Créer de la valeur commerciale grâce à une sécurité efficace et généralisée pour le nuage et grâce aux Services de déploiement de nuage

Dimension: px
Commencer à balayer dès la page:

Download "Créer de la valeur commerciale grâce à une sécurité efficace et généralisée pour le nuage et grâce aux Services de déploiement de nuage"

Transcription

1 Créer de la valeur commerciale grâce à une sécurité efficace et généralisée pour le nuage et grâce aux Services de déploiement de nuage Gestion de la gouvernance, des risques et de la conformité pour assurer la sécurité des informations dans le nuage Introduction Aujourd'hui, les entreprises sont poussées, par des facteurs économiques et par le secteur, à adopter de nouveaux modèles de TI tels que l'informatique en nuage. Ainsi, le taux d'adoption de l'informatique en nuage augmente. Selon certains analystes, 30 à 50 % des services des TI seront transférés sur le nuage au cours des dix prochaines années. Parfois nommée informatique virtuelle ou informatique en nuage, un système infonuagique extrait les services et ressources TI de leur infrastructure et les regroupe de manière économique pour les fournir à la demande et de manière évolutive dans un environnement infonuagique élastique, multilocataire et partagé. L'informatique en nuage aide les entreprises à réduire les coûts associés aux infrastructures (y compris les infrastructures de sécurité) et à optimiser les dépenses d'investissement et les frais d'exploitation. Il facilite également la gestion des infrastructures multilocataires tout en alignant et optimisant les processus internes. En plus de sécuriser l'expérience utilisateur, l'informatique en nuage permet de mettre en place rapidement des accords de niveau de service pour les applications, et de satisfaire aux demandes de provisionnement rapide de services et de services associés à des processus de rétrofacturation. Cependant, dans une étude publiée en 2010 par ISACA sur les problématiques de sécurité de l'infonuagique, seuls 17 % des personnes interrogées pensaient que les bénéfices de l'infonuagique l'emportaient sur les risques. Une des sources d'inquiétude pour les services des TI est un aspect qui rend l'informatique en nuage si économique : le fait de partager le nuage avec d'autres locataires. De nombreux chefs d'entreprise et fournisseurs de services voient le nuage multilocataire et ses locataires comme des points d'entrée potentiels pour des virus et des programmes malveillants et des zones de piratage de trafic, de service ou de compte. Lorsqu'une entreprise rassemble plusieurs services dans le cadre d'une fusion ou migre les opérations vers un environnement partagé, des risques peuvent survenir si les utilisateurs, les données, les politiques et les procédures ne sont pas isolés. D'autres éléments préoccupent les entreprises : la fuite et la perte de données, la continuité des activités et la reprise sur sinistre, la gestion des accords de niveau de service et l'environnement de sécurité Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 1

2 «Les contrôles de sécurité pour l'informatique en nuage ne sont pour la plupart pas vraiment différents des contrôles de sécurité de n'importe quel autre environnement des TI. Cependant, en raison des modèles de service infonuagique utilisés, des modèles opérationnels et des technologies mises en place pour déployer les services infonuagiques, l'informatique en nuage peut présenter des risques différents de ceux rencontrés dans un environnement de TI classique.» Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 (Conseils en matière de sécurité sur des points spécifiques à l'informatique en nuage, version 2.1) Cloud Security Alliance, 2009 Les gestionnaires de risques des entreprises et les investisseurs ont des préoccupations similaires : démontrer la conformité réglementaire, développer une stratégie pour aligner les besoins des TI et commerciaux, et éviter les incidents de sécurité pendant la période de transfert vers le nuage. (voir figure 1). Bien que préoccupés par les risques, les entreprises et les investisseurs savent bien que, s'ils ne prennent pas de risques contrôlés, la valeur commerciale générée sera faible. Figure 1. Hiérarchisation des opérations de gestion des risques TI Alignement des besoins des TI et des objectifs commerciaux Comme démontré par l'étude menée par ISACA, le développement d'une stratégie d'alignement des besoins des TI et des objectifs commerciaux doit être une priorité lors de la gestion des risques de l'infonuagique. Lorsqu'une entreprise recherche des infrastructures en nuage et un modèle de déploiement spécifiquement adaptés à ses besoins, elle se rend rapidement compte de l'importance d'un programme de sécurité aligné sur l'architecture du nuage. Les exigences de sécurité concernées portent sur : les politiques stratégiques et opérationnelles, les plans de gestion et d'évaluation des risques, les contrôles organisationnels et techniques et les indicateurs permettant de jauger l'efficacité du programme de sécurité. Que vous utilisiez une infrastructure physique ou virtualisée, pour gérer efficacement la sécurité vous devez disposer d'un portefeuille interdépendant de politiques de sécurité, d'investissements et de contrôles : GRC pour les TI. L'expression Conformité, gestion des risques et gouvernance des TI (GRC pour les TI) est un concept technique qui englobe la gestion totale des technologies de l'information (et de leur sécurité) et qui permet aux entreprises d'atteindre leurs objectifs commerciaux. Pour l'informatique en nuage, un programme GRC pour les TI peut représenter un cadre efficace lors de la conception d'architectures de sécurité robustes qui protègent et promeuvent la valeur commerciale du nuage. La gouvernance est la gestion de la sécurité des TI grâce à une stratégie, plutôt que par l'intermédiaire de plusieurs composants et technologies. Ainsi, la sécurité est traitée comme un processus commercial : les besoins technologiques sont adaptés aux besoins commerciaux et l'efficacité du portefeuille de ressources et d'investissements de sécurité est surveillée. La gestion des risques consiste à déterminer la probabilité et l'ampleur d'événements indésirables et incertains, puis à utiliser les données récoltées pour prendre des décisions éclairées. La question n'est pas de savoir si l'adoption du nuage est risquée (toute adoption technologique l'est), mais où se trouvent les risques, quelle est leur nature, et comment réduire les pertes et maximiser les avantages du nuage Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 2

3 La conformité est le fait pour une entreprise de respecter les exigences, qu'elles viennent des administrations publiques, du secteur, d'un contrat ou de politiques internes. Aujourd'hui, les environnements de TI sont constamment examinés et surveillés. Le fait de devoir prouver leurs efforts aux auditeurs, à leurs partenaires et à leurs clients est un des facteurs majeurs les poussant à améliorer la sécurité. Voici quelques questions de base que les entreprises peuvent se poser pour évaluer leur stratégie de sécurité : Quelle est notre stratégie infonuagique? Quel type/modèle de nuage souhaitons-nous mettre en place? Comment le nuage pourrait-il nous avantager? Quels sont les risques introduits par notre stratégie infonuagique? Quels sont les risques commerciaux (y compris ceux associés au fait de ne pas adopter l'informatique en nuage)? Quels sont les risques en matière de sécurité? Quelles ressources et données pourront être prises en charge sur le nuage? Parmi elles, lesquelles sont protégées par une loi, une réglementation, un contrat ou une politique? Comment devons-nous adapter nos programmes de sécurité et de conformité actuels pour prendre en compte les risques de sécurité liés au nuage? Quels contrôles, politiques, architectures et technologies devons-nous créer, ajouter ou modifier? Dans le cadre d'une stratégie de gouvernance, gestion des risques et conformité de nuage, les réponses à ces questions vous aideront à développer un Système de gestion de la sécurité de l'information (ISMS) pour votre architecture infonuagique. Le concept ISMS est tiré de la norme internationale ISO/IEC relative à la sécurité des informations. Il permet d'améliorer et de gérer la sécurité de manière minutieuse. Un ISMS de nuage comprend des politiques, des processus, des opérations d'évaluation et de prise en charge des risques, des contrôles de sécurité et des indicateurs permettant d'évaluer l'efficacité du système. Un tel système doit devenir l'un des éléments clés de votre stratégie infonuagique et du plan de votre architecture technologique. Conception d'un système de gestion de la sécurité de l'information pour le nuage Pour beaucoup d'entreprises, le nuage a mis la gestion de la sécurité des informations au centre des préoccupations. Cependant, pour les entreprises peinant à définir et structurer leurs stratégies de sécurité et attachées aux solutions des TI classiques, la sécurisation d'une architecture infonuagique peut paraître impossible. De nombreuses entreprises ne disposent pas d'un bon ISMS et éprouvent des difficultés à mettre en place la gouvernance, la gestion des risques et la conformité nécessaires à une sécurité des TI efficace. La conception d'un ISMS est une tâche complexe. Les programmes de sécurité sont de grande envergure. Ils couvrent les politiques de sécurité des informations, la sécurité de l'entreprise, la classification et le contrôle des ressources, la sécurité du personnel, la protection physique, la sécurité de l'environnement, les communications, les opérations, les contrôles d'accès, la maintenance et le développement des systèmes, et la conformité. Souvent, les entreprises disposent de plusieurs systèmes de gestion de la sécurité des informations, conçus au fil de temps et de contrôles de sécurité définis au coup par coup. Souvent, ces systèmes ont des lacunes : ils ne couvrent pas toutes les ressources, ne disposent pas de plan pour la continuité des opérations, ne prennent pas en charge la sécurité physique et n'alignent pas les contrôles sur les ressources humaines. Actuellement, il n'existe pas de norme ou de cadre de conformité spécifique à la sécurité du nuage. Cependant, certaines entreprises ont commencé à développer des meilleures pratiques. D'autres ont décidé d'appliquer les normes de sécurité existantes au nuage, considéré comme une extension de leur environnement de TI. La norme internationale sur la gestion de la sécurité des informations, ISO/IEC 27001, peut également s'appliquer au nuage. Les entreprises peuvent obtenir une certification ISO/IEC pour prouver de manière objective l'efficacité de leur système ISMS. En effet, cette norme est une vérification objective permettant aux entreprises de démontrer à leurs auditeurs, partenaires et clients qu'ils prennent la sécurité au sérieux Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 3

4 Bien que la norme ISO/IEC ne soit pas le seul cadre de gouvernance de sécurité, elle est réputée au niveau international et fournit ainsi une crédibilité supplémentaire. Elle définit le fonctionnement d'un ISMS efficace permettant la planification, la mise en œuvre, la gestion et l'amélioration continue des opérations de sécurité des informations. Basé sur la gestion des risques et sur des indicateurs, un ISMS conforme à la norme ISO/IEC protège les utilisateurs, les ressources et les données d'une entreprise. La norme ISO/IEC définit un système de gestion des processus et un ensemble complet de contrôles de sécurité des TI concernant divers domaines et objectifs. Les contrôles opérationnels compris dans la norme ISO/IEC sont décrits en détail dans la norme ISO/IEC 27002, qui contient également des conseils pour leur la mise en œuvre. Ces deux normes font partie de l'ensemble ISO/ IEC qui rassemble les pratiques de sécurité des informations. La définition, la structure et les contrôles pour les ISMS compris dans la norme ISO/IEC sont applicables aux environnements infonuagiques et permettent aux entreprises de formuler des objectifs stratégiques, d'évaluer les risques, de mettre en place des contrôles et de mesurer leur efficacité d'une manière systématique et souvent transformationnelle. L'obtention d'une certification ISO/IEC officielle demande un investissement intensif sur le long terme. C'est pourquoi de nombreuses entreprises décident de certifier uniquement les composants critiques ou ceux demandant une vérification de sécurité objective. Ces dernières adoptent généralement les principes de la norme en tant que meilleures pratiques pour guider leurs opérations de sécurité. Lors du déploiement d'un environnement infonuagique, il peut être très avantageux de créer un ISMS basé sur la norme ISO/IEC pour gérer la sécurité et les risques. Certaines applications infonuagiques critiques peuvent faire l'objet d'audits officiels et de certification basés sur cette norme. Implémentation de votre programme de gouvernance, de gestion des risques et de conformité pour le nuage Bien que la norme ISO/IEC soit un très bon cadre pour la gestion de la sécurité des informations, la gouvernance d'un nuage ne doit pas uniquement couvrir les failles et les menaces de sécurité. Elle doit également prendre en compte la valeur commerciale que la sécurité apporte à l'environnement, y compris à quel point les opérations infonuagiques sécurisées contribuent à la profitabilité des prestations de service, à la génération de revenus, à la productivité interne et à l'image de l'entreprise. Ces aspects du nuage doivent être gérés et évalués dans le cadre d'un portefeuille de sécurité correspondant étroitement aux autres objectifs et investissements commerciaux. L'évaluation des risques commerciaux et de sécurité dans le nuage est une tâche complexe. Tout d'abord, car les risques liés aux technologies infonuagiques et à leur déploiement sont nouveaux, et ensuite, car les techniques d'évaluation du secteur de la sécurité des TI ne se sont pas améliorées au cours des vingt dernières années; elles sont restées au stade de cartes de chaleur simples et de formules de base de prévisions des pertes. L'informatique en nuage, tout comme les infrastructures de TI classiques récentes, nécessite des processus de gestion des risques bien plus évolués. En outre, les environnements infonuagiques multilocataires contiennent de nombreuses ressources et informations utilisateur pouvant être uniques, et doivent respecter des exigences de conformité réglementaires, propres au secteur, légales et interdépendantes. Le nombre et la complexité de ces exigences rendent difficile leur la mise en œuvre dans les centres de données et dans le nuage. En tant qu'environnement multilocataire, le nuage nécessite des politiques, processus et contrôles adaptés aux exigences en matière de gouvernance et de conformité de tous les locataires. Les fournisseurs de nuages doivent donc identifier et traiter le nombre potentiellement important d'exigences de protection personnalisées, dont voici quelques exemples : La loi FISMA (Federal Information Security Management Act, loi sur la gestion de la sécurité des informations) La loi HIPAA (Health Insurance Portability and Accountability Act, loi portant entre autres sur la protection des données médicales) Les lois régionales et locales sur la notification des violations de données 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 4

5 La loi SOX (Sarbanes-Oxley Act) La directive européenne sur la confidentialité des données La norme PCI DSS (Payment Card Industry Data Security Standard, norme sur la sécurité des données pour les industries de carte de paiement) Les normes ISO/IEC CoBIT (Control Objectives for Information and related Technology, Objectifs de contrôle de l'information et des technologies associées) ITIL (Information Technology Infrastructure Library, Bibliothèque pour l'infrastructure des technologies de l'information) La norme d'audit SAS (Statement on Auditing Standards) No. 70 À qui revient la responsabilité de la protection des données au sein d'un environnement infonuagique? Aujourd'hui, cela n'est pas clairement défini. Cependant, les entreprises devraient être prêtes à démontrer qu'elles protègent leurs données pour éviter d'avoir à faire face à des problèmes juridiques ou de renvoyer une mauvaise image. En comprenant ce qui est permis ou interdit par une réglementation et en sachant quels contrôles et processus sont concernés, les entreprises peuvent traiter la conformité sur tous les plans : des contrats avec les fournisseurs de service, aux réponses aux incidents, en passant par les processus de reprise sur sinistre. Comme le montrent les incidents récents très médiatisés, la garantie de conformité sur papier délivrée suite à un audit ne garantit pas nécessairement une sécurité opérationnelle. Les entreprises seront d'autant plus examinées si des problèmes de sécurité se produisent dans des systèmes présentés comme correctement gérés et protégés. La mise en place d'un programme GRC pour les TI peut apporter d'importants bénéfices à une entreprise. Le rapport annuel de l'organisme IT Policy Compliance Group a démontré que les programmes GRC pour les TI généraient d'importants profits commerciaux : Augmentation de 17 % du chiffre d'affaires Augmentation de 14 % des profits Réduction de 50 % des coûts associés aux audits Réduction de 96 % des frais associés à la perte de données client Réduction significative du nombre d'interruptions des opérations Augmentation de 18 % de la fidélisation des clients Les Services de nuage Cisco vous aident à aborder la sécurité comme s'il s'agissait d'un processus commercial : développement de stratégies de gestion et de gouvernance, évaluation des risques, respect des réglementations pour les audits et au niveau opérationnel, et mesure de l'efficacité du programme de sécurité. Ces services sont là pour vous aider à faire face à vos défis liés à la sécurité du nuage. De la prise en charge de la gouvernance et de la conformité à l'évaluation des risques et des coûts, en passant par les tests techniques des architectures de sécurité réseau, les experts Cisco peuvent vous aider à : définir une stratégie de sécurité infonuagique solide alignée sur les objectifs commerciaux, concevoir un système ISMS efficace vous permettant de planifier, de mettre en place et d'améliorer la sécurité du nuage, évaluer les risques de manière minutieuse (analyse de scénario et approche probabiliste des risques pour la sécurité infonuagique et les risques commerciaux), créer un cadre de contrôle commun (agrémenté du Cadre de contrôle de sécurité Cisco) afin d'identifier les contrôles requis par différentes réglementations et de les réunir au sein d'un cadre de contrôle unique. Une approche similaire a été recommandée par Cloud Security Alliance. (voir figure 2) 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 5

6 Figure 2. Mapping the nuage Model to the Security Control and Compliance Model (Adapter le modèle de nuage au modèle de conformité et de contrôle de sécurité), Cloud Security Alliance, 2009 Source : Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 (Conseils en matière de sécurité sur des points spécifiques à l'informatique en nuage, version 2.1) Cloud Security Alliance, 2009 Évaluation des exigences en matière de sécurité applicables à votre centre de données et au nuage Étant donné que les problématiques de sécurité sont propres à chaque entreprise, les Services de nuage Cisco commencent par une analyse stratégique de la sécurité du nuage. Cela aide les entreprises à : résoudre les problèmes de sécurité liés au nuage multilocataire lors du rassemblement au sein du nuage d'activités auparavant isolées, gérer et contrôler la sécurité des données lorsqu'elles sont transférées dans le nuage à travers diverses ressources réseaux, informatiques et de stockage, évaluer si la sécurité d'une application, de données ou d'un service est adaptée au nuage et identifier les fournisseurs pouvant respecter les exigences de l'entreprise en matière de sécurité. Dans le secteur public, les Services Cisco permettent de respecter les exigences en matière de sécurité : contrôler et protéger les données par un accès basé sur les rôles et d'autres contrôles; garantir la conformité aux audits et autres tests; isoler les données de prestation de services et de processus; conserver une visibilité sur l'infrastructure dans les environnements infonuagiques multilocataires malgré l'abstraction. Les Services Cisco permettent aux fournisseurs de service d'offrir des contrôles de sécurité dans le nuage identiques à ceux de l'entreprise, notamment des contrôles de sécurité à la demande pour les utilisateurs. Ils permettent d'isoler les données, de sécuriser les processus et les prestations de service et de conserver une visibilité sur l'infrastructure dans les environnements nuage multilocataires malgré l'abstraction. (voir figure 3) 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 6

7 Figure 3. Approche de Cisco en matière de sécurité infonuagique Évaluation de la sécurité et de l'architecture technologique Les Services de nuage Cisco se basent sur une évaluation de la stratégie et des risques de votre architecture actuelle (réseau, stockage et informatique), de vos applications et services, et de votre processus de migration vers le nuage. Ces évaluations permettent de recueillir des informations sur : les offres de service ayant un impact sur les décisions relatives à la technologie et à l'architecture de sécurité, la sécurité de bout en bout, l'informatique et la virtualisation des serveurs, le stockage, le réseau (couches 2 et 3), les services réseau (couches 4 à 7), le raccordement du centre de données, la modélisation de l'évolutivité. Cisco offre plusieurs fonctionnalités GRC pour les TI pour vous aider à créer et à déployer l'architecture de votre nuage sur les plans stratégique, opérationnel et réglementaire. Cisco peut vous aider à créer une stratégie de sécurité pour le nuage alignée avec vos exigences commerciales. Une telle stratégie permet également de développer des modèles de risques spécifiques et d'évaluer les politiques et contrôles dans le cadre du Système de gestion de la sécurité de l'information (ISMS) du nuage afin d'apporter des informations stratégiques et de la valeur ajoutée au déploiement du nuage Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 7

8 Développement d'un cadre de contrôle de sécurité généralisé pour le nuage Cisco a également développé un cadre de contrôle de sécurité (SCF, Security Control Framework) pour aider les entreprises à structurer, à concevoir et à mettre en place des systèmes sécurisés. Le SCF Cisco présente deux bénéfices majeurs : Visibilité totale : afin de savoir quoi contrôler et de mesurer l'efficacité des contrôles, une entreprise doit disposer d'une visibilité totale sur les utilisateurs, les services et les ressources déployés sur chaque réseau. Contrôle actif : une entreprise doit pouvoir contrôler les communications, l'utilisation des ressources et les activités des utilisateurs, périphériques et services déployés sur chaque réseau. L'architecture de sécurité de votre nuage doit fournir une visibilité totale et permettre un contrôle actif. Dans le nuage, la visibilité est réduite en raison de l'abstraction et du partage. Une visibilité totale permet d'attribuer la confiance en fonction de l'identité et du niveau d'autorisation, et d'utiliser une surveillance continue et les corrélations d'événements pour identifier les activités et comportements malveillants. Un contrôle actif du nuage dote l'infrastructure d'une haute disponibilité et d'une résilience en cas de pannes du système. Un contrôle actif de l'isolation des données, de la prévention de la perte de données, des politiques de conservation des données, du provisionnement et des prestations de service contribue à la protection des utilisateurs et permet de respecter les accords sur les niveaux de service du nuage. La figure 4 illustre les points clés qui forment le cadre de sécurité de Cisco. Figure 4. Cadre de sécurité généralisé Cisco 2011 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 8

9 La visibilité totale comprend trois éléments. L'identité et la confiance représentent la capacité du système à identifier les entités qui accèdent à une ressource donnée (par exemple le trafic entrant d'un réseau), et à leur attribuer un niveau de confiance. Le niveau de confiance peut être établi en examinant les informations de connexion ou par d'autres moyens. Dans un réseau avec reconnaissance de l'identité, l'authentification par accès unique permet d'utiliser des contrôles basés sur les politiques de sécurité et de surveiller l'activité des utilisateurs connectés (que ce soit à l'intérieur ou à l'extérieur du pare-feu de l'entreprise), mais aussi les fichiers partagés, les bases de données et les applications système. Le niveau de confiance est défini à la suite de l'inspection des informations de connexion et des adresses IP. Les données sont sécurisées tout au long de leur cheminement dans le réseau. La surveillance permet de contrôler le comportement et l'utilisation du réseau, notamment des ressources, des systèmes connectés, des utilisateurs, des applications et du trafic IP. Il fournit les outils essentiels à la visibilité de la sécurité. Le fait que la surveillance et la gestion soient effectuées à partir d'un tableau de bord de sécurité unique et central permet de contrôler la configuration de la politique et fournit une visibilité en temps réel sur le réseau et les événements (ressources, systèmes connectés, utilisateurs, applications et trafic IP). La surveillance basée sur le comportement (détection des anomalies) et les technologies de détection basées sur les signatures sont essentielles pour détecter et déjouer les attaques. La corrélation consiste à interpréter, disséminer, analyser et classifier les données de visibilité afin qu'elles deviennent des informations opérationnelles utiles. Ceci est réalisé en examinant le contexte d'événements ou de modifications en apparence non liés. Pour la sécurité des opérations, cela fournit une base pour l'exécution des politiques et les contrôles d'isolation. La corrélation permet de transformer les données d'activité en informations utiles à l'aide du contexte des événements et des modifications. L'analyse continue des événements permet d'identifier rapidement les activités irrégulières et de faire correspondre des événements à des contrôles de politique. Le contrôle est composé de trois éléments : L'exécution consiste à imposer un comportement autorisé aux systèmes connectés, aux utilisateurs, aux applications et au trafic IP. L'exécution des politiques peut être statique (le contrôle est appliqué de manière permanente) ou dynamique (le contrôle est appliqué à un événement ou un incident de sécurité discret spécifique). Pour la communication entre les systèmes, le principe de séparation des privilèges s'applique. Cela signifie que les systèmes ne doivent être autorisés à communiquer que si la communication est nécessaire à l'exécution de leurs tâches. L'exécution des politiques est intégrée à l'infrastructure et permet l'application unifiée des meilleures pratiques sur l'ensemble de l'environnement. L'isolation consiste à placer certaines sections d'un réseau (ou d'un système) dans des zones de sécurité afin de contrôler (ou d'empêcher) l'accès d'une zone à l'autre et de limiter les possibilités d'atteintes à la sécurité. Cela permet de limiter l'effet des perturbations et leur impact sur les utilisateurs, les services et les systèmes. Ainsi, les locataires du nuage partagent les ressources de manière égale et les contrats de niveau de service sont respectés. En outre, il devient plus facile d'exécuter les politiques de manière homogène pour tous les utilisateurs, systèmes connectés, applications, trafic IP, terminaux et composants de mise en réseau. La résilience est ce qui permet à l'architecture de résister aux circonstances non contrôlées, mais aussi de s'adapter en conséquence et de récupérer. Pour réduire (ou durcir) les points vulnérables, il faut supprimer ou désactiver les éléments non essentiels : fonctionnalités, services, systèmes et composants de comptes. L'alignement de la surveillance (visibilité) et de la gestion (contrôle) des politiques de sécurité du nuage, notamment les politiques de conformité et de confidentialité, permet de créer une architecture de sécurité de nuage généralisée Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 9

10 Une sécurité généralisée s'applique uniformément, quel que soit l'emplacement des ressources réseau et des opérations. Pour le nuage, ce type de sécurité est mis en place sur l'ensemble de l'architecture. Il permet de garantir le respect des exigences techniques, commerciales et opérationnelles au sein de l'architecture pour le réseau, les services réseau, l'informatique, le stockage et les ressources de gestion. Étant donné que le nuage est un nouveau point d'entrée dans l'entreprise, son architecture de sécurité doit se trouver dans l'infrastructure réseau. Contrairement à une approche de la sécurité limitée au niveau périphériques ou au niveau applications, l'approche de Cisco englobe l'ensemble de l'architecture. La sécurité est intégrée à chaque niveau de l'architecture et tous les éléments de prestation de services en bénéficient. Ces fonctions fondamentales sont personnalisées en fonction de votre environnement et de vos mandats commerciaux. Migration sécurisée de vos applications vers le nuage Les risques et les problèmes de sécurité peuvent avoir un impact sur la transition entre le centre de données et la solution infonuagique. L'objectif de cette étape est de minimiser et d'éliminer ces risques de manière complète. Nous identifions les lacunes de l'architecture de votre centre de données (non nuagique) actuel qui doivent être comblées pour que la migration vers le nuage puisse se faire. Nous évaluons l'architecture de sécurité pour la mise à niveau d'un centre de données existant vers le nuage (friche) et pour un déploiement de nuage nouveau ou proposé (terrain vierge). Nous identifions également les ressources susceptibles d'être affectées par la transition programmée (données, applications, processus commerciaux, volumes de données et débits de transaction). Nous les évaluons ensuite au regard des risques de sécurité et de l'analyse des menaces. Nous examinons également des modèles de nuage potentiels et évaluons différents modèles de service infonuagique et fournisseurs de service au niveau de la sécurité. Nous étudions les modèles et les fournisseurs en fonction des éléments suivants : Contrôles de sécurité disponibles et techniques de limitation des risques (propriété, classification, gouvernance) Qualité de la découverte/de l'assignation en interne et en externe par une autre entité Contrôle de l'accès au chiffrement public et privé Dérivation, agrégation, intégrité Contrôles d'accès Chiffrement Contrôles et politiques concernant la conformité et les problématiques juridiques Politiques et procédure hors site et concernant les supports et la conservation des données Pour les flux de données entrant et sortant du nuage, nous mappons et évaluons les implications en matière de sécurité. Contrôles des technologies pour gérer l'architecture de sécurité du nuage Enfin, la gestion des technologies de l'architecture de sécurité du nuage exige la mise en place de contrôles des technologies. Ils permettent une sécurisation de bout en bout et protègent le système contre les infractions. L'évaluation des objectifs de votre entreprise, des exigences de croissance de l'architecture et des politiques de sécurité peut aider à identifier les problèmes de conformité et de sécurité, ainsi que les incidents antérieurs. Nous examinons et documentons les configurations, architectures, procédures et politiques de sécurité actuelles, et analysons les contrôles de sécurité effectués sur l'architecture du centre de données actuel. Les objectifs de ces opérations sont d'affiner les objectifs de contrôle de sécurité, d'identifier les contrôles manquants et d'évaluer les contrôles de surveillance et de création de rapports. Nous identifions les lacunes de sécurité de l'architecture actuelle et de l'architecture de nuage prévue, et tentons d'améliorer la sécurité générale en fournissant des recommandations détaillées pour la configuration des appareils Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 10

11 Conclusion En matière de sécurité, l'informatique en nuage présente à la fois des avantages et des risques. L'homogénéité du nuage facilite les tests/audits de sécurité, ce qui peut aider les entreprises à démontrer qu'elles respectent les exigences légales et réglementaires. Le nuage permet d'automatiser la gestion de la sécurité, ce qui aide à garantir l'application cohérente et vérifiable des contrôles et politiques de sécurité. De plus, il peut fournir des services économiques de reprise sur sinistre et de redondance par l'intermédiaire d'infrastructures infonuagiques virtualisées. Étant donné que les entreprises ont conçu leurs systèmes, leur informatique et leurs ressources de stockage avant ou pendant le développement d'internet, elles doivent évaluer la sécurité stratégique de leurs infrastructures, politiques, contrôles et gouvernance actuels afin de s'assurer que les nouvelles exigences légales et réglementaires sont respectées et de s'aligner sur la tendance du secteur : travailler en mode infonuagique. Nous conseillons aux entreprises qui souhaitent déployer un environnement infonuagique de créer un Système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO/ IEC pour gérer la sécurité et les risques pour l'entreprise et le nuage. Les Services Cisco de nuage comprenant le produit GRC pour les TI fournissent un cadre pour mettre en place une architecture de sécurité robuste. Ils aident à garantir la conformité réglementaire et légale du système, et protègent et promeuvent la valeur ajoutée du nuage. Cette approche peut générer d'importants bénéfices commerciaux, tels que la diminution des perturbations et une meilleure protection et confidentialité des données. Après avoir développé votre stratégie pour l'alignement des politiques, des contrôles et de la gouvernance avec les objectifs commerciaux, le cadre de contrôle de sécurité (SCF) de Cisco peut faciliter la structuration, la conception et la mise en œuvre de systèmes sécurisés. Le SCF de Cisco fournit une visibilité totale sur les utilisateurs, les services et les ressources, ainsi qu'un contrôle actif des communications, de l'utilisation des ressources, et de l'activité des utilisateurs, des appareils, des services et des ressources, y compris dans le nuage. Ainsi, que vous souhaitiez mettre en place une surveillance continue et une corrélation des événements pour détecter les activités malveillantes, ou un contrôle actif de l'isolation des données et de la ségrégation des utilisateurs du nuage, le SCF de Cisco vous apporte les garanties dont vous avez besoin pour utiliser votre nuage en toute sécurité. Selon l'étude State of Enterprise Security Survey Global Data (Étude sur l'état de la sécurité dans les entreprises - Données globales) publiées par Network World en février 2010, les experts en sécurité de nuage sont rares. Il est donc conseillé de choisir un partenaire qui pourra vous aider à mettre en place une infrastructure infonuagique sécurisée. Votre partenaire doit disposer d'une expérience dans le domaine de la sécurité de nuage et d'un accès aux technologies d'infonuagique sous-jacentes, doit pouvoir communiquer les meilleures pratiques et les informations essentielles à votre entreprise et doit garantir une sécurité conforme aux prévisions. Que vous souhaitiez sécuriser vos informations, combler les lacunes d'infrastructures infonuagiques ou de centre de données, définir quels utilisateurs ont accès aux données et l'emplacement des données, ou savoir comment protéger la confidentialité d'un locataire, la meilleure solution est de concevoir une stratégie qui permette d'appliquer des politiques, une gouvernance, une conformité et une sécurité architecturale généralisée sur l'ensemble du réseau, de l'informatique et du stockage. Ainsi, le nuage vous permettra de générer de la valeur commerciale. Pour plus d'informations sur les Services de nuage, rendez-vous sur ou contactez un responsable de compte Cisco. Pour plus d'informations sur les produits ISMS et GRC pour les TI pour le nuage, rendez-vous sur ou contactez un responsable de compte Cisco. Siège social pour les Amériques Cisco Systems, Inc. San Jose, Californie Siège social en Asie-Pacifique Cisco Systems (USA) Pte. Ltd Singapour Siège social en Europe Cisco Systems International BV Amsterdam, Pays-Bas Cisco compte plus de 200 agences à travers le monde. Les adresses, numéros de téléphone et numéros de fax sont répertoriés sur le site Web de Cisco, à l'adresse : Cisco et le logo Cisco sont des marques déposées de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans d'autres pays. Vous trouverez la liste des marques commerciales de Cisco sur la page Web Les autres marques de commerce mentionnées dans le présent document sont la propriété de leurs détenteurs respectifs. L'utilisation du terme «partenaire» n'implique pas une relation de partenariat entre Cisco et une autre entreprise. (1005R) Imprimé aux États-Unis C / Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Page 11

Accélérez le projet de Cloud privé de votre entreprise

Accélérez le projet de Cloud privé de votre entreprise Cisco Cloud Des services cloud complets aident votre entreprise à établir un environnement d'infrastructure as a Service (IaaS) sécurisé, souple et fortement automatisé, pour une prestation de services

Plus en détail

Nécessité de concevoir un catalogue de services lors du développement de services infonuagiques

Nécessité de concevoir un catalogue de services lors du développement de services infonuagiques Nécessité de concevoir un catalogue de services lors du développement de services infonuagiques Objectifs de ce document : Fournir une présentation du catalogue de services infonuagiques et montrer en

Plus en détail

L'ensemble de ces tendances présente de nouveaux challenges pour les départements IT de l'entreprise. Plus précisément :

L'ensemble de ces tendances présente de nouveaux challenges pour les départements IT de l'entreprise. Plus précisément : Livre blanc L'architecture de réseau d'entreprise Cisco ONE : l'automatisation et la reconnaissance des applications comme pierre angulaire de l'entreprise moderne Le challenge Au cours des dix dernières

Plus en détail

Sécurité et «Cloud computing»

Sécurité et «Cloud computing» Sécurité et «Cloud computing» Roger Halbheer, conseiller en chef pour la sécurité, secteur public, EMEA Doug Cavit, conseiller principal pour la stratégie de sécurité, Trustworthy Computing, États-Unis

Plus en détail

Planifier la migration des applications d entreprise dans le nuage

Planifier la migration des applications d entreprise dans le nuage TM Planifier la migration des applications d entreprise dans le nuage Guide de vos options de migration : nuage privé et public, critères d évaluation des applications et meilleures pratiques de migration

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

Symantec Control Compliance Suite 8.6

Symantec Control Compliance Suite 8.6 Automatiser et gérer la conformité IT dans le cadre de la réduction des coûts et de la complexité Présentation Symantec Control Compliance Suite automatise les principaux processus de conformité informatique.

Plus en détail

Solutions McAfee pour la sécurité des serveurs

Solutions McAfee pour la sécurité des serveurs Solutions pour la sécurité des serveurs Sécurisez les charges de travail des serveurs avec une incidence minime sur les performances et toute l'efficacité d'une gestion intégrée. Imaginez que vous ayez

Plus en détail

DÉVELOPPEMENT INFONUAGIQUE - meilleures pratiques

DÉVELOPPEMENT INFONUAGIQUE - meilleures pratiques livre blanc DÉVELOPPEMENT INFONUAGIQUE MEILLEURES PRATIQUES ET APPLICATIONS DE SOUTIEN DÉVELOPPEMENT INFONUAGIQUE - MEILLEURES PRATIQUES 1 Les solutions infonuagiques sont de plus en plus présentes sur

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

Symantec Network Access Control

Symantec Network Access Control Symantec Network Access Control Conformité totale des terminaux Présentation est une solution de contrôle d'accès complète et globale qui permet de contrôler de manière efficace et sûre l'accès aux réseaux

Plus en détail

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA DOSSIER SOLUTION : CA ARCSERVE BACKUP R12.5 CA ARCserve Backup CA ARCSERVE BACKUP, LOGICIEL DE PROTECTION DE DONNÉES LEADER DU MARCHÉ, INTÈGRE UNE TECHNOLOGIE DE DÉDUPLICATION DE DONNÉES INNOVANTE, UN

Plus en détail

Les bases du cloud computing : revaloriser les technologies de l'information

Les bases du cloud computing : revaloriser les technologies de l'information Les bases du cloud computing : revaloriser les technologies de l'information 2 mai 2011 2 Les bases du cloud computing : revaloriser les technologies de l'information Introduction Sur un marché imprévisible

Plus en détail

Gestion de la sécurité de l information par la haute direction

Gestion de la sécurité de l information par la haute direction Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut

Plus en détail

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY

Plus en détail

Sage 50 Comptabilité. Solutions logicielles en nuage, sur place et hybrides : Qu'est-ce qui convient le mieux à votre petite entreprise?

Sage 50 Comptabilité. Solutions logicielles en nuage, sur place et hybrides : Qu'est-ce qui convient le mieux à votre petite entreprise? Sage 50 Comptabilité Solutions logicielles en nuage, sur place et hybrides : Qu'est-ce qui convient le mieux à votre petite entreprise? À titre de propriétaire de petite entreprise, vous devez bien sûr

Plus en détail

Spécifications de l'offre Surveillance d'infrastructure à distance

Spécifications de l'offre Surveillance d'infrastructure à distance Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)

Plus en détail

Le cloud computing. Les attributions et le rôle du département IT changent LE POINT DE VUE DES DIRIGEANTS SUR LE CLOUD.

Le cloud computing. Les attributions et le rôle du département IT changent LE POINT DE VUE DES DIRIGEANTS SUR LE CLOUD. Le point de vue des dirigeants Janvier 2015 LE POINT DE VUE DES DIRIGEANTS SUR LE CLOUD Le cloud computing Les attributions et le rôle du département IT changent Janvier 2015 1 Le département IT, armé

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Extrait 54 Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

Plus en détail

Gestion du centre de données et virtualisation

Gestion du centre de données et virtualisation Gestion du centre de données et virtualisation Microsoft Corporation Juin 2010 Les informations contenues dans ce document représentent l'opinion actuelle de Microsoft Corporation sur les points cités

Plus en détail

Tableau Online Sécurité dans le cloud

Tableau Online Sécurité dans le cloud Tableau Online Sécurité dans le cloud Auteur : Ellie Fields Ellie Fields, directrice principale du marketing produits, Tableau Software Juin 2013 p.2 Tableau est conscient que les données font partie des

Plus en détail

Examen professionnel. Informatique, système d information. Réseaux et télécommunications

Examen professionnel. Informatique, système d information. Réseaux et télécommunications CIGpetitecouronne Ingénieurterritorial20132015 Volume2 Sujetdel épreuve Établissementd'unprojetouétude Examenprofessionnel Spécialité Informatique,systèmed information Option Réseauxettélécommunications

Plus en détail

BYOD Smart Solution. Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu

BYOD Smart Solution. Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu Présentation de la solution BYOD Smart Solution Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu Cisco ou ses filiales, 2012.

Plus en détail

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4 Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à

Plus en détail

Les entreprises qui adoptent les communications unifiées et la collaboration constatent de réels bénéfices

Les entreprises qui adoptent les communications unifiées et la collaboration constatent de réels bénéfices Une étude personnalisée commandée par Cisco Systems Les entreprises qui adoptent les communications unifiées et la collaboration constatent de réels bénéfices Juillet 2013 Déploiement d'une large gamme

Plus en détail

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Table of Contents 3 10 étapes essentielles 3 Comprendre les exigences 4 Mettre en œuvre des contrôles informatiques

Plus en détail

A Brave. Qui est responsable de la sécurité du cloud? L'opinion d'un expert de Trend Micro. Février 2011

A Brave. Qui est responsable de la sécurité du cloud? L'opinion d'un expert de Trend Micro. Février 2011 A Brave Qui est responsable de la sécurité du cloud? L'opinion d'un expert de Trend Micro Février 2011 Écrit par Dave Asprey, Vice-président, sécurité cloud I. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD?

Plus en détail

Livre. blanc. Juin 2015. Ce livre blanc ESG a été commandé par Hewlett-Packard et est distribué sous licence d ESG.

Livre. blanc. Juin 2015. Ce livre blanc ESG a été commandé par Hewlett-Packard et est distribué sous licence d ESG. Livre blanc Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile Guide pour les petites et moyennes entreprises Par Colm Keegan, analyste principal,

Plus en détail

Faire le grand saut de la virtualisation

Faire le grand saut de la virtualisation LIVRE BLANC : FAIRE LE GRAND SAUT DE LA VIRTUALISATION........................................ Faire le grand saut de la virtualisation Public cible : Directeurs, responsables et administrateurs informatiques

Plus en détail

Architecture de sécurité dynamique et souple

Architecture de sécurité dynamique et souple Architecture de sécurité dynamique et souple Par Andreas M. Antonopoulos Vice-président principal et partenaire fondateur - Nemertes Research Résumé Non seulement l'approche de Rube Goldberg à l'égard

Plus en détail

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team Annexe 5 Kaspersky Security For SharePoint Servers Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier 92859 Rueil Malmaison Cedex Table des matières Table des matières...

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

SafeNet La protection

SafeNet La protection SafeNet La protection des données La conception à l'action, SafeNet protège intelligemment les informations pendant tout leur cycle de vie Les informations peuvent faire progresser votre activité, mais

Plus en détail

Accélérez la virtualisation de vos applications stratégiques en toute confiance avec Symantec

Accélérez la virtualisation de vos applications stratégiques en toute confiance avec Symantec Accélérez la virtualisation de vos applications stratégiques en toute confiance avec Symantec L'infrastructure, qui connecte les utilisateurs aux données, est en pleine transformation. Elle se modifie

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

La reprise d'activité après sinistre est-elle assez prise en compte par les PME?

La reprise d'activité après sinistre est-elle assez prise en compte par les PME? Technology Adoption Profile personnalisé réalisé pour Colt Septembre 2014 La reprise d'activité après sinistre est-elle assez prise en compte par les PME? Introduction Les petites et moyennes entreprises

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés. portnox Livre blanc réseau Janvier 2008 Access Layers portnox pour un contrôle amélioré des accès access layers Copyright 2008 Access Layers. Tous droits réservés. Table des matières Introduction 2 Contrôle

Plus en détail

La sécurité du «cloud computing» Le point de vue de Microsoft

La sécurité du «cloud computing» Le point de vue de Microsoft La sécurité du «cloud computing» Le point de vue de Microsoft Janvier 2010 1 Les informations contenues dans le présent document représentent le point de vue actuel de Microsoft Corporation sur les questions

Plus en détail

Altiris Asset Management Suite 7.1 from Symantec

Altiris Asset Management Suite 7.1 from Symantec Assurer la conformité et maximiser l'investissement informatique Présentation Dans un contexte économique où les changements sont inévitables, il est indispensable de gérer les ressources informatiques

Plus en détail

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

ManageEngine IT360 : Gestion de l'informatique de l'entreprise ManageEngine IT360 Présentation du produit ManageEngine IT360 : Gestion de l'informatique de l'entreprise Améliorer la prestation de service à l'aide d'une approche intégrée de gestion des performances

Plus en détail

La Gouvernance d entreprise avec le Cloud

La Gouvernance d entreprise avec le Cloud La Gouvernance d entreprise avec le Cloud 8 Novembre 2012 Métastratégie cabinet-conseil mario.lapointe@metastrategie.com www.metastrategie.com 1 Objectif et agenda Objectif Comment gouverner son entreprise

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA») ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA») AVIS IMPORTANT: Afin d'accéder et / ou utiliser ce service Cloud (tel que défini ci-dessous) Vous devez

Plus en détail

Virtualisation des postes de travail

Virtualisation des postes de travail Virtualisation des postes de travail Relever les défis de sécurité posés à votre infrastructure de postes de travail virtuels Un livre blanc de Trend Micro Trend Micro est distribué par: I. INTRODUCTION

Plus en détail

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. IBM Global Services Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. Les services d infrastructure et d intégration IBM Pour une infrastructure informatique qui participe

Plus en détail

ITIL Mise en oeuvre de la démarche ITIL en entreprise

ITIL Mise en oeuvre de la démarche ITIL en entreprise Introduction 1. Préambule 21 2. Approfondir ITIL V3 22 2.1 Introduction 22 2.2 La cartographie 23 2.2.1 La cartographie de la démarche ITIL V3 23 2.2.2 La cartographie des processus dans les phases du

Plus en détail

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service Solutions de gestion des actifs et services Au service de vos objectifs d entreprise Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Plus en détail

Total Protection for Compliance : audit unifié des stratégies informatiques

Total Protection for Compliance : audit unifié des stratégies informatiques Présentation de solution Total Protection for Compliance : McAfee Total Protection for Compliance Les réglementations et les normes se multiplient, tandis que la complexité et le coût des audits informatiques

Plus en détail

Concepts et définitions

Concepts et définitions Division des industries de service Enquête annuelle sur le développement de logiciels et les services informatiques, 2002 Concepts et définitions English on reverse Les définitions qui suivent portent

Plus en détail

Gestion des identités et des accès pour garantir la conformité et réduire les risques

Gestion des identités et des accès pour garantir la conformité et réduire les risques IBM Software IBM Security Systems Gestion des identités et des accès pour garantir la conformité et réduire les risques Administrer, contrôler et surveiller l accès des utilisateurs aux ressources, aux

Plus en détail

Protéger les données critiques de nos clients

Protéger les données critiques de nos clients La vision d Imperva Notre mission : Protéger les données critiques de nos clients Pour cela, Imperva innove en créant une nouvelle offre : Sécurité des données Vos données critiques se trouvent dans des

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Pourquoi le cloud computing requiert un réseau intelligent en cloud

Pourquoi le cloud computing requiert un réseau intelligent en cloud Pourquoi le cloud computing requiert un réseau intelligent en cloud Avril 2012 Préparé par : Zeus Kerravala Pourquoi le cloud computing requiert un réseau intelligent en cloud 2 Pourquoi le cloud computing

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

Introduction à ITIL. Un guide d'initiation à ITIL. Tana Guindeba, ing. jr Mars 2014. Guintech Informatique. Passer à la première page

Introduction à ITIL. Un guide d'initiation à ITIL. Tana Guindeba, ing. jr Mars 2014. Guintech Informatique. Passer à la première page Introduction à ITIL Un guide d'initiation à ITIL Tana Guindeba, ing. jr Mars 2014 1 ITIL Définition: ITIL (Information Technology Infrastructure Library) qui se traduit en français par «Bibliothèque pour

Plus en détail

Professeur superviseur Alain April

Professeur superviseur Alain April RAPPORT TECHNIQUE PRÉSENTÉ À L ÉCOLE DE TECHNOLOGIE SUPÉRIEURE DANS LE CADRE DU COURS MGL804 COMPARAISON ENTRE S3M ET ITIL V3 RÉVISION CHAPITRE 7 DU LIVRE AMÉLIORER LA MAINTENACE DO LOGICIEL IISSAM EL

Plus en détail

Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation

Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes

Plus en détail

En savoir plus pour bâtir le Système d'information de votre Entreprise

En savoir plus pour bâtir le Système d'information de votre Entreprise En savoir plus pour bâtir le Système d'information de votre Entreprise En savoir plus sur : Services en ligne, SaaS, IaaS, Cloud - 201305-2/5 SaaS, IaaS, Cloud, définitions Préambule Services en ligne,

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

NAVIGUER DANS LE CLOUD. La gestion des actifs logiciels (SAM) : un enjeu plus important que jamais

NAVIGUER DANS LE CLOUD. La gestion des actifs logiciels (SAM) : un enjeu plus important que jamais NAVIGUER DANS LE CLOUD La gestion des actifs logiciels (SAM) : un enjeu plus important que jamais TABLE DES MATIÈRES Résumé.... 1 Points importants.... 4 Introduction aux technologies du Cloud.... 5 Modèles

Plus en détail

La planification et la conception sont indispensables pour réussir

La planification et la conception sont indispensables pour réussir Le service Cisco Virtual Desktop Infrastructure Planning and Design Service (Service de conception et de planification de l'infrastructure de bureau virtuel Cisco) vous aide à concevoir une solution de

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Table des matières Table des matières 1 Les exemples à télécharger sont disponibles à l'adresse

Plus en détail

Accélérez la transition vers le cloud

Accélérez la transition vers le cloud Livre blanc technique Accélérez la transition vers le cloud Architecture HP Converged Cloud Table des matières Une nouvelle informatique pour l'entreprise... 2 Faites évoluer votre stratégie informatique

Plus en détail

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance Procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière

Plus en détail

Modèle Cobit www.ofppt.info

Modèle Cobit www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Optimisation de la gestion de la sécurité avec McAfee epolicy Orchestrator

Optimisation de la gestion de la sécurité avec McAfee epolicy Orchestrator Présentation de solution Optimisation de la gestion de la sécurité avec La preuve par la recherche Les directeurs informatiques des entreprises du monde entier sont actuellement confrontés à un dilemme

Plus en détail

Description de l entreprise DG

Description de l entreprise DG DG Description de l entreprise DG DG est une entreprise d envergure nationale implantée dans le domaine de la domotique. Créée en 1988 par William Portes, elle compte aujourd'hui une centaine d'employés.

Plus en détail

Économies d'échelle... 5. Aide à l'intégration... 6. Mises à niveau... 7. Infrastructure et sécurité de niveau international... 7

Économies d'échelle... 5. Aide à l'intégration... 6. Mises à niveau... 7. Infrastructure et sécurité de niveau international... 7 5 Contents Économies d'échelle... 5 Aide à l'intégration... 6 Mises à niveau... 7 Infrastructure et sécurité de niveau international... 7 Minimisation du risque... 8 Évolutivité... 8 Aptitude à l'emploi...

Plus en détail

Solution de gestion des journaux pour le Big Data

Solution de gestion des journaux pour le Big Data Solution de gestion des journaux pour le Big Data PLATE-FORME ÉVOLUTIVE D INFORMATIONS SUR LES JOURNAUX POUR LA SÉCURITÉ, LA CONFORMITÉ ET LES OPÉRATIONS INFORMATIQUES Plus de 1 300 entreprises de secteurs

Plus en détail

Tufin Orchestration Suite

Tufin Orchestration Suite Tufin Orchestration Suite L orchestration des stratégies de sécurité sur l ensemble des environnements de réseaux physiques et Cloud hybrides Le défi de la sécurité réseau Dans le monde actuel, les entreprises

Plus en détail

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy) ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) P 1 1 Définition de la sécurité de l'information L'information est une ressource qui,

Plus en détail

Principes de liberté d'expression et de respect de la vie privée

Principes de liberté d'expression et de respect de la vie privée L'Initiative mondiale des réseaux Protéger et faire progresser la liberté d'expression et le respect de la vie privée dans les technologies de l information et de la communication Principes de liberté

Plus en détail

Fiche méthodologique Rédiger un cahier des charges

Fiche méthodologique Rédiger un cahier des charges Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,

Plus en détail

PRINCIPES DE BASE DE LA SAUVEGARDE POUR LA PROTECTION DE VOS DONNÉES ET DE VOTRE ACTIVITÉ

PRINCIPES DE BASE DE LA SAUVEGARDE POUR LA PROTECTION DE VOS DONNÉES ET DE VOTRE ACTIVITÉ PRINCIPES DE BASE DE LA SAUVEGARDE POUR LA PROTECTION DE VOS DONNÉES ET DE VOTRE ACTIVITÉ Des incidents sont toujours possibles. N'attendez pas qu'il soit trop tard. PRÉSENTATION C'est inévitable. A un

Plus en détail

SYSTÈME D'ADMINISTRATION DE RÉSEAU ALCATEL-LUCENT OMNIVISTA 8770 UNE INTERFACE DE GESTION UNIQUE POUR L'ENSEMBLE DES SYSTÈMES ET DES TERMINAUX

SYSTÈME D'ADMINISTRATION DE RÉSEAU ALCATEL-LUCENT OMNIVISTA 8770 UNE INTERFACE DE GESTION UNIQUE POUR L'ENSEMBLE DES SYSTÈMES ET DES TERMINAUX SYSTÈME D'ADMINISTRATION DE RÉSEAU ALCATEL-LUCENT OMNIVISTA 8770 UNE INTERFACE DE GESTION UNIQUE POUR L'ENSEMBLE DES SYSTÈMES ET DES TERMINAUX SUITE D'APPLICATIONS INTÉGRÉES Aujourd'hui, les entreprises

Plus en détail

Gestion de la mobilité en entreprise (EMM, enterprise mobility management)

Gestion de la mobilité en entreprise (EMM, enterprise mobility management) Tendances du marché Les appareils mobiles rencontrent toujours autant de succès. Selon IDC, d'ici 2015, les ventes de tablettes auront dépassé celles des PC. Gestion de la mobilité en entreprise (EMM,

Plus en détail

Éditions QAD On Demand est disponible en trois éditions standard : QAD On Demand is delivered in three standard editions:

Éditions QAD On Demand est disponible en trois éditions standard : QAD On Demand is delivered in three standard editions: QAD On Demand QAD On Demand est une option du déploiement de QAD Enterprise Applications. Grâce à elle, les utilisateurs tirent un profit maximum de QAD Enterprise Applications, partout dans le monde,

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

Suite IBM Tivoli IT Service Management : comment gérer le système d information comme une véritable entreprise

Suite IBM Tivoli IT Service Management : comment gérer le système d information comme une véritable entreprise Suite IBM Tivoli IT Service Management : comment gérer le système d information comme une véritable entreprise Europe Lettre d'annonce du 27 juin 2006 ZP06-0279 En bref Introduction Description Accessibilité

Plus en détail

Cisco Unified Computing Migration and Transition Service (Migration et transition)

Cisco Unified Computing Migration and Transition Service (Migration et transition) Cisco Unified Computing Migration and Transition Service (Migration et transition) Le service Cisco Unified Computing Migration and Transition Service (Migration et transition) vous aide à migrer vos applications

Plus en détail

Optimisation WAN de classe Centre de Données

Optimisation WAN de classe Centre de Données Optimisation WAN de classe Centre de Données Que signifie «classe centre de données»? Un nouveau niveau de performance et d'évolutivité WAN Dans le milieu de l'optimisation WAN, les produits de classe

Plus en détail

FICHE TECHNIQUE DE RÉDUCTION DES COÛTS AVEC LES COMMUNICATIONS UNIFIÉES

FICHE TECHNIQUE DE RÉDUCTION DES COÛTS AVEC LES COMMUNICATIONS UNIFIÉES FICHE TECHNIQUE DE RÉDUCTION DES COÛTS AVEC LES COMMUNICATIONS UNIFIÉES Aujourd'hui, profiter des opportunités économiques qui vous sont offertes implique de prendre des décisions audacieuses sur la manière

Plus en détail

300TB. 1,5milliard LE CLOUD ONBASE / L'EXPÉRIENCE COMPTE. Le Cloud OnBase, par Hyland 600.000.000 DOCUMENTS. Plus de. Plus de. Plus de.

300TB. 1,5milliard LE CLOUD ONBASE / L'EXPÉRIENCE COMPTE. Le Cloud OnBase, par Hyland 600.000.000 DOCUMENTS. Plus de. Plus de. Plus de. LE CLOUD ONBASE 1 LE CLOUD ONBASE / L'EXPÉRIENCE COMPTE Le Cloud OnBase, par Hyland Lorsqu'il s'agit de déploiements dans le cloud, l'expérience fait la différence. Qui dit expérience, dit plus de fonctionnalités,

Plus en détail

En synthèse. HVR pour garantir les échanges sensibles de l'entreprise

En synthèse. HVR pour garantir les échanges sensibles de l'entreprise En synthèse HVR pour garantir les échanges sensibles de l'entreprise Le logiciel HVR fournit des solutions pour résoudre les problèmes clés de l'entreprise dans les domaines suivants : Haute Disponibilité

Plus en détail

Qu'est-ce que le BPM?

Qu'est-ce que le BPM? Qu'est-ce que le BPM? Le BPM (Business Process Management) n'est pas seulement une technologie mais, dans les grandes lignes, une discipline de gestion d'entreprise qui s'occupe des procédures contribuant

Plus en détail

Audits de TI : informatique en nuage et services SaaS

Audits de TI : informatique en nuage et services SaaS Audits de TI : informatique en nuage et services SaaS Tommie W. Singleton, Ph. D., CISA, CITP, CMA, CPA La loi de Moore, qui s applique depuis des décennies et ne semble pas encore avoir atteint ses limites,

Plus en détail

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec La nouvelle technologie antivirus de Symantec Présentation Protection avancée contre les menaces. Symantec Endpoint Protection associe Symantec AntiVirus à la prévention avancée des menaces pour fournir

Plus en détail

Offering de sécurité technologique Sécurité des systèmes d'information

Offering de sécurité technologique Sécurité des systèmes d'information Offering de sécurité technologique Sécurité des systèmes d'information Qui sommes-nous? NewPoint est un cabinet-conseil multinational spécialisé dans la technologie, jeune, moderne et dynamique, qui dispose

Plus en détail

Module 0 : Présentation de Windows 2000

Module 0 : Présentation de Windows 2000 Module 0 : Présentation de Table des matières Vue d'ensemble Systèmes d'exploitation Implémentation de la gestion de réseau dans 1 Vue d'ensemble Donner une vue d'ensemble des sujets et des objectifs de

Plus en détail

Risques d accès non autorisés : les atouts d une solution IAM

Risques d accès non autorisés : les atouts d une solution IAM Risques d accès non autorisés : les atouts d une solution IAM Comment l'entreprise peut-elle réduire ses risques informatiques liés aux droits d accès des utilisateurs Livre Blanc Introduction Tous les

Plus en détail

L'automatisation intelligente de Cisco pour le cloud

L'automatisation intelligente de Cisco pour le cloud Fiche technique du produit L'automatisation intelligente de Cisco pour le cloud A l'origine, les tout premiers utilisateurs des prestations de services cloud cherchaient à réaliser des économies supplémentaires

Plus en détail

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm. IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect serge.richard@fr.ibm.com Agenda Le constat : évolution des menaces Notre Approche La sécurité autour

Plus en détail

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA Plan d évolution du Big Data en matière d analyse prédictive de la sécurité AVANTAGES CLÉS Ce livre blanc aborde les points suivants : La complexité

Plus en détail