HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
|
|
- Côme Normand
- il y a 8 ans
- Total affichages :
Transcription
1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes en Sécurité Focus sur ISO00 OzSSI sud-est Lyon, 9 septembre 0 Hervé Schauer Herve.Schauer@hsc.fr
2 Sommaire Normes ISO Gestion des identités et vie privée Techniques de sécurité Normes de la série ISO 000 : Système de Management de la Sécurité de l'information & Mesures de Sécurité Continuité d'activité Méthode de gestion des risques ISO00 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
3 Normes ISO ISO : Agence des nations-unies Organisation internationale de normalisation International Organisation for Standardization pays représentés par leur agence de normalisation En France : AFNOR Normalisation JTC : informatique Cas particulier : comité joint entre l'iso et l'iec JTC/SC : sécurité En France : AFNOR CN Plus de 00 normes en cours de validité TC : sécurité sociétale / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
4 Normes ISO Norme = consensus entre les acteurs De la société en général Du marché Des pays Norme = processus d'élaboration formel et rigoureux Commentaires traités et justifiés Autres organismes de normalisation HL IEEE UIT/ITU / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
5 Normes ISO JTC/SC groupes de travail (Working Groups) Evaluation onon WG Evaluation de la sécurité WG Mesures de sécurité / Services de sécurité Lignes directrices Techniques WG Cryptographie / mécanismes de sécurité Produits / 80 WG Système de Management de la Sécurité de l'information (SMSI) Systèmes WG Gestion d'identités / Vie privée / Biométrie Processus Environnement Copyright Hervé Schauer Consultants Reproduction Interdite
6 Gestion d'identités et vie privée JTC/SC/WG Gestion d'identités et technologies relatives à la vie privée Protection des données personelles Biométrie et identification biométrique Soumis à des prérogatives nationales Convergence et consensus difficiles Parfois sensible / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
7 Gestion d'identités et vie privée JTC/SC/WG Vie privée Experts de la CNIL participent et contribuent ISO/IEC 900 «Information technology Security techniques A privacy framework» Norme fondatrice ISO/IEC 90 «Information technology Security techniques A privacy reference architecture» / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
8 Gestion d'identités et vie privée JTC/SC/WG Gestion d'identités ISO/IEC 9 «Information technology Security techniques Entity Authentication Assurance, texte commun au projet ITU-T X.eaa» ISO/IEC 0 «Information technology Security techniques A framework for identity management» ISO/IEC 9 «Information technology Security techniques A framework for Access Management» ISO/IEC 99 «Information technology Security techniques Requirements on relatively anonymous unlinkable authentication» ISO/IEC 990 «Information technology Security techniques Privacy capability assessment framework» 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
9 Gestion d'identités et vie privée JTC/SC/WG Biométrie ISO/IEC 99 «Information technology Security techniques Biometric template protection» Remplace la norme ISO ISOIEC «Technologies de l'information Techniques de sécurité Contexte d'authentification biométrique» 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
10 Techniques de sécurité JTC/SC/WG Cryptographie et mécanismes de sécurité Besoins Terminologie Interopérabilité Algotithmes 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
11 Techniques de sécurité JTC/SC/WG Beaucoup de normes Chiffrement Symétrique, assymétrique A flot, par bloc Signature numérique Authentification Fonction de hachage Non-répudiation Gestion de clés Horodatage Génération de nombres aléatoires / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
12 Evaluation de la sécurité JTC/SC/WG Critères d'évaluation de la sécurité («Critères Communs») ISO/IEC 08-:009 : «Technologies de l'information Techniques de sécurité Critères d'évaluation pour la sécurité des Technologies de l'information Partie : Introduction et modèle général» Norme fondatrice Définition des termes spécifiques utilisés dans la série ISO 08 Vocabulaire non-conforme à ISO 000 Organisation générale des normes de la série ISO 08 Fonctionnalités ayant pour objectif de fournir un langage structuré pour exprimer ce que doit faire un produit de sécurité Exigences relatives à la documentation associée au produit évalué / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
13 Evaluation de la sécurité JTC/SC/WG Critères d'évaluation de la sécurité («Critères Communs») ISO/IEC 08 En cours révision : contributions bienvenues Autres normes Méthodologies d'évaluation Exigences pour les modules cryptographiques Assurance de la sécurité Profils de protection Modèle de maturité Projet de norme ISO/IEC 9 : Divulgation des vulnérabilités / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
14 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO000 SC WG & WG Hervé Schauer
15 Sommaire Panorama des normes ISO 000 Normes de mesures de sécurité Normes sectorielles Normes utiles à la mise en œuvre du SMSI Normes utiles à l'intégration du SMSI Normes en sécurité réseau / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
16 Panorama des normes ISO 00 Exigences usage obligatoire dans la certification ISO 00 SMSI ISO 00 Certification de SMSI ISO 000 Guides usage facultatif Vocabulaire ISO 008 Audit des mesures ISO 00 ISO 00 Audit de SMSI Mesures de sécurité 00 ISO 00 Implémentation / ISO 00 Indicateurs SMSI ISO 00 Gestion de risque Copyright Hervé Schauer Consultants Reproduction Interdite
17 Panorama des normes ISO 00 ISO 000 : Principes et vocabulaire Disponible gratuitement ISO 00 : Exigences d'un SMSI Norme permettant la certification En cours de révision à l'iso depuis 008 ISO 00 : Code de bonnes pratiques pour un SMSI Originellement appelée ISO 99 Liste des principales mesures de sécurité issues de l'expérience de la communauté En cours de révision à l'iso depuis 008 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
18 Panorama des normes ISO 00 ISO 00 : Guide d'implémentation d'un SMSI Adapté à un organisme qui ne dispose encore d'aucune mise en place de SSI Peu utile à un organisme ayant déjà une mise en oeuvre de mesures de sécurité ISO 00 : Mesurage du Management de la Sécurité de l'information Measurement mesurage Terme exact Security control mesure de sécurité donc pour évite les confusions Guide de mise en place du mesurage du SMSI Instancie le PDCA Inclus des exemples d'indicateurs 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
19 Panorama des normes ISO 00 ISO 00 : Gestion des risques en Sécurité de l'informations Précise et explicite le contenu de l'iso 00 Appréciation du risque Analyse de risque Evaluation du risque Traitement du risque Synthèse des normes et méthodologies existantes 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
20 Panorama des normes ISO 00 ISO 00 : Exigences pour l'accréditation des organismes de certification des SMSI Remplace la norme EA /0 S'appuie sur la norme ISO 0 : exigences pour l'accréditation des organismes de certification de systèmes de management en général Apporte des précisions pour les audits de certification ISO 00 Classement des mesures de sécurité : organisationelles / techniques Vérifications à faire ou pas pour les mesures de sécurité techniques 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
21 Panorama des normes ISO 00 ISO 00:0 : Guide d'audit de SMSI Etait à l'origine dans l'iso 00, séparé pour ne pas être obligatoire Application de l'iso 90:0 aux audits de SMSI En cohérence avec ISO 0-:009 Projet de norme ISO008 : Guide d'audit des mesures de sécurité / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
22 Normes de mesures de sécurité Normes qui précisent ou détaillent des mesures de sécurité de l'iso 00 Série des normes ISO 0 : sécurité des réseaux Intègre notamment l'aspect gestion des risques Série des normes ISO 0 : intégration de la sécurité dans le cycle de vie du logiciel Projet de série de normes ISO 0 : sécurité dans l'infogérance Projet de norme ISO 0 : Guidelines for the identification, collection and/or acquisition, and preservation of digital evidence Projet de norme ISO 08 : Specification for digital redaction Projet de norme ISO 00 : Sécurité du stockage / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
23 Normes de mesures de sécurité Normes qui précisent des mesures de sécurité ISO 00 ISO0:0 : Incident Security Management / Gestion des incidents de sécurité (ISO 00.,. & ISO 00..) Remplacement de l'iso80 Application de l'iso00 (...h,...a. &..) et l'iso00 () Définition complète et pratique du processus de gestion des incidents de sécurité Politique de gestion des incidents de sécurité de l'information Équipe de réponse aux incidents de sécurité de l'information ISIRT : Information Security Incident Response Team Détection et collecte des incidents Appréciation des incidents Réponse aux incidents Retour d'expérience suite aux incidents passés / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
24 Normes sectorielles ISO 0:008 / recommandation ITU X.0 Opérateurs de télécommunications A été fait à l'uit, a été repris par l'iso tel quel Guide d'application des mesures de sécurité de l'iso 00 dans le cadre d'un opérateur de télécommunication Ajout de mesures de sécurité spécifiques pour les télécommunications Projet ISO 00 : communications inter-secteurs Projet ISO 0 : Organizational economics Projet ISO 0 : secteur finance & assurance / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
25 Normes sectorielles ISO 99:00 : santé Fait dans la normalisation de la santé Adaptation de l'iso00 et ISO00 en un seul document pour le secteur de la santé Cherche à remplacer ISO 00 et créé une certification ISO 99 Caractère d'application des mesures de sécurité obligatoires dans certains cas Pas d'appréciation des risques obligatoire Chapitre donne l'application des mesures de sécurité dans le cas particulier de la santé Norme homologuée depuis le septembre 008 Sera sans doute renuméroté en ISO 0X dans une prochaine version En espérant que cela se repose sur l'iso 00 au lieu de réinventer la roue Ne fait pas l'unanimité, au contraire / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
26 Autres normes Norme utile à la mise en œuvre de l'iso 00 ISO 89 : Gestion des enregistrements (ISO 00..) Norme générale, pas spécifique à la SSI Traite notamment de : Ce qui doit être enregistré, sous quelle forme Evaluation des risques Exigences légales et normes applicables Conditions et durée de conservation et gestion de la pérennité Gestion de l'intégrité, de la qualité et de l'efficacité Utilité pour la SSI Preuves et mise en œuvre des mesures de sécurité pour l'iso 00, SOX, etc Journaux système, réseaux, applicatifs Enregistrements financiers Archivages légaux / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
27 Intégration du SMSI Normes utiles à l'intégration du SMSI dans l'organisme Projet de norme ISO 0 : Implémentation intégrée d'iso 00 et ISO0000- (ITIL) Projet de norme ISO 0 : Information Security Governance Cohérence avec ISO 800 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
28 Autres normes Normes en sécurité réseau Parfois obsolètes, souvent inutilisées Série de normes ISO 808 : Sécurité des réseaux ISO9 : IT intrusion detection framework Projets de normes ISO0- à : cybersecurity ISO80 : Selection, deployement and operations of intrusion detection systems (IDS) RFC de l'ietf plus accessibles et plus utilisés dans ces domaines 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
29 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Continuité d'activité TC & JTC/SC Hervé Schauer
30 Continuité d'activité ISO 0:0 : Preparedness and Continuity Management Systems - Requirements Business Continuity Management System, BCMS Système de Management de la Continuité d'activité, SMCA Exigences pour des systèmes de management de la continuité d'activité et du maintien en condition opérationnelle Projet de norme ISO : Guideline for incident preparedness and operational continuity management Réintègre la norme britannique BS99- Guide de mise en œuvre de l'iso 0 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
31 Continuité d'activité ISO 0:0 : Guidelines for ICT (Information and Communications Technologies) Readiness for Business Continuity (IRBC) Partie système d'information d'un SMCA (ISO 0) en utilisation conjointe avec un SMSI (ISO 00) ISO :008 : Guidelines for information and communications technology disaster recovery services Plan de recouvrement informatique Réintègre la norme singapourienne SS0 Environnement, gestion des actifs, confidentialité, conditions d'activation, contrat, environnement partagé Service d'infrastructure liés au recouvrement de sinistre Capacité de reprise de service : niveau de service, bascule opérationnelle, accès, tests, plan de réponse d'urgence, formation,... Guide de sélection des sites de recouvrement / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
32 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Méthode de management des risques ISO 00 OzSSI Sud-Est Lyon, 9 septembre 0 Hervé Schauer <Herve.Schauer@hsc.fr>
33 Sommaire Introduction Schéma de modélisation Exemple Etablissement du contexte : critères et échelles Cartographie des actifs Menaces, vulnérabilités, conséquences et impacts sur les actifs Scénarios d'incident Plan de traitement des risques Défauts à atouts de l'iso 00 Conclusion / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
34 Introduction Objectif : présenter la méthode ISO 00 Schéma modélisant chaque activité et sous-activité de la méthode proposée par la norme ISO 00 Voir schéma disponible sur en format PDF vectoriel Exemple simple qui déroule la méthode N sur le schéma correspondant aux n des tableaux Exemples de tableaux A titre illustratif! / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
35 Schéma de modélisation / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
36 Exemple Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le magazine SSID (Sécurité des Systèmes d'information de Demain) mais il lui arrive de vendre ses articles à d'autres journaux. Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés, non encore parus et en cours de rédaction. Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en utilisant les hotspots disponibles. A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
37 Établissement des critères / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
38 Établissement des critères Définir les critères de base (.) Critères d'impact Bas-niveau : vis-à-vis de l'actif Impact de la perte ou de l'atteinte d'un critère de sécurité Disponibilité, intégrité, confidentialité (.) Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet Echelle de mesure, ou critère d'estimation, des conséquences (financières, délais, image) (.)(8)(B.) Critères évaluation des risques Critères d'acceptation des risques 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
39 Établissement des critères Critères d'impact Impact assez important pour que le risque doive être pris en compte? Dans l'analyse du risque Critères d'évaluation des risques Niveau de risque assez élevé pour le risque soit traité? Critères d'acceptation des risques Niveau le risque résiduel acceptable par la direction? 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
40 Établissement des critères Autres échelles utiles lors de l'analyse de risque Pas explicitement imposées lors de l'établissement du contexte Echelle ou critères de valorisation des actifs (8...)(B.)(8...)(8...) Echelles d'estimation Echelle d'estimation des menaces (vraisemblance) (8...)(C)(8...) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8...)(D) (8...) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8...)(B.) 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
41 Critères d'impact Critères d'impact CID Exemple : Critères d'impact Qualification du besoin en Confidentialité Intégrité Informations pouvant être Pas de validation nécessaire publiques Peut ne pas être intègre Accès autorisé à l'ensemble Simple validation possible du journal SSID Peut être partiellement intègre Accès autorisé à l'ensemble Validation croisée de l'équipe Doit être intègre Accès autorisé à un membre Triple validation unique de l'équipe Doit être parfaitement intègre Disponibilité Niveau du besoin Arrêt supérieur Faible ou à jours inexistant Arrêt entre jour et jours Significatif Arrêt inférieur à Fort jours Aucun arrêt tolérable Majeur Impact sur un actif ou besoin sur cet actif / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
42 Critères d'impact Critères d'impact «business» ou conséquences Exemple : Echelle de mesure des conséquences Financier Perte financière faible ou nulle Juridique Commercial Perte juridique faible ou null Détérioration de la relation client Perte financière Perte de Amende jugée modérée contrat,d'opé ration ou de (0% du CA < X < transaction, 0% du CA) Retrait temporaire de carte de perte Perte de de Perte financière client jugée significative presse, interdiction temporaire d'exercer l'activité (>0% du CA) Perte financière Procès diffamation, atteinte à Perte d'un jugée inacceptable la vie prive, plagia groupe de clients ou (> 0% du CA) d'un grand Activité Perte de productivi té Arrêt de travail court Arrêt de travail long Reprise du travail impossibl e Image Perte image faible ou null Mention négative ponctuelle dans un média Mention Niveau d'impact Faible ou inexistant Significatif Fort dans les supports de presse Mentionà Majeur dans la presse spécialisée Conséquence de l'occurence d'un scénario d'incident sur l'organisme, le métier, le projet / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
43 Critères d'évaluation des risques Utilisés par le RSSI ou le gestionnaire de risques SI Exprimés en français Seuil Critères d'évaluation des risques Vraisemblance Faible Moyenne Elevée Très élevée d'un scénario (Peu d'incident probable) (Possible) (Probable) (Fréquente) Exemple : Impact MAX (SOM(CID)) / Copyright Hervé Schauer Consultants Reproduction Interdite
44 Critères d'acceptation des risques Validés par la direction et utilisés par la direction Exprimés en français Seuil Exemple : / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
45 Établissement du contexte / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
46 Établissement du contexte / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
47 Appréciation du risque / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
48 Identification des actifs 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
49 Cartographie des actifs Actifs primordiaux (B.) : Processus et activités métier Information Actifs en support : Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc Exemple : 9 / 80 0.Liste des actifs primordiaux Actifs Primordiaux Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Copyright Hervé Schauer Consultants Reproduction Interdite
50 Cartographie des actifs.liste des processus métiers reliés aux actifs Actif Processus de rédaction Ordinateur Logiciel de traitement de texte Articles en cours de rédaction Propriétaire Processus de vente Ordinateur Connexion internet Logiciel de messagerie Mails Articles non publiés et non vendus Contacts 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
51 Cartographie des actifs.liste des actifs Actifs Primordiaux Actifs en support / 80 Actif Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article journaliste Propriétaire Acheteur Copyright Hervé Schauer Consultants Reproduction Interdite
52 Valorisation des actifs Exemple Echelle de valorisation des actifs Valeur / 80 Faible Moyen Élevé Très élevé Signification Actif facilement remplaçable Coût d'achat faible Coût de maintenance faible Ne nécessite pas de compétences particulières Actif remplaçable dans la journée Coût d'achat moyen Coût de maintenance moyen Nécessite des connaissances de base Actif remplaçable dans la semaine Coût d'achat élevé Coût de maintenance élevé Nécessite des connaissances techniques particulières Actif remplaçable dans le mois Coût d'achat très élevé Coût de maintenance très élevé Nécessite des connaissances spécifiques. Copyright Hervé Schauer Consultants Reproduction Interdite
53 Actifs valorises.liste des actifs valorisés Actifs Primordiaux Actifs en support / 80 Actif Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article journaliste Propriétaire Acheteur Copyright Hervé Schauer Consultants Reproduction Interdite Valeur
54 Actifs sélectionnés.liste des actifs sélectionnés Actif Actifs Primordiaux Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Actifs en support Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article journaliste / 80 Propriétaire Acheteur Valeur Copyright Hervé Schauer Consultants Reproduction Interdite Sélectionné oui oui oui oui non non oui non non non non oui oui
55 Identification des menaces / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
56 Menaces sur les actifs.liste de menaces Actifs Primordiaux Actifs en support / 80 Actif Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Ordinateur Valeur Sélectionné oui oui oui oui non non oui 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article non non non non oui journaliste oui Menaces Identification de menaces ne effectuée pas sur les actifs primordiaux. Vol Destruction Panne électrique Fraude Destruction Copie Enlèvement Maladie Copyright Hervé Schauer Consultants Reproduction Interdite
57 Identification des vulnérabilités / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
58 Vulnérabilités des actifs. Liste de vulnérabilités Actif Actifs Primordiaux Actifs en support 8 / 80 Valeur Sélectionné Menaces Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts oui oui oui oui non non Ordinateur oui 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article non non non non oui journaliste oui Vulnérabilité Identification de menaces ne effectuée pas sur les actifs primordiaux. Vol portabilité Destruction fragilité Panne électrique dépend de l'électricité Fraude Destruction Copie Accès libre manque de sensibilisation Accès libre Fichier en clair Enlèvement Maladie non préparation manque de sensibilisation Copyright Hervé Schauer Consultants Reproduction Interdite
59 Identification des conséquences Reformuler sous forme de scénario d'incident Occurrence du scénario d'incident = incident de sécurité 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
60 Conséquences et impacts sur les actifs.liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID Scénario d'incident Les actifs impactés Processus de rédaction Articles en cours de rédaction.vol de l'ordinateur du fait de sa portabilité. Max C I D SOM(C,I,D) (SOM(CID)) 8 Articles non publiés et non vendus Ordinateur Fichier d'article.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Processus de rédaction Processus de vente Articles en cours de rédaction 0 Fichier d'article 0 Processus de rédaction Articles en cours de rédaction Fichier d'article 9 9 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Processus de vente Fichier d'article.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 0 / 80 Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Conséquences Perte financière jugée modérée Perte juridique faible ou nulle Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nulle Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle 0 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 9 Perte financière jugée significative Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média Copyright Hervé Schauer Consultants Reproduction Interdite
61 Identification des mesures existantes Première itération : aucune mesure de sécurité existante / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
62 Mesures de sécurité existantes 8. Liste des mesures de sécurité existantes et prévues Scénario d'incident Les actifs impactés Processus de rédaction Articles en cours de rédaction.vol de l'ordinateur du fait de sa portabilité. Max C I D SOM(C,I,D) (SOM(CID)) 8 Mesures de sécurité existantes Conséquences Perte financière jugée modérée Perte juridique faible ou nulle Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nulle Articles non publiés et non vendus Ordinateur Fichier d'article.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Processus de rédaction Processus de vente Articles en cours de rédaction 0 Fichier d'article 0 Processus de rédaction Articles en cours de rédaction Fichier d'article 9 9.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. / 80 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Processus de vente Fichier d'article Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste 0 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité Protection par Perte de client l'identifiant/ mot de Arrêt de travail longe passe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 9 Perte financière jugée significative Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Protection par Arrêt de travail longe l'identifiant/ mot de Mention dans les supports de passe presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média Copyright Hervé Schauer Consultants Reproduction Interdite
63 Estimation des risques : impacts / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
64 Scénarios d'incident appréciés 9. Liste des conséquences estimées des scénarios d'incident Scénario d'incident.vol de l'ordinateur du fait de sa portabilité. Max Mesures de sécurité Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences Processus de rédaction 8 Perte financière jugée modérée Articles en cours de rédaction Perte juridique faible ou nulle Articles non publiés et non Perte de contrat, d'opération ou de vendus transaction, perte de client mineur Ordinateur Perte de productivité Fichier d'article Perte image faible ou nulle Valeur de conséquences Perte financière faible ou nulle.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Perte financière faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Processus de rédaction Processus de vente Articles en cours de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 0 Fichier d'article 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Articles en cours de rédaction Fichier d'article Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de vente Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans mange attrape et il va une gare, le journaliste des moules pas fraiches, il une intoxication alimentaire à l'hôpital. / Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Copyright Hervé Schauer Consultants Reproduction Interdite
65 Estimation des risques : vraisemblance / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
66 Vraisemblance des scénarios d'incident 0. Vraisemblance des scénarios d'incident Scénario d'incident Les actifs impactés Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Max C I D SOM(C,I,D) (SOM(CID)) 8.Destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Processus de rédaction Processus de vente Articles en cours de rédaction 0 Fichier d'article Processus de rédaction Articles en cours de rédaction Fichier d'article.vol de l'ordinateur du fait de sa portabilité..après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans mange attrape et il va une gare, le journaliste des moules pas fraiches, il une intoxication alimentaire à l'hôpital. / 80 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Processus de vente Fichier d'article Valeur de conséquences Perte financière faible ou nulle Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière faible ou nulle Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média Conséquences Perte financière jugée modérée Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul Mesures de sécurité existantes 0 9 Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Copyright Hervé Schauer Consultants Reproduction Interdite Vraisemblance
67 Estimation des niveaux de risque / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
68 Niveaux de risque estimés. Liste des risques avec le valeur de niveau de risque Scénario d'incident.vol de l'ordinateur du fait de sa portabilité. Max Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Processus de rédaction 8 Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Mesures de sécurité existantes Conséquences Perte financière jugée modérée Valeur de conséquences Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Processus de rédaction Processus de vente Articles en cours de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 8 / 80 0 Protection par l'identifiant/ mot de passe 0 Fichier d'article 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Articles en cours de rédaction Fichier d'article Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de vente Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Niveau de risque Vraisemblance =Max(SOM(CID))*Vrais Copyright Hervé Schauer Consultants Reproduction Interdite
69 Évaluation des risques 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
70 Risques sélectionnés pour traitement. Liste des risques priorités en relation avec les scénarios d'incident Scénario d'incident.vol de l'ordinateur du fait de sa portabilité. Max Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Processus de rédaction 8 Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Mesures de sécurité existantes Conséquences Perte financière jugée modérée Valeur de conséquences Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Processus de rédaction Processus de vente Articles en cours de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 0 Fichier d'article 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Articles en cours de rédaction Fichier d'article Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de vente Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 0 / Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Niveau de risque Vraisemblance =Max(SOM(CID))*Vrai Copyright Hervé Schauer Consultants Reproduction Interdite
71 Traitement des risques / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
72 Plan de traitement des risques.plan de traitement des risques Scénario.Vol de l'ordinateur du fait de sa portabilité, ce qui engendre une perte financière, perte de productivité, perte d'image. Niveau de risque Traitement Réduction Mesure de sécurité (ISO00) Sauvegarde. Sensibilisation. Chiffrement. Personnes responsable Coût Moyen Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. HIPS. Réduction Moyen Maintien Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des sessions inactives. Moyen Réduction Sauvegarde Formation Sensibilisation Faible Moyen.Destruction de l'ordinateur du fait de sa fragilité,.suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité..après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 0 8 Priorités.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 8 Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des sessions inactives..lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8 Réduction Sensibilisation. Chiffrement. Faible 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. Maintien 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 0 Réduction Sensibilisation. Faible / 80 Copyright Hervé Schauer Consultants Reproduction Interdite
73 Plan de traitement des risques.plan de traitment du risque avec le niveau des risques résiduels Scénario.Vol de l'ordinateur du fait de sa portabilité, ce qui engendre une perte financière, perte de productivité, perte d'image. Niveau des Mesure de sécurité risques Traitement (ISO00) Sauvegarde. Sensibilisation. Réduction Chiffrement..Suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité..après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 0 8 Coût SOM(CID) ré estimée Vraisemblan ce ré estimée Risque Résiduel Moyen Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. HIPS. Moyen Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des sessions inactives. Moyen Réduction Sauvegarde Formation Sensibilisation Faible Moyen 0.Destruction de l'ordinateur du fait de sa fragilité, Personnes Priorités responsable Réduction Maintien.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 8 Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des sessions inactives..lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8 Réduction Sensibilisation. Chiffrement. Faible 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 0 Sensibilisation. Faible / 80 Maintien Réduction Copyright Hervé Schauer Consultants Reproduction Interdite
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailISO 27001:2013 Béatrice Joucreau Julien Levrard
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Béatrice Joucreau Julien Levrard Sommaire La norme
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information
NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO 27001 DCSSI/CFSSI 28 mars 2007 Alexandre Fernandez Hervé
Plus en détailLa conformité et sa dérive par rapport à la gestion des risques
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet La conformité et sa dérive par rapport à la gestion des risques Matinée
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailSMSI et normes ISO 27001
SMSI et normes ISO 27001 introduction et perspectives Conférence "SMSI et normes 27001" 21 novembre 2007 Hervé Schauer Eric Doyen Sommaire Cahiers Oxford (publicité) Roue de Deming ISO 27001 Ensemble des
Plus en détailClub 27001 toulousain
Club 27001 toulousain Couverture organisme national Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailSécurité des applications Retour d'expérience
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon
Plus en détailCatalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4
Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à
Plus en détailLa politique de sécurité
La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,
Plus en détailMV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Plus en détailcurité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailBrève étude de la norme ISO/IEC 27003
RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détailCinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr>
Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue
Plus en détailGuide de bonnes pratiques de sécurisation du système d information des cliniques
Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailISO/CEI 27001:2005 ISMS -Information Security Management System
ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002
Plus en détailISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)
ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) P 1 1 Définition de la sécurité de l'information L'information est une ressource qui,
Plus en détailApproche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs
Plus en détailMETIERS DE L INFORMATIQUE
METIERS DE L INFORMATIQUE ISO 27001 LEAD AUDITOR REF : GOMO019 DUREE : 5 JOURS TARIF : 3 500 HT Public Toute personne amenée à conduire des audits dans le domaine de la sécurité des systèmes d'information.
Plus en détailLes risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailMenaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014
Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient
Plus en détailD ITIL à D ISO 20000, une démarche complémentaire
D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction
Plus en détailMise en œuvre de la certification ISO 27001
Mise en œuvre de la certification ISO 27001 1 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO 27001 4. Implémentation 5. Surveillance et audit
Plus en détailConsulter notre site : www.nt2s.net. Network Telecom Security Solutions. www.hsc.fr. en partenariat technique avec
NOS PARTENAIRES Network Telecom Security Solutions en partenariat technique avec Conseil, formation et accompagnement Création, Gestion et Stratégie Management et sécurité de l'information stratégique
Plus en détailLA CONTINUITÉ DES AFFAIRES
FORMATION LA CONTINUITÉ DES AFFAIRES Patrick Boucher CISSP, CISA, CGEIT, ITIL et Auditeur ISO 27001 1 LE 5 MAI 2009 QUI SUIS-JE? Patrick Boucher : Analyste principal chez Gardien Virtuel depuis 2003. Expérience
Plus en détailSujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.
UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est
Plus en détail2012 / 2013. Excellence. Technicité. Sagesse
2012 / 2013 Excellence Technicité Sagesse Audit Conseil >> Présentation d ATHENA ATHENA est une société de services fondée en 2007 offrant des prestations dans les domaines de la sécurité informatique
Plus en détailJOURNÉE THÉMATIQUE SUR LES RISQUES
Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailTechnologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire
NORME INTERNATIONALE ISO/CEI 27000 Troisième édition 2014-01-15 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire
Plus en détailLes clauses «sécurité» d'un contrat SaaS
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric
Plus en détailFormation «Système de gestion des documents d activité (SGDA)»
Formation «Système de gestion des documents d activité (SGDA)» **** Norme principale : - ISO 3030X : Système de gestion des documents d activité (SGDA) ; Normes Connexes : - ISO 15489 : Records Management
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détail«ASSISTANT SECURITE RESEAU ET HELP DESK»
«ASSISTANT SECURITE RESEAU ET HELP DESK» FORMATION CERTIFIANTE DE NIVEAU III CODE NSF : 326 R INSCRIT AU RNCP ARRETE DU 31/08/11 JO DU 07/09/11 - OBJECTIFS Installer, mettre en service et dépanner des
Plus en détailISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité
NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology
Plus en détailExcellence. Technicité. Sagesse
2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détailFormation en SSI Système de management de la SSI
Formation en SSI Système de management de la SSI 1 Présentation de la formation Objectif de la formation : "à l'issue de cette formation les stagiaires auront compris comment réaliser une PSSI d'unité
Plus en détailForum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008
Forum Suisse pour le Droit de la Communication Université de Genève Séminaire du 28 novembre 2008 Devoirs et responsabilités des organes de sociétés en matière de sécurité informatique Wolfgang Straub
Plus en détailUniversité de Lausanne
Université de Lausanne Records management et archivage électronique : cadre normatif Page 2 Ce qui se conçoit bien s énonce clairement Nicolas Boileau Page 3 Table des matières Qu est- ce que le «records
Plus en détailSANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents
Créée en 1989, Hervé Schauer Consultants (HSC), est une société spécialisée dans l expertise de conseil en sécurité des systèmes d information. De taille humaine (28 personnes dont 22 consultants), HSC
Plus en détailISO/IEC TR 90006. Première édition 2013-11-01. Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013
RAPPORT TECHNIQUE ISO/IEC TR 90006 Première édition 2013-11-01 Technologies de l information Lignes directrices pour l application de l ISO 9001:2008 pour la gestion des services IT et son intégration
Plus en détail1. La sécurité applicative
ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité
Plus en détailSystèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailSpécifications de l'offre Surveillance d'infrastructure à distance
Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailSécurité de l information dans les TIC : Travaux normatifs en cours ILNAS / ANEC
Sécurité de l information dans les TICs Travaux normatifs en cours ILNAS / ANEC 23 novembre 2012 Cédric Mauny Technology Leader, CISM, CISSP, ISO27001, ITIL Chairman SC27 LU SAGS - Security Audit and Governance
Plus en détailHEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification
Les référentiels SMI, normes, processus de certification 1 Définitions selon le Guide ISO/IEC 2:2004 Norme Document, établi par consensus et approuve par un organisme reconnu, qui fournit, pour des usages
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailConférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015
Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif
Plus en détailClub ISO 27001 11 Juin 2009
Club ISO 27001 11 Juin 2009 Risk IT et ISO 2700x complémentarité ou concurrence? Jean-Luc STRAUSS 11 Juin 2009 Risk IT et ISO 2700x: guerre des organismes? National Institute of Standards and Technology
Plus en détailCatalogue des formations 2014 #CYBERSECURITY
Catalogue des formations 2014 #CYBERSECURITY INDEX DES FORMATIONS Cliquez sur la formation de votre choix MANAGEMENT DE LA SECURITE DES SYSTEMES D INFORMATION - ISO 27001 : Certified Lead Auditor - ISO
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)
Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.
Plus en détailRapport de certification PP/0002
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détailITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)
Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détailSECURITE DES SYSTEMES D INFORMATION COURS 2 ème partie Sûreté ou sécurité? Sécurité : ensemble des éléments permettant d établir la confiance dans un système, un environnement, etc. (se sentir en sécurité)
Plus en détail27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité
Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailRapport de certification PP/0101
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailActualités de la normalisation au Luxembourg
Mardi 15 avril 2014 Actualités de la normalisation au Luxembourg Retour sur l'atelier de travail "Smart ICT & Standardization" L'atelier de travail "Smart ICT & Standardization", organisé par l'ilnas et
Plus en détailSécurité du cloud computing
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ADIJ 20 janvier 2011 Sécurité du cloud computing Frédéric Connes Frédéric
Plus en détailPanorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)
Panorama de l'évolution du cloud et des Datacenters ; La sécurité dans les domaines d'orchestration (cloud et virtualisation) Eric Deronzier (YSOSECURE) Rémi Grivel (SynAApS) 1 L évolution des usages TIC
Plus en détailISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences
NORME INTERNATIONALE ISO/CEI 27001 Deuxième édition 2013-10-01 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences Information technology
Plus en détailLes principes de la sécurité
Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes
Plus en détailLe modèle de sécurité windows
Le modèle de sécurité windows Cours Windows 2008-2009 Franck Rupin - Laurent Gydé 1 Le modèle de sécurité windows 1 Généralités 2 Les composants du système de sécurité 3 La protection des objets 4 Audit
Plus en détailMise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis
REPUBLIQUE TUNISIENNE MINISTERE DE L ENSEIGNENMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE Université Virtuelle de Tunis Mastère en Optimisation et Modernisation des Entreprises : MOME Mémoire Pour l
Plus en détailRetour sur investissement en sécurité
Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité? Les Assises de la Sécurité Monaco, 21 octobre 2005 Hervé Schauer Hervé Schauer
Plus en détailMise en place d un SMSI selon la norme ISO 27001. Wadi Mseddi Tlemcen, le 05/06/2013
Mise en place d un SMSI selon la norme ISO 27001 Wadi Mseddi Tlemcen, le 05/06/2013 2 Agenda Présentation de la norme ISO/IEC 27001 Eléments clé de la mise en place d un SMSI Situation internationale 2
Plus en détailCONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND
CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND Version en date du 1/06/2015 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales de service de PHOSPHORE SI, ont
Plus en détailFiche conseil n 16 Audit
AUDIT 1. Ce qu exigent les référentiels Environnement ISO 14001 4.5.5 : Audit interne EMAS Article 3 : Participation à l'emas, 2.b Annexe I.-A.5.4 : Audit du système de management environnemental SST OHSAS
Plus en détailPROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN
PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN 1. DÉVELOPPEMENT D'APPLICATION (CONCEPTEUR ANALYSTE) 1.1 ARCHITECTURE MATÉRIELLE DU SYSTÈME INFORMATIQUE 1.1.1 Architecture d'un ordinateur Processeur,
Plus en détailVector Security Consulting S.A
Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante
Plus en détailPlan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA
Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales
Plus en détailLes clauses sécurité dans un contrat de cloud
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Openday 23 juin 2011 Les clauses sécurité dans un contrat de cloud
Plus en détailSymantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web
Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé
Plus en détailSécurité des Postes Clients
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailPolitique de Référencement Intersectorielle de Sécurité (PRIS)
PREMIER MINISTRE ADAE PREMIER MINISTRE SGDN - DCSSI =========== Politique de Référencement Intersectorielle de Sécurité (PRIS) Service de confiance "Authentification" =========== VERSION 2.0 1.2.250.1.137.2.2.1.2.1.5
Plus en détailOpportunités s de mutualisation ITIL et ISO 27001
Opportunités s de mutualisation ITIL et ISO 27001 Club ISO 27001 Paris,19 avril 2007 Alexandre Fernandez-Toro Rappels sur l ISO l 27001 Norme précisant les exigences pour La
Plus en détailQu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Plus en détailGUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES
REPUBLIQUE FRANÇAISE PREMIER MINISTRE Secrétariat Général de la Défense Nationale N 730/ SCSSI Issy-les-Moulineaux, le 13 janvier 1997 GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS
Plus en détailOrange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco
De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation
Plus en détailL Audit selon la norme ISO27001
L Audit selon la norme ISO27001 5 ème Rencontre des Experts Auditeurs ANSI Anissa Masmoudi Sommaire 1. La norme ISO27001 2. La situation internationale 3. L audit selon la norme ISO27001 4. Audit 27001
Plus en détail