Les normes minimales de sécurité
|
|
- Zoé St-Jean
- il y a 8 ans
- Total affichages :
Transcription
1 Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles security@ksz-bcss.fgov.be Site web BCSS: 11/7/2014
2 Agenda Introduction & scope Champ d application et interprétation Normes minimales de sécurité, ISMS, structure ISO 27002:2013 la politique de sécurité de l'information, l'organisation de la sécurité, la sécurité liée aux collaborateurs, la gestion des ressources de l'entreprise, la protection d accès logique, la cryptographie, la sécurité physique et la protection de l'environnement, la gestion opérationnelle (logging, protection contre des logiciels malveillants,...), La sécurité des communications, L acquisition, le développement et la maintenance de systèmes, La relations avec les fournisseurs, la gestion des incidents, L aspect de la sécurité de l information dans la gestion de la continuité, La conformité. Révision Sanction 2
3 Introduction & scope Source: (Page d'accueil Sécurité et vie privée Documentation Sécurité Information Security Management System) Obligatoires Institutions de sécurité sociale visées à l article 2, alinéa 1er, 2, de la loi organique de la Banque Carrefour Art. 18 : l'extension du réseau est possible, en ce compris les droits et les obligations de la loi BCSS, sur demande explicite (par exemple par le Comité sectoriel dans le cadre d'une délibération) 3
4 Introduction & scope Champ d application : traitement de données sociales à caractère personnel. bon usage : la sécurité de l information au sens large du terme Cas spécifique : Utilisation du numéro RN au sien des services RH 4
5 Introduction & scope Contrôle : Evaluation périodique par le Comité Sectoriel sur base de questionnaire Contrôle possible par un organisme externe Sous-traitance : le donneur d ordre reste responsable de la mise en œuvre et du contrôle de l application des normes minimales de sécurité chez le sous-traitant. 5
6 Introduction & scope Interprétation des normes: Mise en œuvre des mesures de sécurité les plus appropriées compte tenu de la situation spécifique et de l importance des moyens de fonctionnement à protéger. 6
7 Introduction & scope Objectifs poursuivis Assurer de manière coordonnée un niveau minimal de sécurité Respect aspect légaux et règlementaires Obtenir/conserver l autorisation d échange 7
8 Introduction & scope Relation à l'isms et à l'isp ("Politique de sécurité de l'information" - conforme à la série ISO 27000) ISMS: MÉTHODOLOGIE Loi organique de la Banque Carrefour 15/01/90 12/08/93 Comité sectoriel de la sécurité sociale et de la santé ISP ( Policy (Information Security Directives Normes minimales Questionnaire Policie 8
9 Structure ISO 27002:2013 Ces normes minimales portent sur les aspects suivants: la politique de sécurité de l'information, l'organisation de la sécurité, la sécurité liée aux collaborateurs la gestion des ressources de l'entreprise, la protection d accès logique, la cryptographie la sécurité physique et la protection de l'environnement, la gestion opérationnelle (logging, protection contre des logiciels malveillants,...), La sécurité des communications L acquisition, le développement et la maintenance de systèmes, La relations avec les fournisseurs la gestion des incidents, L aspect de la sécurité de l information dans la gestion de la continuité, La conformité (contrôle/audit). 9
10 Les normes minimales de sécurité
11 5. Politique de sécurité de l information Toute organisation doit disposer d une politique de sécurité de l information formelle et actualisée, approuvée par le responsable de la gestion journalière, (ou équivalent). 11
12 6. Organisation de la sécurité de l information Deux parties 6.1 Organisation de la sécurité de l information 6. 2 Appareils mobiles et télétravail 12
13 6.1 Organisation de la sécurité de l information Organisation de la sécurité de l information organiser, en son sein, un service de sécurité de l information; communiquer l identité de son conseiller en sécurité et de ses adjoints éventuels au Comité sectoriel de la sécurité sociale et de la santé; disposer d un plan de sécurité approuvé par le responsable de la gestion journalière; disposer des crédits de fonctionnement nécessaires; communiquer à la BCSS le nombre d heures qu elle a officiellement attribuées à son conseiller en sécurité et à ses adjoints éventuels pour l exécution de leurs tâches; planifier la communication d informations au conseiller en sécurité; 13
14 6.1 Organisation de la sécurité de l information Plateforme de décision disposer d une plateforme de décision pour valider et approuver les mesures de sécurité.. 14
15 6.1 Organisation de la sécurité de l information Réseau secondaire Echanger d information au moins une fois par semestre avec son réseau secondaire, Avis Promotion Documentation Contrôle en matière de sécurité de l'information 15
16 6.1 Organisation de la sécurité de l information Sécurité de l information dans le cadre de projets Disposer de procédures pour le développement de nouveaux systèmes ou d évolutions importantes dans les systèmes existants, pour que le responsable de projet tienne compte des exigences de sécurité décrites dans le présent document. 16
17 6.2 Appareils mobiles et télétravail Accès à distance Prendre les mesures adéquates, en fonction du moyen d accès, afin de sécuriser l accès on-line réalisé en dehors de l organisation aux données sociales à caractère personnel. Moyen d accès : p.ex. Internet, ligne louée, réseau privé, wireless. 17
18 6.2 Appareils mobiles et télétravail Protection des données sur des médias mobiles Prendre les mesures adéquates afin que les données à caractère personnel enregistrées sur des médias mobiles ne soient accessibles qu aux personnes autorisées 18
19 7. Sécurité liée aux collaborateurs 7.1 Traitement des données: Engagement de tous les collaborateurs internes et externes à respecter leurs obligations en ce qui concerne la confidentialité et la sécurité des données. 19
20 7. Sécurité liée aux collaborateurs 7.2 Sensibilisation sensibiliser chaque collaborateur à la sécurité de l information. 20
21 8. Gestion des ressources de l entreprise 8.1 Inventaire Disposer d un inventaire du matériel informatique et des logiciels Mis à jour en permanence. 21
22 8. Gestion des ressources de l entreprise 8.2 Protection des ressources de l entreprise S assurer de la protection des supports des données à caractère personnel et les systèmes informatiques les traitant Conformément à leur classification, dans des locaux identifiés et protégés dont l accès est limité aux seules personnes autorisées et aux seules heures justifiées par leur fonction. 22
23 8. Gestion des ressources de l entreprise 8.3 Internet et Etablir et appliquer un code de bonne conduite pour l usage de l Internet et de l 23
24 8. Gestion des ressources de l entreprise 8.4 Support physique en transit Prendre les mesures nécessaires pour protéger, contre les accès non autorisés, les supports en transit dont notamment les backups contenant des données sensibles 24
25 9. Protection de l accès (logique) 9.1 Protection des données sécuriser l accès aux données nécessaires à l application et à l exécution de la sécurité sociale par un système d identification, d authentification et d autorisation. 25
26 9. Protection de l accès (logique) 9.2 Autorisations Comité sectoriel S assurer de l existence des autorisations nécessaires du comité sectoriel compétent pour l accès aux données (sociales) à caractère personnel gérées par une autre organisation 26
27 9. Protection de l accès (logique) 9.3 Accès aux systèmes informatiques par les gestionnaires d information limiter l'accès au(x) système(s) informatique(s) aux gestionnaires d information identifiés, authentifiés et autorisés 27
28 9. Protection de l accès (logique) 9.4 Utilisation des services en réseaux prendre les mesures adéquates afin que toute personne n ait uniquement accès qu aux services pour lesquels elle a spécifiquement reçu une autorisation. 28
29 9. Protection de l accès (logique) 9.5 Connexion IP externe - réseau primaire Utiliser l Extranet de la sécurité sociale pour toutes les connexions externes à l institution ou à son réseau secondaire. Dérogation possible! 29
30 9. Protection de l accès (logique) 9.6 Connexion IP externe - réseau secondaire Possibilité d utiliser l Extranet Si pas d utilisation de l Extranet Prise de mesures de sécurité qui garantiront un niveau de sécurité équivalent à celui de l Extranet 30
31 10. Cryptographie 10.1 Cryptographie NIHIL. 31
32 11. Protection physique et protection de l environnement 11.1 Protection physique de l accès limiter l accès aux bâtiments et locaux aux personnes autorisées et effectuer un contrôle à ce sujet 32
33 11. Protection physique et protection de l environnement 11.2 Incendie, intrusion, dégâts causés par l eau Prendre des mesures pour la prévention, la protection, la détection, l extinction et l intervention en cas d incendie, d intrusion et de dégâts causés par l eau. 33
34 11. Protection physique et protection de l environnement 11.3 Alimentation en électricité Disposer d un moyen alternatif en électricité afin de garantir la prestation de services attendue 34
35 11. Protection physique et protection de l environnement 11.4 Mise au rebut ou recyclage sécurisé du matériel prendre des mesures pour que toute donnée soit supprimée ou rendue inaccessible sur tout support de stockage avant sa mise au rebut ou recyclage 35
36 12. Gestion opérationnelle 12.1 Séparation des environnements Ségrégation des environnements; S assurer que tout développement, ou test soit exclu au sein de l environnement de production; Possibilité de dérogation. 36
37 12. Gestion opérationnelle 12.2 Gestion de la mise en production Disposer de procédures pour la mise en production de nouvelles applications et la réalisation d adaptations aux applications existantes. Eviter qu une seule et même personne n'assure le contrôle de l ensemble de ce processus. 37
38 12. Gestion opérationnelle 12.3 Protection contre des codes nocifs Doit disposer de systèmes actualisés pour se protéger (prévention, détection et rétablissement) contre des codes nocifs 38
39 12. Gestion opérationnelle 12.4 Politique de sauvegarde définir la politique et la stratégie organisant la mise en œuvre d un système de sauvegarde en phase avec la gestion de la continuité contrôler régulièrement les sauvegardes réalisées dans ce cadre. 39
40 12. Gestion opérationnelle 12.5 Logging de l accès Implémentation d un système de logging pour les données à caractère personnel nécessaires à l application et à l exécution de la sécurité sociale. 40
41 12. Gestion opérationnelle 12.6 Traçabilité des identités. Assurer à son niveau la traçabilité des identifiants utilisés Permettre l identification de bout en bout des identifiants utilisés. 41
42 12. Gestion opérationnelle 12.7 Détection d infractions à la sécurité Installer un système et des procédures formelles et actualisées permettant la détection, le suivi et la réparation d infractions 42
43 13. Sécurité des communications 13.1 Sécurité au niveau du réseau Gestion de la sécurité des réseaux vérifier que les réseaux sont gérés et contrôlés de façon adéquate afin de les protéger contre les menaces et de garantir de façon efficace la protection des systèmes et des applications qui utilisent le réseau 43
44 13. Gestion opérationnelle 13.1 Sécurité au niveau du réseau Disponibilité des réseaux mettre en place les mesures techniques nécessaires, suffisantes, efficientes et adéquates en vue de garantir la plus haute disponibilité de connexion avec le réseau de la Banque Carrefour 44
45 13. Sécurité des communications 13.2 Echange d information Cartographie des flux de l Extranet tenir à jour une cartographie technique des flux implémentés au travers de l Extranet de la sécurité sociale 45
46 13. Sécurité des communications 13.2 Echange d information Qualité de service des échanges d informations à caractère social Traitement dans les meilleurs délais par l'ensemble des intervenants Traitement en temps utile des messages de suivi qu'elles doivent recevoir des destinataires ou intermédiaires. Réalisation dans les meilleurs délais les actions adéquates et appropriées consécutives au traitement des messages de suivi. Toute anomalie ou lacune dans la transmission électronique des données doit être signalée dans les meilleurs délais aux intervenants concernés 46
47 14. Acquisition, développement et maintenance de systèmes 14.1 Documentation Disposer de procédures pour la rédaction de documentation lors du développement de nouveaux systèmes et applications et lors de la maintenance des applications et systèmes existants. 47
48 14. Acquisition, développement et maintenance de systèmes 14.2 Méthode de développement structurée Doit avoir recours à une approche structurée en vue d un développement sécurisé de systèmes 48
49 14. Acquisition, Développement et maintenance de systèmes 14.3 Vérifier les exigences de sécurité avant la mise en production Veiller à ce que le responsable de projet vérifie le respect des exigences de sécurité établies au début de la phase de développement ou de la procédure d achat avant toute mise en production de nouveaux systèmes ou d évolutions importantes dans les systèmes existants 49
50 14. Acquisition, développement et maintenance de systèmes 14.4 Sécurité applicative prendre les mesures nécessaires pour assurer la sécurité au niveau applicatif dans le but de minimiser les brèches potentielles de sécurité (confidentialité, intégrité, disponibilité). 50
51 15. Relation avec les fournisseurs 15.1 Collaboration avec des sous-traitants doit s assurer que les obligations en matière de traitement de données à caractère personnel sont contractuellement établies. Dans le cadre d une solution de type «Cloud Computing», la politique de sécurité y relative (ISMS.0050) précise que le choix dans une telle situation est limité uniquement à des services cloud «communautaire» (ou «privé»). 51
52 16. Gestion d incidents relatifs à la sécurité de l information 16.1 Incidents majeurs Veiller à ce que le service de Sécurité de l information soit informé, par le service responsable, des incidents majeurs susceptibles de compromettre la sécurité de l information et des mesures prises pour faire face à ces incidents S'assurer que la BCSS soit informé de tout incident de sécurité classifié "Majeur" suivant la politique générale de remontée d'incident sécurité établie au sein de la sécurité sociale. 52
53 17. Gestion de la continuité 17.1 Gestion de la continuité élaborer, tester et maintenir un plan de continuité basé sur une analyse des risques, afin d assurer la mission de l organisation dans le cadre de la sécurité sociale Redondances prévoir un centre de migration informatique et/ou une infrastructure redondante informatique en cas de catastrophe totale ou partielle. 53
54 18. Conformité 18.1 Audit externe entreprendre périodiquement un audit de conformité relatif à la situation de la sécurité telle que circonscrite par les normes minimales. 54
55 Révisions Les normes minimales de sécurité sont susceptibles d'être revisées. Tâche du groupe de travail Sécurité de l'information du Comité général de coordination Dernière normes minimales de sécurité entrées en vigueur : 1er janvier 2015 Adaptées et rendues conformes à la numérotation du standard ISO 27002:2013, aux recommandations du Comité sectoriel du Registre national et aux dernières modifications de la loi organique de la Banque Carrefour Approuvées par le Comité de gestion de la BCSS Le nouveau questionnaire a été envoyé pour la première fois en janvier
56 Sanctions En cas de non-respect de ces normes minimales, l'institution de sécurité sociale concernée peut se voir interdire, après mise en demeure, l'accès au réseau conformément à l'article 46, alinéa premier, 1, de la loi organique de la Banque Carrefour. Les institutions qui souhaitent s intégrer au réseau de la Banque Carrefour doivent disposer d un plan pluriannuel actualisé mentionnant les mesures permettant de satisfaire aux normes minimales. 56
57 Questions?
58 MERCI! QUESTIONS? Patrick Bochart conseiller en sécurité de l Information Banque Carrefour de la Sécurité Sociale security@ksz-bcss.fgov.be 58
Politique d'utilisation des dispositifs mobiles
ISMS (Information Security Management System) Politique d'utilisation des dispositifs mobiles Version control please always check if you are using the latest version. Doc. Ref. :isms.0046.politique utililisation
Plus en détailISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)
ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) P 1 1 Définition de la sécurité de l'information L'information est une ressource qui,
Plus en détailAccès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005
ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel
Plus en détailRelease Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014
ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing
Plus en détailISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie 1.0 25/06/2008
ISMS (Information Security Management System) Politique d accès à distance au réseau interne d une institution en utilisant la solution VPN Smals. Politique technique pour les institutions clientes et
Plus en détailL utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes
L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...
Plus en détailPolitique de sécurité de l actif informationnel
TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité
Plus en détailMV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Plus en détailComité sectoriel de la sécurité sociale et de la santé Section «sécurité sociale»
Comité sectoriel de la sécurité sociale et de la santé Section «sécurité sociale» CSSS/14/061 DÉLIBÉRATION N 14/027 DU 6 MAI 2014 RELATIVE À L'ACCÈS À LA BANQUE DE DONNÉES "DÉCLARATION DE TRAVAUX" AU PROFIT
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détailSecurité de l information :
Information Security Guidlines Securité de l information : (Politique:2013.0020) Responsabilité de l utilisateur final à propos de la politique " du bureau propre et de l écran vide" Version control please
Plus en détailGuide de bonnes pratiques de sécurisation du système d information des cliniques
Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,
Plus en détailComité sectoriel de la sécurité sociale et de la santé Section Santé
Comité sectoriel de la sécurité sociale et de la santé Section Santé CSSSS/14/032 DÉLIBÉRATION N 14/016 DU 18 FÉVRIER 2014 PORTANT SUR LE RÈGLEMENT DU PARTAGE DE DONNÉES DE SANTÉ ENTRE LES SYSTÈMES DE
Plus en détailExplication des normes minimales de sécurité. Bavo Van den Heuvel Cellule Sécurité SPP Intégration sociale 12 janvier 2005 v1.4
Explication des normes minimales de sécurité Bavo Van den Heuvel Cellule Sécurité SPP Intégration sociale 12 janvier 2005 v1.4 Programme de la journée 9h-12h: 1re partie sur les normes minimales de sécurité
Plus en détailISO 17799 la norme de la sécurité de l'information
ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.
Plus en détailISO/CEI 27001:2005 ISMS -Information Security Management System
ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailQu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Plus en détaildonnées à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;
1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de
Plus en détailComité sectoriel de la sécurité sociale et de la santé Section sécurité sociale
Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/14/087 DÉLIBÉRATION N 14/042 DU 3 JUIN 2014 RELATIVE À L ÉCHANGE DE DONNÉES À CARACTÈRE PERSONNEL ENTRE L'OFFICE NATIONAL
Plus en détailRECUEIL POLITIQUE DES
RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) Adoptée par le Conseil d'administration
Plus en détailPolitique de sécurité de l information
5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des
Plus en détailSolutions informatiques (SI) Semestre 1
Solutions informatiques (SI) Cette unité vise l acquisition de compétences générales à partir desquelles sont construites les compétences propres aux parcours de spécialisation. Elle comprend, d une part,
Plus en détailStratégie nationale en matière de cyber sécurité
Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l
Plus en détailComité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»
Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» SCSZ/09/042 DELIBERATION N 09/030 DU 5 MAI 2009 RELATIVE A LA COMMUNICATION DE DONNEES A CARACTERE PERSONNEL PAR LA BANQUE
Plus en détailLe contrat Cloud : plus simple et plus dangereux
11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin
Plus en détailRecommandations sur le Cloud computing
Recommandations sur le Cloud computing EuroCloud, Paris, 25 septembre 2012 Didier GASSE, membre de la Commission nationale de l informatique et des libertés Myriam GUFFLET, Juriste au Service des affaires
Plus en détailContractualiser la sécurité du cloud computing
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Club EBIOS, 11 décembre 2012 Contractualiser la sécurité du cloud
Plus en détailComprendre ITIL 2011
Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Extrait 54 Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000
Plus en détailRESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien
BANQUE DE LA REPUBLIQUE DU BURUNDI SERVICE SUPERVISION DES ETABLISSEMENTS BANCAIRES ET STABILITE FINANCIERE INSTITUTION: DATE DE CONTROLE: SUPERVISEUR : PERSONNES INTERROGEES : RESUME DES CONCLUSIONS SUR
Plus en détailMise en place d une politique de sécurité
Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec
Plus en détailCompte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI
Compte rendu de recherche de Websense Prévention de la perte de données et conformité PCI Normes de sécurité des cartes de crédit Plus d une décennie après l avènement du commerce électronique, beaucoup
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailCahier des Clauses Techniques Particulières. Convergence Voix - Données
Cahier des Clauses Techniques Particulières Convergence Voix - Données SOMMAIRE - Objet du document et du marché - Contexte et périmètre du projet - Configurations existantes et besoins - Services attendus
Plus en détailRéponse standard pour les demandes d'information. Sécurité et Respect de la vie privée
Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée Version Française 2012 Dédit de responsabilité Les informations contenues dans ce document représentent la vision de
Plus en détailCode de conduite Zoomit
Code de conduite Zoomit Dans ce document : 1. Objectif 2. Champ d application 3. Qu est-ce que Zoomit et quelles parties sont concernées? 4. Organisation, contrôle et informations complémentaires 5. Sécurité
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailComité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»
Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/134 AVIS N 09/23 DU 6 OCTOBRE 2009, MODIFIÉ LE 9 NOVEMBRE 2010, CONCERNANT LA DEMANDE DE L INSTITUT NATIONAL D
Plus en détailSymantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web
Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé
Plus en détailPREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL
PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL N 32/6.08 DEMANDE D'UN CREDIT DE CHF 40'000.00 POUR UN AUDIT GLOBAL DE SECURITE INFORMATIQUE, POUR L ETABLISSEMENT D UNE POLITIQUE DE SECURITE ET POUR UNE
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailLes principes de la sécurité
Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes
Plus en détailFiche de l'awt La sécurité informatique
Fiche de l'awt La sécurité informatique La sécurité informatique est essentielle pour l'entreprise, particulièrement dans le contexte de l'ebusiness: définition, dangers, coûts, outils disponibles Créée
Plus en détailComité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»
Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/101 AVIS N 10/21 DU 7 SEPTEMBRE 2010 CONCERNANT LA DEMANDE DU MINISTRE DES AFFAIRES SOCIALES RELATIVE AU PROTOCOLE,
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailcurité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailSécurité informatique : règles et pratiques
Sécurité informatique : règles et pratiques Dominique PRESENT I.U.T. de Marne la Vallée Construire une politique de sécurité : 12 thèmes Règles et pratiques : premières procédures à mettre en place basées
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détailCatalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4
Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à
Plus en détailANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES
PPB-2006-8-1-CPA ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES Introduction 0. Base légale 1. Le contrôle interne 1.1. Définition et éléments constitutifs 1.2. Mesures
Plus en détailPolitique d utilisation acceptable des données et des technologies de l information
Politique d utilisation acceptable des données et des technologies de l information Connexion région du Grand Toronto (ConnexionRGT) Version 1.0 Avis de droit d auteur cybersanté Ontario, 2014. Tous droits
Plus en détailJOURNÉE THÉMATIQUE SUR LES RISQUES
Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Plus en détailL impact d un incident de sécurité pour le citoyen et l entreprise
L impact d un incident de sécurité pour le citoyen et l entreprise M e Jean Chartier Président Carrefour de l industrie de la sécurité 21 octobre 2013 - La Malbaie (Québec) Présentation générale La Commission
Plus en détailBrève étude de la norme ISO/IEC 27003
RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr
Plus en détailContrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec
Contrôles informatiques dans le cadre de l audit l des états financiers Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec 1 Objectifs de la présentation Identifier le rôle de
Plus en détailLa sécurité IT - Une précaution vitale pour votre entreprise
Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien
Plus en détailPré-requis Diplôme Foundation Certificate in IT Service Management.
Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d
Plus en détailAudit du PCA de la Supply Chain en conformité avec la norme ISO 22318 GUIDE ADENIUM BUSINESS CONTINUITY
GUIDE ADENIUM BUSINESS CONTINUITY 2015 Audit du PCA de la Supply Chain en conformité avec la norme ISO 22318 Adenium SAS www.adenium.fr +33 (0)1 [Texte] 40 33 76 88 adenium@adenium.fr [Texte] Sommaire
Plus en détailLes clauses sécurité dans un contrat de cloud
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Openday 23 juin 2011 Les clauses sécurité dans un contrat de cloud
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailComité sectoriel de la sécurité sociale et de la santé Section Sécurité sociale
Comité sectoriel de la sécurité sociale et de la santé Section Sécurité sociale CSSS/11/025 DÉLIBÉRATION N 11/020 DU 1 ER MARS 2011 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL DE LA BANQUE
Plus en détailConvention Beobank Online et Beobank Mobile
Convention Beobank Online et Beobank Mobile Lisez attentivement cette Convention ("la Convention"). Lisez en tout cas la Section 1 - Conditions générales Beobank Online et Beobank Mobile. Ces conditions
Plus en détailConcepts et définitions
Division des industries de service Enquête annuelle sur le développement de logiciels et les services informatiques, 2002 Concepts et définitions English on reverse Les définitions qui suivent portent
Plus en détailASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES
ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée
Plus en détailCONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.
CONDITIONS PARTICULIERES SOLUTIONS CLOUD VERSION GAMMA Dernière version en date du 06/12/2011 Définitions : API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détail2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3
VERSION V0.3 Guide Pratique Règles de sauvegarde des Systèmes d Information de Santé (SIS) Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Juillet 2014 MINISTÈRE DES AFFAIRES
Plus en détailCONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 3 novembre 2009
OVH CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE Dernière version en date du 3 novembre 2009 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales de
Plus en détailLIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS
LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.
Plus en détailSécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC
Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................
Plus en détailCDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM
CDROM L amélioration continue de la gestion des risques René FELL Ingénieur HES en informatique Administrateur chez CDROM CDROM en quelques mots Le Centre de Données Romand est situé au Noirmont, à 1000
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailITIL Examen Fondation
ITIL Examen Fondation Échantillon d examen B, version 5.1 Choix multiples Instructions 1. Essayez de répondre aux 40 questions. 2. Vos réponses doivent être inscrites sur la grille de réponses fournie.
Plus en détailCatalogue Audit «Test Intrusion»
Catalogue Audit «Test Intrusion» Ne plus imaginer son niveau de sécurité : Le mesurer! À CHACUN SON APPROCHE! 1. par un «Scénario» L objectif est de réaliser un scénario d attaque concret de son Système
Plus en détailLes bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques
Atelier EBG - mardi 16 mars 2010 Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques Cathie-Rosalie JOLY Avocat au barreau de Paris Docteur en droit Cabinet ULYS http://www.ulys.net
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailREGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière
Plus en détailLa sécurité des données hébergées dans le Cloud
Conférence IDC Cloud Computing 2012 La sécurité des données hébergées dans le Cloud 25/01/2012 Patrick CHAMBET Responsable du Centre de Sécurité C2S, Groupe Bouygues Planning Quelques rappels Vue simplifiée
Plus en détailDDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations
DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailFiche de projet pour les institutions publiques
POLITIQUE SCIENTIFIQUE FEDERALE rue de la Science 8 B-1000 BRUXELLES Tél. 02 238 34 11 Fax 02 230 59 12 www.belspo.be Fiche de projet pour les institutions publiques Cette fiche est remplie par une institution
Plus en détailGestion du risque numérique
Gestion du risque numérique Auguste DIOP Arnaud PRINCE AGBODJAN TALENTYS www.talentys.ci 2ème édition des Journées de l Entreprise Numérique, 9 & 10 avril 2015 Qui sommes-nous? Fondée en 2007, TALENTYS
Plus en détailBUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final
Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. BUREAU DU CONSEIL
Plus en détailAgenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions
Agenda Le marché global entourant l infonuagique Le Cloud vs le Gouvernement du Québec Position officielle Communauté Européenne Approche globale entourant la sécurité Centre de traitement Sécurité Conformité
Plus en détailFiche méthodologique Rédiger un cahier des charges
Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,
Plus en détailPolitique de sécurité des actifs informationnels
Direction des ressources humaines, de l information et de la planification Politique de sécurité des actifs informationnels Le 6 juin 2006 Version 1.4 HISTORIQUE DES CHANGEMENTS Version Date Auteur Changements
Plus en détailJusqu où aller dans la sécurité des systèmes d information?
Jusqu où aller dans la sécurité des systèmes d information? Jacqueline Reigner dr ès sciences bio-médicale Experte en sécurité informatique Directrice de Sémafor Conseil SA à Pully / Lausanne, Genève et
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailOutils et moyens pour implanter la continuité des opérations dans votre organisation
Outils et moyens pour implanter la continuité des opérations dans votre organisation Colloque sur la sécurité civile, 15 février 2012 Mariette Trottier Ministère du Développement économique, de l Innovation
Plus en détailCHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.
DQ- Version 1 SSR Saint-Christophe CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES. I] INTRODUCTION L emploi des nouvelles technologies nécessite l application
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailFormation «Système de gestion des documents d activité (SGDA)»
Formation «Système de gestion des documents d activité (SGDA)» **** Norme principale : - ISO 3030X : Système de gestion des documents d activité (SGDA) ; Normes Connexes : - ISO 15489 : Records Management
Plus en détailComité sectoriel de la sécurité sociale et de la santé Section sécurité sociale
Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/14/182 DELIBERATION N 13/084 DU 3 SEPTEMBRE 2013, MODIFIEE LE 5 NOVEMBRE 2013 ET LE 4 NOVEMBRE 2014, RELATIVE A LA COMMUNICATION
Plus en détailPolitique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information
Politique de sécurité de l information et des technologies Direction des systèmes et technologies de l information Adoptée par le conseil d administration le 17 février 2015 Responsable Document préparé
Plus en détailMEYER & Partenaires Conseils en Propriété Industrielle
Alexandre NAPPEY Conseil en Propriété Industrielle Carole FRANCO Juriste TIC Département Multimédia Aspects juridiques du Cloud Computing INTRODUCTION une infrastructure virtuelle et partagée obtenue à
Plus en détail