Compte rendu de la table ronde :
|
|
- Anne-Marie Gravel
- il y a 8 ans
- Total affichages :
Transcription
1 Compte rendu de la table ronde : DU RISQUE SI AUX RISQUES BUSINESS Jeudi 5 mars 2015
2 SOMMAIRE Du risque SI au risque business. Pour le développement d'une culture numérique responsable Rui Teixeira Guerra, administrateur FNTC et associé gérant de Darwin.... p.3 Loyauté et confiance dans l environnement numérique : à la croisée des chemins Paul-Olivier Gibert, président de l'association française des correspondants à la protection des données personnelles (AFCDP)..... p.4 Du risque SI au risque business Alexandre Fernandez Toro, RSSI Grand compte, auteur du livre "Implémentation ISO et ISO Management de la sécurité de l'information"....p.6 Bonnes pratiques de certification, de conformité Jérôme Bordier, directeur associé de Sealweb. p.7 Combattre le phreaking Christophe Fornes, directeur général de Mémobox p.8 2
3 Pour le développement d'une culture numérique responsable Rui Teixeira Guerra, administrateur FNTC et associé gérant de Darwin. Les technologies de la confiance numérique et la bonne gestion du risque SI font bon ménage. Identités numériques, signature électronique permettent de créer une chaîne de confiance numérique permettant de réduire les risques SI, et les risques business associés. La Fédération nationale des tiers de confiance, qui devient une fédération internationale, traite de la confiance numérique, clé d'abordage de cette problématique de l'avènement du numérique. J'ai retenu une phrase, entendue il y a quelques mois de la bouche d'un officier des renseignements : «faire confiance c est bien, contrôler c est mieux», ce qui est un peu paradoxal. On se rend compte que quand on parle de confiance numérique, c'est qu'on met en place des mécanismes pour contrôler facilement et automatiquement ce qui se fait en numérique (signatures, documents, données, dates, décisions...). On construit la confiance numérique avec des outils qui permettent de faire confiance. Si la problématique de la confiance numérique est si importante, c'est que contrairement au monde physique, on n'a pas la personne face à soi, donc on ne peut pas l'identifier. L'intervention d'un tiers neutre, qui va être un médiateur d'une transaction, est donc essentielle. D'où l'apparition de la FNTC dans les années 2000 notamment à l'initiative de l'ordre des experts comptables. On a essayé de définir ce qu'est le tiers de confiance numérique. Il doit, premier élément, être reconnu par ses pairs et répondre à une charte d'éthique. Deuxième élément, la notion de neutralité. Troisième axe, le respect des normes et labels avec une traçabilité des actes et des audits externes réguliers. Quatrième élément, la notion de pérennité et de continuité de services associée à une notion de réversibilité. Le point de départ de la chaîne de la confiance numérique est l'identité numérique, le deuxième maillon la signature électronique, le troisième élément, la conservation de l'acte, et enfin, le dernier élément, la notion de preuve : elle est fondamentale puisque tous les autres éléments de la chaîne doivent être utilisables pour prouver quelque chose. Aux Etats-Unis, depuis 2013, plus de 300 millions de contrats électroniques ont été réalisés sur la seule plate-forme Docusign. Ces contrats ont une valeur proche de zéro dans toute l'europe continentale car l'approche Docusign est jugée juridiquement incomplète et risquée. Les avocats en France se sont donc demandé comment faire signer des contrats numériques à leurs clients simplement et dans de bonnes conditions. Le CNB a combiné la simplicité de la signature des plateformes américaines avec une approche technique et juridique, garantie par l'intervention de l'avocat. Ce genre de plateforme est possible grâce aux autorités de certification françaises, dont la majorité est membre de la FNTC. Pour parler maintenant de la notion de confidentialité des archives, elle implique à mon avis la notion de chiffrement. Chiffrement et archivage ne font 3
4 pas toujours bon ménage car le chiffrement protège la confidentialité mais introduit un risque de perte d accès à une archive, en cas de perte des clés de déchiffrement. Dans ce contexte global, comment gérer les risques? L'entreprise doit se soucier d'une bonne construction de la confiance numérique par l'utilisation d'identités numériques : Qui a fait quoi dans l'entreprise? À quel moment? Qui s'est logué sur le système? Cette identité est-elle fiable? Comment je crée cette identité? Comment je crée la preuve que cette personne a fait quelque chose? Comment je protège mes logs? Comment je protège mes traces? La notion de tiers est aussi pertinente à l'intérieur de l'entreprise au sens où moi, patron, je ne suis pas neutre dans cette gestion d'identité. C'est pour cela que beaucoup d'entreprises commencent à utiliser des autorités de certification externes tiers de confiance neutres - pour leur fournir des identités à l'intérieur de l'entreprise. Loyauté et confiance dans l environnement numérique : à la croisée des chemins Paul-Olivier Gibert, président de l'association française des correspondants à la protection des données personnelles (AFCDP) L'association a été créée en 2004, juste après la modification de la loi Informatique & Libertés de 1978 et en a repris la terminologie puisque cette loi a créé la fonction de correspondant à la protection des données à caractère personnel. Elle transposait en droit français une disposition d'une directive de 1995 qui permet de désigner un délégué à la protection des données à caractère personnel, chargé de veiller à la protection des droits et libertés des personnes par la bonne application de ses dispositions. L'AFCDP compte environ 600 adhérents et 1500 personnes physiques qui contribuent à ses travaux. Sa fonction est d'être la place du village du professionnel de la protection de la vie privée en France via notamment un réseau social associatif ou encore une université annuelle, lieu d'échange avec la CNIL et lieu d'échange d'expériences. La protection des données à caractère personnel est une obligation qui vient de la loi Informatique & Libertés y compris dans sa version initiale de Une entreprise a obligation de protéger les données à caractère personnel qu'elle utilise, qu'elle gère, sous peine de sanctions. Celles-ci sont pour l'instant relativement légères dans le cadre de la réglementation actuelle : au maximum euros en cas de récidive. Un manquement peut toutefois provoquer un certain nombre de dommages d'image : il peut y avoir des sanctions ou même des avertissements publics de la part de la CNIL. Il y a donc cette notion de protection et finalement aussi de "risque SI" puisqu'une intrusion ou une perte de données peuvent provoquer des problèmes et se traduire par une difficulté "business". 4
5 On est dans une période de croisée des chemins pour plusieurs raisons. D'abord, parce que le cadre légal et réglementaire va évoluer. Un projet de règlement européen va instaurer un cadre légal uniforme pour l'ensemble de l'union européenne. C'est un changement important, utile et nécessaire parce que la loi de 1978 est fondée sur une territorialité ce qui pose un premier problème : une territorialité à l'échelle nationale est un cadre beaucoup trop restreint par rapport à la situation actuelle. La deuxième question que l'on peut se poser - mais ce sont des évolutions à échéance beaucoup plus lointaine - est de savoir si la notion de territorialité est encore pertinente à l'ère numérique. Un exemple très simple : on a longtemps pensé qu'une donnée était localisée sur un serveur uniquement. Maintenant, avec la logique du cloud, il y a de grandes chances qu'elle soit sur "n" serveurs avec des logiques de réplication entre ces serveurs. Un certain nombre de techniques de sécurité - en particulier chez Gmail - consistent par exemple à ne jamais conserver la totalité d'un mail sur un seul serveur mais sur plusieurs serveurs répartis un peu partout, et à la reconstituer par des algorithmes. Dans ce cas-là, quelle est la territorialité de la donnée? Le projet de règlement européen a de bonnes chances d'être adopté d'ici fin Quelles sont les principales évolutions de ce texte : la notion de territorialité européenne donc, celle d'"accountability" : les entreprises devront documenter les motivations, les analyses de sécurité sur les nouveaux traitements et cela remplacera très largement les mécanismes de déclaration préalable actuels. Il y a une nouvelle notion dont il faut bien mesurer la portée, c'est celle de portabilité des données : elle permettra à tout personne de demander à un organisme qui a des données à caractère personnel la concernant de les lui fournir dans un format réutilisable. Les données deviendront beaucoup plus facilement contrôlables par les individus et c'est un changement extrêmement important. Il y a aussi une discussion sur le montant des sanctions. Il est prévu qu'il soit en pourcentage du chiffre d'affaires mondial. Les éléments du nouveau règlement européen : moins de formalités préalables, une protection renforcée pour les individus, des sanctions plus fortes et un plus gros travail de documentation et de justification de la nécessité du traitement. Il sera aussi nécessaire de réaliser une analyse de l'impact potentiel sur la vie privée d'un traitement envisagé. 5
6 Du risque SI au risque business Alexandre Fernandez Toro, RSSI Grand compte, auteur du livre "Implémentation ISO et ISO Management de la sécurité de l'information" Je suis responsable sécurité des systèmes d'information d'une entité d'environ 2000 personnes au sein d'un grand groupe industriel. C'est de ce point de vue que je vais vous parler du "risque SI au risque business". Comment suis-je arrivé au risque business, sachant que je suis plutôt informaticien et que quand on parle de risque je pense plutôt au risque SI? J'y suis arrivé par le risque SI. Dans l'entité où je me trouve, nous avions un projet de certification ISO qui impose la mise en place d'un système de management de la sécurité de l'information. C'est ce projet qui m'a conduit vers le risque business. Une des toutes premières étapes de la est de faire une appréciation des risques en sécurité de l'information. Il existe énormément de méthodes pour cela et un ensemble de fournisseurs compétents et expérimentés en la matière. J'ai choisi la simplifiée et décidé de faire l'appréciation des risques moi-même en interne. L'appréciation des risques n'est pas scientifique, c'est une modélisation des risques. Ce n'est pas la méthode d'appréciation qui va vous faire trouver des risques dans votre SI ; elle va vous faire rencontrer les différents responsables dans l'entreprise et c'est eux qui vont vous aider à les trouver. L'appréciation des risques permet de mettre les choses à plat car chaque direction, chaque département, chaque employé a sa vision des risques qui est partielle. À son issue, ça permet de faire un plan d'action de traitement des risques : on établit une cartographie des risques et on identifie les différentes mesures de sécurité qu'on va mettre en place. Je suis ensuite allé voir le comité de direction et j'ai présenté les risques résiduels et les actions prévues. C'est là qu'intervient le lien entre risque SI et risque business car malgré le fait que j'aie demandé son avis à chaque membre du CODIR avant la réunion, on s'est rendu compte que j'étais passé à côté de certains risques qui n'étaient pas liés à l'informatique mais qui étaient surtout de gros risques business : je n'avais pas du tout pensé au recouvrement, or pas de recouvrement pas de trésorerie, pas de trésorerie pas d'approvisionnement et pas d'approvisionnement, pas de production industrielle. Le deuxième intérêt de rencontrer le CODIR a été de l'informer des aspects réels d'un plan de continuité de service. Appréciation et plan de traitement des risques ne sont que la partie émergée de l'iceberg dans la gestion de risque. En dessous, il y a les projets de sécurisation puis la sécurité opérationnelle que l'on met en place dans la durée pour préserver et faire monter en maturité la sécurité. La direction a plusieurs types de risques à gérer et c'est très important de lui faire comprendre que ce projet de gestion des risques va prendre plusieurs années. 6
7 Bonnes pratiques de certification, de conformité Jérôme Bordier, directeur associé de Sealweb Pour tout prestataire de service sur Internet, une des questions est de savoir "comment je garantis à mes usagers que mon service est de bonne qualité sécuritaire"? Cette question est relativement complexe. On a pas trouvé d'autre solution que des diplômes, donc, pour être clair, des audit de services pour garantir - sans pour autant dire qu'on est infaillible - qu'on a mis tous les moyens nécessaires en œuvre afin d'assurer au système d'information la plus grande maîtrise sécuritaire possible. Ces diplômes sont attribués soit à des personnes soit à des services soit encore à des produits. Les diplômes de personnes sont assez nombreux. Ils attestent de la compétence individuelle. Pléthore de gens en France ont aujourd'hui des compétences en sécurité dont on peut affirmer qu'elles sont bonnes car certifiées par des formations et examens. Certains diplômes visent les systèmes des entreprises et en particulier les services de confiance numérique. Certains connus comme l'iso ou moins connus comme la certification RGS. C'est un décret, "référentiel général de sécurité" de l'anssi. On peut aussi faire certifier ses services de confiance numérique par des normes de l'etsi, le label PASSI (Prestataires d Audit de la Sécurité des Systèmes d Information) ou pour le cloud par des labels de confiance comme Cloud Confidence. Enfin, il y a les diplômes de produits dédiés aux offreurs de logiciels et matériels. Je souhaite attirer particulièrement votre attention sur les diplômes relatifs à la qualité de la sécurité des systèmes d'information. La norme 27001, dont on a parlé précédemment, en fait partie. Toute certification est attribuée après un audit. On ne fait pas auditer une seule fois mais régulièrement car le plus difficile pour un prestataire est de garantir le niveau de sécurité dans le temps au regard de l'évolution permanente des problèmes de sécurité. Certification ETSI et qualification RGS (qui ne s'applique pas au BtoB) sont moins connues mais à terme, ce sera un enjeu plus critique. En effet, quand je fais des échanges avec ma banque, avec mon assurance, avec mon offreur de services sur Internet, ils me garantissent qu'ils sont bien du même niveau de qualité que le papier. Voire même plus sécurisés. Car quand on passe en électronique, on fait le travail des fournisseurs de services (assurance en ligne...). Progressivement, des services comme l'identité, la signature et l'eurodatage électroniques se mettent en place permettant d'obtenir le même niveau de valeur juridique que le papier. Ils ont intérêt à d'obtenir des labels de confiance français ou internationaux. Et on retrouve sur Internet, produisant des identités électroniques, toutes les institutions françaises. Les différents diplômes sont en cours de mutation, le contexte réglementaire européen en place depuis 15 ans évoluant. La Commission a voté en septembre dernier un règlement 7
8 européen, eidas, applicable à partir du 1er juillet Un organisme aura par exemple interdiction de refuser un document au motif qu'il est électronique. Il pourra par-contre organiser les procédures pour des raisons sécuritaires. On pourra auditer à partir de cette date tous les services d'identité numérique et de confiance numérique. Il existe d'autres diplômes un peu moins matures comme le label PASSI de l'anssi et Cloud Confidence qui est une garantie de non utilisation par un prestataire cloud des données personnelles à d'autres fins que celles définies... Combattre le phreaking Christophe Fornes, directeur général de Mémobox Le phreaking, qui consiste à pirater les PABX, permet à des tierces personnes d'entrer sur le système téléphonique d'une entreprise. Des robots composent des numéros au hasard et tentent une action quand le téléphone décroche de préférence à des moments où l'entreprise est déserte car le meilleur moyen de rentrer sur le PABX est de le faire par les messageries ou répondeurs. Les passerelles ainsi créées permettent d'effectuer un certain nombre de programmations sur le PABX et d'envoyer, dès la reprise du trafic, des appels qui sont re-routés à partir de l'autocommutateur et dont la charge financière sera assurée par l'entreprise attaquée. C'est un phénomène qui se produit un peu partout par vagues. Mémobox est spécialisé dans l'édition de solutions de "call accounting", notamment pour repérer ce genre d'attaque. Le phreaking n'est pas facile à détecter car, en général, il a lieu le week-end et l'entreprise ne s'en aperçoit que le lundi ou le mardi, en fonction notamment de la réactivité de l'opérateur téléphonique qui surveille également les lignes. Généralement il est trop tard et ça provoque des coûts assez importants. Les témoignages sont peu nombreux car les victimes ne tiennent pas à faire de la publicité. Parfois même elles ne s'en aperçoivent pas du tout. Les exemples que je vais donner sont ceux de nos clients : une communauté d'agglomération qui, en 2013, a subi un préjudice de euros, une grande administration multi sites qui, en un week-end, a eu appels sur l'un d'eux vers des mobiles étrangers, ce qui a provoqué une hausse de facture de 3750%... Certaines attaques entraînent des surcoûts de plusieurs dizaines de milliers d euros. Plus une société dispose de sites, plus elle a de chances de se faire hacker puisqu'elle dispose d'un grand nombre de SDA et que les attaques se font sur de la numérotation SDA. La première chose à faire pour prévenir le phreaking est de changer régulièrement les mots de passe et codes d'accès à la maintenance de son PABX. Ensuite, on peut mettre en place des solutions d'alerte par par exemple. Des systèmes d'assurance en cas de fraude existent également. 8
Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015
Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailContractualiser la sécurité du cloud computing
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Club EBIOS, 11 décembre 2012 Contractualiser la sécurité du cloud
Plus en détailLes clauses sécurité dans un contrat de cloud
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Openday 23 juin 2011 Les clauses sécurité dans un contrat de cloud
Plus en détailCharte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.
Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et
Plus en détailDématérialiser les échanges avec les entreprises et les collectivités
Dématérialiser les échanges avec les entreprises et les collectivités Conference Numerica Le 11/05/09 1 Sommaire Enjeux de la dématérialisation Possibilités concrètes d usages Moyens à mettre en œuvre
Plus en détailLA SIGNATURE ELECTRONIQUE
LA SIGNATURE ELECTRONIQUE Date de publication : 14/11/2008 Les échanges par voie électronique ne cessent de croître. Or, leur caractère entièrement dématérialisé fait naître de nouveaux enjeux juridiques.
Plus en détailFedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"
FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels" Compte-Rendu Date publication : 19/07/2013 *SAE = Système d Archivage Electronique 1 1 Introduction Le présent
Plus en détailTRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.
TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace
Plus en détailGestion des utilisateurs et Entreprise Etendue
Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission
Plus en détailChapitre 1 : Introduction aux bases de données
Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données
Plus en détail3 Les premiers résultats des plans d'actions
3 Les premiers résultats des plans d'actions Les résultats que nous avons obtenus en ce qui concerne les plans d'action, résultent de l'analyse de 48 entreprises seulement. Revenons sur notre échantillon.
Plus en détailLes clauses «sécurité» d'un contrat SaaS
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric
Plus en détailCinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr>
Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue
Plus en détailLIVRET DE BIENVENUE SYNDICAT NATIONAL SILVER ECONOMIE 38, RUE DES MATHURINS 75008 PARIS. Ce document est réservé aux membres du Syndicat ASIPAG
SYNDICAT NATIONAL SILVER ECONOMIE 38, RUE DES MATHURINS 75008 PARIS LIVRET DE BIENVENUE Ce document est réservé aux membres du Syndicat ASIPAG TEL : 01 84 17 36 65 MEL : CONTACT@ASIPAG.ORG / SECRETAIRE@ASIPAG.ORG
Plus en détailGuide de bonnes pratiques de sécurisation du système d information des cliniques
Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailConditions générales d abonnement en ligne et d utilisation du site
Conditions générales d abonnement en ligne et d utilisation du site Ce site est édité par Veolia Eau - Compagnie Générale des Eaux, nommé Veolia dans la suite du document, SCA au capital de 2.207.287.340,98
Plus en détailLes enjeux de la dématérialisation en assurance
Colloque de l'ajar 4 décembre 2012 Les enjeux de la dématérialisation en assurance Philippe POIGET, Directeur des affaires juridiques, fiscales et de la concurrence Fédération Française des Sociétés d'assurances
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailTout savoir pour optimiser votre campagne d'e-mailing B to B
Tout savoir pour optimiser votre campagne d'e-mailing B to B Sommaire Comment créer votre propre base d'e-mails B to B?... 2 Comment développer votre base de données existante?... 3 Comment sélectionner
Plus en détailInitiation aux bases de données (SGBD) Walter RUDAMETKIN
Initiation aux bases de données (SGBD) Walter RUDAMETKIN Bureau F011 Walter.Rudametkin@polytech-lille.fr Moi Je suis étranger J'ai un accent Je me trompe beaucoup en français (et en info, et en math, et...)
Plus en détailTableau Online Sécurité dans le cloud
Tableau Online Sécurité dans le cloud Auteur : Ellie Fields Ellie Fields, directrice principale du marketing produits, Tableau Software Juin 2013 p.2 Tableau est conscient que les données font partie des
Plus en détailGlossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.
Cadre législatif et règlementaire Code du patrimoine Code général des collectivités territoriales. Décret n 79-1037 du 3 décembre 1979 modifié relatif à la compétence des services d publics et à la coopération
Plus en détailContexte : «l e-business» TECHNIQUES DE MARKETING EN LIGNE. Contexte : «l e-business» Création de valeur 02/02/12
Contexte : «l e-business» TECHNIQUES DE MARKETING EN LIGNE La notion «d E-Business» recouvre les différentes applications possibles de l'informatique faisant appel aux technologies de l'information et
Plus en détailGestion Electronique des Documents et la qualité documentaire au cœur du développement durable.
Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable. Introduction La Gestion Electronique des Documents est la mémoire de l entreprise. La mémoire existante qui
Plus en détailA) Les modifications du champ d'application du Règlement n 1346
La proposition de la Commission pour la révision du Règlement "faillite": une deuxième chance pour les entreprises en difficulté Durant le mois de mars 2012, une consultation publique a été lancée, sollicitant
Plus en détailPrincipes de liberté d'expression et de respect de la vie privée
L'Initiative mondiale des réseaux Protéger et faire progresser la liberté d'expression et le respect de la vie privée dans les technologies de l information et de la communication Principes de liberté
Plus en détailLa carte d'achat dans les organisations françaises
CHAPITRE 2 La carte d'achat dans les organisations françaises Pour bien appréhender l'usage efficace de la carte d'achat, il est important de toujours la considérer comme un moyen d'exécution de la commande.
Plus en détailI partie : diagnostic et proposition de solutions
Session 2011 BTS assistant de manager Cas Arméria: barème et corrigé Remarque: la 1 ère partie doit être cohérente avec les éléments déterminants du contexte décrit dans cet encadré, qui n est pas attendu
Plus en détailFiche de l'awt La sécurité informatique
Fiche de l'awt La sécurité informatique La sécurité informatique est essentielle pour l'entreprise, particulièrement dans le contexte de l'ebusiness: définition, dangers, coûts, outils disponibles Créée
Plus en détailÉtat Réalisé En cours Planifié
1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture
Plus en détailLA (LES) LOGISTIQUE (S) Qu'est-ce que c'est? Que peuvent faire les pouvoirs publics? Michel VIARDOT WP 24 CEE/ONU 17-18 mars 2008 1
LA (LES) LOGISTIQUE (S) Qu'est-ce que c'est? Que peuvent faire les pouvoirs publics? Michel VIARDOT WP 24 CEE/ONU 17-18 mars 2008 1 Quatre volets - Description et périmètre de la logistique - La logistique
Plus en détailCHAPITRE VI : MODERNISATION DE L'INFRASTRUCTURE DES SYSTEMES DE PAIEMENT
CHAPITRE VI : MODERNISATION DE L'INFRASTRUCTURE DES SYSTEMES DE PAIEMENT Après une phase de diagnostic et d'études, la Banque d'algérie et les banques de la place ont entrepris, à partir de 2003 et d'une
Plus en détailJOURNÉE THÉMATIQUE SUR LES RISQUES
Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Plus en détailConférence EDIFICAS. Le document électronique et sa valeur probante
Conférence EDIFICAS Le document électronique et sa valeur probante 26 mai 2011 Le document électronique Quels normes/standards adopter pour être le plus conforme à la législation française? Les grands
Plus en détailSignature électronique. Romain Kolb 31/10/2008
Romain Kolb 31/10/2008 Signature électronique Sommaire I. Introduction... 3 1. Motivations... 3 2. Définition... 3 3. La signature électronique en bref... 3 II. Fonctionnement... 4 1. Notions requises...
Plus en détailLe standard d'échange d'annonces de covoiturage. RDEX- Ridesharing Data EXchange
Le standard d'échange d'annonces de covoiturage RDEX- Ridesharing Data EXchange RDEX - Enjeux Contribuer à atteindre une masse critique d'annonces notamment pour la cible domicile-travail. Répondre aux
Plus en détailL ERP global et proactif des Entreprises Moyennes
p r o A L P H A L ERP global et proactif des Entreprises Moyennes L'ERP global et proactif des Entreprises Moyennes Nous avons donc développé une solution globale et intégrée, pour optimiser l'ensemble
Plus en détailBTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES
BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,
Plus en détailRDEX. Ridesharing Data EXchange Le standard d'échange d'annonces de covoiturage
RDEX Ridesharing Data EXchange Le standard d'échange d'annonces de covoiturage RDEX Histoire 1/3 Constat : Impossibilité d'échanger des annonces entre deux territoires voisins équipés par des opérateurs
Plus en détailISO 17799 la norme de la sécurité de l'information
ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.
Plus en détailLignes directrices relatives à la notion de personnes politiquement exposées (PPE)
Janvier 2010 Lignes directrices relatives à la notion de personnes politiquement exposées (PPE) Document de nature explicative (Version actualisée avec mise à jour des dispositions législatives et réglementaires
Plus en détailLes outils «cloud» dédiés aux juristes d entreprises. Cadre juridique
Les outils «cloud» dédiés aux juristes d entreprises Cadre juridique Présenté par Béatrice Delmas-Linel et Céline Mutz Cabinet De Gaulle Fleurance & Associés 29 juin 2012 1 Introduction La dématérialisation
Plus en détailCloud Computing. Veille Technologique
Cloud Computing Veille Technologique La veille technologique consiste à s'informer de façon systématique sur les techniques les plus récentes et surtout sur leur mise à disposition commerciale (ce qui
Plus en détailCONDITIONS GENERALES DE VENTE ET D UTILISATION
CONDITIONS GENERALES DE VENTE ET D UTILISATION 1) Mentions Légales 1.1 - Le site internet FacileSMS est édité la société FACILE SOLUTION S.A.R.L. dont le siège est situé 68 Avenue de la Liberté, 1930 Luxembourg
Plus en détailPôle 3 : Mon cabinet, une entreprise performante
Pôle 3 : Mon cabinet, une entreprise performante Rapporteur délégué : Denis BARBAROSSA Atelier 2 : «Cloud Computing : Mythe ou réalité?», Simple phénomène de mode ou réponse nécessaire à l évolution des
Plus en détailOBJET : Mise en œuvre du décret n 2004-1144 du 26 octobre 2004 relatif à l'exécution des marchés publics par carte d'achat.
Secrétariat général DIRECTION DE L'EVALUATION DE LA PERFORMANCE, ET DES AFFAIRES FINANCIERES ET IMMOBILIERES SOUS-DIRECTION DES AFFAIRES IMMOBILIERES SLAC/N AFFAIRE SUIVIE PAR : Pierre AZZOPARDI Tél :
Plus en détailET LA DÉLIVRANCE DU CERTIFICAT
RÉFÉRENTIEL POUR L'ATTRIBUTION ET LE SUIVI D'UNE QUALIFICATION PROFESSIONNELLE D'ENTREPRISE ET LA DÉLIVRANCE DU CERTIFICAT Date d'application : 29 octobre 2014 DOCUMENT QUALIBAT 005 VERSION 06 OCTOBRE
Plus en détailCharte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet
Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une
Plus en détail"Questions & Answers" pour les actionnaires en Belgique. Formalités à remplir pour participer personnellement à l'assemblée Générale
"Questions & Answers" pour les actionnaires en Belgique Formalités à remplir pour participer personnellement à l'assemblée Générale Quelles sont les formalités à remplir pour pouvoir participer à l Assemblée
Plus en détailConsultation de la CNIL. Relative au droit à l oubli numérique. Contribution du MEDEF
Consultation de la CNIL Relative au droit à l oubli numérique Contribution du MEDEF 2 Réflexions de la CNIL sur le droit à l oubli numérique Les origines du droit à l oubli numérique Réaffirmée par les
Plus en détailAlphonse Carlier, Intelligence Économique et Knowledge Management, AFNOR Éditions, 2012.
1 Du même auteur chez le même éditeur Alphonse Carlier, Intelligence Économique et Knowledge Management, AFNOR Éditions, 2012. AFNOR 2013 Couverture : création AFNOR Éditions Crédit photo 2011 Fotolia
Plus en détailSPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES
92038 PARIS LA DEFENSE CEDEX Page 1 / 11 SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 29/11/00 13 Indice
Plus en détailEtude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information
Plus en détailCONDITIONS GENERALES DE VENTE ET D UTILISATION
CONDITIONS GENERALES DE VENTE ET D UTILISATION 1) Mentions Légales 1.1 - Le site internet Bookpolitan.fr est édité par la société GASTROPOLITAN Spółka handlowa au capital de 5000 PLN Z dont le siège social
Plus en détailAgrément des hébergeurs de données de santé. 1 Questions fréquentes
Agrément des hébergeurs de données de santé 1 Questions fréquentes QUELS DROITS POUR LES PERSONNES CONCERNEES PAR LES DONNEES DE SANTE HEBERGEES? La loi précise que l'hébergement de données de santé à
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailArt. 2. Les vérificateurs environnementaux, tels que définis à l article 2, point 20) du règlement (CE), relèvent du régime suivant :
Projet de loi portant certaines modalités d application et sanction du règlement (CE) no 1221/2009 du Parlement européen et du Conseil du 25 novembre 2009 concernant la participation volontaire des organisations
Plus en détailMarquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD
Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD (Version 11 juillet 2008) 1- Quels enrobés doivent être marqués? Tous les enrobés bitumineux
Plus en détailLa sécurité du «cloud computing» Le point de vue de Microsoft
La sécurité du «cloud computing» Le point de vue de Microsoft Janvier 2010 1 Les informations contenues dans le présent document représentent le point de vue actuel de Microsoft Corporation sur les questions
Plus en détailQu'est-ce que la normalisation?
NORMALISATION 1 Qu'est-ce que la normalisation? La normalisation est un outil élémentaire et efficace des politiques européennes, ses objectifs étant de : contribuer à la politique visant à mieux légiférer,
Plus en détailL'identité numérique du citoyen Exemples Internationaux
L'identité numérique du citoyen Exemples Internationaux Assises Territoriales, Vannes 20-mai-2015 Fulup Le Foll Architecte Internet Des Soucis Globaux Efficacité, Souplesse, Réactivité, Coût Des problèmes
Plus en détailL ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR
L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR INTRODUCTION A la suite de grands scandales financiers qui ont ébranlés le monde des affaires, les instances législatives et réglementaires des Etats Unis ont remis
Plus en détailPolitique de Référencement Intersectorielle de Sécurité (PRIS)
PREMIER MINISTRE ADAE PREMIER MINISTRE SGDN - DCSSI =========== Politique de Référencement Intersectorielle de Sécurité (PRIS) Service de confiance "Authentification" =========== VERSION 2.0 1.2.250.1.137.2.2.1.2.1.5
Plus en détailLouer et utiliser un Hébergement Mutualisé OVH (Version 1.0)
Louer et utiliser un Hébergement Mutualisé OVH (Version 1.0) Page 1/27 Table des matières 1.L'hébergement mutualisé c'est quoi?...3 2.Quel hébergeur choisir?...4 3.Louer un hébergement mutualisé chez OVH...4
Plus en détailPLATEFORME MÉTIER DÉDIÉE À LA PERFORMANCE DES INSTALLATIONS DE PRODUCTION
PLATEFORME MÉTIER DÉDIÉE À LA PERFORMANCE DES INSTALLATIONS DE PRODUCTION KEOPS Automation Espace Performance 2B, rue du Professeur Jean Rouxel BP 30747 44481 CARQUEFOU Cedex Tel. +33 (0)2 28 232 555 -
Plus en détailLA COMPTABILITÉ DU COMITÉ D ENTREPRISE : DE NOUVELLES OBLIGATIONS DE TRANSPARENCE À PARTIR DU 1 er JANVIER 2015
Groupement des Métiers de l Imprimerie -------------------------------------------------------------------------------------------------------------------------------------- DÉCEMBRE 2014 NOTE N 24 LA
Plus en détailAnticiper pour avoir une innovation d'avance : le leitmotiv de Pierre Jouniaux, entrepreneur du big data!
Anticiper pour avoir une innovation d'avance : le leitmotiv de Pierre Jouniaux, entrepreneur du big data! Pierre Jouniaux http://www.safety line.fr CV : Pierre Jouniaux, ingénieur aéronautique, pilote
Plus en détailDossier de presse L'archivage électronique
Dossier de presse L'archivage électronique Préambule Le développement massif des nouvelles technologies de l information et de la communication (TIC) a introduit une dimension nouvelle dans la gestion
Plus en détailMalveillances Téléphoniques
28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre
Plus en détailRÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ
Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ version 2.0 2
Plus en détailLes Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde
Les Matinales IP&T Les données personnelles Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde Jim Halpert, Avocat associé jim.halpert@dlapiper.com jeudi DLA Piper,
Plus en détailTiers de Confiance : importance pour le marché du SaaS et aspects légaux
Tiers de Confiance : importance pour le marché du SaaS et aspects légaux Association Aristote Ecole Polytechnique, 11/4/2012 Rui Teixeira Guerra, Administrateur FNTC (GT efinance) Président, efolia Sujets
Plus en détailCENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES
informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5
Plus en détailVeille Technologique. Cloud Computing
Veille Technologique Cloud Computing INTRODUCTION La veille technologique ou veille numérique consiste à s'informer de façon systématique sur les techniques les plus récentes et surtout sur leur mise à
Plus en détailDéveloppement d un réseau de prospection TUNIS, 29-30 - 31 Janvier 2003 Paola Morris, Ceipiemonte
Développement d un réseau de prospection TUNIS, 29-30 - 31 Janvier 2003 Paola Morris, Ceipiemonte 1 1. Le contexte international et les investissements à l étranger 2 Les dévelopements récents Plus de
Plus en détailSécuriser un équipement numérique mobile TABLE DES MATIERES
Sécuriser un équipement numérique mobile TABLE DES MATIERES 1 INTRODUCTION... 2 2 REGLES DE BONNE CONDUITE CONCERNANT VOTRE MOBILE... 3 2.1 MEFIEZ-VOUS DES REGARDS INDISCRETS... 3 2.2 PREVOYEZ LE VOL OU
Plus en détailFormation «Système de gestion des documents d activité (SGDA)»
Formation «Système de gestion des documents d activité (SGDA)» **** Norme principale : - ISO 3030X : Système de gestion des documents d activité (SGDA) ; Normes Connexes : - ISO 15489 : Records Management
Plus en détailAnnexe sur la maîtrise de la qualité
Version du 09/07/08 Annexe sur la maîtrise de la qualité La présente annexe précise les modalités d'application, en matière de maîtrise de la qualité, de la circulaire du 7 janvier 2008 fixant les modalités
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailPassez au bulletin de salaire électronique grâce à la solution Novapost RH
Passez au bulletin de salaire électronique grâce à la solution Novapost RH Ressources Humaines Salariés Recevoir, archiver, consulter "Depuis que je me suis inscrite au service, je reçois mes bulletins
Plus en détailAFP Economie - Mardi 15 Janvier 2008-19:47 - Heure Paris (674 mots) ass-soc-gen
AFP Economie - Mardi 15 Janvier 2008-19:47 - Heure Paris (674 mots) ass-soc-gen Mutuelle de retraite: 5.000 fonctionnaires dénoncent un "scandale de l'épargne" "C'est l'un des plus gros scandales de l'épargne
Plus en détailGlossaire. Acces Denied
Glossaire Acces Denied Littéralement, Accès refusé. Procédure en vigueur sur les espaces de discussion et permettant aux administrateurs d'interdire l'accès à une personne, en général repérée par son adresse
Plus en détailSimplifier la gestion de l'entreprise
Présentation de la solution SAP s SAP pour les PME SAP Business One Objectifs Simplifier la gestion de l'entreprise Optimiser la gestion et assurer la croissance de votre PME Optimiser la gestion et assurer
Plus en détailLa responsabilité civile et l'entreprise
La responsabilité civile et l'entreprise Dans la présente rubrique, nous poursuivons notre étude de la responsabilité civile, cette fois-ci du point de vue d'un commerce ou d'une entreprise. Les questions
Plus en détailL'APPLICATION DANS LE TEMPS DES ASSURANCES DE RESPONSABILITE CIVILE
L'APPLICATION DANS LE TEMPS DES ASSURANCES DE RESPONSABILITE CIVILE 1 - L'APPLICATION DE LA GARANTIE DANS LE TEMPS (Application de la garantie dans le temps dans les assurances de responsabilité avant
Plus en détailAutorité de Régulation des Communications électroniques et des Postes
Format attendu des dossiers de demande de fréquences dans la bande 2,1 GHz dans les DOM, à Saint-Pierre et Miquelon, Saint-Martin, Saint-Barthélemy et Mayotte en date du 1 er novembre 2007 Selon l article
Plus en détailSécurité des Postes Clients
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin
Plus en détailclient. ECOUTE, SIMPLICITE, SERVICE... Pour ELCIA, l'accompagnement est la clé de la satisfaction ELCIA, le savoir-faire et l'écoute
Communiqué de presse Octobre 2007 ECOUTE, SIMPLICITE, SERVICE... Pour, l'accompagnement est la clé de la satisfaction client. «Gagner du temps, être plus réactif» «Hyper convivialité et souplesse d utilisation»
Plus en détailL'opérateur Économique Agréé
file:///c:/documents%20and%20settings/mbull/bureau/aeo_final%20cs.jpg file:///d:/abartala/monbureau/présentation/aeo_final%20cs.jpg L'opérateur Économique Agréé 1 CLUB DE L'INTERNATIONAL D'AUVERGNE Nouveau
Plus en détailEtude d impact CIL Volet «Effort» F.A.Q Foire Aux Questions
Version 2.2 du 14 octobre 2011 Etude d impact CIL Volet «Effort» F.A.Q Foire Aux Questions Quelles sont vos recommandations pour répondre efficacement au questionnaire?... 2 Je ne suis pas encore désigné
Plus en détailGRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation
GRIFES Gestion des risques et au-delà Pablo C. Martinez TRMG Product Leader, EMEA Symantec Corporation Gestion des risques et conformité Principaux soucis Se conformer aux mandats Rester loin des menaces
Plus en détailpolitique de la France en matière de cybersécurité
dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le
Plus en détailLa qualité opérationnelle = Mobilité + Rapidité + Traçabilité,
La qualité opérationnelle = Mobilité + Rapidité + Traçabilité, Ce qui va changer dans les 5 ans à venir dans les métiers de la gestion de la Qualité, de l'hygiène, de la Sécurité et de l'environnement
Plus en détailGuide d'intégration à ConnectWise
Guide d'intégration à ConnectWise INTÉGRATION DE CONNECTWISE À BITDEFENDER CONTROL CENTER Guide d'intégration à ConnectWise Intégration de ConnectWise à Bitdefender Control Center Date de publication 2015.05.14
Plus en détail