La sécurité. sous surveillance. Business Connect. ACTUS L'ére des solutions vidéo et itv

Dimension: px
Commencer à balayer dès la page:

Download "La sécurité. sous surveillance. Business Connect. ACTUS L'ére des solutions vidéo et itv"

Transcription

1 La sécurité sous surveillance ACTUS L'ére des solutions vidéo et itv Sécurité du LAN, Plan de reprise d'activité et Administration de la sécurité DOSSIER Quid de la famille ISO CHANGE THINGS YOUR WAY REALISATIONS Nos clients témoignent Business Connect Le magazine d Information de Telindus n 5 Février 2007

2 Internationales TENDANCES DOSSIER REALISATIONS Famille p4 p5 p8 p9 p15 Sommaire Business Connect n 5 Répondre aux nouveaux usages de la Vidéo Telindus part à la conquête de ces nouveaux marchés. page 4 La maîtrise du LAN en questions Les bonnes solutions page 5 Du Plan de Reprise d Activité au Plan de Continuité Informatique Quel PRA? page 6 L administration de la sécurité comme gain de réussite Configurer, surveiller, superviser page 7 Conseil, expertise, intégration Les atouts majeurs des offres sécurité sur un marché à forte concurrence pages 8 et 9 Le consultant Un homme de confiance, pas un gourou! page 10 Le coaching RSSI Un challenge productif page 16 ISO pour la qualité de la sécurité de l information pages 11 à 15 Telindus, toujours plus actif auprès de ses clients Le groupe Prévoir accélère ses communications grâce à une infrastructure réseau orientée ADSL et WiFi page 17 Le CERTI-AM fait la chasse aux SPAM page 18 Sanofi Pasteur rend plus performant et plus fiable ses réseaux locaux page 19 DOSSIER ISO pour la qualité de la sécurité de l information 2 N 5 BUSINESS CONNECT FEVRIER 2007

3 PARTENAIRES RENDEZ-VOUS Edito UTILISER TOUTES NOS POTENTIALITES p20 p23 Sommaire suite Zoom Nos experts sur les technologies et ont la parole solutions des partenaires page 23 Analyse fine du réseau et des applications avec Network General page 20 Transmode a créé une nouvelle génération de systèmes de transmission optique xwdm page 21 Les solutions intégrées de IronPort protégent toutes les messageries page 22 Un an vient de passer et Telindus, filiale à 100 % de Belgacom pour les services IT poursuit son intégration dans le groupe. Nos objectifs sont clairement définis : nous devons créer ensemble des synergies et nous développer en commun. Telindus Belgacom est devenu plus qu un nom, c est la nouvelle référence du marché. Nous possédons tous les atouts d un intégrateur et d un opérateur réseaux, ce qui nous permet aujourd hui de renforcer nos expertises dans les systèmes complexes. Grâce à Belgacom, nous pourrons nous développer sur de nouveaux axes comme les communications unifiées, le multimédia, le collaboratif, les applications temps réel et l internationalisation. Belgacom fait partie du top 8 des opérateurs mondiaux, avec des relais dans le monde entier, plus de personnes à son service et un chiffre d affaires de près de 6 milliards d euros en Le groupe est une référence en matière de services intégrés de télécommunication. Mais notre ambition va encore plus loin. En premier lieu, Telindus, déjà présent dans douze pays européens, ainsi qu en Chine et en Thaïlande, veut continuer son expansion à l international. Nous allons renforcer sa présence en Europe et en particulier en Europe du Sud, en Italie et en Espagne où le marché enregistre de fortes croissances. Ensuite, le chantier auquel nous nous attelons porte sur la mutualisation des compétences entre les différentes filiales du groupe. Cet axe est désormais une priorité. Notre filiale espagnole a par exemple développé un fort savoir-faire en matière de télévision numérique et de Video on Demand : il n y a pas un seul opérateur, outre l opérateur historique, qui ne soit notre client. Exporter ce savoir faire aux autres filiales figure donc parmi nos objectifs majeurs. Cette mutualisation peut également concerner des secteurs verticaux. Comme celui de la défense où Telindus affiche comme référence le projet Cyber Défense de l Otan, déployé dans sept pays, ou encore un programme réalisé auprès de la Marine Nationale pour équiper des frégates françaises ainsi que le porte-avion Charles De Gaulle. Autre domaine où Telindus souhaite diffuser son savoir-faire : la vidéosurveillance, avec des contrats remportés auprès du métro de Londres, celui de Sofia et de Pékin. Dès à présent, nous devons être l interface entre les besoins de nos clients et la technologie. Il nous appartient de mettre en place à travers toute l Europe du sud une structure répondant aux besoins des entreprises régionales, nationales et internationales, à l image de la France qui compte un réseau de douze agences pour environ 700 collaborateurs. Tous, ensemble, nous réussirons. Maria Victoria Hernandez Valcarcel *, Business Connect - n 5- Février 2007 Edité par Telindus - 10 avenue de Norvège - Z.A. Courtaboeuf - BP Les Ulis Cedex France - Tél Directrice de la Publication : Gestion éditoriale Odile Foubert et conception graphique : Comité de Rédaction : 1000 ans Communication Odile Foubert - Emmanuel Cabon - 8 avenue du Parc Courbevoie Gilles Delcroix - Stéphane Prophète - Eric de Bernouis - Philippe Jouvellier - Impression : Prisme Graphique Jean-Pierre Laurent - Jean-Marc Chartres 176 avenue Charles-de-Gaulle Crédits photos : Telindus Neuilly-sur-Seine VICE-PRESIDENTE DE TELINDUS POUR L EUROPE DU SUD * Maria Victoria Hernandez, Ingénieur en informatique de l Université polytechnique de Barcelone, a rejoint le Groupe Telindus après 20 ans d expérience dans les TIC comme Executive Chairman dans de grandes multinationales : ICL/ Fujitsu (Sales Development Manager, Southern Europe), BT Europe (Alliance Director Europe), GTS (COO Europe and CEO France). Elle a managé plusieurs milliers d employés ainsi que des budgets de plusieurs milliards d euros. En tant que vice-présidente de l Europe du Sud et de la Méditerranée, elle a la responsabilité d une croissance profitable en France, Espagne, Italie, Portugal et Suisse. Le contenu d un article n engage que son auteur - Telindus et Business Connect sont des marques déposées 3 N 5 BUSINESS CONNECT FEVRIER 2007

4 Internationales Répondre aux nouveaux usages de la Vidéo FORT DE SA HAUTE EXPERTISE SUR LES SOLUTIONS VIDEOS, TELINDUS PART A LA CONQUETE DU MARCHE POUR RENDRE COMPTE A SES CLIENTS DES MEILLEURES INNOVATIONS. Le marché des opérateurs en Europe étant extrêmement concurrentiel, nos clients dans ce domaine se doivent d innover encore et toujours en relation avec les nouveaux usages de leurs abonnés. Pour ce faire, nombres d éditeurs et de constructeurs proposent des solutions autour de la vidéo afin d offrir de nouveaux services pour les utilisateurs que nous sommes. En effet, les services de demain disponibles sur des terminaux aussi divers que le PDA, le mobile, le PC ou la télévision se construisent aujourd hui. Telindus Espagne dispose du plus grand retour d expérience et d une place de leader sur son marché. L opérateur câble ONO réalise ainsi la diffusion broadcast de plus de 170 chaînes de télévision et propose la VoD à tous ses abonnés. Telindus adresse de manière similaire les opérateurs disposant d une infrastructure xdsl. Enfin, Telindus met en place de nombreux points de diffusion DVB-T pour Télédiffusion de Madrid. On dénombre des services tels que : Broadcast TV : solution de diffusion de bouquets TV pour les réseaux opérateurs. VOD (Vidéo on Demand) : solution de diffusion de contenus à la demande des utilisateurs (films, abonnements...). itv (Interactive TV) : solution de TV permettant l interactivité du téléspectateur avec le contenu diffusé. L exemple le plus fréquemment cité est le fameux «Time shifting» permettant d arrêter la visualisation d un programme «live» et de le reprendre a posteriori. D autres nouveaux usages, accessibles à partir de sa précieuse télécommande, seront alors disponibles (enregistrement dans le réseau de l opérateur avec toutes les facilités d avance ou retour rapide, enregistrement automatique dans le réseau des émissions les plus populaires permettant de les visionner ultérieurement sans en avoir programmé l enregistrement...). Interactive Vidéo on Mobile : le principe est le développement de services vidéos intéractifs centrés sur le mobile. On entend alors parler de «Portails vidéos, Mobile dating, Home Security, Visio Blog»... Autant de solutions qui permettront aux opérateurs d augmenter l attractivité de leurs offres de services convergents et de réduire le «churn». La disponibilité de la vidéo interactive sur le mobile est un axe d intérêt important pour les sociétés de média ou les marques, car l accès au consommateur à travers le mobile est très recherché. Certains services sont aussi applicables au domaine du B2B2C, comme le marché hospitalier ou le marché hôtelier, qui demandent des solutions «Triple Play». L évolution de ces produits et de leurs interactions permettra de mettre en place des nouveaux services convergents à forte valeur ajoutée. Par exemple, vous pourrez, depuis votre mobile, lancer l enregistrement dans le réseau de l opérateur, du match de votre équipe sportive favorite, afin d en disposer sur votre télévision lorsque que vous rentrez à la maison. Le développement de ces solutions s inscrit dans une démarche européenne du groupe Telindus, afin de faire bénéficier nos clients opérateurs du retour d expérience de nos pays voisins (Belgique, Espagne ). Pour tous ces projets, nos clients nous ont fait confiance grâce à notre expertise d intégration des différents composants de la solution et aux démonstrations concrètes réalisées durant les tests sur site. Pour relayer notre approche européenne, Telindus France s est doté d un LAB d innovation pour les solutions Vidéos. Celui-ci permet de tester les solutions de nos fournisseurs et de faire la démonstration de ces services à nos clients. GILLES DELCROIX, CARRIER/SP PRE SALES AND SOLUTION MANAGER, TELINDUS FRANCE 4 N 5 BUSINESS CONNECT FEVRIER 2007

5 Maîtrise du LAN SI LES ACCES EXTERNES DES ENTREPRISES SONT POUR LA PLUPART BIEN SECURISES - INTERNET, EXTRANET - QU EN EST-IL DE L INTERNE? HORMIS LES ACCES WIFI, IL Y A BIEN SOUVENT AUCUNE PROTECTION. Comment pénétrer aujourd hui un système lorsque les points d accès extérieurs sont bien sécurisés? Simple : achetez un spyware «personnalisé» sur un site pirate pour 150 euros, copiez le fichier généré sur une clé USB, puis abandonnez-la sur le toit d une voiture dans le parking de la société visée. Il suffira d attendre quelques heures pour avoir la main sur une machine. La plupart des réseaux LAN étant sans protection, il sera alors très facile de rebondir pour atteindre son objectif (vol d informations, nuisances ). Depuis longtemps, certaines entreprises cherchent à maîtriser leurs réseaux internes ne seraitce que pour limiter, par exemple, l accès d un prestataire. Mais jusqu ici les solutions proposées étaient trop complexes pour être réellement envisageables. Or, le besoin est de plus en plus réel pour répondre aux besoins métiers, notamment en termes de mobilité interne et d accueil de tiers (partenaires ou prestataires). Le problème se pose à deux niveaux : le contrôle d accès au réseau et le contrôle d accès aux ressources sur le réseau. Pré-admission Le premier est très «en vogue» en ce moment sous l acronyme NAC (Network Access Control). Il s agit d autoriser le simple accès primaire au réseau moyennant certaines conditions. La plus logique est bien sûr une authentification valide. Après des solutions propriétaires n ayant eu aucun succès, le standard 802.1X semble être une solution. La pratique montre que les contraintes de fonctionnement avec Windows compliquent les choses. D où le succès d agent 802.1X développé par Funk software et Aegis (respectivement rachetés par Juniper et Cisco en 2006), même s ils demandent un effort de déploiement supplémentaire. Autre condition intéressante, vérifier que la machine utilisée est en phase avec la politique de sécurité définie. C est là que les choses se compliquent à nouveau. Cette validation nécessite l emploi d un agent logiciel supplémentaire (le 802.1X ne palliant pas du tout ce besoin). Or, les solutions proposées par les constructeurs d infrastructure sont liées à leurs équipements. Le groupe de travail TCG (Trusted Computing Group) «planche» bien sur une proposition de standard, mais rien de concret n est disponible aujourd hui. Dans les deux cas, il y a nécessité d installer un composant logiciel sur tous les postes avec la problématique sous jacente des postes «non maitrisés» (prestataires, visiteurs ) et des postes «non PCs» tels que badgeuses, imprimantes, téléphones IP, caméras Post-admission En supposant que l autorisation d accès ait bien réussi, il ne faut pas perdre de vue le scénario d introduction. A savoir qu une personne authentifiée et disposant d une machine «propre» ne devienne le vecteur de propagation d une attaque (de son plein gré ou à son insu). Le NAC n est donc pas suffisant et il faut aller plus loin dans la protection. D où le besoin d appliquer des profils de sécurité par identité/groupe, permettant de restreindre les activités autorisées afin de protéger le réseau et ses composantes. Il s agit de la notion de RBAC (Role Based Access Control). Comment les utiliser? Que ce soit pour le NAC ou le RBAC, les modes de mise en place sont aujourd hui lourds en terme de déploiement (agent), et fastidieux en terme d exploitation (Vlans et d Access List). Mais de nouvelles approches font leur apparition permettant de travailler directement avec le processus d identification de Windows, l envoi d un ActiveX pour valider le profil d un poste, puis l application dynamique de règles de filtrage sont les débuts prometteurs pour répondre aux attentes. Reste à savoir où et comment effectuer ces actions : 1 Avec des équipements spécialisés qui configurent dynamiquement l architecture existante : mais il faudra alors valider l interopérabilité avec les commutateurs en place ce qui devrait réserver nombre de surprises même si, en théorie, cette approche se base sur des standards. 2 Au travers d équipements positionnés en coupure dans l architecture existante : un déploiement en transparence peut permettre une mise en place très rapide. Cette approche sera aussi une solution très intéressante pour les environnements hétérogènes. 3 Dans des commutateurs d extrémité de nouvelle génération qui proposent des fonctionnalités de sécurité avancées. Ce sera à n en pas douter une des grandes nouveautés à partir de A suivre STEPHANEPROPHETE- CONSULTANTSECURITETELINDUSFRANCE 5 N 5 BUSINESS CONNECT FEVRIER 2007

6 Du Plan de Reprise d Activité au Plan de Continuité Informatique LES ENTREPRISES SONT DE PLUS EN PLUS SOUVENT CONFRONTEES A LA PROBLEMATIQUE DU PLAN DE REPRISE D ACTIVITE. LES APPROCHES TRADITIONNELLES BASEES SUR LA FOURNITURE D UN SITE DE SECOURS PAR UN TIERS SONT-ELLES TOUJOURS D ACTUALITE? REPONDENT-ELLES ENCORE AUX BESOINS DE REDEMARRAGE EXPRIMES PAR LES DIRECTIONS FONCTIONNELLES? côté, il y a la mise en place de politique de sécurité avec des normes D un comme la , l obligation de respecter des exigences sectorielles comme celles de Sarbanes-Oxley ou la volonté de mettre en œuvre des méthodologies comme ITIL. D un autre côté, il y a la pression des utilisateurs sur la disponibilité du Système d Information qui force les directeurs informatiques à réfléchir sur la mise en œuvre d un PRA. La question fondamentale qu il faut se poser est «Quel PRA?». Depuis quelques années, le monde du Plan de Reprise d Activité (PRA) a vécu une véritable révolution. L évolution des technologies autour des infrastructures systèmes et réseaux en est la cause principale à travers la réduction des coûts et des contraintes techniques. La première étape a été l évolution des concepts de stockage avec les technologies de disques locaux (RAID), puis l extension de ces technologies à travers les réseaux jusqu aux architectures SAN réparties. La seconde étape a porté sur la mise en cluster des serveurs, d abord localement, puis à travers les réseaux. La troisième étape a été le mixte des deux évolutions avec les solutions de réplication en temps réel ou légèrement différé. Toutes ces évolutions ont fait complètement éclater le concept traditionnel de reprise d activité qui impliquait l arrêt de cette dernière pendant une certaine durée au profit du concept de continuité totale ou partielle des services offerts par le Système d Information. Le Plan de reprise sur incident Le premier bénéficiaire est le Plan de reprise sur incident. Il se simplifie dans la mesure où de nombreux incidents sont «cachés» du point de vue de l utilisateur par les mécanismes de continuité mis en œuvre. Les réductions en ressources générales (place au sol, puissances électrique et climatique) des nouveaux équipements font qu il est beaucoup plus simple qu auparavant de disposer de deux salles informatiques transformant le PRA traditionnel (redémarrage chez un prestataire externe) en Plan de Continuité Informatique (PCI). Ce plan de continuité se base sur plusieurs approches : la continuité en temps réel par répartition des membres du cluster et des unités de stockage dans les deux salles, la continuité en temps différé par utilisation de serveurs d intégration ou de développement stockés dans la seconde salle, les unités de sauvegarde étant aussi dans la seconde salle, la répartition de risque qui consiste à partager les serveurs critiques entre les deux salles. Le raisonnement et la conception d un PCI s appuient donc sur une réflexion globale du risque que l on souhaite couvrir et du risque résiduel que l on accepte de supporter. Il s appuie aussi sur l obligation faite à la maîtrise d ouvrage de s exprimer sur ses besoins de disponibilité, obligation portée par les contrats de services entre l Informatique et les utilisateurs. Pour autant, la transformation d un PRA en PCI ne nous dédouane pas de la formalisation du plan même si ce dernier est plus simple dans sa formulation. De même, qui dit PCI dit aussi tests périodiques de ce dernier. A la différence du PRA traditionnel qui permettait des tests en parallèle de la production informatique, les tests de PCI se font directement sur les unités de production (du moins pour la continuité en temps réel). Ces tests sont fondamentaux pour garantir l efficience du plan et le niveau de formation des acteurs. PRA ou PCI, les technologies changent, les fondamentaux restent. ERIC DE BERNOUIS CHARGE D'AFFAIRE SECURITE TELINDUS FRANCE 6 N 5 BUSINESS CONNECT FEVRIER 2007

7 L administration de la sécurité comme gain de réussite AFIN DE GARANTIR ET DE MAITRISER UN NIVEAU ELEVE DE SECURITE, IL EST CAPITAL DE METTRE EN PLACE UNE ADMINISTRATION RIGOUREUSE ET EFFICACE. Les Systèmes d Information sont devenus le support indispensable au bon fonctionnement des entreprises et des organisations. Ce sont des infrastructures complexes avec des applications et des ressources dont il faut contrôler l accès et maîtriser la sécurité. Cette sécurité est réalisée avec des composants intégrés aux systèmes et aux applications, ou bien avec des dispositifs spécialisés. Pour aligner les objectifs des entreprises en matière de gestion du risque opérationnel avec la sécurité, il est indispensable d en maîtriser les composants et d avoir l assurance de leur disponibilité et de leur bon fonctionnement, tout en analysant leur activité. L administration consiste à exercer trois activités de base sur lesquelles s appuient des groupes composés d exploitants, d experts et de personnes prenant part à la sécurité : 1 le premier volet de cette administration vise la configuration des composants sécurité dont il faut garantir et entretenir l intégrité. Les configurations de base sont celles qui permettent à l équipement ou au module logiciel de fonctionner. Viennent ensuite les règles qui émanent de la politique de sécurité en vigueur et qui permettent d effectuer le travail de contrôle lié à la sécurité proprement dite. Concernant ces règles, il s agit d opérations récurrentes (adjonction/suppression/modification) selon les besoins et après contrôle. Généralement cette activité est réalisée avec une interface de configuration propre au constructeur/éditeur de la solution utilisée ; 2 le deuxième volet consiste à surveiller chaque composant sécurité, comme la disponibilité et le dispositifs spécialisés exécutent plusieurs processus permettant de reconnaître et de «lire» les logs, de leur affecter une typologie, de les filtrer, de les assembler ou de les croiser. Il est possible ainsi bon fonctionement d un coupe-feu ou d une de déclencher des alarmes quand des événements jugés importants se produi- Trois passerelle. On procède par des tests à activités de l aide d outils permettant d effectuer des requêtes sur le composant sécurité surveillé. Le principe consiste à attendre une base : configurer, surveiller, superviser sent. On peut aussi stocker les logs pendant un certain temps, et retrouver ultérieurement la trace de toute activité réponse connue à l avance ou bien qui comporte des informations permettant de «jauger» l état de la ressource testée ; 3 le dernier volet concerne la supervision des événements qui se déroulent au sein même des composants de sécurité, dispersés au sein du Système d Information. Cette activité englobe tout le traitement que l on fait des événements consignés dans les journaux d activité. En partant de ce principe, la supervision consiste à collecter en un point central et à analyser méticuleusement toutes les opérations effectuées et enregistrées. C est à ce moment qu interviennent les technologies de capture et d analyse de logs. Ce sont des solutions destinées à collecter d énormes volumes de logs en provenance de toutes sortes d éléments au sein d un réseau. Au fur et à mesure de la collecte, ces en fonction des besoins ou des obligations règlementaires. On peut aussi créer des rapports d activité personnalisés, ou bien alimenter des tableaux de bord ou fournir des indicateurs. Cela permet de «voir» la sécurité du Système d Information et de préconiser des corrections aux faiblesses et aux imperfections. Autour de ces trois activités essentielles, gravitent généralement des équipes spécialisées. On trouve tout d abord les exploitants qui ont pour mission d exécuter les opérations d administration, en considérant toutes les demandes de changement de règles, et de les appliquer après contrôle. Dans le même temps, ils devront prendre en compte toutes les alarmes détectées et affichées pour les qualifier, les valider et traiter les incidents confirmés. Ensuite, on rencontre, selon les organisations, des cellules d experts qui analysent, quant à elles, certains types d événements «en différé», certaines chaînes de connexion applicatives ou certains contextes afin d y déceler toute activité anormale ou suspecte. Ils effectueront aussi des veilles à propos des alertes virales et d attaques, et, enfin, réaliseront des tests d intrusion et de vulnérabilité sur le Système d Information afin de déceler toute brèche de sécurité. PHILIPPE JOUVELLIER CONSULTANT SECURITE TELINDUS FRANCE 7 N 5 BUSINESS CONNECT FEVRIER 2007

8 Conseil, expertise, intégration : les atouts majeurs des offres sécurité sur un marché à forte concurrence >>> Philippe Jouvellier Consultant Sécurité Telindus France POUR ARRIVER A UN HAUT NIVEAU DE SERVICES, LE MARCHE DE LA SECURITE A CONSIDERABLEMENT EVOLUE. L OFFRE S EST ETENDUE TRES LARGEMENT A TOUS LES DOMAINES, ET LES PRESTATAIRES SPECIALISES DANS LE CONSEIL ET LES SERVICES SONT DEVENUS NOMBREUX. RETOUR SUR UN MARCHE EN PLEINE EXPANSION. Le marché de la sécurité est en mouvement suivi le mouvement. L ensemble des directions perpétuel. Au fil du temps l offre couvre un métiers n imagineraient pas un retour en arrière nombre toujours croissant de besoins. On ou de remettre en cause des services et des applications assiste à une concentration des acteurs et le discours de la sécurité est largement utilisé et adopté au sein du monde des technologies de l information. Face aux besoins dans ce domaine, l innovation ne manque pas avec l apparition de nombreux acteurs. Sur des segments de niche, ils se développent et se diversifient ou bien sont immanquablement absorbés par d autres plus importants. L enjeu du marché est de taille, et tous l ont compris. Dernièrement les acteurs, qui habituellement «dialoguaient» avec les directions conçus dans un esprit d ouverture et de convivialité. Cette convivialité et la dématérialisation des transactions ont accéléré le développement d un nombre important de secteurs d activité. Ainsi, aujourd hui, les connexions à distance, dans le cadre du télétravail et de la mobilité, se sont développées de manière spectaculaire. La tendance à la hausse du nombre d applications «en ligne» disponibles aux internautes est à la hauteur de sa réputation, et le commerce en ligne se porte relativement bien. L e-entreprise et l e-administration sont bien une réalité! informatiques, sont montés d un étage L innovation Certains poids lourds de l infrastructure réseau, comme Cisco par exem- ne manque pas dans leur approche clients pour rencontrer avec l apparition les directions générales des entre- prises et des organisations. Ils abordent le sujet lié à la conformité, aux lois et aux de nombreux acteurs ple, ont commencé, il y a quelques années déjà, l absorption de startups spécialisées dans des secteurs de niche diverses réglementations ainsi que celui de l externalisation partielle ou totale des activités de gestion du Système d Information. Les préoccupations en matière de sécurité n auront eu de cesse de grandir et, à partir de là, de faire apparaître des manques et des vides technologiques et de compétence. Ce marché est assez dynamique : des sociétés spécialisées (startups) ont fait leur apparition ou bien ont été absorbées par des fournisseurs plus globaux, des prestataires de services et des cabinets conseil se sont spécialisés ou se sont renforcés sécurité à un rythme soutenu, étant donné la forte croissance du marché. Plus récemment, d autres dont le cœur de métier n était pas nécessairement lié au réseau et à son infrastructure ont marqué un vif intérêt pour des solutions complémentaires à leur offre depuis l apparition des différentes lois et règlementations ciblant le risque lié aux technologies de l information. Par exemple, l acquisition des sociétés Rsa et Network Intelligence par EMC2 traduit indiscutablement la volonté du leader du stockage de se placer dans le créneau de la sécurité du Datacenter et des données. pour répondre à la demande. Se focaliser sur une approche Les nouvelles donnes du Net Au fil du temps, les réseaux d entreprises se sont largement ouverts à Internet et aux réseaux publics. Les collectivités et les administrations ont métier Finalement les «grands» du marché s intéressent et absorbent de plus en plus d acteurs spécialisés dans divers secteurs pour apporter leur part 8 N 5 BUSINESS CONNECT FEVRIER 2007

9 au discours et à l offre sécurité du Système d Information. Certains domaines sont plus marqués que d autres dans l intérêt convergeant que portent les clients, les fournisseurs de solutions et les prestataires spécialisés. Si, dans le passé la sécurité, a longtemps consisté à protéger une infrastructure avec un discours technologique, autant aujourd hui on assiste à une focalisation sur certains vides que les clients souhaitent voir comblés. L approche «métiers» est d actualité. Ainsi, les projets destinés à limiter le risque tiennent de plus en plus compte des métiers, du contexte et de l impact des risques potentiels. Le marché du firewall et de l antivirus se porte bien mais il ne suffit plus à lui seul pour protéger les Systèmes d Information. Aujourd hui, le conseil et l expertise représentent un enjeu important pour les prestataires spécialisés dans la sécurité. Cette activité sort du cadre habituel de la fourniture et de l installation d équipements et dispositifs spécialisés. Les missions de conseil s adressent de plus en plus aux directions générales, aux gestionnaires du risque et aux responsables de la sécurité. Par exemple les audits réalisés dans le cadre de la conformité sont devenus indispensables et incontournables. Les services de télégérance et d infogérance quant à eux, représentent un atout pour les prestataires spécialisés. Pour ces raisons, les opérateurs et les intégrateurs cherchent à développer de plus en plus leurs parts de service amont et aval en enrichissant leurs prestations «à valeur ajoutée». vail. Cette brique vient donc compléter l offre Intégrity de l éditeur israélien. A son époque, Cisco System avait absorbé la société Okena devenue Cisco Secure Agent pour adresser le même marché. Au-delà de la mise en œuvre de technologies destinées à protéger l infrastructure, on constate une évolution de la demande et de l offre dans le Combler les manques Les domaines technologiques où l on observe des changements et des évolutions concernent l extension du périmètre de sécurité tel qu on le connaissait depuis quelques années. Ainsi aujourd hui la sécurité des applications intéresse de plus en plus de monde, aussi bien les fournisseurs de solutions que les clients. Devant le nombre important d applications «en ligne» et l enjeu pour les entreprises, l offre est assez dynamique avec quelques recentrages parmi ses acteurs, comme par exemple le rachat d Axiliance par Beeware. domaine de la mobilité, dans la protection d applications, dans la confidentialité des données et un timide décollage des projets liés à la supervision des événements de sécurité. Les différents recentrages observés dans la sécurité permettent de constater un vif intérêt des acteurs, que ce soit les éditeurs et les constructeurs, ou bien les prestataires de services dans ce marché où les clients expriment des besoins de plus en plus larges. Ces besoins concernent un périmètre étendu au sein de leur Système d Information, et une «proximité» des applications et des utilisateurs de plus en plus marqués. Dans le domaine des services, le conseil La sécurité du poste de travail et des «points d extrémité» en général est un sujet préoccupant car il était relégué en arrière-plan depuis plusieurs Un passage incontournable : l expertise et le conseil en amont revêt une importance particulière sur des projets où les cycles sont plus longs, ou bien quand ils concernent l exercice de la gestion années. En effet, dans ce domaine, une habitude a longtemps persisté dans les entreprises où l on installait uniquement un antivirus pour protéger les ordinateurs fixes et portables. Aujourd hui, on constate un changement significatif. L actualité permet d observer des demandes mieux formulées de la part des clients et des recentrages importants parmi les acteurs spécialisés dans ce domaine. Dernièrement, Check Point Software a annoncé le rachat de la société PointSec, éditeur spécialisé dans le chiffrement des données sur les disques durs des postes de tra- du risque dans la gouvernance des entreprises et des organisations. Par ailleurs, les services «managés» prennent une importance particulière depuis que les directions générales et informatiques s interrogent sur le développement en interne d équipes compétentes. Ainsi le conseil, l intégration et les services de télégérance et de télé exploitation deviennent de plus en plus indissociables des projets sécurité pour les entreprises et les collectivités. PHILIPPE JOUVELLIER CONSULTANT SECURITE TELINDUS FRANCE 9 N 5 BUSINESS CONNECT FEVRIER 2007

10 Le consultant : un homme de confiance, pas un gourou! APRES UNE SERIEUSE Trois phénomènes ont marqué l année 2006 : les investissements IT sont repartis. Après un REMISE EN QUESTION passage à vide sur la période , les projets IT sont de nouveau dans les tuyaux, poussés par des DU CONSULTING ET DE SA VALEUR moteurs qui s appellent innovation, rationalisation, AJOUTEE DANS avantage concurrentiel. Le DSI ne doit pas se tromper LES ANNEES 2000, pour orienter correctement les budgets et prendre les LE CONSEIL IT bonnes décisions. A DE NOUVEAU Le marché du conseil est devenu plus lisible. Les missions menées par des hommes et des femmes amenant LE VENT EN POUPE. une valeur ajoutée avérée, héritée d une longue expérience, ont permis de fidéliser nos clients, et de tisser avec eux une relation de qualité. La demande est arrivée à maturité. Dans l effort de rationalisation des achats, les demandeurs de conseil (DSI, RSSI, responsable d infrastructures) ont dû réfléchir avec attention aux axes d étude qu ils souhaitaient garder en interne, et ceux a contrario pour lesquels ils >>> Jean-Pierre Laurent souhaitaient être accompagnés. La demande est plus Directeur Conseil précise, la relation est plus claire. Telindus France Dans ce contexte, six sujets ont représenté l essentiel de nos missions de conseil en 2006 : Etudes d opportunité. «Comment gérer les traces informatiques», «La TOIP permettrait-elle de créer de la valeur dans mon entreprise?». «Nous avons restructuré notre offre «Lancer le projet constitue-t-il une opportunité? Ne pas le lancer présente-t-il un risque?» conseil. Elle permet à Telindus d amener un service global «sans couture» L étude d opportunité est «la petite sœur» du à ses clients» schéma directeur. Elle porte sur un domaine fonctionnel ou technique très ciblé, mais doit aborder tous les sujets techniques, humains organisationnels, budgétaires, réglementaires, et permettre de prendre la bonne décision. Coaching sécurité. Il se traduit par des interventions planifiées aux côtés d un RSSI (un jour par semaine par exemple). Formalisation et mise en œuvre de la politique de sécurité, structuration et tests de plan de continuité d activité, mise en conformité avec les normes en vigueur (ISO 17799, ISO 27001) sont les principaux sujets traités. Sensibilisation à la sécurité de l information. La communication vers les directions générales, directions métiers et utilisateurs est dans l air du temps. Conscient des insuffisances de la sécurisation «technologique», le RSSI complète le dispositif en misant sur la responsabilisation de l humain. Ces missions sont menées avec une approche pédagogique développée au sein de notre département «strategic training». Plan de crise. Les grandes sociétés préparent activement leur plan de crise «grippe aviaire». C est un gigantesque projet transverse, mêlant toutes les couches de l entreprise. Nous intervenons essentiellement aux côtés des responsables réseau et responsables sécurité. Gestion des identités. La réflexion porte sur le process (comment gérer les entrées sorties et les changements de rôle des personnels et sous-traitants), le support (badge multi-fonction ), le niveau de sécurité (authentification forte, SSO), l architecture (accès au SI, annuaires). Nous intervenons actuellement auprès des collectivités et des métiers «réglementés» (banque assurance). Organisation. La rationalisation, l externalisation, les fusions sont autant de moteurs qui poussent le DSI et le responsable de la production à structurer et formaliser leurs process. Nous intervenons en nous appuyant sur ITIL, sujet sur lequel nous menons depuis trois ans une politique volontariste de certification de nos consultants. Mais au-delà de ces sujets, il ne faut pas oublier que la demande actuelle de consulting, c est de disposer d un interlocuteur fiable, capable d écouter et de comprendre les contextes métiers et organisationnels, capable d obtenir rapidement l information adéquate, pour contribuer à une solution pertinente et structurée. Au-delà de l expert, le consultant doit être un homme de confiance tout simplement. JEAN-PIERRE LAURENT - DIRECTEUR CONSEIL TELINDUS FRANCE 10 N 5 BUSINESS CONNECT FEVRIER 2007

11 ISO pour la qualité de la sécurité de l information LES NORMES POUR LA SECURITE DE L INFORMATION, SOUVENT ISSUES DES PAYS ANGLO-SAXONS ET DIFFICILES A RETENIR COMME LA BS , VOIENT ENFIN LE JOUR SOUS DES APPELLATIONS PLUS RECEVABLES, COMME ISO MAIS, PLUS QU UN CHANGEMENT D APPELLATION, LA FAMILLE ISO EST UN VERITABLE PROCESSUS QUALITE POUR LA SECURITE DE L INFORMATION. La sécurité se dote désormais d un système de référence sur le modèle de la qualité, ce qui présage déjà moins de réticence entre les organisations en charge des sécurités. Certes, il faudra encore quelques années pour disposer de l ensemble des référentiels de chaque thème, y compris pour l analyse des risques pourtant initiale à toute démarche sécurité. Néanmoins, le processus est en marche pour que la sécurité soit une composante de performance et un indicateur de qualité. Dès lors, la maîtrise du risque informatique et son contrôle fourniront des mesures indispensables à nos gouvernances. Après des débuts hésitants, les certifications qualité ISO 9000 sont entrées dans les mœurs des entreprises. Les certifications ISO devraient suivre le même chemin. La démarche conjointe ISO 9001/ISO 27001, voire ISO 9001/ISO 14001/ISO 27001, se pose, y compris avec les autres référentiels pour le 11 N 5 BUSINESS CONNECT FEVRIER 2007

12 >>> Famille ISO Légende : Publiée Non publiée BS 7799:2 ISO 17799:2005 BS 7799:1 ISO En 2005 est créée une nouvelle famille de normes ISO comprenant : ISO : Vocabulaire ISO : Système de management de la sécurité de l'information (SMSI) (en vigueur) ISO : Renumérotation de l ISO (2007) ISO : Implémentation (en développement) ISO : Métriques et mesures (en développement) contrôle interne et financier que sont COSO, COBIT, ou lois sectorielles comme la LSF (Loi Sécurité Financière) et SOX (Sarbannes Oxley Act). La série ISO peut être appliquée, quelque soit la taille de l entreprise. Il faut commencer la démarche par une évaluation des risques principaux, face aux enjeux de l entreprise. Cette phase est primordiale, et doit être initiale au processus de sécurité, car elle permet ISO Modèle SMSI cible Certifiable Guide de bonnes pratiques ISO Conseils d implémentation ISO Mesures et tableaux de bord QUID DE LA FAMILLE ISO ISO Terminologie Famille ISO Gestion des risques ISO : Management du risque (ISO ) ISO : Conditions d'accréditation pour les organismes certificateurs de ISMS ISO : ISO pour la santé (en développement). ISO ISO pour la Santé L ISO est donc un cadre général de bonnes pratiques et d audit qui nécessite d être accompagné d un référentiel d évaluation pour être directement exploitable au plan opérationnel. ISO Critères d accréditation pour la certification ISO Continuité d activité d établir la cartographie des risques propres à l entreprise, et d en déduire les besoins de sécurité pour que les risques intolérables soient tolérables ou résiduels. S ils le sont, les organisations ont alors déployé les mesures préventives et prévu les moyens palliatifs pour limiter les impacts des risques éventuels. Parler de processus pour la sécurité implique que la notion de menace doit être présente comme un dysfonctionnement possible, donc comme une entrée potentielle à toute étude systémique. L analyse de risque s établit dès les phases initiales du projet, et permet alors d intégrer les exigences de sécurité comme des contrôles du processus à développer. Cette analyse de risques étant menée, la norme ISO 27000, et tout particulièrement ISO permet de gérer une check-list des thèmes de sécurité à traiter et des contrôles à mettre en œuvre afin de constituer une politique de sécurité. L intérêt de cette norme est multiple Même si la certification n est pas la cible, elle constitue un point de comparaison voire de convergence, statuant sur un niveau atteint tout en précisant les écarts... Aujourd hui, les dirigeants d entreprise doivent inclure dans leur rapport annuel un chapitre sur le contrôle interne et la maîtrise des risques de leurs activités. Des lois s appliquent sur l ensemble des secteurs d activités, et notamment sur les institutions financières qui sont soumises à des contraintes réglementaires de plus en plus nombreuses et variées. Or, ces informations financières sont élaborées et traitées en priorité sur les Systèmes d Information. Le respect de conformité entraîne des investissements et des mises en œuvre de projets, d organisations et de systèmes. La norme apporte un référentiel fixant la cohérence de la cible stratégique, et contribue pour la partie information aux exigences de conformité. Démontrer la prise en compte de la sécurité informatique dans ses processus et ses métiers devrait pouvoir apporter un avantage décisif pour gagner des marchés dans un environnement concurrentiel difficile. Cet objectif devrait aussi avoir des effets bénéfiques annexes, comme renforcer sa position pour la négociation d'un contrat d'assurance couvrant les risques informatiques, ou encore rassurer des investisseurs. Grâce à cette norme, on instaure aussi un climat de confiance vis-à-vis de ses partenaires, actionnaires et on crée un avantage commercial 12 N 5 BUSINESS CONNECT FEVRIER 2007

13 >>> Processus systémique intégrant la menace Risques Vulnérabilités Menaces ENTRÉES Normes Mesures, contrôles qualité Activités Interfaces Politiques Standards SORTIES (appel d offre exigeant un niveau de sécurité aux normes) et, bien entendu, un gage de pérennité et de qualité. Enfin, l intérêt principal est la fiabilité et la sécurité au sein de son Système d Information : plan de continuité d activité, maîtrise des dépenses informatiques, responsabilisation des collaborateurs. A terme, l ensemble des normes de sécurité de l information devrait se fondre dans l ISO Focus sur l ISO Depuis de nombreuses années, les entreprises et les administrations recherchent un référentiel de sécurité des Systèmes d Information leur permettant d évaluer leurs risques, afin de prendre les mesures adéquates pour renforcer leurs défenses vis-à-vis de menaces de plus en plus nombreuses et variées, liées à Internet, aux courriels et à l utilisation des nouvelles technologies de l information. La norme ISO 17799:2005 (aujourd hui ISO 27002) fournissait le référentiel nécessaire à l élaboration des exigences de sécurité, et apparaissait comme un recueil de recommandations. Elle établissait 11 domaines à couvrir, répartis comme suit à partir du chapitre 5 pour la définition de la politique de sécurité, jusqu à 15 pour la conformité. L ensemble des 11 domaines définissait 133 points de contrôles dans sa version La BS définissait les contrôles et la certification, mais celle-ci n a pas eu le succès escompté, notamment en France. La norme ISO (issue de la BS7799-2) a vu le jour en novembre 2005, et permet de faire certifier un «Système de Management de la Sécurité de l Information» (SMSI). Calquée sur les normes qualité ISO 9000 et environnement ISO 14000, { cette norme traite de la mise en œuvre d un système de management. Cette norme garantit aux parties prenantes (clients, actionnaires, partenaires, etc.) que la sécurité des Systèmes d Information a été sérieusement prise en compte et que l'entreprise s'est engagée dans une démarche d'amélioration constante. La norme ISO est un document simple, de quelques pages, instaurant surtout un processus pour la gestion de la sécurité basée sur une méthode connue. Le Japon l a retenu sous le nom de «cycle PDCA de Deming», et c est plus tard en Amérique, et maintenant en Europe, que nous découvrons toute la puissance de cet outil très simple et porteur d une méthode. Le PDCA est une école de pensée en gestion développée par M. Deming. La démarche d amélioration de la qualité qu il propose est basée sur cette école de pensée. Il est très répandu au Japon dans la plupart des organisations à valeur ajoutée à la recherche de la performance ultime. Elle se caractérise par 4 actes spécifiques majeurs en constante rotation. Il s agit d un cycle d activités ayant comme principal objectif l amélioration continue. Il est à noter que la norme ne fournit pour le moment aucune indication sur la manière dont l analyse de risques doit être menée, mais il est clair que la norme ISO13335 (DICP) ou des variantes parmi les méthodes, MEHARI, EBIOS, MARION, sont tout à fait indiquées. Dans les années à venir, il est prévu que la méthode fera elle-même l objet d une normalisation à travers la dénomination ISO 27005, à partir du texte de la BS7799-3:2006. >>> ISO/IEC 17799:2005 Gestion des actifs 7 Ressources humaines 8 ISO/IEC 17799:2005 Sécurité physique 9 Exploitation et réseaux 10 Contrôles d accès11 Politique de sécurité 5 Organisation de la sécurité 6 Conformité 15 Acquisition, développement et maintenance sys. 12 Gestion des incidents 13 Continuité de service N 5 BUSINESS CONNECT FEVRIER 2007

14 La conformité du SMSI permet d entrevoir la certification ISO 27001, pour une durée de trois ans. Beaucoup de pays industrialisés se sont lancés ou se lancent dans cette certification qui devrait devenir rapidement un critère valorisant. «On écrit ce qu on va faire. On fait ce qu on a écrit... et on le contrôle». La rédaction de la Politique de Sécurité des Systèmes d Information et de ses principes détaillés, est normalement déduite de l analyse de risques et de la tentative de réduction de ceux-ci à un niveau acceptable. La plupart du temps, cette politique étant déjà existante, il va falloir l adapter à un fonctionnement en mode cyclique, et à un découpage suivant les chapitres de la norme. La création du Système de Management de la Sécurité de l Information et son approbation formelle par la direction générale vont permettre le véritable déclenchement de la dynamique Cette dynamique devrait avoir lieu pour les raisons suivantes : Préférence des Français pour les standard ISO aux référentiels QUID DU SMSI Le Système de Management de la Sécurité de l Information (SMSI) traduit le factuel de la sécurité en phase avec son formalisme et s appuie sur des rapports auditables. A savoir : le manuel SMSI - le domaine d application du SMSI - la déclaration d applicabilité (engagement de la Direction) la politique et les objectifs de sécurité du SMSI les procédures et les contrôles en support du SMSI la liste des actifs sensibles la méthode d évaluation des risques le rapport d évaluation des risques le plan de traitement des risques (PTR) le plan de continuité d activité (PCA) les procédures documentées nécessaires à l organisation pour s assurer de l efficacité de la planification, de l opération et du contrôle des processus de sécurité de l information, et la description de comment est vérifiée la validité des résultats de contrôle les enregistrements requis par la norme. Définir le but, l objectif et les moyens d y parvenir PLAN S instruire, s entraîner et exécuter les tâches définies DO SMSI ACT Décider les mesures nécessaires et les améliorations possibles Contrôler, mesurer les écarts et comprendre les résultats obtenus CHECK >>> Modèle de qualité (PDCA) British Standard (BS). Convergence des organisations en charge des «sécurités» (sécurité physique, logique, environnementale) par une démarche globale Qualité. Renforcement du contrôle interne intégrant l outil informatique comme risque et moyen. Exigences réglementaires de plus en plus fortes pour la sécurité de l information. Nécessité d encadrer le risque résiduel pour le rendre assurable. Gouvernance exige contrôle «Confiance n exclut pas contrôle» La gouvernance est l association du pilotage, (c est-à-dire s assurer que les décisions d aujourd hui préparent convenablement demain), et du contrôle, (c est-à-dire, mesurer l écart par rapport à ce qui était prévu et l activité gérée aujourd hui). Ce processus de management qui présente quelques similitudes avec le Risk Management doit s appuyer sur un modèle de chaîne de valeur. Si les fonctions Stratégiques et Opérationnelles sont bien définies, la fonction de Pilotage, transverse aux activités principales de l entreprise, peut faire défaut. Dans les organisations «stratégiquement comptables», contrôlées en approche XLS, elle apparaît comme élément de confort. En réalité, elle s avère indispensable, afin d assurer une efficience dans le déploiement de la stratégie en une cohésion de solutions opérationnelles, et dans la définition de véritables indicateurs pour les opérations de contrôle. 14 N 5 BUSINESS CONNECT FEVRIER 2007

15 Par contre, la carence de la fonction de pilotage engendre irrémédiablement débauche d énergie, absence de consolidation du savoir-faire, et prolifération de tableaux de bords d autosatisfaction (mais il est vrai aucun ROI direct). Aligner les métiers de l entreprise sur le Système d Information est une véritable stratégie, qui sonne la révolution des DSI. Considérer l informatique comme l énergie du savoir, peut entraîner certains risques qu il convient de maîtriser. L émergence des référentiels sécurité de l information complète les standards du contrôle interne, et contribue à la nécessité d audits qui incombent naturellement au pilotage de la gouvernance. Le processus d anticipation et d'évolution qui caractérise une gouvernance exige une récurrence dans les opérations de contrôle pour être pertinent. Les référentiels sur lesquels le processus peut se déployer se précisent autour des items suivants : COBIT : Control Objectives for Information and Related Technology (gouvernance, contrôle et audit de l'information et des technologies associées). Le COBIT est un référentiel pour la gouvernance des technologies de l'information avec un objectif de contrôle et d'audit vis-à-vis de l'impact de l'utilisation de ces technologies dans l'entreprise et des risques qui y sont liés. Il établit les contrôles par rapport aux exigences COSO (Committee of Sponsoring Organizations of the Treadway Commission) «Modèle de contrôle d entreprise». ITIL : guides de bonnes pratiques pour la gestion des services informatiques (internes et externes). Il est axé sur le service à rendre et sur sa disponibilité pour l'utilisateur. Il vise à faciliter l'atteinte d'objectifs >>> Chaîne de valeur du processus d amélioration Stratégique Pilotage Opérationnel Gouvernance d entreprise >>> Pilotage de la gouvernance ISO COSO CoBIT Gouvernance TI ISO ISO ITIL ISO 9000 Quoi? Comment? qualité mesurés tout en maîtrisant les coûts par l'organisation et l'optimisation des services. ISO : série de normes dédiées à la sécurité de l'information qui, à terme, devrait couvrir l ensemble des normes liées à la sécurité de l information, hormis ISO (critères communs) pour la certification des matériels de sécurité. Sécurité maîtrisée, stratégie de confiance La gestion de la sécurité étant souvent répartie dans les fonctions de la gestion du SI, il en résulte des chevauchements et des trous. Jusqu ici, la sécurité était une fonction qui n était pas maîtrisée et/ou comprise par les métiers. Il en résultait des difficultés pour obtenir des moyens et une mauvaise compréhension des risques. Or, «on ne peut gérer ce que l'on ne mesure pas». Plus que les normes de sécurité, c est bien la notion de processus qui est importante. L augmentation naturelle de l entropie des processus augmente les menaces endogènes et exogènes liées au système, compte tenu de l exposition croissante aux vulnérabilités. La mise en place de contrôles ne garantit pas forcément leurs prises en charge, a fortiori si les acteurs concernés ne sont pas impliqués dans le processus de mise en place de ces contrôles. L assignation des responsabilités des acteurs du SI s avère conflictuelle si celle-ci n est pas induite par une stratégie partagée. Impliquer nos organisations à la maîtrise des risques, pour une juste sécurité est une stratégie qui peut être pilotée et mise en œuvre autour des normes de sécurité ISO JEAN-MARC CHARTRES CONSULTANT SECURITE TELINDUS FRANCE 15 N 5 BUSINESS CONNECT FEVRIER 2007

16 Le coaching RSSI, un challenge productif >>> Jean-Marc Chartres Consultant Sécurité Telindus France CHARGE DE LA PROTECTION DU SYSTEME D INFORMATION, LE RESPONSABLE DE LA SECURITE DES SYSTEMES D INFORMATION (RSSI) DOIT DESORMAIS AVOIR UN ROLE STRATEGIQUE ET OFFENSIF DANS L ENTREPRISE. Depuis toujours, les entreprises se posent la vite que le progrès ; son côté aléatoire rend difficile question du «comment» bien coacher nos savoir-faire. Nous devrons apprendre à intégrer le RSSI (responsable de la sécurité des le facteur de risque et, surtout, à l anticiper. Systèmes d Information), et le sujet de la sécurité de l information engendre toujours bon nombre de problématiques. Premier constat, l'informatique a compliqué la maîtrise de l'information de l'entreprise. En même temps, le RSSI a dû expliquer son activité souvent complexe et mal perçue. Coaching RSSI, mode d emploi Le Coaching RSSI est une véritable mission pour le consultant qui doit apporter un regard externe pour donner des facteurs clefs de réussite. Pour ce type de mission, mieux vaut compter sur : une expérience professionnelle diversifiée, Chargé de la protection du Système d Information, le RSSI doit désormais avoir un rôle stratégique et offensif dans l'entreprise. Coordinateur de la gestion des sécurités et des risques une connaissance solide des fonctionnements humains, relationnels et managériaux, une indépendance vis à vis des organisations Assurer la sécurité, c est réduire la potentialité d apparition d événements qui, combinés à d autres, peuvent conduire à la catastrophe. Comme l informatique concourt à la gestion de ces événements, elle se retrouve au centre du processus de sécurité et place le RSSI comme coordinateur de la gestion des risques et des sécurités (physique, logique, environnementale). Assurer la sécurité, ce n est pas éviter les incidents (ce qui est impossible), mais c est faire en sorte que ceux-ci ne conduisent à la catastrophe que dans des cas de très faible probabilité. Toute démarche de sécurité doit s établir sur un périmètre identifié et sur des risques évalués. Or, le périmètre est forcément à géométrie variable, et la partie des risques immatériels, prépondérante. Dans les systèmes physiques, la mesure crée la confiance. Dans le monde financier, par exemple, la confiance engendre la mesure. Le contrôle interne pour les uns, la maîtrise des risques opérationnels pour les autres, correspondent au processus à mettre en place pour rationaliser les moyens à utiliser afin de répondre aux exigences des enjeux et de satisfaire les audits réglementaires et sectoriels. Nous vivons une époque où le risque augmente aussi et personnes clientes, une déontologie rigoureuse, le bénéfice d un accompagnement préalable. L avenir du RSSI n est définitivement plus seulement dans la technique. Au contraire, son rôle l amène à prendre en compte des enjeux décisionnels, stratégiques ou qualitatifs. Dans la nécessité des entreprises d acquérir une gouvernance asservie sur les contrôles internes, afin d anticiper tout écart aux sécurités définies, le RSSI apparaît comme le coordinateur de cette chaîne. Assurer l opérationnalité de la stratégie de la confiance dans l information, par le retour de mesures concrètes vers la gouvernance est un élément majeur du processus de qualité de l information. Trop pour un seul homme? Peut-être, car certains experts préconisent déjà une scission des tâches entre RSI (responsable de la sécurité de l information à profil stratégique) et le RSSI (responsable de la sécurité des Systèmes d Information à profil technique). A nous d accompagner cette migration perpétuelle, mais si passionnante. JEAN-MARC CHARTRES CONSULTANT SECURITE TELINDUS FRANCE 16 N 5 BUSINESS CONNECT FEVRIER 2007

17 Le Groupe Prévoir accélère ses communications LE GROUPE PREVOIR A CHOISI TELINDUS POUR INSTALLER ET EXPLOITER SON INFRASTRUCTURE RESEAU ORIENTEE ADSL ET WIFI, ET POUR ACCROITRE SA PRODUCTIVITE GRACE A DES SYNCHRONISATIONS QUINZE FOIS PLUS RAPIDES. Spécialiste de la protection individuelle des familles et de l assurance vie, le Groupe Prévoir est un holding constitué de deux compagnies d assurances, Prévoir-Vie et Prévoir- Risques Divers et d une société de gestion de portefeuilles, Société de Gestion Prévoir. Pour garantir à ses clients répartis dans toute la France une qualité de service toujours plus optimisée, le Groupe Prévoir a fait évoluer son infrastructure réseau d agences vers une solution lui permettant l accès aux nouvelles technologies et au WiFi. A ce titre, le Groupe Prévoir a choisi Telindus pour déployer une infrastructure réseau, et assurer les services dont il souhaite bénéficier sur une partie des équipements télécoms qu il a mis en place sur son réseau. «Nous avons migré il y a plusieurs années d une base propriétaire vers une application CRM Siebel accessible par tous nos commerciaux répartis sur les 170 sites en France. Jusqu en 2005, les échanges passaient par un réseau RTC, mais ce dernier offrait peu de bande passante et souffrait de temps de synchronisation très longs. Nous avons donc modernisé nos outils de communication et déployé une infrastructure ouverte et sans fil intégrant des briques de sécurité. Avec le WiFi et l ADSL, nous avons pu fiabiliser et réduire significativement la durée de synchronisation pour gagner en efficacité. L utilisation de notre outil de CRM a été grandement améliorée» explique Franck Dufermont, Responsable du Projet à la Direction commerciale du Groupe Prévoir. Aujourd hui, chaque collaborateur se connecte à Siebel et à sa messagerie, n importe où dans l agence, en toute sécurité et sans échec. Quinze fois plus rapide Chacun des sites est doté d un réseau local sans fil basé sur un routeur WiFi Cisco. Les WLANs sont ensuite connectés au siège parisien du Groupe Prévoir via un réseau ADSL. Le Groupe Prévoir souhaitait, tout en conservant la maîtrise de son infrastructure, externaliser les services de déploiement, de supervision, d exploitation et de maintenance. Telindus s est chargé du déploiement de la solution prévue dans les 170 bureaux du Groupe sur toute la France. Le NCC de Telindus aux Ulis prend en charge (24 h/24 et 7 j/7), la supervision des équipements et détecte de façon proactive un incident. Se met alors immédiatement en place le diagnostic, le déclenchement d une intervention, pour un incident hardware, et l ouverture d un ticket chez l opérateur dans un délai inférieur à trente minutes après une remontée d alarme. Le Groupe Prévoir bénéficie en outre d une maintenance réseau de quatre heures sur site. «Dès que nous ouvrons un nouveau bureau, Telindus s occupe de construire le réseau. Les tests s étant effectués avec succès, nous avons lancé avec Telindus le déploiement sur les 170 sites restants» conclut Franck Dufermont. >>> Franck Dufermont, Responsable Projet à la Direction Commerciale du Groupe Prévoir «Avec un PC portable plus moderne et la technologie WiFi, nos commerciaux sont plus efficaces sur le terrain. Ils peuvent échanger un plus grand nombre d informations via leur messagerie et actualiser plus rapidement leur portefeuille de clients et de prospects. Ces opérations sont nettement fluidifiées et le temps perdu est limité grâce aux synchronisations quinze fois plus rapides» indique Franck Dufermont. A PROPOS DU GROUPE PREVOIR Fidèle à sa vocation première, la protection des familles face aux aléas de la vie, le Groupe Prévoir (1 200 personnes) met au service de ses clients, depuis près d un siècle, son expertise et son savoir-faire 17 N 5 BUSINESS CONNECT FEVRIER 2007

18 Le CERTI-AM arme la CNAF contre les SPAM SPAM PAR JOUR DE TROP POUR LA CNAF! LE CENTRE INFORMATIQUE, CERTI-ALPES MARITIMES, CENTRE SERVEUR NATIONAL DU RESEAU CAF EST CHARGE DE TROUVER UNE SOLUTION. TELINDUS EST CHOISI POUR SA MAITRISE DES ENVIRONNEMENTS SECURITE ET INSTALLE LA BONNE PARADE. La Caisse Nationale d'allocations Familiales (CNAF) est l'organisme national de la branche «Famille» de la Sécurité Sociale. Elle se compose d'un réseau de 123 Caisses d'allocations Familiales (CAF) sur toute la France pour la gestion des prestations légales, familiales et sociales et de 8 CERTI (Centres Régionaux Informatiques). Depuis 2003, et pour faire face aux SPAM, le CERTI-AM de la région Sud Est (Alpes-Maritimes) a déployé une solution anti- SPAM/antivirus. Jean Florimond, responsable de la sécurité SI à la CNAF explique : «Nous utilisions une passerelle SMTP Internet centralisée pour les échanges entre les agents des CAF. Nous avions de gros problèmes de SPAM et recherchions à faire évoluer notre solution qui s avérait insuffisante. Telindus nous a proposé une solution anti-spam et anti-virus IronPort qui correspond à nos besoins» SPAM par jour Les SPAM sont une réelle menace pour l entreprise. Sur les mails reçus quotidiennement par les CAF, sont des SPAM. Soit un encombrement des réseaux quasi-permanent et une perte de temps considérable pour les effacer des boîtes aux lettres. «La mise en place de la solution a permis de retrouver immédiatement une haute disponibilité de nos services mails» ajoute Jean Florimond. Le déploiement de la solution par Telindus a été effectué en novembre pour une mise en production mi-décembre Le contrôle des SPAM est réalisé au point d'entrée des mails dans le réseau institutionnel grâce à un moteur éprouvé de détection des courriers indésirables basé sur plusieurs techniques (analyse protocolaire, anti- DHA, reverse DNS, listes blanches et listes noires utilisateur et éditeur). Le taux de détection annoncé est au moins égal à 95 % tout en conservant un nombre de faux-positifs proche de zéro. La solution supporte des mises à jour de la base de données de manière automatique et à la demande. Une solution centralisée Telindus a aussi déployé une solution anti-virus avec une analyse fine des flux SMTP et une maintenance sur site. L'architecture des solutions est standard, les deux équipements sont positionnés sur une zone publique connectée sur le Firewall Internet. Tous les mails depuis Internet sont redirigés vers l'équipement Ironport, et tous les mails sortant depuis le relais Lotus Notes sont renvoyés vers les mêmes équipements. Cette approche offre une administration centralisée et un contrôle très fin du flux . Les boîtiers séries C d IronPort exploitent les informations de SenderBase de façon à éliminer la majeure partie des «mauvais s», sur la base non pas du contenu, mais de l identité des expéditeurs et de leur réputation. «Ces solutions correspondent exactement à nos besoins» conclut Jean Florimond. «Nous bénéficions entre autres d un retour sur investissement immédiat. Ce projet initialisé par Telindus est une réussite. Il contribue à l actualisation de notre plateforme de sécurité. Telindus nous a prouvé qu il avait une grande maîtrise en la matière, ce qui nous a permis d avoir toute confiance en ses préconisations». A PROPOS DE LA CNAF En France, 29,5 millions de bénéficiaires directs et indirects perçoivent des allocations familiales à travers le réseau formé par la Caisse Nationale des Allocations familiales (CNAF) et l'ensemble des Caisses d'allocations Familiales (CAF) 18 N 5 BUSINESS CONNECT FEVRIER 2007

19 Sanofi Pasteur homogénéise ses réseaux locaux SANOFI PASTEUR SOUHAITE UNE HOMOGENEITE DE PERFORMANCE, DE FIABILITE ET DE FONCTIONNALITES SUR L'ENSEMBLE DE SES RESEAUX LOCAUX REPARTIS EN FRANCE ET EN AMERIQUE DU NORD. En 2004, le nouveau Groupe Sanofi Aventis devient le 3 e groupe pharmaceutique mondial et le numéro 1 en Europe. Aventis Pasteur, la division vaccins du Groupe Sanofi Aventis, porte désormais le nom de Sanofi Pasteur. Disposant de sites principaux répartis à l international, Sanofi Pasteur souhaitait une refonte totale de ses réseaux locaux. Bertrand Tisseron, Responsable Réseaux de Sanofi Pasteur explique : «Nous avons lancé un projet d évolution de notre LAN qui correspond à la refonte totale des réseaux locaux des sites principaux de Sanofi Pasteur : Lyon, Marcy-L étoile, Val-de-Reuil, Toronto au Canada et Swiftwater aux Etats-Unis. Ce projet a été motivé principalement par le besoin d'homogénéité des solutions mises en place, et par l émergence de nouveaux besoins. C'est un projet qui va au-delà du simple déploiement LAN dans la mesure où la sécurité - isolation des flux et contrôle d'accès - tient une place prépondérante». Cette refonte est donc basée sur une harmonisation des infrastructures. Sanofi Pasteur désire en effet mettre en place une qualité de service équivalente sur chacun de ses sites en France et en Amérique du Nord. Mais, outre ces besoins clairement identifiés, Sanofi Pasteur désire déployer une infrastructure capable de supporter des communications voix, données et vidéo. Telindus, en charge du projet, et partenaire historique de Sanofi Pasteur, a répondu aux besoins exprimés en construisant une infrastructure hautement redondante et performante, facile à répliquer sur chacun des sites. «Nous avions besoin, d une part, de renouveler nos équipements et, d autre part, de compter sur un nouveau design d architecture» ajoute Loïc Picard Responsable projet de Sanofi Pasteur. «Nous avons exprimé des besoins de disponibilité, de performance élevée pour le support d'application comme la vidéo, avec la nécessité d'intégrer des fonctions de sécurité forte sur le réseau pour la gestion de communautés étanches et la gestion du contrôle d'accès». Telindus a bâti une architecture facile à administrer. Des fonctions de firewalling sont intégrées dans le cœur d infrastructure, ce qui permet, en utilisant également la fonction vrf-lite (virtualisation du routage) de créer des communautés étanches et sécurisées. La généralisation du 802.1X pour le contrôle d'accès apporte une réponse adaptée aux besoins de contrôle d'accès. Le design, l intégration, la migration et la maintenance sont aussi assurés par Telindus. «Nous bénéficions d un Business Virtuel Network qui nous permet d isoler des réseaux fonctionnels en profitant de toute la robustesse de l architecture. Nous pouvons mutualiser les moyens de chaque site tout en leur garantissant une infrastructure logiquement autonome» souligne Loïc Picard. «Telindus est notre partenaire de longue date et nous apprécions sa très forte expertise des réseaux complexes. Ce sont les équipes Telindus qui nous ont présenté la meilleure proposition technique. Nous avons sélectionné un intégrateur par site, mais c est à Telindus que nous avons confié le design de l architecture. Autre point important, la gestion de projet, qui pour nous est un point clé, ainsi que la qualité du suivi. Là aussi Telindus s est distingué». «Le déploiement sur un an évolue désormais vers d autres services comme la sécurisation de tous les accès. Mais déjà les bénéfices sont quantifiables : la solution supporte la croissance de l entreprise (17 % par an), elle est évolutive et permet de conserver la cohabitation bureautique et métier industriel sur un même réseau, tout en permettant la mutualisation avec un niveau de sécurité très élevé». Bertrand Tisseron, Responsable réseaux Sanofi Pasteur A PROPOS SANOFI PASTEUR Sanofi Pasteur, la division vaccins du groupe Sanofi Aventis, est la plus importante société entièrement consacrée aux vaccins humains. 19 N 5 BUSINESS CONNECT FEVRIER 2007

20 Une analyse fine avec Network General POUR SUIVRE CE QUI SE PASSE SUR LE RESEAU ET SIMPLIFIER LA GESTION DU SYSTEME D INFORMATION, NETWORK GENERAL CREE NETWORK INTELLIGENCE SUITE, SURVEILLANT A LA FOIS LE RESEAU ET LES APPLICATIONS. >>> La vue unifiée du SI par Network Intelligence Suite Indicateurs de performance réseau Network General, spécialiste des analyseurs réseau avec sa division Sniffer, complète son offre et propose aux grands comptes et aux PME, Network Intelligence Suite, véritable portail fournissant une vue unifiée sur la performance de l infrastructure et des applications du Système d Information. Network Intelligence Suite donne une visibilité fine et dynamique du réseau, permettant d anticiper les anomalies et les défaillances de la sécurité. Pour développer son offre, Network General s'appuie sur des intégrateurs locaux, comme Telindus. Introspection du SI «Nous avons créé Network Intelligence Suite pour permettre aux directions informatiques de passer d un suivi historiquement vertical de leurs différents domaines technologiques (bureautique Lan, Wan, Serveur applicatif) à un suivi transversal de l ensemble de ces domaines. L objectif est d obtenir une vision de bout en bout de la performance du Système d Information afin de pouvoir coller l organisation de l informatique à celle de l entreprise», explique Faouzi Lajri, Directeur Régional de Network General. Network Intelligence Suite monitore un Système d Information avec une vue applicative et infrastructure. Composée de logiciels et de hardwares, elle regroupe Indicateurs de performance applicative VolP Service - SLA - Performance d Application - Virtualisation Troubleshooting Horizontale Sniffer Enterprise NetVigil, pour la supervision des éléments de l infrastructure (routeurs, switches, serveurs, base de données ), Sniffer Enterprise Visualizer, pour le monitoring des flux réseaux et applicatifs, et Sniffer Enterprise Administrator, pour la gestion du parc des sondes Sniffer. La création de containeurs dans Network Intelligence Suite permet de regrouper virtuellement les équipements et les applications qui délivrent le service à une direction métier ; ainsi les exploitants peuvent immédiatement mesurer l impact métier d une défaillance du S.I. La suite logicielle réalise des tests en allant interroger en snmp, les mibs ou les logs afin de suivre l état de santé des équipements et de différents indicateurs de performance pour déclencher une alerte en cas de dépassement d un seuil. Du tableau de bord au paquet «La valeur ajoutée de Network Intelligence Suite est de fournir une vision allant d un tableau de bord destiné aux managers ou aux utilisateurs, jusqu à des rapports très détaillés indispensables aux exploitants du réseau dans leurs tâches d administration quotidienne» ajoute Eric Pilicer, Channel Manager Europe et Benelux de Network General. «La vérité étant dans la trame réseau et le paquet. Ce n est pas le tout de voir passer un indicateur dans le rouge, encore faut-il comprendre pourquoi, et pouvoir régler le problème». Network Intelligence Suite peut aussi surveiller le service de téléphonie sur IP de l'entreprise. Ses logiciels établissent des rapports précis sur les problèmes de performance dus au réseau, et communiquent avec la gamme de sniffers InfiniStream de Network General pour analyser les causes des pannes au niveau des paquets. Cette vision globale et détaillée du Système d Information permet d une part, de dimensionner l infrastructure de façon intelligente et, d autre part, de répondre aux engagements de qualité de service (SLA) en situant les seuils de performance et en vérifiant qu ils aient été respectés. 20 N 5 BUSINESS CONNECT FEVRIER 2007

2012 / 2013. Excellence. Technicité. Sagesse

2012 / 2013. Excellence. Technicité. Sagesse 2012 / 2013 Excellence Technicité Sagesse Audit Conseil >> Présentation d ATHENA ATHENA est une société de services fondée en 2007 offrant des prestations dans les domaines de la sécurité informatique

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Les ressources numériques

Les ressources numériques Les ressources numériques Les ressources numériques sont diverses et regroupent entre autres, les applications, les bases de données et les infrastructures informatiques. C est un ensemble de ressources

Plus en détail

Mise en œuvre d une DSI agile. Chi Minh BUI UNIPRÉVOYANCE

Mise en œuvre d une DSI agile. Chi Minh BUI UNIPRÉVOYANCE Mise en œuvre d une DSI agile Chi Minh BUI UNIPRÉVOYANCE INTRODUCTION Des problématiques similaires pour des enjeux identiques indépendamment de la taille de l organisation «David contre Goliath» RETOUR

Plus en détail

ISO 27001 conformité, oui. Certification?

ISO 27001 conformité, oui. Certification? ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Etude sur les services de communication au sein des grands comptes

Etude sur les services de communication au sein des grands comptes Etude sur les services de communication au sein des grands comptes D octobre 2009 à mars 2010, le cabinet Beijaflore a mené une étude qualitative auprès de 30 grands comptes et administrations de plus

Plus en détail

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur

Plus en détail

Les activités numériques

Les activités numériques Les activités numériques Activités de l entreprise et activités numériques de l entreprise convergent de plus en plus au sein de la chaîne de valeur, c est-à-dire la manière avec laquelle une entreprise

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Regard sur hybridation et infogérance de production

Regard sur hybridation et infogérance de production Regard sur hybridation et infogérance de production Février 2014 édito «comment transformer l hybridation des infrastructures en levier de performances?» Les solutions d infrastructure connaissent depuis

Plus en détail

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 D une PSSI d unité de recherche à la PSSI d établissement Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 SOMMAIRE 2 1. Eléments de contexte 2. Elaboration d une PSSI d

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Modèle de gouvernance de la sécurité des TI

Modèle de gouvernance de la sécurité des TI Modèle de gouvernance de la sécurité des TI www.pr4gm4.com par la gestion des risques et le SMSI (Cf. ISO 2700x) Présentation Février 2010 Copyright 2010 - PR4GM4 1 Contexte: le triangle des affaires Sites

Plus en détail

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 2012-2013 Formations Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 01/11/2012 Table des Matières Présentation du Cabinet CESSI... 3 1- ISO 27001 Foundation... 5 2- ISO 27001 Lead Auditor...

Plus en détail

Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise.

Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise. Solutions PME VIPDev Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise. Cette offre est basée sur la mise à disposition de l ensemble de nos compétences techniques et créatives au service

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

La virtualisation par Stéphane Dutot, Chef de produit de Internet Fr

La virtualisation par Stéphane Dutot, Chef de produit de Internet Fr Communiqué de Presse Massy, le 31 Mars 2009 La virtualisation par Stéphane Dutot, Chef de produit de Internet Fr Depuis quelques années, une nouvelle technologie révolutionne l informatique : la virtualisation.

Plus en détail

Systèmes d information

Systèmes d information 11 Systèmes Cette famille rassemble des métiers dont la finalité est de concevoir, développer, exploiter et entretenir des solutions (logicielles et matérielles) répondant aux besoins collectifs et individuels

Plus en détail

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique» "Innovation, Valorisation et Protection du Patrimoine Numérique!" Conseil opérationnel en organisation, processus & système d Information «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

Plus en détail

Atelier " Gestion des Configurations et CMDB "

Atelier  Gestion des Configurations et CMDB Atelier " Gestion des Configurations et CMDB " Président de séance : François MALISSART Mercredi 7 mars 2007 (Nantes) Bienvenue... Le thème : La Gestion des Configurations et la CMDB Le principe : Échanger

Plus en détail

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011 Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC

Plus en détail

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques» Information Technology Services - Learning & Certification «Développement et Certification des Compétences Technologiques» www.pluralisconsulting.com 1 IT Training and Consulting Services Pluralis Consulting

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

L Edition Pilotée XL

L Edition Pilotée XL L Edition Pilotée XL Piloter son activité, une nécessité Processus décisionnel: «Exploiter les données de l entreprise dans le but de faciliter la prise de décision» Etre informé en permanence sur l état

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION SUR LES CONDITIONS DE PRÉPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL AINSI QUE SUR LES PROCÉDURES DE CONTRÔLE INTERNE MISES EN PLACE PAR LA SOCIÉTÉ

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

Réunion des correspondants RAP. Présentation des services de Supervision et de Télé Exploitation

Réunion des correspondants RAP. Présentation des services de Supervision et de Télé Exploitation Réunion des correspondants RAP Présentation des services de Supervision et de Télé Exploitation CHANGE THINGS YOUR WAY 18 octobre 2006 Agenda Introduction : Le groupe Telindus L offre de services de Telindus

Plus en détail

LA TECHNOLOGIE DU LENDEMAIN

LA TECHNOLOGIE DU LENDEMAIN LA TECHNOLOGIE DU LENDEMAIN Société : VNEXT est une société de conseil et d expertises technologiques dans le domaine de l infrastructure IT, le développement des logiciels et la formation professionnelle.

Plus en détail

CONTRÔLE INTERNE ET GESTION DE LA QUALITÉ DANS LES CABINETS D'AUDIT

CONTRÔLE INTERNE ET GESTION DE LA QUALITÉ DANS LES CABINETS D'AUDIT CONTRÔLE INTERNE ET GESTION DE LA QUALITÉ DANS LES CABINETS D'AUDIT Introduction Un moyen de se doter d un système de contrôle interne efficace et performant réside dans la mise en place d un système de

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

5 Clefs pour basculer dans le monde du SaaS

5 Clefs pour basculer dans le monde du SaaS 5 Clefs pour basculer dans le monde du SaaS Philippe Nicard, Directeur Opérations SaaS et Support Julien Galtier, Senior Manager consulting SIRH, ACT-ON Agenda L origine du SaaS Vers une démarche SaaS

Plus en détail

La stratégie du Groupe BPCE

La stratégie du Groupe BPCE La stratégie du Groupe BPCE 2 edito Groupe BPCE est né en juillet 2009 de la volonté des groupes Banque Populaire et Caisse d Epargne de construire ensemble le deuxième groupe bancaire en France, un groupe

Plus en détail

LA DEMARCHE QUALITE DANS UNE PME

LA DEMARCHE QUALITE DANS UNE PME LA DEMARCHE QUALITE DANS UNE PME SOMMAIRE : Introduction Quelques définitions Principes du management de la qualité Enjeux de la mise en place d une démarche qualité La mise en oeuvre du «SMQ» : 1. L engagement

Plus en détail

CRM. IBM a 100 ans. Dématérialisation STOCKAGE. du courrier. Le CLOUD relève l industrie du. Sécurité. labos de SYMANTEC.

CRM. IBM a 100 ans. Dématérialisation STOCKAGE. du courrier. Le CLOUD relève l industrie du. Sécurité. labos de SYMANTEC. LE MAGAZINE DES DÉCIDEURS INFORMATIQUES www.solutions-logiciels.com Dématérialisation du courrier De l enveloppe à l écran Enquête exclusive Les projets des entreprises DÉC.2011 - JANV.2012 N 26 IBM a

Plus en détail

de la DSI aujourd hui

de la DSI aujourd hui de la DSI aujourd hui Partout, l industrialisation de l IT est en cours. ITS Group accompagne ce mouvement avec une palette de compétences exhaustives permettant de répondre aux principaux challenges que

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

Présentation ORSYP. L Innovation au service de la Performance. Alexandra Sommer. Directeur Marketing ORSYP Labs

Présentation ORSYP. L Innovation au service de la Performance. Alexandra Sommer. Directeur Marketing ORSYP Labs Présentation ORSYP L Innovation au service de la Performance Alexandra Sommer Directeur Marketing ORSYP Labs 1 Le groupe ORSYP Au service de la Performance & de la Productivité des Opérations IT +25 ans

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux référentiels dont le plus connu et le

Plus en détail

Circuit du médicament informatisé

Circuit du médicament informatisé Circuit du médicament informatisé Points de vigilance axe technique SOMMAIRE... 1 FICHE N 1- DISPONIBILITE ET PERFORMANCE... 2 FICHE N 2- ENVIRONNEMENT DE TEST... 4 FICHE N 3- VERSIONNING... 5 FICHE N

Plus en détail

> livre blanc. Mettez-vous vos données et celles de vos clients en danger?

> livre blanc. Mettez-vous vos données et celles de vos clients en danger? > livre blanc Mettez-vous vos données et celles de vos clients en danger? QU EST-CE QUE CELA SIGNIFIE? VOTRE ENTREPRISE N EST PAS TROP GRANDE NI TROP PETITE POUR ÊTRE PIRATÉE Revenons dix ans en arrière,

Plus en détail

Leader de l Actuariat Conseil et de la Gestion des Risques

Leader de l Actuariat Conseil et de la Gestion des Risques Leader de l Actuariat Conseil et de la Gestion des Risques Optimind Winter respecte les meilleurs standards européens sur l ensemble des expertises associées à la chaîne des risques des organismes assureurs,

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC MANAGEMENT PAR LA QUALITE ET TIC Lorraine Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux

Plus en détail

Cabinet d Expertise en Sécurité des Systèmes d Information

Cabinet d Expertise en Sécurité des Systèmes d Information Cabinet d Expertise en Sécurité des Systèmes d Information 2012 Introduction 21 ans d expérience professionnelle, dans l informatique puis dans les TIC. Plus précisément en matière de Sécurité des Réseaux

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

La gouvernance documentaire dans les organisations françaises

La gouvernance documentaire dans les organisations françaises LIVRE BLANC La gouvernance documentaire dans les organisations françaises Enquête serdalab Mars 2011 serdalab Page 1 Sommaire Les problématiques auxquelles la gouvernance documentaire répond...4 La définition

Plus en détail

La Gestion Electronique des Documents

La Gestion Electronique des Documents La Gestion Electronique des Documents La mise en place d une solution La gestion de l information est devenue un enjeu stratégique majeur à l intérieur des organisations. D après l observation des projets

Plus en détail

AXELOS Limited. Formations AXELOS Limited

AXELOS Limited. Formations AXELOS Limited AXELOS Limited Formations AXELOS Limited Abréviations ITIL Abréviations ITIL V2 SS Service Strategy (3 crédits) SD Service Design (3 crédits) ST Service Transition (3 crédits) SO Service Operation (3 crédits)

Plus en détail

INFORMATION CONNECTED

INFORMATION CONNECTED INFORMATION CONNECTED Solutions Métiers Primavera pour l Industrie des Services Publics Gestion de Portefeuilles de Projets Garantir l Excellence Opérationnelle grâce à la Fiabilité des Solutions de Gestion

Plus en détail

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité? Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1 Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle

Plus en détail

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. IBM Global Services Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. Les services d infrastructure et d intégration IBM Pour une infrastructure informatique qui participe

Plus en détail

LAN Intégré : accéder

LAN Intégré : accéder LAN Intégré : accéder accédez à votre réseau local sans contrainte de lieu ni de temps La solution WLAN (Wireless Local Area Network) pour réseaux locaux sans fil fonctionne de la même manière que les

Plus en détail

mieux développer votre activité

mieux développer votre activité cloud computing mieux développer votre activité Les infrastructures IT et les applications d entreprise de plus en plus nombreuses sont une source croissante de contraintes. Data centers, réseau, serveurs,

Plus en détail

SOMMAIRE. La dématérialisation de la production comptable : Théorie. AVANT / APRES la mise en place d une solution de dématérialisation

SOMMAIRE. La dématérialisation de la production comptable : Théorie. AVANT / APRES la mise en place d une solution de dématérialisation SOMMAIRE Préambule P. 3 La dématérialisation de la production comptable : Théorie Définition Enjeux Objectifs Investissements Processus de dématérialisation AVANT / APRES la mise en place d une solution

Plus en détail

LES SOLUTIONS D HEBERGEMENT INFORMATIQUE

LES SOLUTIONS D HEBERGEMENT INFORMATIQUE LES SOLUTIONS D HEBERGEMENT INFORMATIQUE SOMMAIRE Qu est ce que le Cloud? De nouvelles offres? Approche économique Freins, moteurs et Avantages Des réponses concrètes : Les offres NC² SOMMAIRE Qu est ce

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Risk Advisory Février 2014 Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Des points de vue sur vos sujets de préoccupation dans les domaines de la gestion des risques,

Plus en détail

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE Management par les processus Les facteurs clés de succès Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise

Plus en détail

CONSULTING, BANQUE & ASSURANCE. axiwell LE SENS DE L ESSENTIEL

CONSULTING, BANQUE & ASSURANCE. axiwell LE SENS DE L ESSENTIEL CONSULTING, BANQUE & ASSURANCE axiwell LE SENS DE L ESSENTIEL SOMMAIRE Édito... page 3 Axiwell Financial Services... Exemples de missions réalisées... Nos offres spécifiques... Risques / Conformité / Réglementaire...

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

RAPPORT FINANCIER SEMESTRIEL AU 30 JUIN 2015

RAPPORT FINANCIER SEMESTRIEL AU 30 JUIN 2015 RAPPORT FINANCIER SEMESTRIEL AU 30 JUIN 2015 Société anonyme au capital de 538 668 euros. Siege social: 5-9, rue Mousset Robert 75012 Paris. RCS Bobigny 440 014 678 Activité : Services de Télécommunication

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Green it consulting nouveau leader de l informatique écologique

Green it consulting nouveau leader de l informatique écologique green it consulting Green IT Consulting est née d une réflexion fondamentale Comment peut-on améliorer un système d information tout en participant à la lutte contre le réchauffement climatique? 01 / green

Plus en détail

3. Rapport du Président du conseil d administration

3. Rapport du Président du conseil d administration 3. Rapport du Président du conseil d administration Conformément aux dispositions de l article L.225-37 du code de commerce, le président du conseil d administration rend compte, au terme de ce rapport,

Plus en détail

Démarche d analyse stratégique

Démarche d analyse stratégique Démarche d analyse stratégique 0. Préambule 1. Approche et Démarche 2. Diagnostic stratégique 3. Scenarii d évolution 4. Positionnement cible 2 0. Préambule 3 L analyse stratégique repose sur une analyse

Plus en détail

se prépare maintenant 23/09/2015 PRESENTATION CLOUD TEMPLE 1

se prépare maintenant 23/09/2015 PRESENTATION CLOUD TEMPLE 1 20 20 se prépare maintenant 23/09/2015 PRESENTATION CLOUD TEMPLE 1 Le rythme des innovations majeures s accélère Traduction temps réel Assistants personnels virtuels Cloud Computing Software Defined Anything

Plus en détail

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM CDROM L amélioration continue de la gestion des risques René FELL Ingénieur HES en informatique Administrateur chez CDROM CDROM en quelques mots Le Centre de Données Romand est situé au Noirmont, à 1000

Plus en détail

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services 3 minutes pour tout savoir sur Orange Consulting le conseil par Orange Business Services la technologie digitale est partout et n a jamais été aussi riche en promesses Notre ambition dans notre plan stratégique

Plus en détail

Charte du management des risques du groupe La Poste

Charte du management des risques du groupe La Poste Direction de l'audit et des Risques du Groupe Direction des Risques du Groupe Destinataires Tous services Contact Béatrice MICHEL Tél : 01 55 44 15 06 Fax : E-mail : beatrice.michel@laposte.fr Date de

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi VERSION V0.3 Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Février 2014 MINISTÈRE DES AFFAIRES SOCIALES

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

DIRECTEUR DE LA COMMUNICATION

DIRECTEUR DE LA COMMUNICATION 588 Communication Le domaine fonctionnel Communication regroupe les emplois permettant de présenter et de promouvoir l image et l action des services de l État et des politiques publiques en direction

Plus en détail

ABILIAN SICS-PC. Abilian SYSTÈME D INFORMATION COLLABORATIF ET SÉCURISÉ POUR LES PÔLES DE COMPÉTITIVITÉ

ABILIAN SICS-PC. Abilian SYSTÈME D INFORMATION COLLABORATIF ET SÉCURISÉ POUR LES PÔLES DE COMPÉTITIVITÉ SOLUTIONS 2.0 POUR LA COMPÉTITIVITÉ ET L INNOVATION ABILIAN SICS-PC SYSTÈME D INFORMATION COLLABORATIF ET SÉCURISÉ POUR LES PÔLES DE COMPÉTITIVITÉ Abilian Quels outils pour la compétitivité des acteurs

Plus en détail

Cartographie des risques informatiques : exemples, méthodes et outils

Cartographie des risques informatiques : exemples, méthodes et outils : exemples, méthodes et outils Gina Gullà-Ménez, Directeur de l Audit des Processus et des Projets SI, Sanofi-Aventis Vincent Manière Consultant Construction d une cartographie des risques : quel modèle

Plus en détail

ITIL v3. La clé d une gestion réussie des services informatiques

ITIL v3. La clé d une gestion réussie des services informatiques ITIL v3 La clé d une gestion réussie des services informatiques Questions : ITIL et vous Connaissez-vous : ITIL v3? ITIL v2? un peu! beaucoup! passionnément! à la folie! pas du tout! Plan général ITIL

Plus en détail

La gestion du changement et de la transformation

La gestion du changement et de la transformation La gestion du changement et de la transformation par les processus Guy ELIEN mai 2007 Sommaire Vision de l approche «processus»... 3 Les natures de processus... 4 Vers une démarche de changement pragmatique

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail