Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014"

Transcription

1 ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing policy.fr.v.1.00 Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014 Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes : messieurs Houbaille(BCSS), Costrop (Smals), Petit (FMP), Perot (ONSS), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI). Mais aussi, ceux du groupe de travail de FEDICT

2 TABLE DES MATIERES Politique de sécurité relative à des services de Cloud INTRODUCTION... 3 PORTEE... 3 OBJECTIF... 3 RISQUES LIES AU «CLOUD»... 3 POLITIQUE DIRECTIVES GÉNÉRALES GARANTIE DE MISE EN ŒUVRE PAR LE PRESTATAIRE RESPECT DES BONNES PRATIQUES PAR LE PRESTATAIRE DE SERVICE RESPECT DES OBLIGATIONS LEGALES ET TECHNIQUES DANS LE CAS DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL... 8 ANNEXE : L EXTERNALISATION IT DIFFÈRE-T-ELLE DU «CLOUD COMPUTING»? MODÈLES «CLOUD COMPUTING» AVANT UN DÉPLACEMENT VERS UNE INFRASTRUCTURE «CLOUD COMPUTING»... 9 REFERENCES:...10 P 2

3 1. Introduction Le but de ce document est d établir les exigences de sécurité lorsqu une institution de la sécurité sociale envisage de recourir à un service «Cloud». A cette occasion, Il est important de s assurer que le prestataire du «Cloud» offre des garanties suffisantes en matière de protection des données, de respect de la loi de la vie privée mais aussi au niveau de la pérennité des données et des considérations juridiques et techniques de réalisation des prestations. Dans le cadre de cette politique, la notion de «Cloud» regroupe les services «cloud» comme défini par l organisme NIST 1 mais aussi toute activité d externalisation IT. En effet, les services «cloud» sont uniquement des solutions informatiques externalisées qui combinent espace de stockage flexible et accessibilité des données du monde entier (voir annexe 6.1 : L externalisation IT diffère-t-elle du «Cloud»?). 2. Portée La présente politique s adresse aux institutions de la sécurité sociale traitant des données confidentielles 2 qui souhaitent faire appel à des prestataires de service «Cloud». 3. Objectif Cette politique de sécurité poursuit l objectif d établir les exigences minimales de sécurité technique et juridique ainsi que les garanties contractuelles lorsqu une institution envisage d avoir recours à des prestations de services de «Cloud». Il est à ce titre nécessaire que le prestataire du «Cloud» offre des garanties suffisantes quant au respect des conditions contractuelles, d encadrement des transferts, de sécurité des données et de la protection de la vie privée afin de s assurer de la qualité attendue du service. 4. Risques liés au «Cloud» Le passage au «Cloud» demande une approche rigoureuse de gestion des risques de sécurité technique, contractuelle et juridique. En effet, l institution qui envisage de recourir à un prestataire de service «Cloud» doit s assurer que celui-ci est capable de mettre en œuvre les mesures de sécurité appropriées afin de se protéger contre les risques propres au Cloud, liés aux traitements informatiques traditionnels et à ceux plus particulièrement pertinents envers la protection des données personnelles. Les principaux risques identifiés à ce sujet sont : la perte de gouvernance sur le traitement; risques liées aux sous-traitants du prestataire, par exemple une faille dans la chaîne de sous-traitance dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir un service; la dépendance technologique, vis-à-vis du fournisseur de «Cloud», par exemple, le risque de perdre des données lors de la migration vers un autre fournisseur ou une solution interne; une faille dans l isolation des données, c est-à-dire le risque que les données hébergées sur un système (virtualisé) ne soient plus isolées et puissent être modifiées ou rendues accessibles à des tiers non autorisés, suite à une défaillance ou à une mauvaise gestion du prestataire; l exécution de réquisitions judiciaires sur base de droit étranger sans concertation avec les autorités nationales; 1 National Institute of Standards & Technologie 2 On qualifie dans cette politique la donnée confidentielle comme étant toute donnée à caractère non public. P 3

4 le non-respect des règles de conservation et de destruction des données édictées par l institution e.a. suite à une destruction ineffective ou non sécurisée des données, ou une durée de conservation trop longue ; des problèmes de gestion des droits d accès; l indisponibilité du service fourni par le prestataire; la fermeture du service du prestataire (e.g. par suite d une décision judiciaire ou la reprise du prestataire par un tiers ou lors d une faillite); la non-conformité avec la législation, notamment sur les transferts internationaux. Une liste élargie, non-exhaustive de 35 risques fournie par l ENISA 3 peut être pris en considération dans le cadre d une analyse de risque lorsque le cadre du projet a été défini. 5. Politique 5.1. Directives générales Avant d envisager le recours au Cloud, l institution responsable de traitement doit clairement identifier les données, traitements ou services qui pourraient être hébergés dans le Cloud et déterminer le retour sur investissement en tenant compte, notamment de l application des contraintes de sécurité. Dans le cas où la classification des données l exige, l institution responsable doit identifier les conditions minimales ou restrictions à leur transfert. Suivant la loi du 15 août 2012 relative à la création et à l organisation d un intégrateur de services, la définition de la sécurité de l information ne couvre pas seulement les données à caractère personnel mais toutes les données. Dans ce contexte, les données doivent être inventoriées et classifiées selon leur degré de criticité suivant le modèle de classification de données en vigueur au sein de l organisme. Il est impératif d identifier le type de Cloud pertinent pour le traitement envisagé suivant les offres actuelles de «Cloud» (voir annexe 6.2). Il est indispensable de définir ses propres exigences de sécurité technique et juridique. En effet, si le but du Cloud est de décharger l institution de certaines tâches opérationnelles, il faut s assurer a priori que le prestataire suit un niveau d exigence au moins égal à celui demandé à l institution. Pour les données et les traitements «métier», l institution doit particulièrement s assurer de la réversibilité 4 et d un niveau de disponibilité suffisant. Suivant le périmètre du projet, la criticité des actifs (en termes de disponibilité, d intégrité et de confidentialité) et au regard du modèle attendu de «Cloud», l organisme doit conduire une analyse de risques afin d être en mesure de définir les mesures de sécurité appropriées à exiger du prestataire. 3 Agence Européenne chargée de la sécurité des réseaux et de l'information, rapport disponible à l adresse suivante : 4 Définition: La réversibilité est la possibilité de revenir à une situation ou à une organisation antérieure viable. Elle permet d'éviter une situation de blocage sans possibilité de retour ou de dépendance à l'égard d'un prestataire unique. P 4

5 5.2. Garantie de mise en œuvre par le prestataire Politique de sécurité relative à des services de Cloud Toute institution de la sécurité sociale qui envisage de traiter des données confidentielles dans un «cloud» géré par un prestataire de service doit veiller aux garanties contractuelles suivantes : 1. Clause relative à la possibilité pour un prestataire de service «cloud» de sous-traiter une partie de ses activités. Le prestataire de service reste le seul responsable vis-à-vis de l institution de l exécution de ses obligations donc aussi dans le cas où il sous-traite certaines de ses activités. Dans la perspective où certaines tâches particulières puissent être attribuées à des soustraitants, le contrat doit stipuler que le prestataire «cloud» en informe l institution et s engage à reporter formellement toutes les obligations qui lui incombent dans les engagements qu il contactera avec ses sous-traitants. Le prestataire devra également s'assurer que ces engagements sont respectés par ses soustraitants en effectuant les contrôles nécessaires ; les conditions d exécution de ces contrôles doivent être prévues dans le contrat. 2. Clause relative à l intégrité, la continuité et la qualité de service Le prestataire doit disposer et mettre en œuvre tous les dispositifs assurant la conservation et l intégrité des informations traitées durant la durée du contrat tels que des systèmes de sauvegarde. Un engagement de niveau de service (SLA) doit être formalisé dans un accord annexé au contrat entre l institution et le prestataire de service «cloud» ; y sont spécifiés, y compris pendant la période de garantie, la disponibilité de service et le délai maximum de redémarrage en cas d interruption après accident et tous autres critères relatifs à la reprise des activités (RTO et RPO) 5. De même, le détail des mesures permettant la continuité de service doit être fourni dans l accord de niveau de service (SLA) annexé au contrat. 3. Clause relative à l assurance de restitution des données. Le prestataire s engage à ne pas conserver les données de l institution au-delà de la durée de conservation fixée en concertation avec l institution. En cas de rupture anticipée ou en fin de prestation, le prestataire s engage à la restitution de l intégralité des données de l institution dans un mode et un délai convenu, sur base d un format conventionnel, structuré et couramment utilisé afin que l institution puisse assurer la continuité de son service. Une fois la restitution effectuée et avec l accord de l institution, le prestataire de service s engage à détruire de façon sécurisée toutes les copies des données en sa possession, y compris les backups et archives dans un délai raisonnable et à apporter la preuve de la destruction. 4. Clause sur la garantie de portabilité des données et l interopérabilité des systèmes. En fin de prestation, le prestataire s engage à fournir, à des conditions convenues dans le contrat, l aide nécessaire à la migration des traitements opérés de son «cloud» vers une autre solution. 5. Clause sur les règles d audits Le prestataire s engage à autoriser les audits demandés par l institution, à collaborer étroitement et à traiter les déficiences observées le plus rapidement possible. Ces audits peuvent être effectués par un tiers de confiance. 5 RTO (Recovery Time Objective): Durée maximale d interruption admissible RPO (Recovery Point Objective): Perte de données maximale admissible. P 5

6 Les audits doivent permettre l analyse du respect du contrat et des règles de sécurité en application dans cette politique ou encore l analyse de conformité, au regard notamment des bonnes pratiques recommandées par des organismes internationaux (ISO p.ex). L audit doit aussi permettre de s assurer que les mesures de sécurité relatives à la confidentialité, la disponibilité, la traçabilité et l intégrité des données mises en place ne peuvent être contournées sans que l institution n en soit avisée. En cas de sous-traitance, totale ou partielle, le prestataire impose à ses sous-traitants des clauses qui garantissent le droit de l institution d effectuer ces audits dans le respect des règles qui précèdent. 6. Clause sur les obligations du prestataire en matière de confidentialité des données: Le prestataire doit s engager, pour lui, ses sous-traitants et éventuels repreneurs, à ne pas utiliser ou divulguer les données pour son propre compte ou celui d un tiers. Il doit s engager à protéger et tenir à la disposition de l institution toutes les traces d accès (nécessaires à déterminer qui a fait quoi et quand) aux données, outils d administration et applicatifs, et ce pendant une durée déterminée contractuellement. Il doit informer l institution de toute anomalie qu il détectera dans ces traces de connexion telle que des tentatives d accès de personnes non-autorisées. Le prestataire doit informer immédiatement l institution de toute enquête ou demande d enquête provenant d une autorité administrative ou judiciaire belge ou étrangère. 7. Clause sur la souveraineté Le prestataire doit fournir à l institution l'assurance que ni lui, ni ses éventuels soustraitants ne sont pas assujettis à des requêtes d'autorités étrangères à la Belgique ou à l Union européenne. 8. Clause sur les obligations du prestataire en matière de sécurité des données Le fournisseur de service «Cloud» est tenu au respect des bonnes pratiques telles que celles mentionnées dans les normes minimales de la sécurité sociale ou dans d autres standards comme les normes de la série ISO Le prestataire doit fournir à l institution la politique de sécurité des systèmes d information qu il a mise en place et doit l informer des évolutions de cette politique. Le fournisseur est tenu de communiquer à l institution l identité de son responsable de la gestion de la sécurité. Le fournisseur est appelé à fournir de façon régulière à l institution une évaluation sur le maintien des exigences de sécurité (ceci peut se faire au travers du SLA conclu entre les deux parties) Respect des bonnes pratiques par le prestataire de service Les bonnes pratiques mentionnées ci-joint constituent une liste minimale et non-exhaustive de mesures de sécurité que le prestataire de service «Cloud» est dans l obligation de respecter. De plus, l analyse de risque exécutée par l institution peut donner lieu à des mesures de sécurité complémentaires. En outre, suivant le modèle de «cloud», la responsabilité de la gestion des mesures de sécurité doit être clairement définie. En matière de protection de données, on peut définir cinq domaines où les bonnes pratiques doivent être mises en place. Les données confidentielles: le prestataire doit mettre en œuvre, de façon cohérente, les processus en matière de sécurité, gestion du personnel, inventaire, qualification et traçabilité des données, P 6

7 Les centres de calcul : le prestataire doit disposer d une gestion de la sécurité des accès physiques aux centres de calcul ainsi des dispositifs techniques assurant la protection contre les menaces extérieures et environnementales (incendie, inondation, panne de courant, etc..), La sécurité des accès logiques : le prestataire doit disposer de contrôles d accès logique en adéquation avec la criticité des données, La sécurité des systèmes : le prestataire doit disposer de systèmes configurés et protégés, La sécurité du réseau : le prestataire doit disposer d un réseau sécurisé avec un isolement approprié envers les tiers. 1. Protection des données : Le prestataire assure que la localisation des données confidentielles ou non, propriétés de l institution, est connue et conforme aux exigences de l institution (Centre de calcul, serveurs, etc ); les systèmes de sauvegardes, de restaurations et plan de secours informatiques associés sont mis en œuvre et testés périodiquement; il dispose d un code d éthique appliqué par et à son personnel et ses éventuels sous-traitants. Il n exerce et n exercera pas d activités pouvant entrainer un risque de conflit d intérêts; son personnel est régulièrement sensibilisé à la sécurité; il dispose de moyens de traçabilité permettant de détecter des violations de privilèges ou des comportements malveillants; il dispose d une gestion des incidents de sécurité incluant la détection, l alerte, le traitement jusqu à la résolution, identification des causes et la communication à l institution. 2. Sécurité des centres de calcul Le prestataire assure que il dispose de systèmes de contrôle d accès physiques sécurisés, de détection d intrusion, d incendie, d inondations et de vidéo surveillance; les accès aux centre de calculs sont autorisés aux seules personnes habilitées, ils sont tracés et revus régulièrement; tout sous-traitant est soumis à des clauses contractuelles de confidentialité (notamment pour la maintenance des systèmes contenant des données confidentielles); tout media de stockage de données contenant des données confidentielles et destiné à être réaffecté, mis au rebus ou recyclé fait l objet d un effacement adéquat préalable. 3. Sécurité des accès logiques Le prestataire assure que il applique les règles d autorisation d accès aux données en fonction des éléments communiqués par l institution (consultation, création, modification et suppression); les accès des utilisateurs et administrateurs aux systèmes contenant des données confidentielles s appuient sur des mécanismes assurant la confidentialité et la traçabilité (e.g. pistes d audit sur les accès aux données, sur la problématique des comptes génériques); il applique une politique d authentification conforme à celle de l institution. 4. Sécurité des systèmes Le prestataire assure que les données sauvegardées, quel que soit le support, sont chiffrées au moyen d un dispositif adéquat (algorithme, longueur de clef, ) en fonction du modèle «cloud» choisi et si l institution juge cette mesure adéquate; il gère les vulnérabilités des systèmes et organise au moins annuellement des tests d intrusion, les vulnérabilités critiques identifiées sont corrigées immédiatement; P 7

8 les serveurs hébergeant les données confidentielles sont configurés avec un niveau de sécurité renforcé; les patchs de sécurité sont gérés de façon centralisée, testés préalablement et appliqués dans des délais raisonnables et en fonction de leur criticité; les anti-malware sont installés sur les serveurs, les postes de travail, tenus à jour et supervisés; l usage des clés USB et autres medias de stockage mobiles est géré et contrôlé; les processus et pratiques de gestion des risques, de gestion des incidents et de gestion du changement sont mis en œuvre et correctement documentés. 5. Sécurité des accès au réseau Le prestataire assure que : les accès au réseau sont limités, sécurisés et filtrés; les tâches d administration des systèmes sont opérées depuis un réseau d administration sécurisé; dédié et isolé en se connectant avec des mécanismes d authentification forte; les changements au niveau des équipements réseau sont préalablement approuvés, tracés, et documentés; dans le cas d un service «Cloud computing» partagé: o o l accès au réseau est autorisé uniquement à des terminaux de confiance; le réseau sur lequel sont connectés les systèmes hébergeant les données confidentielles est isolé du réseau des autres institutions Respect des obligations légales et techniques dans le cas de traitement de données à caractère personnel 6 Avant d avoir recours au «cloud computing», toute institution doit évaluer l impact en ce qui concerne la sécurité et la confidentialité du traitement et le stockage de données à caractère personnel dans le cloud. Suivant le seuil de sensibilité des données définie par l institution et l analyse d impact s y référant, l institution sera contrainte d abandonner l utilisation d un prestataire de service «cloud computing». Autrement, les règles suivantes sont d application: en fonction du secteur d activité toute institution doit outre l ensemble de la législation belge et européenne prendre en compte également la législation spécifique à son secteur; l institution doit toujours veiller au respect des règles de protection des données à caractère personnel (loi de la protection vie privée 7 ) lors du traitement de telles données dans un service de type «cloud». Dans ce cadre, l institution propriétaire des données sera toujours tenue responsable du bon respect des règles de protection des données à caractère personnel; en cas d infogérance de données à caractère personnel, le choix du prestataire de service «cloud computing» par l institution se limite à des prestataires qui offrent uniquement des services cloud «communautaire» (ou «privé»); Sauf dérogation, toute externalisation de données à caractère personnel nécessite un chiffrement des données durant le transfert et pour le stockage. Les moyens de chiffrement doivent toujours rester sous le contrôle de l institution en termes de gestion et ne peuvent pas être sous-traités. 6 Les données à caractère personnel incluent aussi les données médicales, sociales ou à caractère privé suivant la classification des données en vigueur à la sécurité sociale. 7 P 8

9 6. Annexe : 6.1. L externalisation IT diffère-t-elle du «Cloud»? La réponse est non en termes d exigences sécuritaires. En effet, l externalisation est la méthode bien connue selon laquelle une tierce partie prend en charge une ou plusieurs fonctions de l entreprise, pour laquelle (lesquelles) on manque souvent de ressources (temps, expertise). Cette externalisation peut aller jusqu au stockage des données et des systèmes de traitement. Le «Cloud» est la résultante de l évolution de l externalisation IT. En effet, l arrivée à maturité de technologies de virtualisation et la généralisation de l accès au réseau à très haut débit ont ouvert les portes à l utilisation flexible et à la demande des ressources informatiques importantes et possiblement délocalisées: c est l essence du «Cloud». Dans ce cadre, cette politique de sécurité peut aussi être prise en considération dans toutes activités d externalisation IT Modèles «Cloud» Les offres actuelles«cloud» peuvent être classées selon trois modèles de service et quatre modèles de déploiement. Les modèles de services sont les suivants o SaaS: «Software as a Service», c est-à-dire la fourniture de logiciel en ligne; o PaaS: «Platform as a Service», c est-à-dire la fourniture d une plateforme de développement d applications en ligne; o IaaS : «Infrastructure as a Service», c est-à-dire la fourniture d infrastructures de calcul et de stockage en ligne. Les modèles de déploiement sont les suivants : o «Public» : L infrastructure est accessible à un large public et appartient à un fournisseur de «Cloud», dans ce cadre un service est partagé et mutualisé entre de nombreux clients; o «Privé» : l infrastructure Cloud fonctionne pour une organisation unique, elle peut être gérée par l organisation elle-même (Cloud Privé interne) ou par un tiers (Cloud Privé externe); o «Communautaire»: est une infrastructure partagée par plusieurs organisations qui ont des intérêts communs ou des contraintes (légales, ) identiques. Comme le cloud Privé, il peut être géré par les organisations elles-mêmes ou par un tiers; o «Hybride» : c est une infrastructure se composant de deux clouds ou plus (Privé, communautaire ou Public), qui restent des entités uniques, mais qui sont liées par une technologie normalisées ou propriétaire, permettant la portabilité des données ou des applications Avant un déplacement vers une infrastructure «Cloud» Préparer une analyse de rentabilité et évaluer les coûts et les bénéfices relatifs à un déplacement vers un fournisseur de «Cloud». Identifier et classifier les actifs (informations, applications, processus) qui sont considérés dans le champ d application du «Cloud». Impliquer les personnes clés de l organisation (légale, Sécurité, finance, etc.) durant le processus de décision de la migration vers un service de «Cloud» avant de prendre une décision. Examiner en profondeur le design et les exigences de la solution proposée par le candidat pour le transfert vers le «Cloud» et aussi demander que le fournisseur de service «Cloud» de prévoir une période de test afin d identifier des problèmes potentiels. P 9

10 7. Références: les normes ISO 27001, ISO Avis et recommandations de la CPVP 8, référence : SA2/DOS , ISACA publication: Security considerations for cloud computing, ISBN: , Recommandations du CNIL 9 : Recommandations pour les entreprises qui envisagent de souscrire à des services de «Cloud» 8 Commission de Protection de la Vie Privée, 9 Commission Nationale de l Informatique et des libertés, P 10

Politique d'utilisation des dispositifs mobiles

Politique d'utilisation des dispositifs mobiles ISMS (Information Security Management System) Politique d'utilisation des dispositifs mobiles Version control please always check if you are using the latest version. Doc. Ref. :isms.0046.politique utililisation

Plus en détail

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10 ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) 2015 Version control please always check if you re using the latest version Doc. Ref.

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie 1.0 25/06/2008

ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie 1.0 25/06/2008 ISMS (Information Security Management System) Politique d accès à distance au réseau interne d une institution en utilisant la solution VPN Smals. Politique technique pour les institutions clientes et

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Sécurité des ordinateurs portables

Sécurité des ordinateurs portables ISMS (Information Security Management System) Sécurité des ordinateurs portables 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.025.laptop Release Status Date

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Les clauses «sécurité» d'un contrat SaaS

Les clauses «sécurité» d'un contrat SaaS HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

Développez votre système d'information en toute simplicité

Développez votre système d'information en toute simplicité Développez votre système d'information en toute simplicité IT CONSULTING HOSTING as a service SR opérations SA Société suisse fondée en 2003, SR opérations SA est une filiale de SRF groupe SA. SR opérations

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

Release Status Date Written by Edited by Approved by FR_1.00 Draft xx/xx/xxxx

Release Status Date Written by Edited by Approved by FR_1.00 Draft xx/xx/xxxx ISMS (Information Security Management System) Principes de base du filtrage des flux entrants ou Version control please always check if you are using the latest version. Doc. Ref. :isms.049.principes de

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012 Évolutions de la norme NF EN ISO/CEI 17020 De la version 2005 à la version 2012 Plan de la présentation L intervention sera structurée suivant les 8 chapitres de la norme. Publiée le 1 er mars 2012, homologuée

Plus en détail

Calculs de coût. Université de Marne-la-Vallée 4/35 Laurent Wargon

Calculs de coût. Université de Marne-la-Vallée 4/35 Laurent Wargon Calculs de coût de Marne-la-Vallée 4/35 Laurent Wargon Budget du projet TCO Total cost of ownership coût total de possession ROI Return On Investment retour sur investissement OPEX Operational expenditure

Plus en détail

ISMS. Normes Minimales. Version 2011. (Information Security Management System)

ISMS. Normes Minimales. Version 2011. (Information Security Management System) ISMS Normes Minimales Version 2011 Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Bochart (BCSS), Costrop (Smals),

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Recommandations sur le Cloud computing

Recommandations sur le Cloud computing Recommandations sur le Cloud computing EuroCloud, Paris, 25 septembre 2012 Didier GASSE, membre de la Commission nationale de l informatique et des libertés Myriam GUFFLET, Juriste au Service des affaires

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Traitement des Données Personnelles 2012

Traitement des Données Personnelles 2012 5 ème Conférence Annuelle Traitement des Données Personnelles 2012 Paris, le 18 janvier 2012 Les enjeux de protection des données dans le CLOUD COMPUTING Xavier AUGUSTIN RSSI Patrick CHAMBET Architecte

Plus en détail

Outsourcing : questions juridiques

Outsourcing : questions juridiques Outsourcing : questions juridiques Etienne Wery Cabinet ULYS Avocat aux barreaux de Bruxelles et de Paris Chargé de cours à l'université www.ulys.net L auberge espagnole Notion issue de la pratique : pas

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Grand-Duché du Luxembourg

Grand-Duché du Luxembourg Version 2.0 16.06.2014 Page 1 de 20 Lignes directrices d audit de la règle technique d exigences et de mesures pour la certification des Prestataires de Services de Dématérialisation ou de Conservation

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

ISO 9001:2000. CHAPITRE par CHAPITRE

ISO 9001:2000. CHAPITRE par CHAPITRE ISO 9001:2000 PARTIE 2-3 CHAPITRE par CHAPITRE 9001:2000, domaine Satisfaction du client par la prévention des N.C. (ISO 9001:1994) Appliquer efficacement le système pour répondre aux besoins du client

Plus en détail

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System)

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System) ISMS Normes Minimales Version 2015 (ISO 27002:2013) Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Houbaille (BCSS),

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Cloud computing ET protection des données

Cloud computing ET protection des données Cloud computing ET protection des données Typologies du CLOUD Ce sont les solutions complètement gérées par la DSI. La DSI peut faire éventuellement appel à un prestataire (type infogérant) mais elle

Plus en détail

Etude des outils du Cloud Computing

Etude des outils du Cloud Computing Etude des outils du Cloud Computing Sommaire : Présentation générale.. 2 Définitions. 2 Avantage.. 2 Inconvénients. 3 Types d offres de service Cloud.. 3 Comparaison des services Cloud 4 Conclusion 5 Présentation

Plus en détail

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005 ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel

Plus en détail

Introduction à l ISO/IEC 17025:2005

Introduction à l ISO/IEC 17025:2005 Introduction à l ISO/IEC 17025:2005 Relation avec d autres normes de Management de la Qualité Formation Assurance Qualité LNCM, Rabat 27-29 Novembre 2007 Marta Miquel, EDQM-CoE 1 Histoire de l ISO/IEC

Plus en détail

Instruction administrative ICC/AI/2007/005 Date: 19/06/2007

Instruction administrative ICC/AI/2007/005 Date: 19/06/2007 Instruction administrative ICC/AI/2007/005 Date: 19/06/2007 SÉCURITÉ DES INFORMATIONS DANS LE CADRE DE L EXÉCUTION DE CONTRATS CONCLUS AVEC DES TIERCES PARTIES En application de la directive de la Présidence

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Objectif Cloud Une démarche pratique orientée services

Objectif Cloud Une démarche pratique orientée services Avant-propos 1. Au-delà de l'horizon 13 2. Remerciements 14 La notion de Cloud 1. Introduction 17 2. Le Cloud : un besoin repris dans un concept 19 3. Cloud : origine et définition 23 3.1 Modèles de déploiement

Plus en détail

COMPRENDRE LE CLOUD EN 10 DÉFINITIONS. www.cegid.fr

COMPRENDRE LE CLOUD EN 10 DÉFINITIONS. www.cegid.fr COMPRENDRE LE CLOUD EN 10 DÉFINITIONS www.cegid.fr Sommaire API... p. 3 Cloud Computing... p. 4 Cloud Hybride... p. 5 Cloud Privé vs Cloud Public... p. 6 DRaaS... p. 7 IaaS... p. 8 PaaS... p. 9 PCA...

Plus en détail

Décision de dispense de déclaration n 3

Décision de dispense de déclaration n 3 Délibération n 2005-003 du 13 janvier 2005 décidant la dispense de déclaration des traitements mis en œuvre par les organismes publics dans le cadre de la dématérialisation des marchés publics Décision

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

Ce que dit la norme 2009

Ce que dit la norme 2009 Mettre en œuvre un système d archivage électronique : les apports de la norme révisée Ce que dit la norme 2009 Formation APROGED 2009 1 Domaine d application de la norme Politique et pratiques d archivage

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Administrateur (trice) / Gestionnaire de systèmes et réseaux informatiques

REFERENTIEL DU CQPM. TITRE DU CQPM : Administrateur (trice) / Gestionnaire de systèmes et réseaux informatiques COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LA METALLURGIE Qualification : Catégorie : C Dernière modification : 30/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Administrateur (trice) / Gestionnaire de

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Directive de la remontée d'incident de sécurité. Release Status Date Written by Edited by Approved by FR_1.0 Final 01/06/2014 Alain Houbaille

Directive de la remontée d'incident de sécurité. Release Status Date Written by Edited by Approved by FR_1.0 Final 01/06/2014 Alain Houbaille ISMS (Information Security Management System) Directive de la remontée d'incident de sécurité Version control please always check if you are using the latest version. Doc. Ref. :isms.051.security incident

Plus en détail

La sécurité des données hébergées dans le Cloud

La sécurité des données hébergées dans le Cloud Conférence IDC Cloud Computing 2012 La sécurité des données hébergées dans le Cloud 25/01/2012 Patrick CHAMBET Responsable du Centre de Sécurité C2S, Groupe Bouygues Planning Quelques rappels Vue simplifiée

Plus en détail

La Continuité des Activités

La Continuité des Activités Caroline Fabre- Offering Manager BC&RS Ikbal Ltaief Consulting Manager BC&RS La Continuité des Activités Nouveaux enjeux, nouvelles technologies, nouvelles tendances Paris, le 9 juin 2010 Grandes entreprises

Plus en détail

Recover2Cloud. Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud. www.sungardas.fr

Recover2Cloud. Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud. www.sungardas.fr Recover2Cloud Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud www.sungardas.fr Enjeux Contraintes de plus en plus fortes : délais de reprise, perte de données,

Plus en détail

Les sauvegardes. dans une démarche de qualité de services. Françoise Gazelle. 2RCE - Nancy 9 décembre 2010

Les sauvegardes. dans une démarche de qualité de services. Françoise Gazelle. 2RCE - Nancy 9 décembre 2010 Reprise de s Les s dans une démarche de Françoise Gazelle 2RCE - Nancy 9 décembre 2010 Les s dans une démarche de Reprise de s 1 Présentation de l Institut 2 service informatique 3 4 : indicateurs de sécurité

Plus en détail

POLITIQUE SUR LE SIGNALEMENT ET

POLITIQUE SUR LE SIGNALEMENT ET LA BANQUE DE NOUVELLE ÉCOSSE POLITIQUE SUR LE SIGNALEMENT ET PROCEDURES Y AFFERENTES Supplément au Code d éthique Septembre 2013 Table des matières SECTION 1 INTRODUCTION...3 SECTION 2 RAISON D ÊTRE DE

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

Quelles assurances proposer? Focus sur le cloud computing

Quelles assurances proposer? Focus sur le cloud computing ACTUALITÉ DU DROIT DES TECHNOLOGIES DE L INFORMATION Quelles assurances proposer? Focus sur le cloud computing Jean-Laurent SANTONI, Docteur en Droit, Président de Clever Courtage, IT risk insurance broker

Plus en détail

5 Clefs pour basculer dans le monde du SaaS

5 Clefs pour basculer dans le monde du SaaS 5 Clefs pour basculer dans le monde du SaaS Philippe Nicard, Directeur Opérations SaaS et Support Julien Galtier, Senior Manager consulting SIRH, ACT-ON Agenda L origine du SaaS Vers une démarche SaaS

Plus en détail

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France Sommaire Cloud Computing Retours sur quelques notions Quelques chiffres Offre e need e need Services e need Store

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

PROGRAMME DE FORMATION

PROGRAMME DE FORMATION F-5.04 : METHODOLOGIE D UN PROJET DE DEMATERIALISATION ET D ARCHIVAGE ELECTRONIQUE, APPLICATION AUX MAILS /// Objectifs pédagogiques Apporter aux participants les informations essentielles pour aborder

Plus en détail

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Exemple d examen EXIN Cloud Computing Foundation Édition Septembre 2012 Droits d auteur 2012 EXIN Tous droits réservés. Aucune partie de cette publication ne saurait être publiée, reproduite, copiée, entreposée

Plus en détail

AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015

AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015 AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015 Déroulement Rappel : qu est-ce que Syntec Numérique? Une définition du Cloud Computing Les caractéristiques du Cloud Computing Les

Plus en détail

Réforme de la biologie : Impacts sur l informatique des laboratoires de biologie médicale

Réforme de la biologie : Impacts sur l informatique des laboratoires de biologie médicale Réforme de la biologie : Impacts sur l informatique des laboratoires de biologie médicale Alain Coeur, Consultant Alain Cœur Conseil PLAN Evolution de la structure des laboratoires de biologie médicale

Plus en détail

Study Tour Cloud Computing. Cloud Computing : Etat de l Art & Acteurs en Présence

Study Tour Cloud Computing. Cloud Computing : Etat de l Art & Acteurs en Présence Study Tour Cloud Computing Cloud Computing : Etat de l Art & Acteurs en Présence Extraits des études réalisées par MARKESS International Approches d Hébergement avec le Cloud Computing & la Virtualisation

Plus en détail

Guide de bonnes pratiques relatives à l'utilisation d'internet et l'e-mail.

Guide de bonnes pratiques relatives à l'utilisation d'internet et l'e-mail. Information Security Guidelines ISMS (Information Security Management System) Guide de bonnes pratiques relatives à l'utilisation Version control please always check if you are using the latest version.

Plus en détail

Préambule CHARTE DEONTOLOGIQUE

Préambule CHARTE DEONTOLOGIQUE Préambule Le secteur des Technologies de l Information et de la Communication (T.I.C.) est souvent mal connu par les entreprises et les organisations susceptibles de les utiliser. Cette méconnaissance

Plus en détail

Évaluation de la sécurité de nos fournisseurs IT dans le cadre du référencement Groupe

Évaluation de la sécurité de nos fournisseurs IT dans le cadre du référencement Groupe Évaluation de la sécurité de nos fournisseurs IT dans le cadre du référencement Groupe Jean-Philippe Gaulier Cécile Lesaint 05/10/2015 Les constats on découvre en permanence des failles OWASP dans nos

Plus en détail

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE Résumé PREFACE 2 INTRODUCTION 2 1. BUT ET CHAMP D APPLICATION 2 2. REFERENCES DOCUMENTAIRES ET NORMES 3 3. TERMES ET DEFINITIONS 3 4. POLITIQUE POUR UNE CONSOMMATION RAISONNEE (PCC) 3 5. RESPONSABILITE

Plus en détail

Politique de protection des postes de travail

Politique de protection des postes de travail ISMS (Information Security Management System) Politique de protection des postes de travail 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.039.workstation.fr

Plus en détail

Contrat et mise à disposition d infrastructure d hébergement

Contrat et mise à disposition d infrastructure d hébergement 1 Contrat et mise à disposition d infrastructure d hébergement ARTICLE 1 DESCRIPTION DE LA PRESTATION DE SERVICES HEBERGEMENT La prestation consiste en la réalisation des tâches suivantes : Mise à disposition

Plus en détail

Sécurité du cloud computing

Sécurité du cloud computing HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ADIJ 20 janvier 2011 Sécurité du cloud computing Frédéric Connes Frédéric

Plus en détail

Atelier thématique QUA1 -Présentation de la norme ISO 9001-

Atelier thématique QUA1 -Présentation de la norme ISO 9001- Forum QHSE - QUALITE Atelier thématique QUA1 -Présentation de la norme ISO 9001- Laurent GUINAUDY OC2 Consultants Atelier ISO 9001 1 Présentation du Cabinet OC2 Consultants Cabinet créé en 1996 Zone d

Plus en détail

SERVICES DU SECRÉTARIAT GÉNÉRAL POLITIQUE RELATIVE À LA GESTION DE DOCUMENTS

SERVICES DU SECRÉTARIAT GÉNÉRAL POLITIQUE RELATIVE À LA GESTION DE DOCUMENTS SERVICES DU SECRÉTARIAT GÉNÉRAL POLITIQUE RELATIVE À LA GESTION DE DOCUMENTS Numéro du document : 0601-08 Adoptée par la résolution : _484 0601 En date du : 5 juin 2001 Signature du directeur général Signature

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

REF01 Référentiel de labellisation des laboratoires de recherche_v3

REF01 Référentiel de labellisation des laboratoires de recherche_v3 Introduction Le présent référentiel de labellisation est destiné aux laboratoires qui souhaitent mettre en place un dispositif de maîtrise de la qualité des mesures. La norme ISO 9001 contient essentiellement

Plus en détail

Le terme SAUVEGARDE désigne l opération qui consiste à mettre en sécurité les données contenues dans un système informatique sur Data Center.

Le terme SAUVEGARDE désigne l opération qui consiste à mettre en sécurité les données contenues dans un système informatique sur Data Center. 1. OBJET ET DÉFINITIONS : Pour l application des présentes, le terme "Société" désigne la Société SERIANS. Le terme "C lient " désigne toute personne physique ou morale qui souscrit au contrat de sauvegarde

Plus en détail

Recover2Cloud. Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud

Recover2Cloud. Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud Recover2Cloud Reprise accélérée des environnements x86 physiques & virtuels via une réplication dans le Cloud 2015 Sungard AS. Tous droits réservés. www.sungardas.fr De nos jours, le monde ne dort jamais

Plus en détail

TOUJOURS UNE LONGUEUR D AVANCE.

TOUJOURS UNE LONGUEUR D AVANCE. STOCKAGE, SAUVEGARDE ET EXPLOITATION DE VOS DONNEES TOUJOURS UNE LONGUEUR D AVANCE. www.antemeta.fr Spécialiste infrastructures stockage et Cloud computing AntemetA accompagne les entreprises dans la mise

Plus en détail

Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique

Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique Commission Nationale de l Informatique et des Libertés (CNIL) Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique 01

Plus en détail

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI)

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI) COMMUNIQUÉ 14-COM-002 14 juillet 2014 Lignes directrices relatives à la gouvernance des technologies de l information (TI) L Association des superviseurs prudentiels des caisses (ASPC) a créé un groupe

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Contractualiser la sécurité du cloud computing

Contractualiser la sécurité du cloud computing HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Club EBIOS, 11 décembre 2012 Contractualiser la sécurité du cloud

Plus en détail

Service Level Agreement 99,9 % Hosted by Its Integra, certifiée ISO 9001 et ISO 14001 par Bureau Veritas Certification Affaires 6008579 et 6009460

Service Level Agreement 99,9 % Hosted by Its Integra, certifiée ISO 9001 et ISO 14001 par Bureau Veritas Certification Affaires 6008579 et 6009460 Lieux d hébergements Nominal : Interxion PAR 7 la Courneuve PRA : Interxion PAR5 Saint-Denis Une infrastructure mixte Architecture Des composants dédiés afin de garantir les performances : Serveurs lames

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56 CHARTE ADMINISTRATEUR CORRELYCE Version du 31/08/2007 10:56 Table des matières 1. CONTEXTE... 3 2. OBJET... 3 3. REFERENTIEL... 3 4. PREROGATIVES DE L ADMINISTRATEUR SYSTEME CORRELYCE... 4 4.1 DROIT D

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Les services d externalisation des données et des services. Bruno PIQUERAS 24/02/2011

Les services d externalisation des données et des services. Bruno PIQUERAS 24/02/2011 Les services d externalisation des données et des services Bruno PIQUERAS 24/02/2011 1 1 Introduction Différents types d externalisation de données : Les données sauvegardées Les données bureautiques Les

Plus en détail

Recommandation sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie

Recommandation sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie Recommandation sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie 2013-R-01 du 8 janvier 2013 1 Contexte Pour la commercialisation

Plus en détail

Les exigences de la norme ISO 9001:2008

Les exigences de la norme ISO 9001:2008 Les exigences de la norme ISO 9001:2008! Nouvelle version en 2015! 1 Exigences du client Satisfaction du client Le SMQ selon ISO 9001:2008 Obligations légales Collectivité Responsabilité de la direction

Plus en détail

MEYER & Partenaires Conseils en Propriété Industrielle

MEYER & Partenaires Conseils en Propriété Industrielle Alexandre NAPPEY Conseil en Propriété Industrielle Carole FRANCO Juriste TIC Département Multimédia Aspects juridiques du Cloud Computing INTRODUCTION une infrastructure virtuelle et partagée obtenue à

Plus en détail

impacts du Cloud sur les métiers IT: quelles mutations pour la DSI?

impacts du Cloud sur les métiers IT: quelles mutations pour la DSI? impacts du Cloud sur les métiers IT: quelles mutations pour la DSI? Intervenants : Diarétou Madina DIENG Directrice Développement Orange business Services Sénégal Brutus Sadou DIAKITE Directeur Systèmes

Plus en détail

Policy Datasecurity Version 1.0 10/10/2007

Policy Datasecurity Version 1.0 10/10/2007 ISMS (Information Security Management System) Policy Datasecurity Version control please always check if you re using the latest version Doc. Ref. : isms.023.datasecurity Release Status Date Written by

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel.

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. INTRODUCTION QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. Ce certificat est destiné à toutes les écoles d enseignement

Plus en détail

Vulnérabilités engendrées par la virtualisation. Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL

Vulnérabilités engendrées par la virtualisation. Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL Vulnérabilités engendrées par la virtualisation Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL V2-26/9/2007 Vulnérabilités engendrées par la virtualisation Rappel des architectures

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Directives d Assurance Qualité à l usage des Fournisseurs QSL. Contrat obligatoire Industrie/Equipements/Services (version 09/2004)

Directives d Assurance Qualité à l usage des Fournisseurs QSL. Contrat obligatoire Industrie/Equipements/Services (version 09/2004) Directives d Assurance Qualité à l usage des Fournisseurs QSL Contrat obligatoire Industrie/Equipements/Services (version 09/2004) Directives d Assurance Qualité à destination des fournisseurs QSL (Contrat

Plus en détail

TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications

TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications NO 1 Adoption par la direction générale : Date : Le 1 er octobre 2003 Dernière révision : 01/10/03

Plus en détail

DETAIL DES PRINCIPES RELATIFS AU TRAITEMENT DES DONNEES PERSONNELLES

DETAIL DES PRINCIPES RELATIFS AU TRAITEMENT DES DONNEES PERSONNELLES DETAIL DES PRINCIPES RELATIFS AU TRAITEMENT DES DONNEES PERSONNELLES 1. TRAITEMENT IMPARTIAL ET LEGAL IPSOS s engage à traiter les données personnelles de façon impartiale et légale. Pour se conformer

Plus en détail

CHARTE D AUDIT INTERNE

CHARTE D AUDIT INTERNE CHARTE D AUDIT INTERNE adoptée par le Conseil des gouverneurs le 26 mars 2013 Centre de recherches pour le développement international Ottawa, Canada Assurances et conseils afin de soutenir le développement

Plus en détail

CONVENTION DE STAGE EN ENTREPRISE dans le cadre de la formation qualifiante. Assistant pharmaceutico-technique

CONVENTION DE STAGE EN ENTREPRISE dans le cadre de la formation qualifiante. Assistant pharmaceutico-technique CONVENTION DE STAGE EN ENTREPRISE dans le cadre de la formation qualifiante Assistant pharmaceutico-technique Année scolaire : 200-200 Entre les soussignés : 1 L entreprise, (l institution, l administration,

Plus en détail