit être testé et maintenu Soumettre les processus du PCA à une batterie de tests visant à cerner les difficultés techniques et humaines qui pourraient subvenir lors de l'activation. 12/13 07-COURS_MSI_Securite_SI_exo_Corr

13 Maintenance du plan en situation opérationnelle, c'est-à-dire son adaptation (à la fois technique et humaine) au fil de l'eau en fonction des évolutions de l'activité de l'entreprise. «Tests et configurations successives doivent être clairement historisés». Le PCA en place, celui-ci n'en est pas pour autant appelé à demeurer figé. En effet, l'organisation de l'entreprise et son système d'information connaîtront inévitablement des évolutions. Cela impose ainsi de définir les responsabilités et les procédures pour maintenir le PCA dans un état opérationnel. A défaut de mise à jour, les risques sont élevés d'être confronté à une défaillance au moment de la crise, sans compter les frais découlant d'une réinitialisation du PCA, et en l'espace de quelques semaines, votre plan de secours informatique peut s'avérer inopérant A défaut d'une mise à jour de la procédure de reconstruction du site de secours, l'activité, au lieu démarrer en 24 heures, ne reprendra qu'au bout de 3 ou 4 jours, voire plus. 13/13 07-COURS_MSI_Securite_SI_exo_Corr

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

Management des Systèmes d information (SI)

Management des Systèmes d information (SI) ENGDE - DSCG 2 - Formation initiale Préparation au concours 2015 - UE5 Management des Systèmes d information (SI) S6 - Audit et Gouvernance Yves MEISTERMANN Rappel : Sommaire de l UE5 4. Gestion de la

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

FAIRE FACE A UN SINISTRE INFORMATIQUE

FAIRE FACE A UN SINISTRE INFORMATIQUE FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation

Plus en détail

Archivage, sauvegarde et restauration pour une virtualisation réussie Gestion des informations unifiée pour les environnements d'entreprise Windows

Archivage, sauvegarde et restauration pour une virtualisation réussie Gestion des informations unifiée pour les environnements d'entreprise Windows Archivage, sauvegarde et restauration pour une virtualisation réussie Gestion des informations unifiée pour les environnements d'entreprise Windows Croissance exponentielle des informations non structurées

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

Notre offre PCA/PRA systemes@arrabal-is.com

Notre offre PCA/PRA systemes@arrabal-is.com systemes@arrabal-is.com De plus en plus, le rôle que jouent l'accès à Internet, la messagerie et les logiciels métier, rend essentielle la continuité de l'activité des PME, notamment en cas de panne ou

Plus en détail

La Gestion Electronique des Documents

La Gestion Electronique des Documents La Gestion Electronique des Documents La mise en place d une solution La gestion de l information est devenue un enjeu stratégique majeur à l intérieur des organisations. D après l observation des projets

Plus en détail

Yphise. Le SAN. Architectures SAN

Yphise. Le SAN. Architectures SAN Architectures SAN Mardi 28 mars 2000 Laurent Ruyssen - 53 Bd de Sébastopol - T 1 45 08 86 70 F 1 45 08 05 51 yphise@yphise.com - http://yphise.fr ABS0003-1 Nous accompagnons les Directions Informatiques

Plus en détail

Épreuve E6 PARCOURS DE PROFESSIONNALISATION Coefficient 3

Épreuve E6 PARCOURS DE PROFESSIONNALISATION Coefficient 3 Épreuve E6 PARCOURS DE PROFESSIONNALISATION Coefficient 3 1. Ce que disent les textes officiels [extrait] FINALITÉS ET OBJECTIFS Cette épreuve vise à évaluer, d une part, le degré d appropriation de son

Plus en détail

I partie : diagnostic et proposition de solutions

I partie : diagnostic et proposition de solutions Session 2011 BTS assistant de manager Cas Arméria: barème et corrigé Remarque: la 1 ère partie doit être cohérente avec les éléments déterminants du contexte décrit dans cet encadré, qui n est pas attendu

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

Altaïr Conseil. Gestion des risques et pilotage des projets informatiques

Altaïr Conseil. Gestion des risques et pilotage des projets informatiques Gestion des risques et pilotage des projets informatiques Altaïr Conseil 33, rue Vivienne 75 002 Paris - Tél. : 01 47 33 03 12 - Mail : contact@altairconseil.fr Constats Des projets de plus en plus nombreux

Plus en détail

3. Rapport du Président du conseil d administration

3. Rapport du Président du conseil d administration 3. Rapport du Président du conseil d administration Conformément aux dispositions de l article L.225-37 du code de commerce, le président du conseil d administration rend compte, au terme de ce rapport,

Plus en détail

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007 Architecture de référence pour la protection des données Mercredi 21 Mars 2007 Intervenants Serge Richard CISSP /IBM France 2 Introduction Sécurité des données Cadres de référence Description d une méthodologie

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

Les archives de l entreprise à l ère du numérique. Présentée par: HAMMA Mustapha

Les archives de l entreprise à l ère du numérique. Présentée par: HAMMA Mustapha Les archives de l entreprise à l ère du numérique Présentée par: HAMMA Mustapha Définition des archives Toute information enregistrée, produite ou reçue dans la conduite d'une activité institutionnelle

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Extrait 54 Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales

Plus en détail

Prestataire Informatique

Prestataire Informatique SOLUTION INFORMATIQUE POUR PME-TPE C est la garantie du savoir-faire! Prestataire Informatique 2 Rue Albert BARBIER 45100 Orléans -Tel : 06.88.43.43.31 / 06.62.68.29.74 Contact Mali : 76441335 ou 65900903

Plus en détail

S424-4 LA MAINTENANCE DE L UC ET LA GESTION DES RISQUE. 1 Les enjeux de la maintenance et de la gestion des risques et incidents

S424-4 LA MAINTENANCE DE L UC ET LA GESTION DES RISQUE. 1 Les enjeux de la maintenance et de la gestion des risques et incidents S424-4 LA MAINTENANCE DE L UC ET LA GESTION DES RISQUE S424 Le contexte organisationnel de la relation commerciale S42 La relation commerciale 1 Les enjeux de la maintenance et de la gestion des risques

Plus en détail

Fiche méthodologique Rédiger un cahier des charges

Fiche méthodologique Rédiger un cahier des charges Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

IBM Managed Support Services managed technical support

IBM Managed Support Services managed technical support Approche intégrée et simplifiée du support technique au sein d un environnement informatique multifournisseur IBM Managed Support Services managed technical support Points clés Relever les défis du support

Plus en détail

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

SOMMAIRE. Rubrique : Audit et amélioration. Sommaire THEMATIQUE

SOMMAIRE. Rubrique : Audit et amélioration. Sommaire THEMATIQUE SOMMAIRE Rubrique : Audit et amélioration... 2 Rubrique : Divers...12 Rubrique : Maintenance...17 Rubrique : Système de management de la qualité...20 1 Rubrique : Audit et amélioration SOMMAIRE Auditer

Plus en détail

Contrôle interne et organisation comptable de l'entreprise

Contrôle interne et organisation comptable de l'entreprise Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants

Plus en détail

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Table des Matières Conditions Spécifiques à la Location de Serveurs...2 1 - Description du Service...2 2 - Obligations & Responsabilités

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

Description de l entreprise DG

Description de l entreprise DG DG Description de l entreprise DG DG est une entreprise d envergure nationale implantée dans le domaine de la domotique. Créée en 1988 par William Portes, elle compte aujourd'hui une centaine d'employés.

Plus en détail

Politique et charte de l entreprise INTRANET/EXTRANET

Politique et charte de l entreprise INTRANET/EXTRANET Politique et charte de l entreprise INTRANET/EXTRANET INTRANET/EXTRANET LES RESEAUX / 2 DEFINITION DE L INTRANET C est l internet interne à un réseau local (LAN) c'est-à-dire accessibles uniquement à partir

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

ITIL : Premiers Contacts

ITIL : Premiers Contacts IT Infrastructure Library ITIL : Premiers Contacts ou Comment Optimiser la Fourniture des Services Informatiques Vincent DOUHAIRIE Directeur Associé vincent.douhairie douhairie@synopse. @synopse.fr ITIL

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Table des matières Table des matières 1 Les exemples à télécharger sont disponibles à l'adresse

Plus en détail

Les clauses «sécurité» d'un contrat SaaS

Les clauses «sécurité» d'un contrat SaaS HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric

Plus en détail

Référentiel de compétences en système d'information

Référentiel de compétences en système d'information ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

GBP Guide de Bonnes Pratiques organisationnelles pour les Administrateurs Systèmes et Réseaux dans les unités de recherche. Groupe de travail RESINFO

GBP Guide de Bonnes Pratiques organisationnelles pour les Administrateurs Systèmes et Réseaux dans les unités de recherche. Groupe de travail RESINFO GBP Guide de Bonnes Pratiques organisationnelles pour les Administrateurs Systèmes et Réseaux dans les unités de recherche Groupe de travail RESINFO O. Brand-Foissac, L. Chardon, M. David, M. Libes, G.

Plus en détail

SQ 901 Indice D. Application Ferroviaire Spécification Qualité EXIGENCES EN MATIERE DE SYSTEME DE MANAGEMENT DE LA QUALITE ET DE PLAN QUALITE

SQ 901 Indice D. Application Ferroviaire Spécification Qualité EXIGENCES EN MATIERE DE SYSTEME DE MANAGEMENT DE LA QUALITE ET DE PLAN QUALITE SQ 901 Indice D Application Ferroviaire Spécification Qualité OBTENTION DE LA QUALITE DES PRODUITS ACHETES PAR LA SNCF EXIGENCES EN MATIERE DE SYSTEME DE MANAGEMENT DE LA QUALITE ET DE PLAN QUALITE Édition

Plus en détail

APX Solution de Consolidation de Sauvegarde, restauration et Archivage

APX Solution de Consolidation de Sauvegarde, restauration et Archivage APX Solution de Consolidation de Sauvegarde, restauration et Archivage APX vous accompagne de la Conception à l Exploitation de votre Système d Information. Ce savoir faire est décliné dans les 3 pôles

Plus en détail

Exemple de lettre de mission «Projet de contrat d externalisation de la fonction comptable»

Exemple de lettre de mission «Projet de contrat d externalisation de la fonction comptable» Exemple de lettre de mission «Projet de contrat d externalisation de la fonction comptable» Atelier «offrir une mission globale!» Pôle LES MISSIONS DE DEMAIN www.experts comptables.fr/65 La présente lettre

Plus en détail

Les salariés, dans l'exercice de leurs fonctions, sont conduits à accéder aux moyens de communication mis à leur disposition et à les utiliser.

Les salariés, dans l'exercice de leurs fonctions, sont conduits à accéder aux moyens de communication mis à leur disposition et à les utiliser. Charte informatique Préambule L'entreprise < NOM > met en œuvre un système d'information et de communication nécessaire à son activité, comprenant notamment un réseau informatique et téléphonique. Les

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

Fiche de l'awt Rédiger un cahier des charges

Fiche de l'awt Rédiger un cahier des charges Fiche de l'awt Rédiger un cahier des charges Quels sont les éléments principaux dont il faut tenir compte pour la rédaction d'un cahier des charges dans le cadre d'un projet lié aux TIC (technologies de

Plus en détail

Contrat d'hébergement application ERP/CRM - Dolihosting

Contrat d'hébergement application ERP/CRM - Dolihosting Date 30/10/13 Page 1/6 Contrat d'hébergement application ERP/CRM - Dolihosting Le présent contrat est conclu entre vous, personne physique ou morale désignée ci-après le client et ATERNATIK dont le numéro

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

AUDIT MAINTENANCE CURATIVE MAINTENANCE PREVENTIVE HOTLINE

AUDIT MAINTENANCE CURATIVE MAINTENANCE PREVENTIVE HOTLINE Fort de son expérience auprès des PME et Collectivités, MDSI vous propose la gestion complète ou partielle de votre système informatique en associant au sein d'un même contrat : audit, conseil, maintenance

Plus en détail

Le Pragmatisme de votre Système d Information

Le Pragmatisme de votre Système d Information Le Pragmatisme de votre Système d Information PragSys-Conseil S.A.S : +33 (0)6 08 74 89 32 / +33 (0)6 71 54 20 74 www.pragsys.fr contact@pragsys.fr PragSys Conseil en bref: PragSys Conseil SAS est une

Plus en détail

Concepts et définitions

Concepts et définitions Division des industries de service Enquête annuelle sur le développement de logiciels et les services informatiques, 2002 Concepts et définitions English on reverse Les définitions qui suivent portent

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401)

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) "Préface explicative" Chiffre Cette NAS donne des instructions sur un audit

Plus en détail

PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance

PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance REF 118 01 Sauvegarde à distance de données numériques REFERENCE : PCE-118-01 30/03/2001 PCE- 118 01 Page 1 sur 17 30/03/2001 Toute reproduction

Plus en détail

Sécurité informatique des PME

Sécurité informatique des PME Sécurité informatique des PME Dominique PRESENT I.U.T. de Marne la Vallée Trois principaux risques menacent la PME Aujourd hui, les pannes des systèmes d information coûtent cher aux entreprises. Exemple

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

GESTION CENTRALISÉE DELL POWERVAULT DL 2000 OPTIMISÉ PAR SYMANTEC

GESTION CENTRALISÉE DELL POWERVAULT DL 2000 OPTIMISÉ PAR SYMANTEC GESTION CENTRALISÉE DELL POWERVAULT DL 2000 OPTIMISÉ PAR SYMANTEC NOTE DE SYNTHESE La solution Dell PowerVault DL2000 optimisée par Symantec Backup Exec est la seule à proposer un système intégré de sauvegarde

Plus en détail

GESTION INFORMATIQUE AU SEIN D'UNE ENTREPRISE OU D'UNE ASSOCIATION. TALCOD Agence open-source http://www.talcod.net

GESTION INFORMATIQUE AU SEIN D'UNE ENTREPRISE OU D'UNE ASSOCIATION. TALCOD Agence open-source http://www.talcod.net GUIDE DE BONNE GESTION INFORMATIQUE AU SEIN D'UNE ENTREPRISE OU D'UNE ASSOCIATION Guide de bonne gestion informatique de TALCOD est mis à disposition selon les termes de la licence Creative Commons Attribution

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

NC 06 Norme comptable relative aux Immobilisations incorporelles

NC 06 Norme comptable relative aux Immobilisations incorporelles NC 06 Norme comptable relative aux Immobilisations incorporelles Objectif 01. Une entreprise peut acquérir des éléments incorporels ou peut elle-même les développer. Ces éléments peuvent constituer des

Plus en détail

3. Guide Technique Type de l «utilisateur»

3. Guide Technique Type de l «utilisateur» 3. Guide Technique Type de l «utilisateur» Sommaire 1. Préambule.......................... page 25 2. Champ d application................... page 25 3. Procédures de sécurité................. page 25 3.1

Plus en détail

Présentation d'un Réseau Eole +

Présentation d'un Réseau Eole + Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est

Plus en détail

Fiche de l'awt Principes d'élaboration de solutions Web interactives

Fiche de l'awt Principes d'élaboration de solutions Web interactives Fiche de l'awt Principes d'élaboration de solutions Web interactives Présentation des principales catégories d'applications Internet et des composants standards d'une application Web interactive Créée

Plus en détail

1. Référentiel des emplois. 2. Fiches emplois

1. Référentiel des emplois. 2. Fiches emplois Ce document référence contient les descriptifs d emplois repères et les descriptifs des compétences crées dans le cadre de l identification des compétences pour l Etablissement public de la Caisse des

Plus en détail

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité :

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité : Fiche Pratique PRA - PCA Club des Responsables d Infrastructures et de Production L audit de la continuité d activité d un organisme La continuité d activité correspond à la capacité d un organisme (entreprise

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Business & High Technology

Business & High Technology UNIVERSITE DE TUNIS INSTITUT SUPERIEUR DE GESTION DE TUNIS Département : Informatique Business & High Technology Chapitre 3 : Progiciels de Gestion Intégrés Sommaire Définition... 2 ERP... 2 Objectifs

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011 Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC

Plus en détail

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI

Plus en détail

Conseil Audit Management Expertise informatique

Conseil Audit Management Expertise informatique Votre management informatique sur mesure Conseil Audit Management Expertise informatique La société CAMEX'IN vous propose le management informatique à la demande Pour qui? Professions libérales PME PMI

Plus en détail

Business Project Management : Cycle de vie des documents et workflow

Business Project Management : Cycle de vie des documents et workflow Business Project Management : Cycle de vie des documents et workflow Iut de Tours Département Information-Communication Option Gestion de l Information et du Document dans les Organisations Page 1 sur

Plus en détail

dans un contexte d infogérance J-François MAHE Gie GIPS

dans un contexte d infogérance J-François MAHE Gie GIPS Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion

Plus en détail

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 13 du 14 mars 2014. PARTIE PERMANENTE Administration Centrale. Texte 1

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 13 du 14 mars 2014. PARTIE PERMANENTE Administration Centrale. Texte 1 BULLETIN OFFICIEL DES ARMÉES Édition Chronologique n 13 du 14 mars 2014 PARTIE PERMANENTE Administration Centrale Texte 1 DIRECTIVE N 30/DEF/DGSIC portant sur la mise en œuvre de la démarche d'archivage

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

CAHIER DES CHARGES. Etabli le : 14.09.14 Par : Michel Frémaux Remplace la version de :28.11.10

CAHIER DES CHARGES. Etabli le : 14.09.14 Par : Michel Frémaux Remplace la version de :28.11.10 CAHIER DES CHARGES 1. Actualisation Etabli le : 14.09.14 Par : Michel Frémaux Remplace la version de :28.11.10 Motif d actualisation : mise au concours du poste 2. Identification du poste Département :

Plus en détail

Solution de sauvegarde externalisée

Solution de sauvegarde externalisée Solution de sauvegarde externalisée POURQUOI BACK NET «Le choix d une stratégie de sauvegarde performante présente pour les entreprises d aujourd hui, un véritable enjeu en termes de viabilité.» Elle doit

Plus en détail

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise BUSINESS CONTINUITY MANAGEMENT I PLANZER I 2010 BUSINESS CONTINUITY MANAGEMENT Notre plan C pour situations d'urgence et de crise La sécurité n'est pas une valeur absolue. Une gestion de risque peut éventuellement

Plus en détail

Utilisation de la méthode EBIOS :

Utilisation de la méthode EBIOS : Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université

Plus en détail

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et

Plus en détail