Problématique Besoins La norme ISO/IEC 27034:2011 Concepts Processus Impact sur l organisation Intérêt dans l industrie
|
|
- Diane Roussy
- il y a 7 ans
- Total affichages :
Transcription
1 La norme ISO/IEC 27034:2011 Sécurité des applications Bruno Guay, Nurun Luc Poulin, Cogentas
2 Plan Problématique Besoins La norme ISO/IEC 27034:2011 Concepts Processus Impact sur l organisation Intérêt dans l industrie
3 Problématique de la sécurité des applications
4 Problématique pour les clients Les vulnérabilités des applications ont eu un impact majeur sur la sécurité des organisations dans les deux dernières années Le profil des attaques a changé en 2011 augmentation de la proportion d attaques externes vs internes augmentation des attaques sur les applications diminution des attaques sur l infrastructure Les pirates le disent: il est plus facile et plus rentable d attaquer les applications que l infrastructure
5 Problématique pour les clients Le contexte d utilisation d une application peut changer L environnement technologique est de plus en plus complexe En phase de maintenance, difficile de conserver le niveau de sécurité initial On ne tient pas compte de l impact d une nouvelle application sur la sécurité de l information de l organisation Il faut rester conforme aux contextes d affaires et juridique en regard desquels l organisation pourrait être vérifiée
6 Problématique pour les clients Peu de contrôle sur les applications acquises, gérées par des tierces parties ou hébergées Sont-elles vulnérables? Sont-elles bien installées et configurées? Sont-elles bien gérées? Peu d exigences de sécurité dans les appels d offres Absence de critères vérifiables Absence de preuve de conformité Peu de clauses de sécurité dans les contrats Peu de droit de regard pour le client On dépend du bon vouloir du fournisseur
7 Problématique pour les auditeurs Difficulté à définir l application et à délimiter la portée de l évaluation Quels systèmes, quels progiciels? Logiciel, processus ou infrastructure? Frontière floue entre l application et l établissement Absence de processus d évaluation adéquat Absence d exigences standard Absence de processus d évaluation standard Absence de méthodologie d analyse de risque pour les applications Peu de similitude entre les projets d évaluation Difficile d appliquer les mêmes critères Improvisation à chaque intervention Efficacité et efficience réduite
8 Problématique pour les fournisseurs Peu d activités de sécurité dans les méthos de développement Peu de contrôles de sécurité (bonnes pratiques) Peu de tests de sécurité Absence de critères formels et vérifiables Absence d un processus répétable pour appliquer la sécurité dans un projet La sécurité d une application dépend de la compétence de chaque équipe Peu de raisons pour améliorer tout cela!
9 Problématique pour tous Manque de maturité dans le domaine La valeur ajoutée par la sécurité est difficile à démontrer La sécurité est mal intégrée aux projets Pas perçue comme un besoin d affaire Perçue comme une couche de peinture qu on applique au produit final on entend souvent: «L important est que l application fonctionne. Ensuite on verra pour la sécurité» remplaçons «l application» par «l avion» et voyons si c est aussi bien accepté Perçue comme cause de dépassements de coût et d échéancier
10 Besoins
11 Besoins Le client a besoin d outils pour spécifier ses exigences de sécurité dès le début du projet Le fournisseur a besoin d outils pour se conformer aux exigences L auditeur a besoin d outils pour évaluer la sécurité d une application Processus Méthodologie Contrôles (critères)
12 La Norme ISO/IEC 27034:2011
13 Les 6 parties de la Norme : Survol et concepts : Cadre Normatif de l Organisation : Processus de gestion de la sécurité d une application : Vérification de la sécurité d une application : Protocoles et structure de données des contrôles de sécurité applicative : Pratique de sécurité pour des cas spécifiques d applications
14 Objectif Cette nouvelle norme propose un modèle pour faciliter l intégration de la sécurité dans le cycle de vie des applications Concepts, principes, cadres Composants et processus Elle s applique autant au développement interne qu à l acquisition ou l impartition Elle propose des lignes directrices pour les propres processus et méthodologies de l organisation Elle ne propose pas de contrôles ou de règles de développement
15 Principes La sécurité est un besoin d affaires La sécurité d une application dépend de son contexte d utilisation Il faut investir les ressources appropriées pour sécuriser une application ni plus ni moins La sécurité d une application doit pouvoir être prouvée
16 Une nouvelle vue sur la sécurité Organisation Application
17 Une nouvelle vue sur la sécurité Portée de la sécurité d une application Tout ce qui, dans l organisation, peut mettre en péril l information critique de l application Ce qu il faut contrôler pour protéger cette information S étend au-delà de la portée de l application elle- même Inclut les personnes, les processus et l infrastructure technologique qui supportent ou interagissent avec l application
18 Portée de la sécurité d une application Périmètre de sécurité de l application
19 Concepts
20 Cadre normatif de l organisation
21 Cadre normatif de l organisation Le contexte d affaires documente les standards et pratiques adoptés par l organisation et pertinents aux projets d application Processus de gestion de projet, de développement, d analyse de risque, d opération, d acquisition, etc. Politique de sécurité Pratiques du domaine Méthodologie(s) de développement Règles de développement
22 Cadre normatif de l organisation Le contexte régulatoire documente les articles de lois et règlements qui peuvent contraindre les projets d application, dans toutes les juridictions où les applications sont utilisées
23 Cadre normatif de l organisation Le contexte technologique documente les produits, services et technologies disponibles pour les projets d application dans l organisation. Il permet aussi de déterminer les menaces auxquelles les applications sont exposées
24 Cadre normatif de l organisation Le dépôt de spécifications documente les besoins fonctionnels et les solutions utilisées pour y répondre. On y retrouve la documentation des applications, les architectures, les analyses On y retrouve aussi le code source, les librairies, les outils
25 Cadre normatif de l organisation La description de tous les rôles impliqués dans les projets d applications, leur responsabilités et qualifications requises Assure que les acteurs requis pour les processus sont définis et assure la séparation des responsabilités
26 Cadre normatif de l organisation La banque de tous les contrôles de sécurité applicative approuvés par l organisation C est un recueil de bonnes pratiques, dans un format standard
27 Cadre normatif de l organisation La description formelle de tous les processus de l organisation impliqués dans la sécurité des applications Y compris les nouveaux processus apportés par cette Norme
28 Cadre normatif de l organisation Un modèle standard de cycle de vie pour la sécurité d une d application, utilisé comme référence pour les contrôles de sécurité Il couvre toute la vie de l application, du besoin initial jusqu à la mise au rebut
29 Modèle de cycle de vie pour la sécurité d une application
30 Contrôle de sécurité applicative CSA Activité de sécurité (qui, quand, quoi, comment, coût) Activité de vérification (qui, quand, quoi, comment, coût) Modèle de sécurité du cycle de vie de l application
31 Contrôle de sécurité applicative C est une mesure de réduction de risque Créé, approuvé et maintenu par l organisation Utilisé par les équipes de projet et d opération Utilisé par les équipes d assurance-qualité et d audit Peut servir pour le développement interne ou comme critère d acceptation / homologation Vérifiable en tout temps Décrit formellement dans un format et une structure standard
32 Contrôle de sécurité applicative Chaque contrôle de sécurité comprend: Des métadonnées: identification, description, historique, versions, approbation, signature électronique, parent, enfant, etc. Des objectifs en rapport avec un risque, une spécification fonctionnelle, un élément de contexte d affaires, régulatoire, technologique, le niveau de confiance applicable Uneactivitéde sécurité la description détaillée de la mesure de réduction du risque Uneactivitéde vérification qui permettra de prouver que la mesure de réduction du risque a été appliquée avec succès Le coût estimé de ces activités
33 Contrôle de sécurité applicative Les contrôles sont hiérarchiques, ce qui permet la simplification et la réutilisation CSA CSA
34 La banque de contrôles de sécurité applicative Similaire à un recueil de bonnes pratiques Adaptée aux besoins spécifiques de l organisation Adaptée au contexte d affaires, légal et technologique Alimentée par les normes et standards, les bonnes pratiques du marché, l expérience de l organisation Gérée et approuvée par l organisation Elle contient les contrôles disponibles pour chaque spécification fonctionnelle et chaque degré de confiance désiré Peut être représentée comme une grille
35 Liste tous les CSA de l organisation La banque de contrôles de sécurité applicative Librarie des CSA de l organisation 0 Niveaux de confiance d application utilisés par l organisation
36 Le niveau de confiance C est un indice de tolérance au risque Concrétisé par un ensemble de contrôles (une colonne dans la grille) On a confiance en l application quand on y a appliqué les contrôles adéquats Targeted level of trust: niveau de confiance ciblé, décidé par le propriétaire de l application suite à l analyse de risque Actual level of trust: niveau de confiance réel, mesuré par une vérification, un audit
37 Le niveau de confiance C est le plan d action de sécurité pour l application On fait déjà: analyse de risque et plan d action, mais c est improvisé chaque fois et c est toujours à recommencer La Norme standardise le processus dans l organisation Suite à l analyse de risque, on choisit un plan d action préapprouvé et éprouvé Gain d efficacité et d efficience majeur
38 Processus
39 Processus La Norme repose sur des processus que l organisation doit définir ou arrimer avec ses processus existants Deux niveaux de processus: Organisationnel: gestion du Cadre normatif organisationnel Projet: utilisation du Cadre normatif organisationnel pour gérer la sécurité d une application
40 Processus Cadre Normatif de l Organisation Processus de gestion Cadre Normatif de l Application 1 Processus de gestion Cadre Normatif de l Application 2 Processus de gestion Cadre Normatif de l Application 3 Processus de gestion
41 Processus Application Security Management Process Chaque 2 projet d application3 Assessing application security risks Application s Targeted Level of Trust Creating and maintaining the Application Normative Framework 5 Auditing the security of the application Application s Actual Level of Trust Application Normative Framework Niveau du projet 1 Specifying the application requirements and environment 4 Provisioning and operating the application Organization Normative Framework Organization management processes ONF Management Process Components and processes related to Application Security Other components and processes Niveau de l organisation
42 Processus de gestion de la sécurité d une application Application Security Management Process 2 3 Assessing application security risks Determines Is used for Creating and maintaining the Application Normative Framework Application s Targeted Level of Trust Organization Normative Framework Identifies Application contexts and specifications used for 1 Specifying the application requirements and environment Provides 5 Auditing the security of the application Application s Actual Level of Trust Mandates security adjustments used for Provides Application Normative Framework used for Provides Implemented required ASCs used for Provides Application project artefacts and ANF used for 4 Provisioning and operating the application
43 Organization Normative Framework Processus de gestion de la sécurité d une application 2 Assessing application security risks Identifies Application contexts and specifications used for 1 Specifying the application requirements and environment Application Security Management Process Creating and maintaining On détermine les éléments Is used qui ont un the Application for Normative Framework impact sur la sécurité de l application: Application s Targeted spécifications Level of Trust acteurs information Determines 5 contextes d affaire, régulatoire, Provides Provides Application s Actual Application Normative technologique Level of Trust Framework used for Auditing the security of the application Mandates security adjustments used for 3 Provides Implemented required ASCs used for Provides Application project artefacts and ANF used for 4 Provisioning and operating the application
44 Processus de gestion de la sécurité d une application Application Security Management Process 2 3 Assessing application security risks Determines Is used for Creating and maintaining the Application Normative Framework Application s Targeted Level of Trust Identifies Application contexts and specifications used for Provides Provides Application s Actual Application Normative 1 5 Le propriétaire de Level of Trust Framework used for Specifying the l application Mandates security détermine le application Auditing the security adjustments requirements and of the application Niveau de confiance ciblé environment used for On identifie, analyse et évalue le risque On en déduit les exigences de sécurité Provides Implemented required ASCs used for Provides Application project artefacts and ANF used for 4 Provisioning and operating the application
45 Processus de gestion de la sécurité d une application 2 On extrait de l ONF les contrôles pertinents pour réduire le risque de Assessing l application application en fonction security des Determines risks spécifications trouvées en 1 et du Niveau de confiance ciblé choisi en 2 Identifies Application contexts and specifications used for Application Security Management Process 5 Provides Provides Application project artefacts and ANF used for Application s Targeted Level of Trust Cela 1 donne un mini-onf qu on appelle ANF: le Cadre normatif Specifying the Auditing the security de l application requirements and of the application environment C est un dépôt permanent qui contient toute l information détaillée relative à Provides la sécurité Implemented required ASCs de l application used for Application s Actual Level of Trust Is used for Mandates security adjustments used for 3 Creating and maintaining the Application Normative Framework Provides Application Normative Framework used for 4 Provisioning and operating the application
46 Processus de gestion de la sécurité d une application Application Normative Framework Business context associated with the application s environment Regulatory context associated with the application s environment Technological context associated with the application s environment Application specifications Application actors: roles, responsibilities and qualifications Selected ASCs for the application s life cycle Processes related to the security of the application Application life cycle
47 Processus de gestion de la sécurité d une application Application Normative Framework Business context associated with the application s environment Regulatory context associated with the application s environment Technological context associated with the application s environment Application specifications Application actors: roles, responsibilities and qualifications Selected ASCs for the application s life cycle On ajoute des activités de sécurité et de vérification aux processus existants Application life cycle Processes related to the security of the application
48 Processus de gestion de la sécurité d une application Application Security Management Process 2 3 Assessing application security risks Determines Is used for Creating and maintaining the Application Normative Framework On utilise les Identifies contrôles prescrits par Application contexts l ANF pendant and specifications tout le cycle de vie de l application used for Provides acquisition 1 ou développement 5 opération, maintenance, mise à Specifying the la retraite application Auditing the security requirements and of the application On réalise toutes environment les activités de sécurité de tous les contrôles On réalise toutes les activités de Provides vérification de tous les contrôles Provides Application project artefacts and ANF used for Application s Targeted Level of Trust Implemented required ASCs used for Application s Actual Level of Trust Mandates security adjustments used for Provides Application Normative Framework used for 4 Provisioning and operating the application
49 Processus de gestion de la sécurité d une application Assessing On vérifie le résultat application security (la preuve) risks de toutes les activités de vérification de tous les contrôles Le résultat est le Niveau de confiance réel 2 Identifies Application contexts and specifications used for 1 Specifying the application requirements and environment Application Security Management Process Determines Provides 5 Auditing the security of the application Application s Targeted Level of Trust Application s Actual Level of Trust Is used for Mandates security adjustments used for 3 Creating and maintaining the Application Normative Framework Provides Application Normative Framework used for Provides Implemented required ASCs used for Provides Application project artefacts and ANF used for 4 Provisioning and operating the application
50 Processus de gestion de la sécurité d une application L audit peut être réalisé en tout temps dans le cycle de vie de l application Il peut être réalisé par des auditeurs internes ou externes Il devrait être réalisé au moment d un point de décision: mise en production, acceptation, homologation, etc. Il consiste simplement à vérifier que tous les contrôles ont été vérifiés avec succès Si un contrôle n a pas été vérifié avec succès, on n atteint pas le Niveau de confiance ciblé Si le Niveau de confiance réel = Niveau de confiance ciblé, l organisation peut déclarer que l application est sécuritaire jusqu au prochain audit Le Niveau de confiance réel représente le risque résiduel au moment où l audit est réalisé Le propriétaire de l application peut accepter le risque résiduel en toute confiance car il est basé sur des preuves
51 Impact sur l organisation
52 Avantages d adopter la Norme pour l organisation Facilitation de la conformité aux lois, normes et bonnes pratiques Augmentation mesurable de la sécurité des applications Vérification basée sur des preuves Uniformisation et normalisation de la gestion de la sécurité dans les divers projets Gain d efficacité et d efficience Facilitation du transfert de connaissances Réutilisation des processus et contrôles existants Meilleur contrôle des fournisseurs et tierces parties Diminution des dépassements de coût et de durée Chaque controle de sécurité peut comprendre un coût La liste précise des contrôles de sécurité est connue de tous les soumissionnaires Les critères précis de vérification sont connus de tous les soumissionnaires
53 Efforts pour l organisation Assigner les rôles et responsabilités Documenter les processus et composants existants Les arrimer et les mettre à niveau avec la Norme Mettre en œuvre les processus au niveau organisationnel Créer le Cadre normatif de l organisation Mettre en œuvre le processus dans les projets Gérer le changement
54 Intérêt manifesté dans l industrie
55 Intérêt manifesté dans l industrie Collaborateurs enthousiastes à la rédaction et l adoption par ISO/IEC Microsoft Cisco Boeing Représentants d environ 15 pays membres Experts en sécurité et en génie logiciel 27 pays membres votants sur 28 ont voté pour la publication (96%) en novembre 2011 ISO/IEC :2011 est disponible sur et bientôt sur csa.ca
56 Intérêt manifesté dans l industrie Organismes actuellement en projet d implantation de la Norme Élections Canada Mouvement Desjardins Deux banques majeures canadiennes Un fournisseur d applications du domaine de la santé Organismes envisageant un projet d implantation de la Norme Deux banques majeures canadiennes
57 Merci de votre attention
ISO/CEI 27001:2005 ISMS -Information Security Management System
ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002
Plus en détailSEMINAIRE DE L IFE. Un système de management environnemental basé sur ISO 14001. Presenté par Manoj Vaghjee
SEMINAIRE DE L IFE Un système de management environnemental basé sur ISO 14001 Presenté par Manoj Vaghjee Qu est-ce que l Environnement? INTRODUCTION - ISO 14001 Pourquoi le management environnemental?
Plus en détailRapport de certification
Rapport de certification Memory Arrays avec Memory Gateways Version 5.5.2 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien
Plus en détailGouvernance IT : par où commencer? Hubert Lalanne DE, Chief Architect for Industries IBM Software France
Conférence IDC Gouvernance IT - Paris 6 Avril 2011 Gouvernance IT : par où commencer? Hubert Lalanne DE, Chief Architect for Industries IBM Software France 2011 IBM Corporation Quels sont les ingrédients
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 4 + du produit VMware ESX 4.0 Update 1 and vcenter Server 4.0 Update 1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailISO/IEC 27002. Comparatif entre la version 2013 et la version 2005
ISO/IEC 27002 Comparatif entre la version 2013 et la version 2005 Évolutions du document Version Date Nature des modifications Auteur 1.0 22/07/2014 Version initiale ANSI Critère de diffusion Public Interne
Plus en détailOpportunités s de mutualisation ITIL et ISO 27001
Opportunités s de mutualisation ITIL et ISO 27001 Club ISO 27001 Paris,19 avril 2007 Alexandre Fernandez-Toro Rappels sur l ISO l 27001 Norme précisant les exigences pour La
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 3 + du produit Symantec Risk Automation Suite 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailIdentification du module
Identification du module Numéro de module 475 Titre Développer une analyse pour une application Compétence Développer à partir des exigences fonctionnelles et non fonctionnelles pour une application, les
Plus en détailISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité
NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology
Plus en détailL application doit être validée et l infrastructure informatique doit être qualifiée.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés
Plus en détailPROGRAMME DE FORMATION
F-5.04 : METHODOLOGIE D UN PROJET DE DEMATERIALISATION ET D ARCHIVAGE ELECTRONIQUE, APPLICATION AUX MAILS /// Objectifs pédagogiques Apporter aux participants les informations essentielles pour aborder
Plus en détailRapport de certification
Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma
Plus en détail1. La sécurité applicative
ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité
Plus en détailIntroduction à l ISO/IEC 17025:2005
Introduction à l ISO/IEC 17025:2005 Relation avec d autres normes de Management de la Qualité Formation Assurance Qualité LNCM, Rabat 27-29 Novembre 2007 Marta Miquel, EDQM-CoE 1 Histoire de l ISO/IEC
Plus en détailLes marchés Security La méthode The markets The approach
Security Le Pôle italien de la sécurité Elsag Datamat, une société du Groupe Finmeccanica, représente le centre d excellence national pour la sécurité physique, logique et des réseaux de télécommunication.
Plus en détailJournée Mondiale de la Normalisation
Journée Mondiale de la Normalisation Recherche et innovation : usage des normes dans les s régulés Introduction: Confiance & Services IT «Systèmes de s» eco-systèmes d enterprises offrant des s combinés
Plus en détailValorisez vos actifs logiciels avec Rational Asset Manager. Jean-Michel Athané, Certified IT Specialist IBM Rational Software
Valorisez vos actifs logiciels avec Rational Asset Manager Jean-Michel Athané, Certified IT Specialist IBM Rational Software 13 Qu est-ce qu un actif logiciel (Software Asset)? Un asset est une collection
Plus en détailSenior IT Security Risk Management Analyst
Senior IT Security Risk Management Analyst Bring your analytical skills and your technical expertise to one of these positions located in Ottawa. As a member of the IT Security Modernization Project team,
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailADHEFILM : tronçonnage. ADHEFILM : cutting off. ADHECAL : fabrication. ADHECAL : manufacturing.
LA MAÎTRISE D UN MÉTIER Depuis plus de 20 ans, ADHETEC construit sa réputation sur la qualité de ses films adhésifs. Par la maîtrise de notre métier, nous apportons à vos applications la force d une offre
Plus en détailMacroscope et l'analyse d'affaires. Dave Couture Architecte principal Solutions Macroscope
Macroscope et l'analyse d'affaires Dave Couture Architecte principal Solutions Macroscope Avis Avis d intention Ce document a pour but de partager des éléments de vision et d intentions de Fujitsu quant
Plus en détailCADRE D AGRÉMENT APPROCHE STANDARD DU RISQUE OPÉRATIONNEL
CADRE D AGRÉMENT APPROCHE STANDARD DU RISQUE OPÉRATIONNEL Coopératives de services financiers Publication initiale : Décembre 2007 Mise à jour : TABLE DES MATIÈRES 1. Introduction... 3 2. Principes généraux...
Plus en détailColloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires
Colloque 2005 de la Sécurité des Systèmes d Information Du contrôle permanent à la maîtrise globale des SI Jean-Louis Bleicher Banque Fédérale des Banques Populaires Mercredi 7 décembre 2005 Du contrôle
Plus en détailGestion du risque avec ISO/EIC17799
Gestion du risque avec ISO/EIC17799 Code de bonnes pratiques pour une meilleure gestion en sécurité de l information Marc-André Léger, MScA (MIS) Université de Sherbrooke Informatique de la santé Connaissances,
Plus en détailRapport de certification
Rapport de certification NetApp Data ONTAP v8.1.1 7-Mode Préparé par : le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien
Plus en détailQuatre axes au service de la performance et des mutations Four lines serve the performance and changes
Le Centre d Innovation des Technologies sans Contact-EuraRFID (CITC EuraRFID) est un acteur clé en matière de l Internet des Objets et de l Intelligence Ambiante. C est un centre de ressources, d expérimentations
Plus en détailConditions de l'examen
Conditions de l'examen Gestion des selon la norme ISO/CEI 20000 Consultant/Manager (IS20CM.FR) Date de publication 01-07-2010 Date de parution 01-07-2010 Résumé Groupe cible Le qualification Consultant/Manager
Plus en détailConvergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance
Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance Intervention au Forum des Compétences Philippe Courtot - Chairman
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailSécurité informatique: introduction
Sécurité informatique: introduction Renaud Tabary: tabary@enseirb.fr 2008-2009 Plan 1 Généralités 2 3 Définition de la sécurité informatique Definition Information security is the protection of information
Plus en détailYphise optimise en Coût Valeur Risque l informatique d entreprise
Maîtriser le Change et le Release Management Juin 2007 Xavier Flez yphise@yphise.com Propriété Yphise 1 Enjeux La maîtrise du changement est un sujet essentiel et complexe pour toutes les DSI complexité
Plus en détailRapport de certification
Rapport de certification Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les Critères
Plus en détailCobiT une expérience pratique
dossier : Audit CobiT une expérience pratique Dans un environnement de concurrence mondiale, les entreprises se restructurent pour rationaliser leurs activités et, conjointement profiter des progrès des
Plus en détailhttp://davidfayon.fr/2012/01/cloud-computing-elu-mot-numerique-2011/ Le Cloud Computing 10 janvier 2012
http://davidfayon.fr/2012/01/cloud-computing-elu-mot-numerique-2011/ 1 10 janvier 2012 Réponse à tous vos problèmes ou début de gros problèmes? Gérard Peliks Cassidian Cyber Security gerard.peliks@cassidian.com
Plus en détailRapport de certification
Rapport de certification NetScout ngeniusone Unified Performance Management Platform V5.2.1 and ngenius InfiniStream V5.2.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme
Plus en détailABIDJAN YOPOUGON RESIDENTIEL Immeuble EDUFOR
ABIDJAN YOPOUGON RESIDENTIEL Immeuble EDUFOR I.1 PRESENTATION CENTRE DE FORMATION PROFESSIONNELLE CONTINUE Le GROUPE E.T.S - EDUFOR est une structure expérimentée dans le domaine de la formation en Côte
Plus en détailMETIERS DE L INFORMATIQUE
METIERS DE L INFORMATIQUE ISO 27001 LEAD AUDITOR REF : GOMO019 DUREE : 5 JOURS TARIF : 3 500 HT Public Toute personne amenée à conduire des audits dans le domaine de la sécurité des systèmes d'information.
Plus en détailPréparer un état de l art
Préparer un état de l art Khalil DRIRA LAAS-CNRS, Toulouse Unité de recherche ReDCAD École Nationale d ingénieurs de Sfax Étude de l état de l art? Une étude ciblée, approfondie et critique des travaux
Plus en détailCONVENTION ASSURANCE QUALITÉ (QAA) FONCTION NÉGOCIANT
1. Préambule 1.1 Généralités La présente convention d assurance qualité (QAA) définit les exigences posées aux fournisseurs REHAU en matière d assurance qualité. La QAA REHAU constitue des règles destinées
Plus en détailMise en place d un SMSI selon la norme ISO 27001. Wadi Mseddi Tlemcen, le 05/06/2013
Mise en place d un SMSI selon la norme ISO 27001 Wadi Mseddi Tlemcen, le 05/06/2013 2 Agenda Présentation de la norme ISO/IEC 27001 Eléments clé de la mise en place d un SMSI Situation internationale 2
Plus en détailRapport de certification
Rapport de certification McAfee Management for Optimized Virtual Environments Antivirus version 3.0.0 with epolicy Orchestrator version 5.1.1 Préparé par Le Centre de la sécurité des télécommunications
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans
Plus en détailStandard de contrôle de sécurité WLA
Standard de contrôle de sécurité WLA Standard de sécurité et d intégrité des activités de loterie et de jeu WLA-SCS:2012 Association mondiale des loteries (World Lottery Association) Édition Novembre 2014
Plus en détailConditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE
DEPARTEMENT ENVELOPPES ET REVETEMENTS Constructions Légères et Couvertures Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE Livraison Cahier V1 de Mars 2010
Plus en détailDéveloppez votre système d'information en toute simplicité
Développez votre système d'information en toute simplicité IT CONSULTING HOSTING as a service SR opérations SA Société suisse fondée en 2003, SR opérations SA est une filiale de SRF groupe SA. SR opérations
Plus en détailDécouverte et investigation des menaces avancées PRÉSENTATION
Découverte et investigation des menaces avancées PRÉSENTATION AVANTAGES CLÉS RSA Security Analytics offre les avantages suivants : Surveillance de la sécurité Investigation des incidents Reporting sur
Plus en détailMéthodologie de conceptualisation BI
Méthodologie de conceptualisation BI Business Intelligence (BI) La Business intelligence est un outil décisionnel incontournable à la gestion stratégique et quotidienne des entités. Il fournit de l information
Plus en détailNetdays 2004. Comprendre et prévenir les risques liés aux codes malicieux
1 Netdays 2004 Comprendre et prévenir les risques liés aux codes malicieux 2 Comprendre et prévenir les risques liés aux codes malicieux - Motivations - Les principaux types de codes malicieux - Les principales
Plus en détailDéploiement de SAS 9.1.3 Foundation
Déploiement de SAS 9.1.3 Foundation I. Installation de SAS sur des postes en local à partir de Cédéroms 3 II. Phase de préparation au déploiement : Création des images disque 6 a) Pour une installation
Plus en détailSûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle
Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon
Plus en détailCompleted Projects / Projets terminés
Completed Projects / Projets terminés Nouvelles normes Nouvelles éditions Publications spéciales publiées en français CAN/CSA-ISO/CEI 7498-1-95 (C2004), 1 re édition Technologies de l'information Interconnexion
Plus en détailGOUVERNANCE DES SERVICES
Depuis quelques années, le secteur financier est en pleine mutation pour créer des niches d excellence alliant meilleure performance des processus et assurance de résultat de ces même processus, et ceci
Plus en détailPolitique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ
PC Gestion des certificats émis par l AC Notaires Format RFC 3647 Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PC Notaires Référence du
Plus en détailMEYER & Partenaires Conseils en Propriété Industrielle
Alexandre NAPPEY Conseil en Propriété Industrielle Carole FRANCO Juriste TIC Département Multimédia Aspects juridiques du Cloud Computing INTRODUCTION une infrastructure virtuelle et partagée obtenue à
Plus en détailRéférentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Plus en détailPlan. Department of Informatics
Plan 1. Application Servers 2. Servlets, JSP, JDBC 3. J2EE: Vue d ensemble 4. Distributed Programming 5. Enterprise JavaBeans 6. Enterprise JavaBeans: Special Topics 7. Prise de recul critique Enterprise
Plus en détailR E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES
R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES A PROPOS DE NOUS Conscio Technologies développe des solutions complètes de formation et de communication afin de
Plus en détailLe rôle de la DSI avec l audit Interne pour la maîtrise des risques
Le rôle de la DSI avec l audit Interne pour la maîtrise des risques IT Governance Symposium du 16 Juin 2009 Henri Guiheux Responsable Governance & Securité des SI CISA, CISM, CGEIT Sommaire Enjeux ERM
Plus en détailCONSEIL STRATÉGIQUE. Services professionnels. En bref
Services professionnels CONSEIL STRATÉGIQUE En bref La bonne information, au bon moment, au bon endroit par l arrimage des technologies appropriées et des meilleures pratiques. Des solutions modernes adaptées
Plus en détailPolitique de sécurité de l actif informationnel
TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité
Plus en détailProcess 4D Catalogue de formations 2011
Process 4D Catalogue de formations 2011 CMMi Lean Agilité ISO Process Six-Sigma ClearQuest Doors / RMF Qualité POUR DES FORMATIONS PARTICIPATIVES Mon expérience comme formateur (et comme stagiaire) depuis
Plus en détailRAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER
A Demande R-3491-2002 RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER HYDRO-QUÉBEC ÉVALUATION DU PROJET SIC ET RECOMMANDATIONS, 7 AOÛT 2002 Original : 2002-09-20 HQD-2, Document 1 (En liasse) Rapport
Plus en détailCatalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4
Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à
Plus en détailLes audits de projets, pourquoi?
Les audits de projets, pourquoi? Par Benoît Lalonde, MGP, MBA, PMP, CPM, OPM3 6 juin 2008 1 Pourtant! Airbus 380 Métro de Laval Eurotunnel Projet des armes à feu GIRES Hibernia Dcartes Vente et perception
Plus en détailRèglement du Commissariat aux Assurances N 13/01 du 23 décembre 2013 relatif à la lutte contre le blanchiment et contre le financement du terrorisme
Règlement du Commissariat aux Assurances N 13/01 du 23 décembre 2013 relatif à la lutte contre le blanchiment et contre le financement du terrorisme (Mémorial A N 224 du 24 décembre 2013) La Direction
Plus en détailLa méthodologie ITIL : que faut-il retenir? réunion du 14 septembre 2004
1 La méthodologie ITIL : que faut-il retenir? réunion du 14 septembre 2004 Maurice Benisty - benisty@trigone.fr Groupe Trigone Informatique 2 3 Petit questionnaire Pensez-vous que vos équipes collaborent
Plus en détail- Couches - Éléments - Domaines - ArchiMate et les techniques du BABOK
ArchiMate et l architecture d entreprise Par Julien Allaire Ordre du jour Présentation du langage ArchiMate - Couches - Éléments - Domaines - ArchiMate et les techniques du BABOK Présentation du modèle
Plus en détailGestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services
Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Jaafar DEHBI 2003 Acadys - all rights reserved Conception des services Buts et objectifs Concevoir les nouveaux
Plus en détailComplianceSP TM sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES
TM ComplianceSP TM sur SharePoint 2010 Gestion complète de documents et processus des sciences de la vie sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES Aperçu Consciente de la pression croissante
Plus en détailForthcoming Database
DISS.ETH NO. 15802 Forthcoming Database A Framework Approach for Data Visualization Applications A dissertation submitted to the SWISS FEDERAL INSTITUTE OF TECHNOLOGY ZURICH for the degree of Doctor of
Plus en détailL évolution du modèle de la sécurité des applications
L évolution du modèle de la sécurité des applications Un modèle utilisé pour intégrer la sécurité dans le cycle de vie des applications Luc Poulin a, Alain Abran b et Alain April b a Cogentas Institut
Plus en détailORACLE PRIMAVERA PORTFOLIO MANAGEMENT
ORACLE PRIMAVERA PORTFOLIO MANAGEMENT FONCTIONNALITÉS GESTION DE PORTEFEUILLE Stratégie d approche permettant de sélectionner les investissements les plus rentables et de créer de la valeur Paramètres
Plus en détailLe management des risques de l entreprise Cadre de Référence. Synthèse
Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction
Plus en détailTHE OUAGADOUGOU RECOMMENDATIONS INTERNET INFRASTRUCTURE FOR AN AFRICAN DIGITAL ECONOMY 5-7 MARCH 2012
THE OUAGADOUGOU RECOMMENDATIONS INTERNET INFRASTRUCTURE FOR AN AFRICAN DIGITAL ECONOMY 5-7 MARCH 2012 We, the participants, assembled in Ouagadougou, Burkina Faso, from 5-7 March 2012, for the meeting
Plus en détailCADRE CONCEPTUEL INTERNATIONAL POUR LES MISSIONS D ASSURANCE
CADRE CONCEPTUEL INTERNATIONAL POUR LES MISSIONS D ASSURANCE This International Framework for Assurance Engagements, published by the International Auditing and Assurance Standards Board of the International
Plus en détailPROFIL DE RISQUE INTÉGRÉ DE RENTES DU MOUVEMENT DESJARDINS (RRMD)
PROFIL DE RISQUE INTÉGRÉ DU RÉGIME R DE RENTES DU MOUVEMENT DESJARDINS (RRMD) 1 ICA 15 avril 2008 Le RRMD en chiffres Plus de 500 employeurs 35 900 participants actifs 6 600 retraités 12 000 en 2014 5,5
Plus en détailCharte d audit du groupe Dexia
Janvier 2013 Charte d audit du groupe Dexia La présente charte énonce les principes fondamentaux qui gouvernent la fonction d Audit interne dans le groupe Dexia en décrivant ses missions, sa place dans
Plus en détailPROPOSITION. One ID. Références développement. Version 1.0 Juillet 2009. One ID
développement One ID PROPOSITION Version 1.0 Juillet 2009 One ID 1155 avenue du Clapas 34980 Saint Gély du Fesc FRANCE Téléphone : 33 (0) 4 67 12 00 48 Fax : 33 (0) 9 55 82 99 73 Web : http://www.one-id.fr
Plus en détailDocument d orientation sur les allégations issues d essais de non-infériorité
Document d orientation sur les allégations issues d essais de non-infériorité Février 2013 1 Liste de contrôle des essais de non-infériorité N o Liste de contrôle (les clients peuvent se servir de cette
Plus en détailBELAC 1-04 Rev 1-2015
BELAC 1-04 Rev 1-2015 PROCEDURE ET MODALITES D APPLICATION POUR L ACCREDITATION DES ORGANISMES D EVALUATION DE LA CONFORMITE OPERANT AU DEPART DE PLUSIEURS SITES (ORGANISMES MULTI-SITES) Les versions des
Plus en détailImpartition réussie du soutien d entrepôts de données
La force de l engagement MD POINT DE VUE Impartition réussie du soutien d entrepôts de données Adopter une approche globale pour la gestion des TI, accroître la valeur commerciale et réduire le coût des
Plus en détailAPX et VCE, Modèle d industrialisation de l intégration et du déploiement. Olivier BERNARD, VCE
APX et VCE, Modèle d industrialisation de l intégration et du déploiement Olivier BERNARD, VCE Généralisation des réseaux, suprématie d IP Consumérisation des terminaux informatiques Evolution vers une
Plus en détailACHETER OU VENDRE UNE ACTIVITE DE COURTAGE : LA MÉTHODE POUR RÉUSSIR
ACHETER OU VENDRE UNE ACTIVITE DE COURTAGE : LA MÉTHODE POUR RÉUSSIR 72, rue du Faubourg Saint - Honoré 75008 PARIS Tél : 01.46.10.43.80 Fax : 01.47.61.14.85 www.astreeavocats.com Xxx Enjeux Cahier des
Plus en détailIPMA 1. Le référentiel 2. Les processus de certification. Claude Marguerat, IPMA-B www.formationcoaching.ch Congrès des 23 et 24 avril 2014
IPMA 1. Le référentiel 2. Les processus de certification Claude Marguerat, IPMA-B www.formationcoaching.ch Congrès des 23 et 24 avril 2014 (c) C. Marguerat avril 2014 2 1.Se certifier, quel intérêt? 2.IPMA
Plus en détailCe texte est une version provisoire. Seule la version qui sera publiée dans la Feuille officielle
Ce texte est une version provisoire. Seule la version qui sera publiée dans la Feuille officielle (https://www.admin.ch/gov/fr/accueil/droit-federal/feuille-federale.html) fait foi. Directives du Conseil
Plus en détailFlorian CARRE Comment rédiger un bon projet de R&D européen? Organiser la rédaction règles administratives
Florian CARRE Comment rédiger un bon projet de R&D européen? Organiser la rédaction règles administratives Organiser la rédaction Appel à projet Consortium + Idée de projet Réunion de consortium proposition
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailInformation Security Management Lifecycle of the supplier s relation
1 Information Security Management Lifecycle of the supplier s relation VS Gery Mollers Conseiller en Sécurité du Système d Information 2 SUPPLIER GOVERNANCE Why? Undiable Partner for Infor. System Maintenance
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailGuide de la demande d autorisation pour administrer un régime volontaire d épargneretraite
Guide de la demande d autorisation pour administrer un régime volontaire d épargneretraite Mars 2015 TABLE DES MATIÈRES INTRODUCTION... 3 À QUI S ADRESSE CE GUIDE?... 3 AVANT DE DÉBUTER... 4 SERVICE DE
Plus en détailR È G L E M E N T I. Agence
R È G L E M E N T I Agence IKO Centre de renseignements sur le crédit à la consommation Badenerstrasse 701 Case postale 1108 8048 Zurich Tél. 043 311 77 31 Fax 043 311 77 33 E-mail: info@iko.ch www.iko-info.ch
Plus en détailConditions d utilisation de la plateforme de trading bilatérale
Conditions d utilisation de la plateforme de trading bilatérale 1. But et structure 1 Les présentes Conditions régissent l utilisation de la plateforme de trading bilatérale. 2 L exploitant de la plateforme
Plus en détailRecommandations sur le Cloud computing
Recommandations sur le Cloud computing EuroCloud, Paris, 25 septembre 2012 Didier GASSE, membre de la Commission nationale de l informatique et des libertés Myriam GUFFLET, Juriste au Service des affaires
Plus en détailARCHIVAGE DES BASES DE
ARCHIVAGE DES BASES DE DONNEES ARNAUD HULSTAERT ET GRÉGORY OGONOWSKI MANAGEMENT SUMMARY SECTION RECHERCHE 04/2013 1. Introduction La croissance continue des volumes de données stockés dans les bases de
Plus en détail