ETUDE DE CAS : SECURITE D UN
|
|
- Pierre-Marie Morin
- il y a 8 ans
- Total affichages :
Transcription
1 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité systèmes d information Sous-direction assistance, conseil et epertise Bureau assistance et conseil EBIOS 2010 ETUDE DE CAS : SECURITE D UN SERVICE DU CLOUD Version du 20 juillet 2011
2 Les commentaires et suggestions sont encouragés et peuvent être adressés à l'adresse suivante (voir formulaire de recueil de commentaires en fin de guide) : Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité systèmes d'information Sous-direction assistance, conseil et epertise Bureau assistance et conseil 51 boulevard de La Tour-Maubourg PARIS 07 SP ebios@ssi.gouv.fr Page 2 sur 61
3 Historique modifications Date Objet de la modification Statut 20/07/2011 Création du document Validé Table matières 1 MODULE 1 ETUDE DU CONTEXTE ACTIVITE 1.1 DEFINIR LE CADRE DE LA GESTION DES RISQUES Identifier les sources de menaces ACTIVITE 1.2 PREPARER LES METRIQUES Activité Définir les critères de sécurité et élaborer les échelles de besoins Activité Elaborer une échelle de niveau de gravité Activité Elaborer une échelle de niveau de vraisemblance Echelle de niveau de risque Critères de gestion risques ACTIVITE 1.3 IDENTIFIER LES BIENS Biens essentiels Biens supports Liens entre biens supports et biens essentiels Mesures de sécurité eistantes MODULE 2 ÉTUDE DES EVENEMENTS REDOUTES MODULE 3 ÉTUDE DES SCENARIOS DE MENACES SYSTEME D ACCES (SYS_AIN) SYSTEME DU PRESTATAIRE (SYS_EXT) SYSTEME D ACCES DU PRESTATAIRE (SYS_APR) ORGANISATION INTERNE (ORG_INT) ORGANISATION DU PRESTATAIRE (ORG_PRE) MODULE 4 ÉTUDE DES RISQUES ANALYSE ET EVALUATION DES RISQUES Divulgation données de déclaration de sinistre Altération données de déclaration de sinistre Indisponibilité données de déclaration de sinistre Divulgation données de sécurité Altération données de sécurité Indisponibilité données de sécurité Divulgation de la fonction de traitement données de déclaration de sinistre Dysfonctionnement de la fonction de traitement données de déclaration de sinistre Arrêt de la fonction de traitement données de déclaration de sinistre IDENTIFICATION DES OBJECTIFS DE SECURITE IDENTIFICATION DES RISQUES RESIDUELS MODULE 5 - ÉTUDE DES MESURES DE SECURITE DEFINITION DES MESURES DE SECURITE ANALYSE DES RISQUE RESIDUELS DECLARATION D APPLICABILITE MISE EN ŒUVRE DES MESURES DE SECURITE Page 3 sur 61
4 1 Module 1 Etude du contete Les risques évoqués dans ce document sont décrit dans le document de référence publié par l ENISA («Cloud computing : Benefits, risks and recommendations for information security», et dans celui publié par l ANSSI «Eternalisation systèmes d information». Un assureur s attend à un pic de déclaration en cas d évènements catastrophiques. Il fait appel à un service de type IAAS pour héberger et traiter les données de déclaration de sinistre. Ces données sont rapatriées dans son SI une fois instruites par les eperts d assurance. Personnel Opérateur en charge de la saisie Personnel eterne Opérateur en charge de l instruction Auditeur Administrateur technique Postes utilisateurs Portail Serveurs s Internet Référentiel d identité Cloud 1.1 Activité 1.1 Définir le cadre de la gestion risques La définition détaillée du cadre de la gestion risques sera faite avec le logiciel. Page 4 sur 61
5 1.1.1 Identifier les sources de menaces Types de sources de menaces Source humaine, malveillante, avec de faibles capacités Source humaine, malveillante, avec capacités importantes Source humaine, malveillante, avec capacités illimitées Source humaine eterne, malveillante, avec de faibles capacités Source humaine eterne, malveillante, avec capacités importantes Source humaine eterne, malveillante, avec capacités illimitées Source humaine, sans intention de nuire, avec de faibles capacités Source humaine, sans intention de nuire, avec capacités importantes Source humaine, sans intention de nuire, avec capacités illimitées Source humaine eterne, sans intention de nuire, avec de faibles capacités Source humaine eterne, sans intention de nuire, avec capacités importantes Source humaine eterne, sans intention de nuire, avec capacités illimitées Code malveillant d origine inconnue Phénomène naturel Catastrophe naturelle ou sanitaire Activité animale Retenu ou non Oui Oui Oui Non Oui Non Oui Oui Oui Non Non Non Non Oui Oui Non Eemple Employé malveillant Employé du malveillant Administrateur malveillant Administrateur du malveillant Pirate Concurrent Employé peu sérieu Employé du peu sérieu Administrateur peu sérieu Administrateur du peu sérieu Panne de matériel Panne de réseau Inondation Tempête Tremblement de terre Evènement Oui Faille dans l application Evènement eterne Oui Décision du cloud provider Mauvaise gestion du Décision de justice Changement de juridiction Page 5 sur 61
6 1.2 Activité 1.2 Préparer les métriques Activité Définir les critères de sécurité et élaborer les échelles de besoins Afin d eprimer les besoins de sécurité, les critères de sécurité retenus sont les suivants : Critères de sécurité Disponibilité Intégrité Confidentialité Définitions Propriété d accessibilité au moment voulu biens essentiels Propriété d eactitude et de complétude biens essentiels Propriété biens essentiels de n être accessibles que par utilisateurs autorisés L échelle suivante sera utilisée pour eprimer les besoins de sécurité en termes de disponibilité : Niveau de l échelle Plus de 48h Entre 24 et 48h Entre 4 et 24h Moins de 4h Description détaillée de l échelle Le bien essentiel peut être indisponible plus de 48 heures Le bien essentiel doit être disponible dans les 48 heures Le bien essentiel doit être disponible dans les 24 heures Le bien essentiel doit être disponible dans les 4 heures L échelle suivante sera utilisée pour eprimer les besoins de sécurité en termes d intégrité : Niveau de l échelle Détectable Maîtrisé Intègre Description détaillée de l échelle Le bien essentiel peut ne pas être intègre si l altération est identifiée Le bien essentiel peut ne pas être intègre, si l altération est identifiée et l intégrité du bien essentiel retrouvée Le bien essentiel doit être rigoureusement intègre L échelle suivante sera utilisée pour eprimer les besoins de sécurité en termes de confidentialité : Niveau de l échelle Public Limité Réservé Privé Description détaillée de l échelle Le bien essentiel est public Le bien essentiel ne doit être accessible qu au personnel et au partenaires Le bien essentiel ne doit être accessible qu au personnel impliqué Le bien essentiel ne doit être accessible qu à personnes identifiées et ayant le besoin d en connaître Page 6 sur 61
7 1.2.2 Activité Elaborer une échelle de niveau de gravité L échelle suivante sera utilisée pour estimer la gravité évènements redoutés et risques. Niveau de l échelle Description détaillée de l échelle 0. Insignifiant L évènement redouté n est pas retenu dans le contete de cette étude 1. Négligeable La société surmontera les impacts sans aucune difficulté 2. Limitée La société surmontera les impacts malgré quelques difficultés 3. Importante La société surmontera les impacts avec de sérieuses difficultés 4. Critique La société surmontera les impacts avec de très sérieuses difficultés et sur une très longue période Activité Elaborer une échelle de niveau de vraisemblance L échelle suivante sera utilisée pour estimer la vraisemblance scénarios de menaces et risques. Niveau de l échelle Description détaillée de l échelle 1. Minime Cela ne devrait pas se (re)produire dans les 3 ans / Besoin privilèges d administrateur 2. Significative Cela pourrait se (re)produire dans les 3 ans / Besoin de connaissances et d un accès au utilisateurs Cela devrait se (re)produire dans l année / Sans besoin de connaissances et avec un besoin au utilisateurs 4. Maimale Cela va certainement se (re)produire plusieurs fois dans l année / Sans besoin de connaissances ni au utilisateurs Echelle de niveau de risque 4 4. Intolérable Gravite 3 Significatif 2 2. Limité 1 1. Négligeable 2. Limité Vraisemblance Critères de gestion risques Ce point sera à complété avec le logiciel. Page 7 sur 61
8 1.3 Activité 1.3 Identifier les biens Biens essentiels d information eternalisé Fonctions eternalisées Données de déclaration de sinistre Données de sécurité (Clés de chiffrement, logs, référentiel d identité et droits) Traitement données Biens supports (SYS_AIN) eternalisé (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) Réseau de l organisme Réseau t Serveurs du Postes de travail du Logiciel d administration du Portail Réseau du Utilisateurs (opérateurs en charge de la saisie, opérateurs en charge de l instruction, auditeurs) Administrateurs fonctionnels Administrateurs techniques Administrateurs du cloud Sous-traitants du Cloud Provider Liens entre biens supports et biens essentiels Biens supports Biens essentiels Données de déclaration de sinistre Données de sécurité Traitement données (SYS_AIN) eternalisé (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) Page 8 sur 61
9 1.3.4 Mesures de sécurité eistantes N Thème ISO Mesure de sécurité Description Prévention Récupération Bien support Zones sécurisée Périmètre de sécurité physique Zones sécurisée Contrôle physique accès Zones sécurisée Sécurité du matériel Services générau Sécurité du matériel Sécurité du câblage Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Concevoir et appliquer mesures de protection physiques contre les dommages causés par les incendies, les inondations, les tremblements contre les menaces de terre, les eplosions, les troubles civils et autres formes de etérieures et catastrophes naturelles ou de sinistre provoqués par l homme. Les environnementales datacenters du devront satisfaire les eigences de sécurité liées à la protection physique serveurs. Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Protéger le matériel coupures de courant et autres perturbations dues à une défaillance de services générau. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. X X du / du / Page 9 sur 61
10 Responsabilités utilisateurs 11.4 Contrôle au réseau 11.4 Contrôle au réseau Utilisation du mot de passe Authentification administrateurs Authentification utilisateurs Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de la sélection et de l utilisation de mots de passe. Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en 14.1 Aspects de la sécurité compte les eigences en matière de sécurité de l information, les Plan de continuité de l activité de l information en matière de évènements pouvant être à l origine d interruption processus du gestion de l activité métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. / Page 10 sur 61
11 2 Module 2 Étude évènements redoutés N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de déclaration de sinistre ER1 Divulgation données Privé ER2 Altération données Intègre ER3 Indisponibilité données 24h Données de sécurité ER4 ER5 Divulgation données de sécurité Altération données de sécurité Indisponibilité données ER6 de sécurité Traitement données ER7 ER8 ER9 Divulgation de la fonction de traitement Altération de la fonction de traitement Indisponibilité de la fonction de traitement Privé Intègre 48h Réservé Intègre 24h Employé du peu sérieu Employé du malveillant Bogue logiciel Hébergeur/Faille dans l application Employé peu sérieu Employé du peu sérieu Employé peu sérieu Hébergeur/Faille dans l application Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Entreprise tierce Changement de juridiction Panne de serveur Bogue logiciel Catastrophe naturelle Employé peu sérieu Employé malveillant Employé malveillant Employé malveillant Employé du malveillant Employé malveillant Employé du malveillant Mauvaise gestion du Concurrent Employé malveillant Panne de réseau Perte de notoriété Perte de confiance vis-à-vis clients Impossibilité de remplir obligations légales Action en justice à l encontre de la société Non-conformité au labels de sécurité Chute de valeur en bourse Impossibilité de remplir les obligations légales Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Non-conformité au labels de sécurité Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Mise en péril du système d information eternalisé Impossibilité de remplir les obligations légales Non-conformité au labels de sécurité Perte de notoriété Perte de confiance vis-à-vis clients Chute de valeur en bourse Perte de contrôle sur le système d information eternalisé Impossibilité d assurer le traitement Perte de contrôle sur le système d information eternalisé Perte d un avantage concurrentiel Traitement données non valide Perte de confiance vis-à-vis clients Perte de notoriété Perte de crédibilité Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Perte de notoriété 4. Critique 3. Importante 2. Limitée 4. Critique 3. Importante 2. Limitée 0. Insignifiant 0. Insignifiant 3. Importante Page 11 sur 61
12 L importance relative évènements redoutés précédemment analysés est évaluée à l aide du tableau suivant : Gravité 4. Critique 3. Importante 2. Limitée Evénements redoutés ER1 Divulgation données ER4 Divulgation données de sécurité ER2 Altération données ER5 Altération données de sécurité ER9 Indisponibilité de la fonction de traitement ER3 Indisponibilité données ER6 Indisponibilité données de sécurité 1. Négligeable 0. Insignifiant ER7 Divulgation de la fonction de traitement ER8 Altération de la fonction de traitement Page 12 sur 61
13 3 Module 3 Étude scénarios de menaces 3.1 (SYS_AIN) Bien Support Scénario de menace (SYS_AIN) Menace sur le réseau t causant une indisponibilité Menace sur le réseau t causant une altération Menace sur le réseau t causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Entreprise tierce Concurrent Employé malveillant Panne de réseau Concurrent Employé malveillant Concurrent Employé malveillant M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M13 RSX-USG Attaque du milieu sur un canal informatique M14 RSX-ESP Ecoute passive d un canal informatique Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Attaque de type Man in the Middle Acquisition de données par écoute passive 4. Maimale Menace Vulnérabilités Pré-requis Vraisemblance Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Acquisition de données par écoute passive Attaque de type Man in the Middle Possibilité d être impliqué dans les activités frauduleuses d une entreprise tierce sur le cloud Réseau au cloud unique Dimensionnement insuffisant de la bande passante Réseau au cloud unique Dimensionnement insuffisant de la bande passante Réseau perméable Données transmises interprétables Possibilité de falsification du service appelé Routage altérable Serveurs partagés (cloud public) Accès à la table de routage Accès au utilisateurs Contrôle insuffisant du matériel Accès physique au réseau Accès à la table de routage Accès au utilisateurs Accès à la table de routage Accès au utilisateurs 2. Significative 4. Maimale Mesures de sécurité eistantes N 9 10 Thème ISO Gestion de l accès utilisateur Mesures de sécurité eistantes Gestion du mot de passe utilisateur Description L attribution de mots de passe doit être réalisée dans le cadre d un processus formel Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs Prévention Récupération Bien support / / Mesures de sécurité complémentaires N 9 11 Thème ISO Mesures de sécurité 10.3 Planification et Dimensionnement acceptation du système informations journalisées Description Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. Prévention Récupération Bien support / / / / Page 13 sur 61
14 12 Journal administrateur journal opérations et La journalisation opérations administrateurs permet de garder une trace actions administrateurs. / / 13 Rapports de défaut Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. / / Contrôle Contrôle au routage réseau 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es Audit de la La passerelle au cloud doit être soumise à un audit régulier (annuel) passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec au cloud les objectifs de sécurité. Chiffrement flu Gestion clés du S assurer que l organisation mette en œuvre mesures de routage réseau réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Les flu contenant informations sensibles ou à caractère personnel doivent être chiffrées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. / Page 14 sur 61
15 3.2 (SYS_EXT) Bien Support Scénario de menace (SYS_EXT) Menace sur le système du causant une indisponibilité Menace sur le système du causant une altération Menace sur le système du causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé du peu sérieu Employé du malveillant Décision du cloud provider Concurrent Hébergeur/Faille dans l application Décision de justice Panne de matériel Bogue logiciel Catastrophe naturelle Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Décision du cloud provider Concurrent Employé peu sérieu Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Bogue logiciel Panne de matériel Décision de justice M9 LOG-DEP Dépassement limites d un logiciel M12 LOG-PTE Disparition d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel M4 MAT-PTE Détérioration d un matériel M11 LOG-MOD Modification d un logiciel M7 LOG-USG Détournement de l usage prévu d un logiciel M11 LOG-MOD Modification d un logiciel M8 LOG-ESP Analyse d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel Sureploitation du système du Cessation d activité du Serveurs du saisis par la justice Perte ou effacement données Changement données du portail au cloud Données rendues accessibles à d autres utilisateurs du cloud Collecte de données au SI eternalisé Prestataire racheté par une société investissant moins dans la sécurité Serveurs du saisis par la justice Vol de serveurs Données non effacées serveurs du et rendues accessibles Données rendues accessibles à d autres utilisateurs du cloud Changement données du portail au cloud 4. Maimale Menace Vulnérabilités Pré-requis Vraisemblance Sureploitation du système du Manque de compétence du personnel du Négligence du personnel du Ressources allouées par le insuffisantes Cessation d activité du Portabilité données non assurée Fébrilité économique du 1. Minime 2. Significative Serveurs du saisis par la justice Perte ou effacement données Juridiction liée à la position géographique données Données accessibles avec les droits adéquats Matériel peu fiable Matériel inapproprié au conditions d utilisation Datacenter mal protégé contre les catastrophes naturelles Mauvaise compartimentation du logiciel Changement de juridiction dans le pays où sont situés les serveurs Ou Une entreprise tierce mène activités frauduleuses sur le cloud Ou Juridiction relative au stockage données personnelles Privilèges élevés sur l application Ou Contrôle insuffisant du matériel Ou Bogue dans le logiciel utilisé Ou Datacenter dans une zone à risque de catastrophes naturelles Ou Serveurs partagés (cloud public) 2. Significative Page 15 sur 61
16 Collecte de données au SI eternalisé Changement données du portail au cloud Prestataire racheté par une société investissant moins dans la sécurité Données non effacées serveurs du et rendues accessibles Données rendues accessibles à d autres utilisateurs du cloud Vol de serveurs SI du sous-traitant mal sécurisé Faille dans l application Faille dans le portail au cloud Négligence du personnel du Manque de compétence du personnel du Négligence du personnel du Mauvais effacement données par le Mauvaise compartimentation du logiciel Manque de sécurisation datacenters Négligence du personnel du Négligence du personnel de sécurité du datacenter Accès physique ou logique au SI du sous-traitant Connaissance de l eistence du logiciel Connaissance de l eistence du portail Accès physique ou logique au portail Connaissance de l eistence du portail Fébrilité économique du Serveurs partagés ou réutilisés Serveurs partagés ou réutilisés Accès physique au serveurs Connaissance de l eistence et de la localisation serveurs Possibilité de déplacer un serveur 4. Maimale 2. Significative Mesures de sécurité eistantes N Thème ISO Zones sécurisée 9.1 Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès contre les menaces etérieures et environnementales Services générau 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Concevoir et appliquer mesures de protection physiques contre les dommages causés par les incendies, les inondations, les tremblements de terre, les eplosions, les troubles civils et autres formes de catastrophes naturelles ou de sinistre provoqués par l homme. Les datacenters du devront satisfaire les eigences de sécurité liées à la protection physique serveurs. Protéger le matériel coupures de courant et autres perturbations dues à une défaillance de services générau. Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X X Récupération Bien support Mesures de sécurité complémentaires N 5 6 Thème ISO Sécurité du matériel 10.2 Gestion de la prestation de service par un tiers Mesures de sécurité Mise au rebut ou recyclage sécurisé du matériel Prestation de service et contrat Description Vérifier tout le matériel contenant supports de stockage pour s assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut. Le devra préciser les mesures mises en œuvre pour assurer la mise au rebut de ses matériels. S assurer que les mesures de sécurité, les définitions du service et les niveau de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation de service doit inclure les éléments liés à la journalisation d évènements, au suivi du service hébergé (mise à jour, maintenances, sauvegar ), au modalités de prévention d une attaque et à la réaction suite à un incident. Prévention Récupération Bien support Page 16 sur 61
17 Gestion de Clause la prestation de contractuelle service par un restitution tiers données 10.2 Gestion de la prestation de service par un tiers Gestion modifications dans les services tiers 10.3 Planification et Dimensionnement acceptation du système 10.5 Sauvegarde Le contrat de prestation de service doit préciser les conditions de restitution de données (conditions, délais, formats) pour permettre le rapatriement données ou le changement de sans interruption de service. Gérer les changements effectués dans la prestation de service, comprenant le maintien et l amélioration politiques, procédures et mesures eistantes. Notamment, le contrat doit permettre la validation choi du lors de la mise en œuvre de nouvelles solutions logicielles ou matérielles (pour éviter la perte de sécurité). Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. Le doit prendre toutes les mesures qui s imposent en termes de Sauvegarde sauvegarde et de restauration pour se conformer au niveau de service eigé. Il informations - doit notamment effectuer un double eemplaire sauvegar et doit les backups conserver dans locau physiquement séparés. informations journalisées Journal administrateur journal opérations et Rapports de défaut 11.4 Contrôle au réseau 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es 12.6 Gestion vulnérabilités techniques 15.1 Conformité avec eigences légales 15.1 Conformité avec eigences légales les ports de diagnostic et de configuration à distance Politique d utilisation mesures cryptographiques Gestion clés Mesures relatives au vulnérabilités techniques équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Elaboration et mise en œuvre d une politique d utilisation mesures cryptographiques en vue de protéger l information. Par eemple, employer un logiciel de chiffrement données eternalisées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée dans le contrat de service. Le doit satisfaire les eigences de protection et de confidentialité données à caractère personnel telles que l eigent la législation ou les données et réglementations applicables. confidentialité Le transfert données à caractère personnel en dehors frontières de informations l Union européenne est réglementé par la directive européenne 95/46/CE et la loi relatives à la vie n du 6 janvier 1978 modifiée relative à l inf ormatique, au fichiers et au privée libertés. Hébergement non mutualisé Localisation les données L hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non mutualisé). Ainsi, les données de l organisation (assureur) ne risquent pas de subir les conséquences d une activité frauduleuse d un autre client du cloud. Les problèmes de compartimentation sont de plus écartés. Le doit être en mesure d indiquer la localisation données pour informer l organisation / / / / / / / / / / Page 17 sur 61
18 3.3 (SYS_APR) Bien Support Scénario de menace Menace sur le réseau du (SYS_APR) causant une indisponibilité Menace sur le réseau du causant une altération Menace sur le réseau du causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé du malveillant Panne de réseau Employé du malveillant Employé du malveillant M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M13 RSX-USG Attaque du milieu sur un canal informatique M11 LOG-MOD Modification d un logiciel M14 RSX-ESP Ecoute passive d un canal informatique Perte de liaison entre les serveurs du Attaque de type Man in the Middle Changement données du portail au cloud Acquisition de données par écoute passive entre les serveurs du Menace Vulnérabilités Pré-requis Vraisemblance Perte de liaison entre les serveurs du Attaque de type Man in the Middle Acquisition de données par écoute passive entre les serveurs du Changement données du portail au cloud Réseau au cloud unique Dimensionnement insuffisant de la bande passante Possibilité de falsification du service appelé Routage altérable Perméabilité du réseau Données observables lors du transfert Données du portail modifiables Données du portail accessibles avec les droits adéquats Accès à la table de routage Accès au utilisateurs Accès à la table de routage Accès au utilisateurs Accès à la table de routage Accès au utilisateurs Accès physique ou logique au portail Connaissance de l eistence du portail Mesures de sécurité eistantes N 5 Thème ISO Sécurité du matériel Mesures de sécurité eistantes Sécurité câblage du Description Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. Prévention Récupération Bien support Mesures de sécurité complémentaires N Thème ISO Mesures de sécurité 10.3 Planification et Dimensionnement acceptation du système informations journalisées Journal administrateur journal opérations et Description Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Prévention Récupération Bien support / / / / / / Page 18 sur 61
19 13 Rapports de défaut Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. / / Contrôle au réseau ports de diagnostic et de configuration à distance Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Pour les réseau partagés, en particulier les réseau qui s étendent au-delà 11.4 Contrôle Mesure relative à limites de l organisme du, il convient de vérifier que le au la conneion restreigne la capacité de conneion réseau utilisateurs, conformément à la réseau réseau politique de contrôle et les eigences relatives au applications de gestion Contrôle Contrôle au réseau du routage réseau du S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. / Page 19 sur 61
20 3.4 (ORG_INT) Bien Support Scénario de menace (ORG_INT) Menace sur l organisation causant une indisponibilité Menace sur l organisation causant une altération Menace sur l organisation causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé peu sérieu Employé peu sérieu Employé malveillant M23 PER-MOD Influence sur une personne M21 PER-DEP Surcharge capacités d une personne M23 PER-MOD Influence sur une personne Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate Mauvaise répartition rôles entre le personnel et le personnel du L employé se venge 2. Significative 1. Minime Menace Vulnérabilités Pré-requis Vraisemblance Mauvaise répartition rôles entre le personnel et le personnel du Collecte de données au SI eternalisé Manque de compétence du personnel Négligence du personnel Personne influençable ou manipulable Partage de l administration entre le personnel et le personnel du Etablissement d une relation avec la personne 1. Minime 2. Significative Suppression données par le personnel sous influence d un pirate Personne influençable ou manipulable Etablissement d une relation avec la personne L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance 2. Significative Mesures de sécurité eistantes N Thème ISO Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs Prévention Récupération Bien support / du / / Mesures de sécurité complémentaires N Thème ISO Mesures de sécurité Description Prévention Récupération Bien support Attribution Il convient de définir clairement toutes les responsabilités en matière de sécurité responsabilités en de l information. La répartition responsabilités entre le personnel et le matière de sécurité personnel du doit être formalisée et respectée. de l information / eterne Page 20 sur 61
21 2 3 4 Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information 8.2 Pendant la Procédures durée du disciplinaires contrat Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. 8.3 Fin ou Les droits d'accès de tout utilisateur ou administrateur au données et au Retrait droits modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas contrat de changement de contrat ou de responsabilités. Page 21 sur 61
22 3.5 du (ORG_PRE) Bien Support Scénario de menace du (ORG_PRE) Menace sur l organisation du causant une indisponibilité Menace sur l organisation du causant une altération Menace sur l organisation du causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé du peu sérieu Employé peu sérieu Employé malveillant M23 PER-MOD Influence sur une personne M21 PER-DEP Surcharge capacités d une personne M23 PER-MOD Influence sur une personne Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate Mauvaise répartition rôles entre le personnel et le personnel du L employé se venge 2. Significative 1. Minime Menace Vulnérabilités Pré-requis Vraisemblance Mauvaise répartition rôles entre le personnel et le personnel du Collecte de données au SI eternalisé Manque de compétence du personnel Négligence du personnel Personne influençable ou manipulable Partage de l administration entre le personnel et le personnel du Etablissement d une relation avec la personne 1. Minime 2. Significative Suppression données par le personnel sous influence d un pirate Personne influençable ou manipulable Etablissement d une relation avec la personne L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance 2. Significative Mesures de sécurité eistantes N Thème ISO Mesures de sécurité eistantes Description Prévention Récupération Bien support Manipulation supports Sécurité de la documentation système La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). / du Mesures de sécurité complémentaires N Thème ISO Mesures de sécurité Description Prévention Récupération Bien support Attribution Il convient de définir clairement toutes les responsabilités en matière de sécurité responsabilités en de l information. La répartition responsabilités entre le personnel et le matière de sécurité personnel du doit être formalisée et respectée. de l information / eterne Page 22 sur 61
23 L importance relative scénarios de menaces précédemment analysés est évaluée de la façon suivante : Vraisemblance 4. Maimale 2. Significative 1. Minime Scénarios de menaces Menace sur le réseau t causant une indisponibilité Menace sur le système du causant une compromission Menace sur le réseau t causant une altération Menace sur le réseau t causant une compromission Menace sur le système du causant une indisponibilité Menace sur le système du causant une altération Menace sur le réseau du causant une indisponibilité Menace sur le réseau du causant une altération Menace sur le réseau du causant une compromission Menace sur l organisation causant une compromission Menace sur l organisation du causant une compromission Menace sur l organisation causant une indisponibilité Menace sur l organisation du causant une indisponibilité Menace sur l organisation causant une altération Menace sur l organisation du causant une altération Page 23 sur 61
24 4 Module 4 Étude risques 4.1 Analyse et évaluation risques Divulgation données de déclaration de sinistre Scénarios décrits dans les documents (ANSSI et ENISA) Bien(s) support(s) Scénario(s) de menace Logiciel d administration du Logiciel d administration du Serveurs du Logiciel d administration du Logiciel d administration du Logiciel d administration du Logiciel d administration du Logiciel d administration du Logiciel d administration du Personnel ou personnel du Personnel du Internet Réseau du - Serveurs du - Serveurs du Le Cloud Provider fait appel à un offrant de plus faibles garanties de sécurité : un pirate accède au données via le SI de ce. Le Cloud Provider est racheté par une société investissant moins dans la sécurité : une faille permet à un pirate de s introduire dans le système. Les données confidentielles et soumises à réglementations sont stockées à l étranger. La réglementation du pays où sont stockées les données permet une divulgation de ces données. Les données peuvent être saisies par la justice. Les données confidentielles soumises à réglementations sont stockées dans le cloud. Cette eternalisation rend possible l accès au données par un pirate. L administrateur du cloud n efface délibérément pas les données stockées sur les serveurs. L administrateur du cloud oublie d effacer tout ou partie données stockées sur le serveur. Un bogue logiciel laisse traces de données sur les serveurs. Les données de plusieurs sociétés sont stockées sur un même support : leur mauvaise séparation entraîne une divulgation non-intentionnelle données. Le piratage droits d un administrateur du cloud permet l accès à tout le système. Un pirate utilise les techniques de «social engineering» pour obtenir l accès au données. Un employé du souhaitant se venger divulgue données. Un pirate intercepte sur Internet les données transitant entre le système et le cloud. Un pirate ou un employé du Cloud Provider intercepte les données transitant entre les serveurs du cloud. Un pirate ou un employé du Cloud Provider obtient de manière frauduleuse l accès au serveurs de données Un pirate ou un employé du Cloud Provider dérobe les serveurs de backup données N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de déclaration de sinistre ER1 Divulgation données Privé Employé du peu sérieu Employé du malveillant Bogue logiciel Hébergeur/Faille dans l application Employé peu sérieu Perte de notoriété Perte de confiance vis-à-vis clients Impossibilité de remplir obligations légales Action en justice à l encontre de la société Non-conformité au labels de sécurité Chute de valeur en bourse 4. Critique Résultat obtenu par le logiciel Bien support Scénarios de Critèr menace e Sources de menaces Types de menace Menaces Vraisembla nce Page 24 sur 61
25 (SYS_AIN) (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) Menace sur le réseau t causant une compromission Menace sur le système du causant une compromission Menace sur le réseau du causant une compromission Menace sur l organisation causant une compromission Menace sur l organisation du causant une compromission C C C C C Concurrent Employé malveillant Décision du cloud provider Employé peu sérieu Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Bogue logiciel Panne de matériel Décision de justice Employé du malveillant Employé malveillant Employé malveillant M14 RSX-ESP Ecoute passive d un canal informatique M8 LOG-ESP Analyse d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel M14 RSX-ESP Ecoute passive d un canal informatique M23 PER-MOD Influence sur une personne M23 PER-MOD Influence sur une personne Acquisition de données par écoute passive Collecte de données au SI eternalisé Prestataire racheté par une société investissant moins dans la sécurité Serveurs du saisis par la justice Accès physique au serveurs Vol de serveur Données non effacées serveurs du et rendues accessibles Données rendues accessibles à d autres utilisateurs du cloud Changement données du portail au cloud Acquisition de données par écoute passive entre les serveurs du L employé se venge L employé se venge 4. Maimale Menace Vulnérabilités Pré-requis Vraisemblance Acquisition de données par écoute passive Serveurs du saisis par la justice Données rendues accessibles à d autres utilisateurs du cloud Collecte de données au SI eternalisé Changement données du portail au cloud Prestataire racheté par une société investissant moins dans la sécurité Données non effacées serveurs du et rendues accessibles Accès physique au serveurs Vol de serveurs Acquisition de données par écoute passive entre les serveurs du Réseau perméable Données transmises interprétables Juridiction liée à la position géographique données Mauvaise compartimentation du logiciel SI du sous-traitant mal sécurisé Faille dans l application Faille dans le portail au cloud Négligence du personnel du Manque de compétence du personnel du Négligence du personnel du Mauvais effacement données par le Manque de sécurisation datacenters Négligence du personnel du Manque de sécurisation datacenters Négligence du personnel du Négligence du personnel de sécurité du datacenter Perméabilité du réseau Données observables lors du transfert Accès à la table de routage Accès au utilisateurs Changement de juridiction dans le pays où sont situés les serveurs Ou Une entreprise tierce mène activités frauduleuses sur le cloud Ou Juridiction relative au stockage données personnelles Serveurs partagés (cloud public) ou réutilisés Accès physique ou logique au SI du sous-traitant Connaissance de l eistence du logiciel Connaissance de l eistence du portail Accès physique ou logique au portail Connaissance de l eistence du portail Fébrilité économique du Serveurs partagés ou réutilisés Accès physique au serveurs Connaissance de l eistence et de la localisation serveurs Accès physique au serveurs Connaissance de l eistence et de la localisation serveurs Possibilité de déplacer un serveur Accès à la table de routage Accès au utilisateurs L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance 2. Significative 2. Significative 4. Maimale 2. Significative Niveau de risque avant application mesures Page 25 sur 61
26 Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité eistantes N Thème ISO Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès Sécurité câblage du Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X Récupération Bien support / du / / Niveau de risque après application mesures de sécurité eistantes Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité complémentaires N 2 Thème ISO Mesures de sécurité Description Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information Prévention Récupération Bien support Page 26 sur 61
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détails é c u r i t é Conférence animée par Christophe Blanchot
s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détailRéférentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Plus en détailRelease Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014
ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détail2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3
VERSION V0.3 Guide Pratique Règles de sauvegarde des Systèmes d Information de Santé (SIS) Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Juillet 2014 MINISTÈRE DES AFFAIRES
Plus en détailPRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailCONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR
CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR Article 1. Objet Du Contrat : La société CapiTechnic a pour activité l ingénierie en méthodes et maintenance et plus particulièrement la location d un
Plus en détailL hygiène informatique en entreprise Quelques recommandations simples
L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières
Plus en détailMontrer que la gestion des risques en sécurité de l information est liée au métier
Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme
Plus en détailPolitique de sécurité de l information
5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détailPremier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information
Premier ministre Agence nationale de la sécurité des systèmes d information Prestataires d audit de la sécurité des systèmes d information Référentiel d exigences Version 2.0 du 14 février 2013 HISTORIQUE
Plus en détailMV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Plus en détailLes principes de la sécurité
Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes
Plus en détailRisques liés aux systèmes informatiques et de télécommunications
Risques liés aux systèmes informatiques et de télécommunications (Juillet 1989) La vitesse de l innovation technologique liée aux ordinateurs et aux télécommunications, ces dernières années, et l intégration
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailLe contrat Cloud : plus simple et plus dangereux
11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin
Plus en détailAnnexe I b. Référentiel de certification
Annexe I b Référentiel de certification Page 15 sur 45 CORRESPONDANCE ENTRE ACTIVITÉS ET COMPÉTENCES ACTIVITÉS ET TÂCHES A1. S ORGANISER, S INTEGRER à une EQUIPE A1-T1 Préparer son intervention et/ou la
Plus en détailSécurité des systèmes informatiques Introduction
Année 2008-2009 Sécurité des systèmes informatiques Introduction Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1 Système d'information et système informatique
Plus en détailL'AUDIT DES SYSTEMES D'INFORMATION
L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION
Plus en détailConditions d usage du service. «MS Dynamics CRM On Demand» V1.4
Conditions d usage du service «MS Dynamics CRM On Demand» V1.4 I. PREAMBULE La société PRODWARE est spécialisée dans l installation, l'évolution et la maintenance de solutions informatiques. Dans ce cadre,
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailAtelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?
Atelier A 26 Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI? Intervenants Julien CAMUS Deputy Risk & Insurance Manager jcamus@paris.oilfield.slb.com
Plus en détailPOLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0
POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT Version 1.0 HISTORIQUE DES VERSIONS DATE VERSION ÉVOLUTION DU DOCUMENT 17/07/2014 1.0 Publication de la première version de la Politique de sécurité
Plus en détailAgrément des hébergeurs de données de santé. 1 Questions fréquentes
Agrément des hébergeurs de données de santé 1 Questions fréquentes QUELS DROITS POUR LES PERSONNES CONCERNEES PAR LES DONNEES DE SANTE HEBERGEES? La loi précise que l'hébergement de données de santé à
Plus en détailStratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?
Cyber-sécurité Cyber-crime Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions? SIRM Forum 2011 Nov. 9 th, 2011, Pfäffikon Par Alexandre VOISIN, Corporate Insurance & Risk
Plus en détaill informatique est vitale pour mon activité je protège mon matériel et mon entreprise
entreprises l informatique est vitale pour mon activité je protège mon matériel et mon entreprise offre IT la Tous Risques Informatiques l informatique est omniprésente dans le monde des entreprises Une
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailMalveillances Téléphoniques
28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre
Plus en détailLa sécurité informatique
La sécurité informatique SOMMAIRE 1. Présentation générale a. La SARL Invesys b. Pourquoi la sécurité informatique? c. Qu est-ce qu un audit de sécurité? 2. Espionnage industriel a. Définition b. Enjeux
Plus en détailAdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive www.adbackup-corporatesolutions.com
AdBackup Laptop Solution de sauvegarde pour flotte nomade Société Oodrive www.adbackup-corporatesolutions.com Sommaire Présentation d Oodrive...3 Carte d identité...3 Références clients...3 Les enjeux...4
Plus en détailCharte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet
Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une
Plus en détailSolution de sauvegarde pour flotte nomade
Solution de sauvegarde pour flotte nomade > PRÉSENTATION D OODRIVE > Les enjeux LA SOLUTION > La solution AdBackup Laptop > Sécurité et options de protection > Monitoring et services > Hébergement (mode
Plus en détail27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité
Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2
Plus en détailINF 1160 Les réseaux d entreprise
INF 1160 Les réseaux d entreprise Politique sur la sécurité du réseau Termes de référence Quelques définitions pour parler le même langage SINISTRES : Événements liés aux caprices de la nature ou aux bâtiments.
Plus en détailPolitique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ
PC Gestion des certificats émis par l AC Notaires Format RFC 3647 Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PC Notaires Référence du
Plus en détailCharte d installation des réseaux sans-fils à l INSA de Lyon
Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA
Plus en détailL utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes
L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...
Plus en détailCompte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI
Compte rendu de recherche de Websense Prévention de la perte de données et conformité PCI Normes de sécurité des cartes de crédit Plus d une décennie après l avènement du commerce électronique, beaucoup
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailArticle 2 : Conseils et meilleures pratiques pour gérer un cloud privé
Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé Sponsored by Mentions relatives aux droits d'auteur 2011 Realtime Publishers. Tous droits réservés. Ce site contient des supports
Plus en détailLIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS
LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.
Plus en détailSystèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Plus en détailpolitique de la France en matière de cybersécurité
dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le
Plus en détailContractualiser la sécurité du cloud computing
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Club EBIOS, 11 décembre 2012 Contractualiser la sécurité du cloud
Plus en détailGuide de bonnes pratiques de sécurisation du système d information des cliniques
Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,
Plus en détailPolitique de sécurité de l actif informationnel
TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité
Plus en détailConcours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"
Concours interne d ingénieur des systèmes d information et de communication «Session 2010» Meilleure copie "étude de cas architecture et systèmes" Note obtenue : 14,75/20 HEBERGE-TOUT Le 25 mars 2010 A
Plus en détailLa sécurité des PABX IP. Panorama des risques et introduction des mesures de protection
La sécurité des PABX IP Panorama des risques et introduction des mesures de protection Marc LEFEBVRE Consultant Sécurité Orange Consulting - 25 avril 2013 Consulting Services cybersécurité by Orange unité
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailIntégrer l assurance dans la gestion des risques liés à la sécurité des données
Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1
Plus en détailITIL Gestion de la continuité des services informatiques
ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailArticle I. DÉFINITIONS
Conditions particulières de vente «Hébergement dédié» ONLINE SAS au 22/10/2012 ENTRE : Le Client, Ci-après dénommé l' «Usager». ET : ONLINE, Société anonyme par actions simplifiée, au capital de 214 410,50
Plus en détailHySIO : l infogérance hybride avec le cloud sécurisé
www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique
Plus en détailLes clauses «sécurité» d'un contrat SaaS
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric
Plus en détailcurité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailCHARTE INFORMATIQUE LGL
CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification
Plus en détailCONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK
CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK 1. OBJET Les présentes conditions générales fixent les modalités d accès et de fonctionnement du service de banque en ligne fourni par ECOBANK (le
Plus en détailRÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ
Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ version 2.0 2
Plus en détailREGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière
Plus en détailCONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL
ARTICLE 1 : OBJET CONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL Le présent contrat a pour objet de déterminer les conditions dans lesquelles le Prestataire assurera le référencement naturel et
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailLes nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme
Les nouveaux guides de la CNIL Comment gérer des risques dont l impact ne porte pas sur l organisme Matthieu GRALL CLUSIF Colloque «conformité et analyse des risques» 13 décembre 2012 Service de l expertise
Plus en détailCONDITIONS PARTICULIERES
CONDITIONS PARTICULIERES HEBERGEMENT/CLOUD/SAAS GROUPE Com6 2015 Article 1. Préambule 1. Le client souhaite bénéficier d une prestation d hébergement. 2. Le client déclare avoir adhéré sans réserve aux
Plus en détailhttp://davidfayon.fr/2012/01/cloud-computing-elu-mot-numerique-2011/ Le Cloud Computing 10 janvier 2012
http://davidfayon.fr/2012/01/cloud-computing-elu-mot-numerique-2011/ 1 10 janvier 2012 Réponse à tous vos problèmes ou début de gros problèmes? Gérard Peliks Cassidian Cyber Security gerard.peliks@cassidian.com
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailStratégie nationale en matière de cyber sécurité
Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l
Plus en détailla conformité LES PRINCIPES D ACTION
La fonction Conformité au sein de BNP Paribas La fonction Conformité a été créée en décembre 2004, en anticipation de nouvelles dispositions du règlement 97-02 sur le contrôle interne des établissements
Plus en détailBureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration
Bureau du surintendant des institutions financières Audit interne des Services intégrés : Services de la sécurité et de l administration Avril 2014 Table des matières 1. Contexte... 3 2. Objectif, délimitation
Plus en détailNotre expertise au cœur de vos projets
Notre expertise au cœur de vos projets SOMMAIRE 1. Objet du présent document... 3 2. Documents applicables et de référence... 3 2.1. Documents applicables... 3 2.2. Documents de référence... 3 2.3. Guides
Plus en détailL assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France
L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité
Plus en détailPLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES
PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX
Plus en détailL application doit être validée et l infrastructure informatique doit être qualifiée.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés
Plus en détailLES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012
LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste
Plus en détailMAÎTRISER LES RISQUES DE L INFOGÉRANCE
MAÎTRISER LES RISQUES DE L INFOGÉRANCE Externalisation des systèmes d information Introduction Dans le domaine des systèmes d'information, le recours à l externalisation est devenu une pratique courante
Plus en détailSOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS
SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente
Plus en détailQu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Plus en détailLes Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle
Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle Introduction I. Cyber sécurité 1) Systèmes d information
Plus en détailPolitique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information
Politique de sécurité de l information et des technologies Direction des systèmes et technologies de l information Adoptée par le conseil d administration le 17 février 2015 Responsable Document préparé
Plus en détailCENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES
informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5
Plus en détailLa gestion des risques en entreprise de nouvelles dimensions
La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent
Plus en détailCahier des Clauses Techniques Particulières
MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES AGENCE FRANCAISE DE SECURITE SANITAIRE DE L ENVIRONNEMENT ET DU TRAVAIL DEPARTEMENT COMMUNICATION INFORMATION ET DEBAT PUBLIC UNITE INFORMATION EDITION
Plus en détailContinuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition
E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailLES REGLES ELEMENTAIRES DE SECURITE PROTECTION CONTRE LES VOLS DE MATERIELS INFORMATIQUES VADE-MECUM CNRS RSSIC VERSION DU 23 AVRIL 2013
LES REGLES ELEMENTAIRES DE SECURITE PROTECTION CONTRE LES VOLS DE MATERIELS INFORMATIQUES VADE-MECUM CNRS RSSIC VERSION DU 23 AVRIL 2013 De nombreux vols de matériels informatiques (ordinateurs, clés USB,
Plus en détailCONDITIONS GÉNÉRALES SITEC SERVICES CLOUD
CONDITIONS GÉNÉRALES SITEC SERVICES CLOUD Les présentes Conditions générales («Conditions générales») s appliquent entre la société INFORMATIQUE ET TÉLÉMATIQUE CORSE («SITEC»), société d économie mixte
Plus en détailOutsourcing : la sauvegarde en ligne des données de l entreprise.
Outsourcing : la sauvegarde en ligne des données de l entreprise. Sur quels marchés votre entreprise de Sauvegarde en Ligne évolue t elle? Dans un contexte de montée en puissance de l insécurité, les solutions
Plus en détailGROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES
GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES 01037/12/FR WP 196 Avis 05/2012 sur l informatique en nuage Adopté le 1 er juillet 2012 Le groupe de travail a été institué en vertu de l article
Plus en détailFAIRE FACE A UN SINISTRE INFORMATIQUE
FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation
Plus en détailL outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise
Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Quel outil pour le PCA? de sa conception à sa mise en œuvre en situation de crise Introduction
Plus en détailSite de repli et mitigation des risques opérationnels lors d'un déménagement
Site de repli et mitigation des risques opérationnels lors d'un déménagement Anne Claire PAULET Responsable Risques Opérationnels GASELYS AGENDA PRÉSENTATION GASELYS LES RISQUES OPÉRATIONNELS CONTINUITÉ
Plus en détail