Analyse de risque Méthodologie Octave
|
|
- Jean-Charles Carignan
- il y a 6 ans
- Total affichages :
Transcription
1 Analyse de risque Méthodologie Octave Jean-Marc Robert Génie logiciel et des TI
2 Plan de la présentation Introduction NIST SP CERT OCTAVE OCTAVE v2.0 OCTAVE-S v1.0 OCTAVE- Allegro OCTAVE-Allegro Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 2
3 Objectif Permettre à une organisation d accomplir sa mission. Avoir une meilleure protection des systèmes qui conservent, traitent et transmettent les informations essentielles au bon déroulement des affaires. Prendre de meilleures décisions basées sur des faits tangibles et mesurables. Investissement en équipement, personnel, formation, etc. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 3
4 L analyse de risque le premier pas Définir les besoins. Déterminer les actifs à protéger et leurs propriétaires. Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés? Déterminer les menaces représentant des risques. Quels sont les acteurs attaqueurs? Quels sont leurs motivations et leurs moyens? Déterminer les objectifs à atteindre. Quelles sont les propriétés des actifs à protéger? Proposer une solution. Déterminer les contre-mesures à mettre en place. Évaluer les risques résiduels. Déterminer quelles sont les vulnérabilités toujours présentes. Déterminer leurs impacts sur les objectifs initiaux. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 4
5 L analyse de risque schématiquement Propriétaires désirant minimiser demandant Contre-mesures tenant à réduisant Risques à augmentant Attaqueurs représentant Menaces à Actifs désirant accéder à Adapté de ISO/IEC Common Criteria. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 5
6 Les définitions Actifs L ensemble des données et des systèmes d information nécessaires au bon déroulement d une organisation. Vulnérabilité Défaut ou faiblesse d un système pouvant mener à une faille de sécurité ou à la violation de sa politique de sécurité. Menace La possibilité qu une vulnérabilité soit exploitée. Risque Impact sur la mission de l organisation. Dépend à la fois de la vraisemblance de la menace (condition) et de son impact sur les actifs et les ressources (conséquence). Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 6
7 NIST SP Trois grandes étapes Évaluation des risques Identification et évaluation des risques et de leurs impacts Détermination des priorités de ces risques Recommandation de contre-mesures Atténuation des risques Classement par ordre de priorité des contre-mesures Implémentation et maintenance des contre-mesures Évolution et évaluation Évaluation continue du système au cours de son évolution Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 7
8 Provenant de NIST SP Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 8
9 NIST SP Quoi mais pas Comment! Cette recommandation du NIST décrit ce qui est recherché. Malheureusement, elle ne décrit pas comment y arriver. Ce n est pas un processus ou une méthodologie! Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 9
10 CERT OCTAVE Operationally Critical Threat, Asset and Vulnerability Evaluation Développé par le CERT Survivable Entreprise Management team OCTAVE est une méthodologie pour identifier et évaluer les risques de sécurité associés aux systèmes d information. Développer des critères qualitatifs d évaluation de risque. Identifier les actifs. Identifier les vulnérabilités et les menaces. Évaluer les conséquences sur les objectifs d affaires si une attaque réussit. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 10
11 CERT OCTAVE : Famille de processus OCTAVE v2.0 Grande organisation (300 et +) Hiérarchique à plusieurs niveaux Infrastructure IT interne Connaissance technique importante (évaluation des vulnérabilités) OCTAVE-S v1.0 Moyenne organisation (~ 100) Équipe d analystes excellente connaissance de l organisation Connaissance technique limitée OCTAVE- Allegro Évaluation rapide Excellente connaissance de l organisation et connaissance technique limitée Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 11
12 CERT OCTAVE Simplifié grandement pour OCTAVE -S Provenant de CERT OCTAVE Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 12
13 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 13
14 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 14
15 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 15
16 OCTAVE-Allegro : 8 étapes simplifiées Définir les paramètres 1. Établir les critères d évaluation Définir les profils d actifs 2. Établir les profils des actifs informationnels 3. Identifier les intervenants et les contenants Identifier les menaces 4. Identifier les domaines de préoccupation 5. Identifier les scénarios de menaces Identifier et atténuer les risques 6. Identifier les risques 7. Analyser les risques 8. Choisir une approche face aux risques Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 16
17 Étape 1 Établir les critères d évaluation Définir un ensemble de mesures qui permettra d évaluer l impact des menaces sur les objectifs d affaires afin de déterminer le niveau de risque. Réputation et Confiance des clients Financier Productivité Sûreté et santé Législatif Voir les «Worksheets» 1, 2, 3, 4, 5 et 6. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 17
18 Étape 1 Établir les critères d évaluation Prioriser les mesures d impact de la plus importante à la moins importante. 5 plus importante 1 moins importante Voir le «Worksheet» 7. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 18
19 Étape 2 Établir les profils des actifs Identifier l ensemble des actifs informationnels Quels sont les actifs qui ont le plus de valeur pour l organisation? Quels sont les actifs utilisés tous les jours dans l accomplissement des diverses tâches de l organisation? Quels sont les actifs dont la perte empêcherait l organisation d atteindre ses objectifs d affaires? Quels sont les actifs liés aux actifs précédents? Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 19
20 Étape 2 Établir les profils des actifs Pour chaque actif : Nom de l actif Raison de sa sélection Description Propriétaire Besoin de sécurité (confidentialité, intégrité, disponibilité, etc.) Besoin le plus important Voir le «Worksheet» 8. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 20
21 Étape 3 Identifier les contenants Identifier les contenants techniques (internes et externes) Serveurs d applications Web ou de bases de données, réseaux internes, Internet, stations de travail, Identifier les lieux physiques (internes et externes) Où sont conservées les copies (papier ou électronique)? Identifier les intervenants (personnes internes et externes) Voir les «Worksheets» 9a, 9b et 9c. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 21
22 Étape 4 Identifier les préoccupations Description d une situation pouvant affecter un actif. Entrée : Information Asset Risk Environment Maps («Worksheets» 9a, 9b et 9c). À partir des préoccupations, détailler les scénarios. Acteur Moyen Motif Résultat Impacts sur les exigences de sécurité Voir le «Worksheet» 10 items 1 à 5. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 22
23 Étape 5 Identifier les scénarios de menace Menace : Indication d un événement indésirable potentiel. Scénario d une menace : Situation où un actif peut être compromis (acteur, motif, moyen, résultat). Arbre de menaces : Structure arborescente permettant de visualiser un ensemble de scénarios de menace. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 23
24 Acteurs humains Moyens techniques Acteur Motif Résultat accidentel interne délibéré accidentel externe délibéré Chaque branche doit être considérée. divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 24
25 Acteurs humains Moyens physiques Acteur Motif Résultat accidentel interne délibéré accidentel externe délibéré Chaque branche doit être considérée. divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 25
26 Problèmes techniques Motif Défaut logiciel Défaut matériel Panne système Code malicieux Chaque branche doit être considérée. Résultat divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 26
27 Autres problèmes Motif Alimentation électrique Télécommunication Tiers Désastre naturel Chaque branche doit être considérée. Résultat divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 27
28 Étape 5 Identifier les scénarios de menace Entrée : Information Asset Risk Environment Maps («Worksheets» 9a, 9b et 9c). Pour chaque contenant, Est-il possible qu une personne interne (ou externe) puisse le divulguer, modifier, interrompre, ou détruire accidentellement ou intentionnellement? Voir les questionnaires 1, 2 et 3. Remplir un «Worksheet» 10 pour chaque nouvelle menace. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 28
29 Étape 5 Identifier les scénarios de menace Activité facultative : Établir la probabilité d une menace Basse Moyenne Haute Voir le «Worksheet» 10 item 6. Fonction : Motivation (ou gain potentiel) Expertise requise Matériel requis Moyens de défense déjà présents Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 29
30 Étape 6 Identifier les risques Pour chaque scénario de menace identifié, déterminer les conséquences. Voir le «Worksheet» 10 item 7. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 30
31 Étape 7 Analyser les risques Déterminer la valeur qualitative de l impact d une menace pour l organisation (le «Worksheet» 10 item 8) Basse (1) Moyenne (2) Haute (3) en fonction des objectifs d affaires (voir le «Worksheet» 7). Critère d évaluation Rang Valeur d Impact Pointage Réputation 4 Moyenne (2) 8 Financier 5 Basse (1) 5 Productivité 3 Basse (1) 3 Sécurité et Santé 1 Basse (1) 1 Législatif 2 Haute (3) 6 Total 23 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 31
32 Étape 7 Analyser les risques Entre deux pointages, la différence n est pas significative. Pointage #1 : 23 Pointage #2 : 45 La différence de 22 ne représente rien d autre que le Pointage #2 est plus grand que le Pointage #3. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 32
33 Étape 8 Faire face aux risques Accepter Fatalité! Atténuer Réduire l impact d une attaque réussie Stratégies permettant de limiter l impact sur les objectifs d affaires. Réduire la probabilité de réussite d une attaque Mécanismes de contrôle et de protection permettant d éviter que des vulnérabilités soient exploitables. Retarder la décision Plus d information est nécessaire. Continuer l analyse. Transférer Assurance Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 33
34 Étape 8 Faire face aux risques Prioriser les risques qui ont été identifiés. Matrice de priorisation probabiliste Probabilité Pointage total 30 à à 29 0 à 15 Haute Catégorie 1 Catégorie 2 Catégorie 2 Moyenne Catégorie 2 Catégorie 2 Catégorie 3 Basse Catégorie 3 Catégorie 3 Catégorie 4 Matrice de priorisation Pointage total 30 à à à 19 0 à 9 Catégorie 1 Catégorie 2 Catégorie 3 Catégorie 4 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 34
35 Étape 8 Faire face aux risques Déterminer comment réagir (le «Worksheet» 10 item 9) Catégorie Approche 1 Atténuer 2 Atténuer ou Retarder 3 Accepter ou Retarder 4 Accepter Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 35
36 Étape 8 Faire face aux risques Développer une stratégie pour atténuer un risque (s il y a lieu). Décrire le moyen de contrôle choisi pour le contenant (technique, physique ou personne) approprié. Décrire le niveau de risque résiduel. Voir le «Worksheet» 10 item 9. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 36
37 Étape 8 Faire face aux risques Comment réduire la probabilité d une menace? Comment réduire le motif de l attaquant? Comment prévenir qu un attaquant exploite une vulnérabilité? ou utilise une méthode? Comment empêcher le résultat d une attaque? Comment réduire l impact d une attaque réussie? Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 37
38 Analyse de risque Conclusion Clés du succès Engagement des cadres supérieurs Engagement et la participation inconditionnels de l équipe des TI Compétence de l équipe effectuant l analyse de risque Expérience, outils, Sensibilisation et coopération des usagers Jusqu à une certaine limite. Il est impossible que tous les usagers soient formés de façon adéquate. À tenir compte lors de l analyse de risque. Évaluation continue des risques. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 38
39 Analyse de risque Conclusion L analyse de risque est une des plus importantes activités de la sécurité informatique. Elle permet de répertorier tous les risques auxquels les actifs critiques sont exposés et de les hiérarchiser. Cette analyse détermine ainsi quels risques devront être traités avec priorité et quels risques seront acceptables sans aucune intervention. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 39
40 Références Gary Stoneburner, Alice Goguen, et Alexis Feringa, Risk Management Guide for Information Technology Systems, NIST SP , 55 pages, Richard A. Caralli, James F. Stevens, Lisa R. Young et William R. Wilson, Introducing OCTAVE Allegro: Improving the Information Security Risk, Assessment Process, Rapport technique, Software Engineering Institute, CMU, 154 pages, Software Engineering Institute, CMU, Documentation OCTAVE, Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 40
Gestion des incidents
Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de
Plus en détailGestion des mises à jour logicielles
Gestion des mises à jour logicielles Jean-Marc Robert Génie logiciel et des TI Menaces et vulnérabilités Menaces Incidents non intentionnels Activités inappropriées Contenu inapproprié Utilisation inappropriée
Plus en détailLes enjeux de la sécurité informatique
Les enjeux de la sécurité informatique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Le constat est navrant La sécurité informatique, ce n est pas Principal objectif de la sécurité
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailLa gestion des risques IT et l audit
La gestion des risques IT et l audit 5èmé rencontre des experts auditeurs en sécurité de l information De l audit au management de la sécurité des systèmes d information 14 Février 2013 Qui sommes nous?
Plus en détailArchivage électronique
Archivage électronique En raison du développement constant de la numérisation et de l augmentation croissante du nombre d informations auxquelles les entreprises sont confrontées, l accès rapide et contrôlé
Plus en détail1. La sécurité applicative
ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité
Plus en détailRetour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder 25.05.2008
Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA James Linder 25.05.2008 1 Objectifs Pourquoi un plan de secours? Pour ne ne pas pas être être bloqué dans son son travail
Plus en détailRapport de certification PP/0002
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détail5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération
Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération 5.4 Pour l exercice terminé le 31 décembre 2013 Sécurité des réseaux sans fil 5.4. Sécurité des
Plus en détailL impact d un incident de sécurité pour le citoyen et l entreprise
L impact d un incident de sécurité pour le citoyen et l entreprise M e Jean Chartier Président Carrefour de l industrie de la sécurité 21 octobre 2013 - La Malbaie (Québec) Présentation générale La Commission
Plus en détailColloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires
Colloque 2005 de la Sécurité des Systèmes d Information Du contrôle permanent à la maîtrise globale des SI Jean-Louis Bleicher Banque Fédérale des Banques Populaires Mercredi 7 décembre 2005 Du contrôle
Plus en détailLa continuité des activités informatiques. Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008
La continuité des activités informatiques Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008 Pas de recette toute faite!!! Vérité n 1 : «il existe autant de PCA différents que de sociétés» Votre
Plus en détailL outil ou le processus?
L outil ou le processus? Présent senté par Lyne Jubinville Service desk : services TI SVP, n éteignez pas vos téléphones portables 1 La livraison des services TI 1. Implanter la gestion des données 2.
Plus en détailCONDITIONS GENERALES D ACHAT
CONDITIONS GENERALES D ACHAT Article 1 ACCEPTATION/ ACCUSE DE RECEPTION Sauf accords contraires et écrits entre AIRMETEC et le fournisseur, les présentes conditions s appliquent impérativement, à l exclusion
Plus en détailCobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D
D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des
Plus en détailFace aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012
Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI
Plus en détailL évolution du modèle de la sécurité des applications
L évolution du modèle de la sécurité des applications Un modèle utilisé pour intégrer la sécurité dans le cycle de vie des applications Luc Poulin a, Alain Abran b et Alain April b a Cogentas Institut
Plus en détailGestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services
Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Jaafar DEHBI 2003 Acadys - all rights reserved Conception des services Buts et objectifs Concevoir les nouveaux
Plus en détailLivre Blanc Oracle Mars 2009. Rationaliser, Automatiser et Accélérer vos Projets Industriels
Livre Blanc Oracle Mars 2009 Rationaliser, Automatiser et Accélérer vos Projets Industriels Introduction Pour relancer l économie, le gouvernement des États-Unis, l Union Européenne et la Chine ont développé
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailun état de changement
un état de changement Bulletin bimestriel à l intention des organismes sans but lucratif Février 2013 Dans ce numéro Nouvelles normes comptables pour les organismes sans but lucratif Introduction Les organismes
Plus en détailCe texte est une version provisoire. Seule la version qui sera publiée dans la Feuille officielle
Ce texte est une version provisoire. Seule la version qui sera publiée dans la Feuille officielle (https://www.admin.ch/gov/fr/accueil/droit-federal/feuille-federale.html) fait foi. Directives du Conseil
Plus en détailGestion de la sécurité de l information par la haute direction
Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut
Plus en détailMontrer que la gestion des risques en sécurité de l information est liée au métier
Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme
Plus en détailLa cartographie des risques outil fédérateur de pilotage: exemple d'application dans un groupement d'établissements. Marc MOULAIRE
La cartographie des risques outil fédérateur de pilotage: exemple d'application dans un groupement d'établissements. Marc MOULAIRE Définitions Successivement la cartographie a été: L'Art de dresser les
Plus en détailDell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation
Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes
Plus en détailANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES
PPB-2006-8-1-CPA ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES Introduction 0. Base légale 1. Le contrôle interne 1.1. Définition et éléments constitutifs 1.2. Mesures
Plus en détailLa révolution de l information
Forum 2006 du CERT-IST Le Management de la sécurité, un enjeu stratégique Philippe Duluc Directeur de la Sécurité Groupe de France Télécom Secrétariat général SG/DSEC, le 8 Juin 2006, slide n 1 sur 12
Plus en détailCONDITIONS GENERALES DE VENTE
CONDITIONS GENERALES DE VENTE 1. LES PARTIES 1.1. Festoyons.com Entreprise individuelle N Siret : 48170196900018 N TVA IntraCommunautaire : FR1648170196900018 Siège social : 4 rue du Buisson de May 27120
Plus en détailPolitique de gestion des risques
Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement,
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailL exploitation des rapports de vérifications réglementaires : quels enjeux, quelle solution?
L exploitation des rapports de vérifications réglementaires : quels enjeux, quelle solution? 5 décembre 2013 Sommaire L exploitation des rapports de vérifications réglementaires : Quels enjeux? Bureau
Plus en détailDémonstration des économies et des avantages Le pilote
Démonstration des économies et des avantages Le pilote 1 Résumé 2 2 Coup d envoi 2 2.1 Présentation 3 2.2 Analyse des Avantages Client (AAC) 3 2.3 Règles et Modèles 3 2.4 Procédés pour les contributions
Plus en détailRécapitulatif: Du 30 Mars au 10 Avril 2015. Rapports de l OICV sur les plans de continuité d activité.
Du 30 Mars au 10 Avril 2015 Récapitulatif: Rapports de l OICV sur les plans de continuité d activité. Mise à jour de la liste des Contreparties Centrales autorisées en Europe. Lancement d un projet conjoint
Plus en détailCopyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
VOLET N 2 1 Définition des objectifs de sécurité Principes fondamentaux de la sécurité du système d information Scenarios génériques de menaces Méthodes et bonnes pratiques de l analyse de risques Plan
Plus en détailContrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :
Contrat de courtier Entre : L EMPIRE, COMPAGNIE D ASSURANCE-VIE (ci-après nommée «Empire Vie») et (ci-après nommé «courtier») Adresse civique : Ville ou municipalité : Province : Code postal : Date d effet
Plus en détailLIGNES DIRECTRICES À L USAGE DES ORGANISMES RÉALISANT LA CERTIFICATION DE SYSTÈMES DE QUALITÉ POUR LES PROGRAMMES DE CONTRÔLE DU DOPAGE
PROGRAMME MONDIAL ANTIDOPAGE LIGNES DIRECTRICES À L USAGE DES ORGANISATIONS ANTIDOPAGE DÉVELOPPANT DES BONNES PRATIQUES POUR LES PROGRAMMES DE CONTRÔLE DU DOPAGE LIGNES DIRECTRICES À L USAGE DES ORGANISMES
Plus en détailOWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI
OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est
Plus en détailPrésentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS
Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Les tendances du marché et leurs impacts sur l IT SOUPLESSE EFFICACITÉ PRODUCTIVITÉ Aller vite, être agile et flexible Réduire les coûts Consolider
Plus en détailMTI820 Entrepôts de données et intelligence d affaires. Gouvernance des données et ges1on des données de référence
MTI820 Entrepôts de données et intelligence d affaires Gouvernance des données et ges1on des données de référence 1 La gouvernance des données Défini1on: «Processus de supervision et de décision qui permet
Plus en détailMacroscope et l'analyse d'affaires. Dave Couture Architecte principal Solutions Macroscope
Macroscope et l'analyse d'affaires Dave Couture Architecte principal Solutions Macroscope Avis Avis d intention Ce document a pour but de partager des éléments de vision et d intentions de Fujitsu quant
Plus en détailMV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Plus en détailRapport de certification PP/0101
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détailPréparation des données d entrée pour la définition d un plan de validation
L ingénierie des systèmes complexes Préparation des données d entrée pour la définition d un plan de validation Référence Internet 22745.010 Saisissez la Référence Internet 22745.010 dans le moteur de
Plus en détailLes marchés Security La méthode The markets The approach
Security Le Pôle italien de la sécurité Elsag Datamat, une société du Groupe Finmeccanica, représente le centre d excellence national pour la sécurité physique, logique et des réseaux de télécommunication.
Plus en détailBertrand Cornanguer Sogeti
JFIE 2014 Bertrand Cornanguer Sogeti Trésorier du CFTL Chair du groupe Audit de l ISTQB Vice-chair du groupe Agile Tester de l ISTQB 14/10/2014 Introduction Comme beaucoup de sujets, l ingénierie des exigences
Plus en détailConditions spécifiques de ventes applicables aux offres AUTISCONNECT ADSL110101 Page 1 sur 5
CONDITIONS SPECIFIQUES DE VENTES APPLICABLES AUX OFFRES AUTISCONNECT ADSL ARTICLE 1. DÉFINITIONS Dans les présentes conditions particulières, les termes suivants ont, sauf précision contraire, le sens
Plus en détailLes conséquences de Bâle II pour la sécurité informatique
Les conséquences de Bâle II pour la sécurité informatique - 1 - PLAN GENERAL PLAN DO CHECK ACT Introduction : Présentation de l ISO 17799 Analyse de risque opérationnel Organisation de la sécurité Recommandations
Plus en détailGOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE
GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE RÉSUMÉ Depuis des années, les responsables de la sécurité de l information et les responsables opérationnels
Plus en détailISO 27001 conformité, oui. Certification?
ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche
Plus en détailCONDITIONS SPECIFIQUES DE VENTES APPLICABLES AUX OFFRES OPENCONNECT ADSL
ARTICLE 1. DÉFINITIONS CONDITIONS SPECIFIQUES DE VENTES APPLICABLES AUX OFFRES OPENCONNECT ADSL Dans les présentes conditions particulières, les termes suivants ont, sauf précision contraire, le sens qui
Plus en détailCONDITIONS GENERALES D UTILISATION DU SERVICE KEONET PARTIES CONTRACTANTES
CONDITIONS GENERALES D UTILISATION DU SERVICE KEONET PARTIES CONTRACTANTES Le contrat est conclu entre : l organisme International Open Technology Association (IOTA), route de Lausanne 9, à CH-1422 Grandson
Plus en détailITIL V3. Transition des services : Principes et politiques
ITIL V3 Transition des services : Principes et politiques Création : janvier 2008 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé
Plus en détailCONVENTION DE PARTENARIAT AGENCES
CONVENTION DE PARTENARIAT AGENCES ENTRE, La société SHOPPING FLUX SARL, dont le siège social est situé : 21 avenue du Fort 92120 Montrouge Immatriculée au registre du commerce et des sociétés sous le numéro
Plus en détailSenior IT Security Risk Management Analyst
Senior IT Security Risk Management Analyst Bring your analytical skills and your technical expertise to one of these positions located in Ottawa. As a member of the IT Security Modernization Project team,
Plus en détailArticle 1. Enregistrement d un nom de domaine
Conditions Générales d Utilisation du Service «Nom de domaine pro» Les présentes Conditions Générales d Utilisation ont pour objet de définir les conditions dans lesquelles le Relais Internet, département
Plus en détailProgramme GREAT-MED: «Generating a Risk and Ecological Analysis Toolkit for the Mediterranean»
Programme GREAT-MED: «Generating a Risk and Ecological Analysis Toolkit for the Mediterranean» Idée du GREAT-MED synthèse et transfert de connaissances de biodiversité Réfuges & Hotspots de plantes méditerranéennes
Plus en détailRapport de certification
Rapport de certification McAfee Management for Optimized Virtual Environments Antivirus version 3.0.0 with epolicy Orchestrator version 5.1.1 Préparé par Le Centre de la sécurité des télécommunications
Plus en détailFORMULAIRE DE RÉCLAMATION RECOURS COLLECTIF DPM SECURITIES LIMITED PARTNERSHIP
FORMULAIRE DE RÉCLAMATION RECOURS COLLECTIF DPM SECURITIES LIMITED PARTNERSHIP COUR SUPÉRIEURE DU QUÉBEC, DOSSIERS NUMÉROS: 500-06-000096-998 (Springfield), 500-06-000123-014 (Windsor Park) 500-06-000142-014
Plus en détailLa Pédagogie au service de la Technologie
La Pédagogie au service de la Technologie TECHNOLOGIE Formation Symantec Endpoint Protection 12.1 Administration Objectif >> A la fin de ce cours, les stagiaires seront à même d effectuer les tâches suivantes
Plus en détailLA GESTION DE PROJET INFORMATIQUE
Structurer, assurer et optimiser le bon déroulement d un projet implique la maîtrise des besoins, des objectifs, des ressources, des coûts et des délais. Dans le cadre de la gestion d un projet informatique
Plus en détailLA GESTION DE PROJET INFORMATIQUE
LA GESTION DE PROJET INFORMATIQUE Lorraine Structurer, assurer et optimiser le bon déroulement d un projet implique la maîtrise des besoins, des objectifs, des ressources, des coûts et des délais. Dans
Plus en détailComment mieux évaluer les risques industriels par la mesure du capital immatériel???
Comment mieux évaluer les risques industriels par la mesure du capital immatériel??? GENERALI : Un acteur engagé et responsable FFSA 26/01/2010 " Le secteur de l assurance est concerné par tous les sujets
Plus en détailPréjudices, failles, vulnérabilités et menaces
INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Préjudices, failles, vulnérabilités et menaces Préjudice En général, on dit que le préjudice est : "une atteinte subie par une personne
Plus en détailLa gestion des mots de passe pour les comptes à privilèges élevés
La gestion des mots de passe pour les comptes à privilèges élevés Bernard Levasseur, ing. CISSP Spécialiste en solutions de sécurité Séminaire Bell sur les solutions de sécurité Le 12 novembre 2009 Page
Plus en détailConcilier mobilité et sécurité pour les postes nomades
Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de
Plus en détailSécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne 2012. Yosr Jarraya. Chamseddine Talhi.
MGR850 Automne 2012 Automne 2012 Sécurité logicielle Yosr Jarraya Chargé de cours Chamseddine Talhi Responsable du cours École de technologie supérieure (ÉTS) 1 Plan Motivations & contexte Développement
Plus en détailITIL pour les PME/PMI LIVRE BLANC SUR LES MEILLEURES PRATIQUES
ITIL pour les PME/PMI LIVRE BLANC SUR LES MEILLEURES PRATIQUES Sommaire RESUME... 1 DEFINITION D ITIL... 2 ITIL POUR LES PME/PMI... 2 Le point de vue d un client... 3 L IMPORTANCE DU CHANGEMENT... 5 RECOMMANDATIONS...
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailFloored Floater. Cette solution de produit lui offre les avantages suivants:
sur le taux d intérêt LIBOR CHF à trois mois avec emprunt de référence «Sony» sur le taux d intérêt EURIBOR EUR à trois mois avec emprunt de référence «Sony» Dans l environnement actuel caractérisé par
Plus en détailPour une entreprise plus performante
Pour une entreprise plus performante Smart Technology Services Raison Sociale - Smart Technology Services llc Pôle d activités - Service et conseil dans la technologie de l information Pôle d activités
Plus en détailGestion du risque avec ISO/EIC17799
Gestion du risque avec ISO/EIC17799 Code de bonnes pratiques pour une meilleure gestion en sécurité de l information Marc-André Léger, MScA (MIS) Université de Sherbrooke Informatique de la santé Connaissances,
Plus en détailVous ne pouvez pas accéder à ce site si n importe laquelle des conditions suivantes s applique à vous :
Termes et Conditions 1 UTILISATION DE CE SITE 1.1 L accès et l utilisation de ce site sont sujets à toutes les lois et tous les règlements applicables à ce site, à l Internet et/ou au World Wide Web, ainsi
Plus en détailInterne Forces Faiblesses Externe Opportunités Menaces
L ANALYSE SWOT 1 Pourquoi utiliser cet outil en évaluation? L'analyse SWOT (Strengths Weaknesses Opportunities Threats) ou AFOM (Atouts Faibses Opportunités Menaces) est un outil d'analyse stratégique.
Plus en détailMANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ
MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ Table des matières PRÉAMBULE... 3 1 Introduction... 4 2 Domaine d application... 4 3 Exigences générales... 4 3.1 Système de gestion de la sûreté... 4 3.2 Approche
Plus en détailFormation Symantec Veritas Cluster Server 6.x pour Unix
La Pédagogie au service de la Technologie TECHNOLOGIE Formation Symantec Veritas Cluster Server 6.x pour Unix Objectif >> A la fin de ce cours, les stagiaires seront à même d effectuer les tâches suivantes
Plus en détailISO/IEC 27002. Comparatif entre la version 2013 et la version 2005
ISO/IEC 27002 Comparatif entre la version 2013 et la version 2005 Évolutions du document Version Date Nature des modifications Auteur 1.0 22/07/2014 Version initiale ANSI Critère de diffusion Public Interne
Plus en détailUn environnement de déploiement automatique pour les applications à base de composants
ICSSEA 2002-7 Lestideau Un environnement de déploiement automatique pour les applications à base de composants Vincent Lestideau Adele Team Bat C LSR-IMAG, 220 rue de la chimie Domaine Universitaire, BP
Plus en détailPré-requis Diplôme Foundation Certificate in IT Service Management.
Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d
Plus en détailIBM Tivoli Compliance Insight Manager
Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts
Plus en détailGestion des fichiers sur micro-ordinateur
... 1 Qu est ce qu une gestion de fichier :... 2 Importance d une bonne gestion des fichiers :... 2 Qui doit faire une gestion des dossiers :... 3 Étapes à suivre pour une meilleur gestion des dossiers
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 3 + du produit Symantec Risk Automation Suite 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans
Plus en détailSécurité informatique: introduction
Sécurité informatique: introduction Renaud Tabary: tabary@enseirb.fr 2008-2009 Plan 1 Généralités 2 3 Définition de la sécurité informatique Definition Information security is the protection of information
Plus en détailYphise optimise en Coût Valeur Risque l informatique d entreprise
Maîtriser le Change et le Release Management Juin 2007 Xavier Flez yphise@yphise.com Propriété Yphise 1 Enjeux La maîtrise du changement est un sujet essentiel et complexe pour toutes les DSI complexité
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailJOURNÉE THÉMATIQUE SUR LES RISQUES
Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailComité permanent du droit des marques, des dessins et modèles industriels et des indications géographiques
F SCT/30/4 ORIGINAL : ANGLAIS DATE : 12 AOUT 2013 Comité permanent du droit des marques, des dessins et modèles industriels et des indications géographiques Trentième session Genève, 4 8 novembre 2013
Plus en détailApprendre à apprendre avec les cartes heuristiques
Apprendre à apprendre avec les cartes heuristiques Sommaire Définition Origine Méthode générique Résultat Principe Comparaison Usages Supports Cartes heuristiques et TIC Cartes heuristiques et éducation
Plus en détailContexte et motivations Les techniques envisagées Evolution des processus Conclusion
Vérification de logiciels par analyse statique Contexte et motivations Les techniques envisagées Evolution des processus Conclusion Contexte et motivations Specification Design architecture Revues and
Plus en détailLES HIPPOCAMPES DE PARIS STATUTS
LES HIPPOCAMPES DE PARIS STATUTS Article préliminaire Il est rappelé que l association «Les Hippocampes de Paris» a été créée le 25 mai 1934 sous la dénomination «Les Hippocampes». Elle a été déclarée
Plus en détailComment lutter efficacement contre la fraude à l assurance
Comment lutter efficacement contre la fraude à l assurance 1 En cette période de tension sur leur rentabilité et de pression sur les tarifs, les assureurs soulignent la nécessité de renforcer leur dispositif
Plus en détailConvergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance
Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance Intervention au Forum des Compétences Philippe Courtot - Chairman
Plus en détailSCAP & XCCDF/OVAL. Standardisation des Opérations de Sécurité et des Validations de Conformité. Benjamin Marandel. Ingénieur Avant-Vente pour McAfee
SCAP & XCCDF/OVAL Standardisation des Opérations de Sécurité et des Validations de Conformité Benjamin Marandel Ingénieur Avant-Vente pour McAfee Qu est-ce que SCAP? Secure Content Automation Protocol
Plus en détail