JaafarDEHBI; Consultant SI-TI Pragmatic Consulting
|
|
- Coraline Dumais
- il y a 8 ans
- Total affichages :
Transcription
1 Sécurité des SI ISO 2700X; MICDA M2 Année Universitaire : JaafarDEHBI; Consultant SI-TI Pragmatic Consulting 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 1 1
2 Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la Le IT Risk management sous ISO 2700X ISO ISO ISO Cas Pratique Methodes MEHARI Approche Pragmatic Audit sous Cobit /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 2
3 Processus A propos de processus Processus : Ensemble de moyens et d activités liés qui transforment des éléments entrants en éléments sortants. Événement enclenchant les processus Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 3 Produit ou service clôturant les processus
4 L Entreprise ; Les Fonctions ; les Processus!! (2) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 4
5 Quelques notions A propos de processus 1. Un processus a une finalité 2. Il est toujours orienté vers un système bénéficiaire, interne ou externe (sous processus) 3. il y a une relation de type client-fournisseur 4. L entreprise est un processus global Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 5
6 Étude d un exemple A propos de processus Un bouquet personnalisé pour le l anniversaire de mon épouse qui a 25 ans, lundi, est-ce possible? Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 6
7 Processus de l entreprise artisanale Cde client Bouquet Composer Emballer BL client Stock Fleurs Livraison Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 7
8 Les non-conformités ou anomalies Cde client Bouquet BL client Composer Emballer Stock Fleurs Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 8
9 Toujours plus Réclamat Cde client Refus Bouquet BL client Composer Emballer Rupture Stock Fleurs Décorer Retard Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 9
10 Du contrôle Faire. Vérifier que ce que l on a fait est satisfaisant. Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 10 19/03/2013
11 À l assurance Prévoirce que l on va faire et commenton va le faire. Fairece que l on a prévu. Vérifierque ce que l on a fait est conforme à ce que l on a prévu. Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 11
12 Et à la maîtrise Prévoirce que l on va faire et commenton va le faire. Fairece que l on a prévu. Vérifierque ce que l on a fait est conforme à ce que l on a prévu. Chercher à s améliorer. Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 12
13 Prévoir - Faire - Vérifier Améliorer Plan Do Check -Act L entreprise planifie la mise en œuvre des processus pour assurer la qualité des produits et services. Faire ce que l on a prévu. L entreprise effectue des contrôles sur les produits et les services à différents niveaux des processus. L entreprise cherche à améliorer la qualité des processus en améliorant l organisation, les compétences, les méthodes, les outils. Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 13
14 La roue de Deming L approche processus s appuie sur le cadre rigoureusement établi par la politique et les objectifs qualité. L objectif de cette approche est la satisfaction des clients par le respect de leurs exigences. Le responsable qualité est non seulement garant de l application des dispositions du système qualité, mais également de son suivi et de son perfectionnement. Prévoir Améliorer Faire Vérifier SMQ Ensemble des acteurs Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 14
15 Le PDCA de DEMING Ref Wikipedia La méthode comporte quatre étapes, chacune entraînant l'autre, et vise à établir uncercle vertueux. Sa mise en place doit permettre d'améliorer sans cesse la qualité d'un produit, d'une œuvre, d'un service, etc. 1. Plan: Préparer, planifier (ce que l'on va réaliser) 2. Do: Développer, réaliser, mettre en œuvre (le plus souvent, on commence par une phase de test) 3. Check: Contrôler, vérifier 4. Act(ouAdjust): Agir, ajuster, réagir (si on a testé à l'étapedo, on déploie lors de la phaseact) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 15
16 La Rouede DEMING Ref Wikipedia Roue de Deming La première étape, Plan, consiste à planifier la réalisation. Elle se déroule généralement en trois phases: 1. Identification du problème à résoudre (par exemple à l'aide duqqoqccp) ou du processus à améliorer. 2. Recherche des causes racines (par exemple à l'aide d'undiagramme de Pareto, d'undiagramme d'ishikawa ou de la méthode des 5 pourquoi). 3. Recherche de solutions avec écriture du cahier des charges et établissement d'un planning. L'étape Do(en français «faire») est la construction, le développement, la réalisation de l'œuvre. Elle est suivie de l'étapecheck(en français «vérifier»), qui consiste à contrôler l'aptitude de la solution mise en place à résoudre le problème ou à améliorer le processus. Sont employés à cet effet des moyens de contrôle divers, tels que les indicateurs de performance. Puis l'étapeactconsiste à agir et réagir, c'est-à-dire corriger et améliorer la solution mise en place, voire à standardiser cette solution. L'étape Actamène donc un nouveau projet à réaliser, donc une nouvelle planification à établir. Il s'agit donc d'un cycle que l'on représente à l'aide d'une roue. À chaque étape, la roue avance d'un quart de tour. Cette avancée représente l'action de progresser. De plus, pour éviter de «revenir en arrière», on représente une cale sous la roue, qui empêche celle-ci de redescendre et qui symbolise par exemple un système qualité, un système d'auditsréguliers, ou un système documentaire qui capitalise les pratiques ou les décisions. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 16
17 Sécurisation du processus Événement enclenchant Cde client Composer F Bouquet Emballer F BL client Stock Fleurs F Livraison Produit clôturant Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 17
18 Sécurisation du processus Cde client Préparer support fleurs décor Vérif. compo Ordonnancement P Cde Compo Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting Composer V Stock Fleurs Bouquet Fiche suiveuse F Décorer 18 Vérif. finale Vérif. décor F BL Compo Emballer V V F Fiche contrôle Vérif livraison V BL client
19 Les processus en questions Qu est-ce que le management par les processus? Le management par les processus consiste pour l entreprise à : identifier les processus et les activités qui les composent, à les décrire, à identifier les acteurs, à désigner leur «propriétaire» (pilote), à définir les dispositifs de pilotage, à améliorer en permanence les processus et leurs activités. Le management par les processus distingue : l efficacité ou l atteinte des résultats, l efficience ou la performance du triplet «fonctionnement-productivité-rendement». Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 19
20 Les différents types de processus Typologie des processus Processus de Réalisation Processus de Pilotage Processus Support & soutien Déterminent la politique et le déploiement des objectifs dans l organisme (Politique, stratégie, technologie,décision, budget, mesure) Contribuent directement à la réalisation du produit ou du service (conception, fabrication, vente, prestation) Contribuent au bon déroulement de la réalisation en leur apportant les ressources nécessaires (ressources, formation, informatique, comptabilité,maintenance) Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 20
21 Ex: Norme ISO 9001 ¬ion de processus (1/2) Système de Management de la Qualité Amélioration continue L approche ISO 9901 C L I E N T E x i g e n c e s Management des ressources Données d entrée Responsabilité de la direction Réalisation du produit et/ou service Mesure, analyse et amélioration Données de sortie Produit Service S a t i s f a c t i o n C L I E N T Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 21
22 Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la Le IT Risk management sous ISO 2700X ISO ISO ISO Cas Pratique Methodes MEHARI Approche Pragmatic Audit sous Cobit /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 22
23 Gestion du RISQUE Le risque: Problème potentiel qui pourrait nuire au succès du projet s'il se matérialise. Degré d incertitude: 0 < probabilité < 1 La gestion du risque: l'organisation des activités nécessaires pour: Identifier. Analyser. Contrôler et; Réduire les risques du projet. Une perte lui est associée: Temps, Argent, Réputation, Sécurité, etc. Jaafar pragmatic.ma 23
24 Evaluation Cout Bénéfice Déterminer la probabilité d occurrence d un risque Déterminer le coût du risque (Impact) Exposition au risque (ER) =Probabilité du risque X Coût du risque Le GP doit considérer la gestion du risque Négatif et du Risque positif; l Opportunité. Jaafar pragmatic.ma 24
25 Atelier Risque Evénement à Risque Indisponibilité équipe ouvriers pendant 15 Jours Sep l usine réalise 12.MM Dhs /An Panne d une caméra de surveillance dont le MTBF est de Hrs ( approx 5Ans) acquise en Proba. (%) 10%? Impact? ER Opportunité d avoir une remise de 15% sur Appros. Quantité Supérieur «plus de clous». Le lot initial coute 2000 Dhs Arrêt du serveur Exchange smtp.matis.ma qui exporte pour 365 MM Dhs pour lequel aucun Backup n existe. Le matériel est HP-ML350 G5. (MTBF= Hrs). La remise en service MTTR dure 2 Jours. Jaafar pragmatic.ma 25 15%?????
26 Arbres de Décision (Utile #11.3 & #11.4) Un arbre de décisionest un outil d'aide à la décision et à l'exploration de données. Il permet de modéliser simplement, graphiquement et rapidement un phénomène mesuré plus ou moins complexe. Il s agit de prédire avec le plus de précision possible les valeurs prises par la variable à prédire. Jaafar pragmatic.ma 26
27 Atelier 1 Gestion du Risque / Arbre de Décision Voyager en Avion pour Real / Barca. Deux Alternatives Compagnie C1 et C2 Vol Barcelone C1 = Dhs C2 = Dhs On Time 90% Dhs On Time 30% Dhs Jaafar pragmatic.ma 27
28 Traitement des Risques Faire face aux risques Réduction du risque: mise en place de dispositifs de sécurité Transfert du risque: assurances. Convient aux risques à faible probabilité. Acceptation du risque: ne rien faire. Convient aux situations de risque faible et de coût de contremesure élevé. Autre(s): Mitigation ; cadcombinaison de deux techniques; 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne
29 Approche au Risque Réactif : Rien n est fait jusqu à ce qu un problème se présente. Comportement de «Pompier». Proactif : Les risques sont identifiés, leurs probabilités et leurs impacts sont évalués. Un plan est établi pour gérer le risque.
30 Gravité 5-Catastrophique 11- Management des risques du projet Caractériser le risques et prévoir des actions de maîtrise Action de prévention ( action sur les causes) Zone de risque inacceptable 4-Très grave 3-Grave 2-Majeure 1-Mineure R1 Zone de risque acceptable R1 R1 Action de protection ou de secours ( action sur les effets) Probabilité 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 30
31 Exercice 1: (Suite) Stratégie & Contingence Événement Proba. % Impa ct Quan tificat ion Palier Quantitatif ( par 50 Kdhs) Qualifica tion du Risque Evaluation du Riisque Strategie de Traitement Actions Specifiques Indisponibilité équipe ouvriers pendant 15 Jours Sep l usine réalise 12.MM Dhs /An 10% Kdhs Eviter; Notifier Dir. Supports/RH et le Dir Prod pour Intérimaires et Prévoir Congés étalés. Panne d une caméra de surveillance dont le MTBF est de Hrs ( approx 5Ans) acquise en % Accepter; Ne Rien Faire >> Fin de Cycle de Vie et Consulter pour remplacement Arrêt du serveur Exchange smtp.matis.ma pour lequel aucun Backup n existe. Le matériel est HP- ML350 G5. (MTBF= Hrs). La remise en service MTTR dure 2 Jours. 1% 2.M M Dhs Eviter; Prevoir Serveur de Courrier Redondant avec AST=99,999% Jaafar DEHBI -Consultant SI-TI -Pragmatic 19/03/ Consulting
32 Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la Le IT Risk management sous ISO 2700X ISO ISO ISO Cas Pratique Methodes MEHARI Approche Pragmatic Audit sous Cobit /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 32
33 ISO : Le RiskManagement ISO 31000: Famille de Normes de gestion des Risques Le but de la norme ISO 31000: fournir des principes et des lignes directrices du management des risques ainsi que ; les processus de mise en œuvre au niveau stratégique et opérationnel. Hors de Portée : Promouvoir l'uniformisation du management du risque au sein des organismes, mais plutôt à harmoniser l ensemble des approches, de standards et de méthodologies existantes en matière de management des risques. Actuellement, la famille ISO comprend: ISO 31000:2009 Management du risque Principes et lignes directrices ISO/IEC 31010: Gestion des risques - Techniques d'évaluation des risques ISO Guide 73: Management du risque Vocabulaire 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 33
34 Les prévisions et l optimisation sont parfois complexes Allez y! Ca ne loupe pas à tous les coups! 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 34
35 Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la Le IT Risk management sous ISO 2700X ISO ISO ISO Cas Pratique Methodes MEHARI Approche Pragmatic Audit sous Cobit /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 35
36 La Famille ISO 2700X 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne
37 La famille ISO /03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne
38 27001 en PDCA 1. Plan : consiste à planifier les actions que l entreprise va entreprendre en termes de sécurité 2. Do : l entreprise réalise ce qu elle a planifié dans ce domaine 3. Check : l entreprise vérifie qu il n existe pas d écart entre ce qu elle a dit et ce qu elle a fait 4. Act: consiste à entreprendre des actions correctives pour les écarts qui ont été constatés précédemment La norme comporte 9 chapitres dont 5 (les chapitres 4 à 8) doivent obligatoirement être respectés pour répondre à cette norme et obtenir une certification. Le chapitre 4 est au coeurde la norme et est divisé en plusieurs parties correspondant aux 4 phases du PDCA. Il détermine la mise en place du SMSI, son implémentation et son exploitation, le contrôle du SMSI et; son amélioration. Le chapitre 5 définit les engagements et responsabilités de la direction, le chapitre 6 développe les questions d audits internes du SMSI tandis que; les 7e et 8e précisent respectivement le réexamen du SMSI par la direction et son amélioration. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 38
39 ISO 2700x : Fondements de la Securite Informatique 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 39
40 ISO & Le SMSI 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 40
41 ISO 2700x. Et le SMSI Fut. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 41
42 ISO /03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne
43 ISO /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 43
44 Genesede l ISO /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 44
45 Le RISK Management :Un AutrePDCA 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 45
46 Risk Management & 2700x /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 46
47 Risk Management & 2700x /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 47
48 Risk Management..ISO /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 48
49 EtablissementduContexteVs PDCA 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 49
50 27005 : Definition de Contexte 1. Définir ses critères de base (7.2) 2. Définir le champ et les limites du processus de gestion du risque (7.3) 3. Décrire l'environnement du processus de gestion du risque(7.3) 4. Décrire l'objet du processus de gestion du risque (7.3) 5. Organiser et gouverner la gestion du risque (7.4) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 50
51 Appreciation durisk (1) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 51
52 Appreciation durisk(2) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 52
53 Appreciation durisk 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 53
54 Analyse de Risk 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 54
55 Les Actifs Identification et évaluation des actifs ( ): Actifs non-identifiés à l'issue de cette activité ne seront pas classés >>> Même compromis Propriétaire de l'actif :responsable et redevable pour cet actif ( ) Production, développement, maintenance, usage, sécurité,... Pas au sens droit de propriété 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 55
56 Les Menaces Identification des menaces ( ): En priorité les menaces d'origine accidentelles et délibérées; De manière générique et par type: Compromission de l'information, pannes techniques, actions non autorisées Source Qui et quoi cause la menace Cible Quels éléments du système peuvent être affectés par la menace 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 56
57 Les Vulnerabilites Identification des vulnérabilités ( ) : Vulnérabilités généralement reliées aux propriétés ou attributs des actifs Vulnérabilités sans aucune menaces doivent être quand même reconnues et suivies en cas de changement plus tard 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 57
58 Les Consequences Identification des conséquences ( ) ou des effets induits : Identification des dommages ou des impacts sur l'organisme; Causé par une menace exploitant une vulnérabilité Lors d'un incident de sécurité (cfiso ) Impact mesuré selon les critères d'impact: Peut affecter un ou plusieurs actifs Identification des conséquences opérationelles 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 58
59 Le code des bonne pratiques ISO /03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne
60 ISO La normeiso/cei 27002: ISO -Publiée en remplacement de BS17799; standard étant obsolète depuis 2005; Relative aux Bonnes pratiques pour la gestion de la sécurité de l'information. L'ISO/CEI : 15 Chapitres dont: 4 pour l introduction et l organisation de la Norme; 11 chapitres pour le Management de la securite; Un ensemble de 133 mesures dites «best practices», destinées à être utilisées par tous ceux qui sont responsables de la mise; La sécurité de l'information y est définie comme la «préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information». Cette norme n'a pas de caractère obligatoire pour les entreprises; Elle n est pas certifiablepour les organismes contrairement a 27001; 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 60
61 ISO /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 61
62 ISO 27002: les 4 Premiers Chapitres Chapitre n 1: Champ d'application : Recommandations pour la gestion de la sécurité des informations; Chapitre n 2: Termes et définitions: Sécurité de l'information est explicitement définie comme la préservation de la confidentialité, l intégrité et la disponibilité de l'information. Chapitre n 3: Structure de la norme: Mise en évidence des objectifs de contrôle Chapitre n 4: Évaluation des risques et de traitement : Directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 62
63 La norme ISO : Chap5 a Chap15 Les 11 chapitres de la norme ISO /03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne
64 Chapitre n 5: Politique de sécurité de l'information: la nécessité pour l organisme de disposer d une politique de sécurité de l information et de la réexaminer régulièrement. Chapitre n 6: Organisation de sécurité de l'information : Il décrit les mesures nécessaires pour l établissement d un cadre de gestion de la sécurité en interne et traite de tous les aspects contractuels lies a la sécurisation de l accespar des tiers (clients, sous-traitants, ) au système d information. Chapitre n 7: Gestion des actifs : Importance d inventorier et de classifier les actifs de l organisme afin de maintenir un niveau de protection adapte. Chapitre n 8: Sécurité liée aux ressources humaines Il donne les recommandations destinées a réduire le risque d erreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs; 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 64
65 Chapitre n 9: Sécurités physiques et environnementales : les mesures pour protegerles locaux de l organisme contre les accesnon autorises et les menaces exterieureset environnementales ainsi que protegerles materiels(emplacement, maintenance, alimentation electrique ). Chapitre n 10: Exploitation et gestion des communications : les mesures permettant : d assurer une exploitation correcte et sécurisée des moyens de traitement de l information ; de gérer les prestations de service assurées par des tiers ; de réduire les risques de panne ; de protéger l integrite des informations et des logiciels ; de maintenir l integrite, la confidentialiteet la disponibilitedes informations et des moyens de traitement de l information ; d assurer la protection des informations sur les reseauxet la protection de l infrastructure ; De maintenir la securitedes informations et des logiciels echangesau sein de l organisme et avec une entite exterieure; et enfin de détecter les traitements non autorises de l information. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 65
66 Chapitre n 11: Contrôle d'accès : mesures pour gereret controlerles acceslogiques aux informations, pour assurer la protection des systemesen reseau, et pour detecterles activitesnon autorisees. Ce themecouvre aussi la securitede l information lors de l utilisation d appareils informatiques mobiles et d equipements de teletravail. Chapitre n 12: Acquisition, développement et maintenance des systèmes d'informations : mesures pour veiller a ce que la securitefasse partie integrantedes systemesd information. Ce themetraite aussi des mesures visant a prevenirla perte, la modification ou la mauvaise utilisation des informations dans les systemesd'exploitation et les logiciels d'application et enfin a protegerla confidentialite, l authenticite ou l integrite de l information par des moyens cryptographiques. Chapitre n 13: Gestion des incidents: Necessitede mettre en place des procedurespour la detectionet le traitement des incidents de securite. Chapitre n 14: Gestion de la continuité d'activité.: Mesures pour la gestion d un plan de continuite de l activitevisant a reduirele plus possible l impact sur l organisme et a recupererles actifs informationnels perdus notamment a la suite de catastrophes naturelles, d accidents, de pannes de materiel et d actes deliberes. Chapitre n 15: Conformité Respect des lois et des reglementations ; Respect de la conformite des procedures en place au regard de la politique de securite Mesure de efficacitedes dispositifs de tracabiliteet de suivi des procedures, notamment les journaux d'activites, Audits et les enregistrements de transactions. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 66
67 Avantagesd utiliseriso Organisation : image positive auprès des actionnaires lorsque l'entreprise tend a maitriser ses risques pour maximiser ses profits Conformite: la norme insiste sur la necessited'identifier toutes les lois et reglementationss'appliquant a l'entreprise et la mise en oeuvrede processus adaptes pour identifier et suivre les obligations permet de prouver au moins la volontede conformiteet instancie effectivement la culture de veille et d amelioration constante; Gestion des risques : la norme insiste dans ses chapitres d introduction sur la necessitede realiserune analyse de risques periodiquementet definitdans les domaines politique de securite et organisation de la securite les pratiques a mettre en oeuvrepour gererles risques mis en lumierepar l analyse de risque.; d où Une meilleure connaissance des risques et donc une meilleure allocation des ressources permettant d ameliorer la fiabilite du systeme. Finances : elle permet de maitriser les couts induits par la getsiondu Risque SMSI; Enfin; elle permet d instancier la culture de l amelioration de la gouvernance du SMSI et d envisagerla certification ISO 27001; pour le sorganismesdesireuxde se faire certifier sous ISO 27001; 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 67
68 Politique de sécurité L objectif est, pour la Direction, de: o Exprimer formellement la stratégie de sécurité de la société o Communiquer clairement son appui à sa mise en œuvre. Un document exposant la politique de sécurité doit être approuvé Il doit être révisé et adapté périodiquement en prenant en compte l efficacité de ses mesures, le coût et l impact des contrôles sur l activité, les effets des évolutions technologiques. La sécurité est une responsabilité partagée par tous les membres de l équipe de direction. Un comité de direction multifonction doit être formé pour assurer un pilotage clair et une visibilité élevée de l engagement de la direction. Il définit les rôles et responsabilités, les méthodes et procédures, approuve et supporte les initiatives de communication internes.
69 Politique de sécurité Politique de sécurité de l'information o Objectif: Apporter à la sécurité de l information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur. Document de politique de sécurité de l information o Mesure: Un document de politique de sécurité de l information doit être approuvé par la direction, puis publié et diffusé auprès de l ensemble des salariés et des tiers concernés. Réexamen de la politique de sécurité de l information o Mesure: Pour garantir la pertinence, l adéquation et l efficacité de la politique de sécurité de l information, la politique doit être réexaminée à intervalles fixés préalablement ou en cas de changements majeurs.
70 Organisation de la sécurité de l information RSSI CSSI
71 Les acteurs de la SSI RSICP : Responsable sécurité informatique du Centre de profit CISI : Correspondant informatique du site La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions. Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques : - Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité. - Niveau de pilotage : il s agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation) Niveau opérationnel : il s agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.
72 Responsable de la Sécurité des Systèmes d Information (RSSI) Définition: «Le RSSI est le garant de la sécurité des systèmes d information de l entreprise. Ses domaines d action sont multiples mais ils répondent à un seul objectif : assurer l intégrité, la cohérence et la confidentialité des données de tous les systèmes d information de l entreprise.» Positionnement hiérarchique (ideal) : - rattaché directement à la Direction générale - dispose d un budget spécifique Pourquoi? - SSI = partie intégrante de la stratégie de l entreprise - La SSI doit venir de la volonté du sommet de l entreprise - La SSI exige une vision globale de l entreprise Missions Fonctions 72 - Bonne connaissance de l ensemble des métiers, ancienneté - Bonnes compétences techniques (système et réseau) - Sens avéré de la stratégie et de la communication - Analyse des risques. - Contrôle, audit. - Architecture, conception. - Veille technologique. - Sensibilisation, formation.
73 Organisation de la sécurité de l information Organisation interne Objectif: Gérer la sécurité de l information au sein de l organisme. Implication de la direction vis-à-vis de la sécurité de l'information Mesure: La direction doit soutenir activement la politique de sécurité au sein de l organisme au moyen de directives claires, d un engagement démontré, d attribution de fonctions explicites et d une reconnaissance des responsabilités liées à la sécurité de l information. Coordination de la sécurité de l'information Mesure: Les activités relatives à la sécurité de l information doivent être coordonnées par des intervenants ayant des fonctions et des rôles appropriés représentatifs des différentes parties de l organisme.
74 Organisation de la sécurité de l information Attribution des responsabilités en matière de sécurité de l information Mesure: Toutes les responsabilités en matière de sécurité de l information doivent être définies clairement. Système d autorisation concernant les moyens de traitement de l information Mesure: Un système de gestion des autorisations doit être défini et mis en œuvre pour chaque nouveau moyen de traitement de l information. Engagements de confidentialité Mesure: Les exigences en matière d engagements de confidentialité ou de non-divulgation, conformément aux besoins de l organisme, doivent être identifiées et réexaminées régulièrement.
75 Organisation de la sécurité de l information Relations avec les autorités Mesure: Des relations appropriées doivent être mises en place avec les autorités compétentes. Relations avec des groupes de spécialistes Mesure: Des contacts appropriés doivent être entretenus avec des groupes de spécialistes, des forums spécialisés dans la sécurité et des associations professionnelles. Réexamen indépendant de la sécurité de l information Mesure: Des réexamens réguliers et indépendants de l approche retenue par l organisme pour gérer et mettre en œuvre sa sécurité (c'est-à-dire le suivi des objectifs de sécurité, les politiques, les procédures et les processus relatifs à la sécurité de l information) doivent être effectués ; de tels réexamens sont également nécessaires lorsque des changements importants sont intervenus dans la mise en œuvre de la sécurité
MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détailL utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes
L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...
Plus en détailcurité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailL'AUDIT DES SYSTEMES D'INFORMATION
L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailPolitique de Sécurité des Systèmes d Information
Politique de Sécurité des Systèmes d Information Sommaire 1 PREAMBULE...3 2 CONTEXTE...4 3 ORIENTATION STRATEGIQUE...4 4 PERIMETRE...5 5 ENJEUX DE LA PSSI AU CONSEIL DE L EUROPE...6 6 LES BESOINS DE SECURITE...7
Plus en détailRéférentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Plus en détailGestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services
Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Jaafar DEHBI 2003 Acadys - all rights reserved Conception des services Buts et objectifs Concevoir les nouveaux
Plus en détailPolitique de sécurité de l information
5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des
Plus en détailC ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats
C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.
Plus en détailQu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Plus en détailLa politique de sécurité
La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,
Plus en détailCinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr>
Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue
Plus en détailJOURNÉE THÉMATIQUE SUR LES RISQUES
Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailGuide de bonnes pratiques de sécurisation du système d information des cliniques
Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détail1. La sécurité applicative
ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité
Plus en détailLIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS
LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.
Plus en détailLes principes de la sécurité
Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailCatalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4
Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à
Plus en détailPolitique de sécurité de l actif informationnel
TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité
Plus en détailForum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008
Forum Suisse pour le Droit de la Communication Université de Genève Séminaire du 28 novembre 2008 Devoirs et responsabilités des organes de sociétés en matière de sécurité informatique Wolfgang Straub
Plus en détailMise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information
Mise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information IMGT The international ImMunoGeneTics information system Joumana Jabado-Michaloud IE Bioinformatique,
Plus en détailI partie : diagnostic et proposition de solutions
Session 2011 BTS assistant de manager Cas Arméria: barème et corrigé Remarque: la 1 ère partie doit être cohérente avec les éléments déterminants du contexte décrit dans cet encadré, qui n est pas attendu
Plus en détailISO/CEI 27001:2005 ISMS -Information Security Management System
ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailStandard de contrôle de sécurité WLA
Standard de contrôle de sécurité WLA Standard de sécurité et d intégrité des activités de loterie et de jeu WLA-SCS:2012 Association mondiale des loteries (World Lottery Association) Édition Novembre 2014
Plus en détailGOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE
GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE RÉSUMÉ Depuis des années, les responsables de la sécurité de l information et les responsables opérationnels
Plus en détailRelease Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014
ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailSPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES
92038 PARIS LA DEFENSE CEDEX Page 1 / 11 SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 29/11/00 13 Indice
Plus en détails é c u r i t é Conférence animée par Christophe Blanchot
s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)
Plus en détailTremplins de la Qualité. Tome 2
Tome 2 CET OUVRAGE EST UN GUIDE D INTERPRETATION DE LA NORME NF EN ISO 9001 VERSION 2000 AVANTPROPOS Ce guide d aide à la rédaction du Manuel de Management de la Qualité a été rédigé par la Fédération
Plus en détailAppendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs
Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme
Plus en détailAudit interne. Audit interne
Définition de l'audit interne L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils
Plus en détailD ITIL à D ISO 20000, une démarche complémentaire
D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailCONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR
CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR Article 1. Objet Du Contrat : La société CapiTechnic a pour activité l ingénierie en méthodes et maintenance et plus particulièrement la location d un
Plus en détailSécuriser physiquement un poste de travail fixe ou portable
Sécuriser physiquement un poste de travail fixe ou portable D.Pagnier Table des matières 1 Règles et bonnes pratiques... 3 1.1 Protection des équipements... 3 1.2 Protection contre les risques électriques...
Plus en détailFiche conseil n 16 Audit
AUDIT 1. Ce qu exigent les référentiels Environnement ISO 14001 4.5.5 : Audit interne EMAS Article 3 : Participation à l'emas, 2.b Annexe I.-A.5.4 : Audit du système de management environnemental SST OHSAS
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailRisques liés aux systèmes informatiques et de télécommunications
Risques liés aux systèmes informatiques et de télécommunications (Juillet 1989) La vitesse de l innovation technologique liée aux ordinateurs et aux télécommunications, ces dernières années, et l intégration
Plus en détailCharte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet
Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une
Plus en détailNom-Projet MODELE PLAN DE MANAGEMENT DE PROJET
Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Glossaire La terminologie propre au projet, ainsi que les abréviations et sigles utilisés sont définis dans le Glossaire. Approbation Décision formelle, donnée
Plus en détailBrève étude de la norme ISO/IEC 27003
RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr
Plus en détailSécurité informatique : règles et pratiques
Sécurité informatique : règles et pratiques Dominique PRESENT I.U.T. de Marne la Vallée Construire une politique de sécurité : 12 thèmes Règles et pratiques : premières procédures à mettre en place basées
Plus en détailQuels échanges et pourquoi? Pour faire évoluer dans le temps vers quelle structure de pilotage?
La GMAO et la GTB Les outils de pilotage et de diagnostic de la maintenance, de l exploitation des installations techniques Quels échanges et pourquoi? Pour faire évoluer dans le temps vers quelle structure
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailCircuit du médicament informatisé
Circuit du médicament informatisé Points de vigilance axe technique SOMMAIRE... 1 FICHE N 1- DISPONIBILITE ET PERFORMANCE... 2 FICHE N 2- ENVIRONNEMENT DE TEST... 4 FICHE N 3- VERSIONNING... 5 FICHE N
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailGénie Logiciel LA QUALITE 1/5 LA QUALITE 3/5 LA QUALITE 2/5 LA QUALITE 4/5 LA QUALITE 5/5
Noël NOVELLI ; Université d Aix-Marseille; LIF et Département d Informatique Case 901 ; 163 avenue de Luminy 13 288 MARSEILLE cedex 9 Génie Logiciel LA QUALITE 1/5 La gestion de la qualité Enjeux de la
Plus en détailComprendre ITIL 2011
Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Table des matières Table des matières 1 Les exemples à télécharger sont disponibles à l'adresse
Plus en détailP s a sep e o p r o t S e S r e vi v ce c s Fabrice Dubost
Passeport Services Fabrice Dubost 2.6 Gestion des Mises en Production ITIL, Soutien des services Entreprise, Clients et Utilisateurs Outil de Supervision Dysfonctionnements Questions / Renseignements Incidents
Plus en détailITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)
Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.
Plus en détailITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)
Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.
Plus en détailRetour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder 25.05.2008
Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA James Linder 25.05.2008 1 Objectifs Pourquoi un plan de secours? Pour ne ne pas pas être être bloqué dans son son travail
Plus en détailBUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final
Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. BUREAU DU CONSEIL
Plus en détailNOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité
Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détailFAIRE FACE A UN SINISTRE INFORMATIQUE
FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation
Plus en détailExcellence. Technicité. Sagesse
2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailSystème de management H.A.C.C.P.
NM 08.0.002 Norme Marocaine 2003 Système de management H.A.C.C.P. Exigences Norme Marocaine homologuée par arrêté du Ministre de l'industrie, du Commerce et des Télécommunications N 386-03 du 21 Février
Plus en détailITIL V3. Transition des services : Principes et politiques
ITIL V3 Transition des services : Principes et politiques Création : janvier 2008 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détailCopyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
VOLET N 3 1 Politiques de sécurité et normes Définition d une politique cadre et des politiques ciblées de sécurité Exemples de politiques de sécurité Mise en œuvre des politiques de sécurité au sein de
Plus en détailISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)
ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) P 1 1 Définition de la sécurité de l'information L'information est une ressource qui,
Plus en détailRESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien
BANQUE DE LA REPUBLIQUE DU BURUNDI SERVICE SUPERVISION DES ETABLISSEMENTS BANCAIRES ET STABILITE FINANCIERE INSTITUTION: DATE DE CONTROLE: SUPERVISEUR : PERSONNES INTERROGEES : RESUME DES CONCLUSIONS SUR
Plus en détailMise en place d une démarche qualité dans un système d information
Mise en place d une démarche qualité dans un système d information IMGT The international ImMunoGeneTics information system Laëtitia Regnier, IE Bioinformatique, Responsable Management de la Qualité (RMQ).
Plus en détailConditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011
Conditions Particulières de Maintenance Ref : Table des matières 1 CONDITIONS PARTICULIÈRES APPLICABLES AUX CONTRATS DE MAINTENANCE...2 1.1 Préambule...2 1.2 Obligations d'atreal et services rendus...2
Plus en détail2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3
VERSION V0.3 Guide Pratique Règles de sauvegarde des Systèmes d Information de Santé (SIS) Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Juillet 2014 MINISTÈRE DES AFFAIRES
Plus en détailMontrer que la gestion des risques en sécurité de l information est liée au métier
Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme
Plus en détailLa sécurité informatique
La sécurité informatique SOMMAIRE 1. Présentation générale a. La SARL Invesys b. Pourquoi la sécurité informatique? c. Qu est-ce qu un audit de sécurité? 2. Espionnage industriel a. Définition b. Enjeux
Plus en détailRÈGLES DE CERTIFICATION D ENTREPRISE
RÈGLES DE CERTIFICATION D ENTREPRISE Fabrication et transformation de matériaux et d emballages destinés au contact des aliments : respect des règles d hygiène (méthode HACCP) Réf. Rédacteur LNE PP/GLB
Plus en détailPolitique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ
PC Gestion des certificats émis par l AC Notaires Format RFC 3647 Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PC Notaires Référence du
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA
1 APPEL D OFFRES ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA JUILLET 2013 2 1. OBJET DE L APPEL D OFFRE Réalisation d un accompagnement
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailPolitique et Standards Santé, Sécurité et Environnement
Politique et Standards Santé, Sécurité et Environnement Depuis la création de Syngenta en 2000, nous avons accordé la plus haute importance à la santé, à la sécurité et à l environnement (SSE) ainsi qu
Plus en détailREALISATION DES PRESTATIONS
Manuel de management de la qualité Chapitre 4 : REALISATION DES PRESTATIONS Approuvé par Guy MAZUREK Le 1/10/2014 Visa Page 2 / 13 SOMMAIRE 1 PROCESSUS GENERAL DE REALISATION D'UNE AFFAIRE... 4 2 LA PROSPECTION...
Plus en détailÉtat Réalisé En cours Planifié
1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture
Plus en détailREGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552
REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552 Date d application : 4 février 2013 DOC-PC 024 version 02 1/13 SOMMAIRE PAGES 1 OBJET 3 2 TERMINOLOGIE 3 et 4 3 DOCUMENTS DE REFERENCE
Plus en détailPOLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES
1. INTRODUCTION Le Code civil prévoit des dispositions qui imposent aux employés des obligations en matière de loyauté et de protection des informations à caractère confidentiel : Art. 2088. Le salarié,
Plus en détailRapport d'audit étape 2
Rapport d'audit étape 2 Numéro d'affaire: Nom de l'organisme : CMA 76 Type d'audit : audit de renouvellement Remarques sur l'audit Normes de référence : Autres documents ISO 9001 : 2008 Documents du système
Plus en détailCabinet d Expertise en Sécurité des Systèmes d Information
Cabinet d Expertise en Sécurité des Systèmes d Information 2012 Introduction 21 ans d expérience professionnelle, dans l informatique puis dans les TIC. Plus précisément en matière de Sécurité des Réseaux
Plus en détailPourquoi OneSolutions a choisi SyselCloud
Pourquoi OneSolutions a choisi SyselCloud Créée en 1995, Syselcom est une société suisse à capitaux suisses. Syselcom est spécialisée dans les domaines de la conception, l intégration, l exploitation et
Plus en détailITIL Examen Fondation
ITIL Examen Fondation Échantillon d examen B, version 5.1 Choix multiples Instructions 1. Essayez de répondre aux 40 questions. 2. Vos réponses doivent être inscrites sur la grille de réponses fournie.
Plus en détailREGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière
Plus en détailGroupe Eyrolles, 2006, ISBN : 2-212-11734-5
Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Chapitre 6 La gestion des incidents Quelles que soient la qualité du système d information mis en place dans l entreprise ou les compétences des techniciens
Plus en détailConditions d usage du service. «MS Dynamics CRM On Demand» V1.4
Conditions d usage du service «MS Dynamics CRM On Demand» V1.4 I. PREAMBULE La société PRODWARE est spécialisée dans l installation, l'évolution et la maintenance de solutions informatiques. Dans ce cadre,
Plus en détailITIL V2 Processus : La Gestion des Configurations
ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service
Plus en détailHEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification
Les référentiels SMI, normes, processus de certification 1 Définitions selon le Guide ISO/IEC 2:2004 Norme Document, établi par consensus et approuve par un organisme reconnu, qui fournit, pour des usages
Plus en détail