ISO et la gestion des risques
|
|
- Rodolphe Dussault
- il y a 8 ans
- Total affichages :
Transcription
1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO et la gestion des risques Conférence Netfocus Lyon, 10 avril 2008 Hervé Schauer
2 Sommaire ISO ISO et la gestion de risques Recommandations ISO Vocabulaire Processus de gestion de risques Appréciation des risques Traitement des risques Acceptation des risques Rappel des recommandations Conclusion Les transparents seront disponibles sur 2 / 40
3 Processus ISO Plan Act Matérialisé par Do Check Politique (4.3.1.a) et périmètre (4.3.1.b) Appréciation des risques (4.3.1.e) Plan de traitement des risques (4.3.1.f) Déclaration d'applicabilité (4.3.1.i) Procédures (4.3.1.g) 3 / 40
4 ISO et la gestion des risques Exigences ISO en gestion de risques Impose pas de méthode Impose de définir la méthode employée Impose des éléments structurants : (4.3.1.d et c) Identifier les actifs, les menaces et les vulnérabilités (4.2.1.d) Identifier les impacts en terme de perte de confidentialité, intégrité, et disponibilité (4.2.1.d.4) Analyser et évaluer les risques (4.2.1.e) Méthodes en phase avec cette démarche conviennent Globalement toutes les méthodes peuvent convenir : BS7799-3, EBIOS, ERSI-CAP, Mehari, Octave, etc 4 / 40
5 Recommandations Ne pas faire une appréciation des risques une fois pour toute et ne plus y toucher Ne pas chercher à faire une appréciation exhaustive Ne pas travailler 3 mois sur une appréciation des risques Ne pas réinventer la roue Ne pas perdre de temps Ne pas tomber dans le travers de nombre d'entreprises 1/3 5 / 40
6 Recommandations Faire sa gestion du risque soi-même 2/3 Ou se faire accompagner pour la mise en place et devenir autonome après Faire vivre sa gestion du risque L'entreprise change Les gens gens changent Les objectifs changent Les risques changent Les risques SI évoluent quotidiennement 6 / 40
7 Recommandations 3/3 Créer un processus de gestion du risque qui vit : Plan Act Identifier l'existant et l'adapter Do Check Construire une méthode simple que l'on fera évoluer dans le temps Communiquer avec la direction et les équipes régulièrement 7 / 40
8 ISO Guide de mise en oeuvre de la partie appréciation des risques et traitement des risques de l'iso ISO de c) à f) 4), plus d) et 5.1.f) soit 1 page + quelques lignes ISO c) f) ISO ISO pages 24 pages normatives, chap 1 à pages d'annexes A à F 8 / 40
9 ISO Norme consensus entre les acteurs du marché Noyau commun accepté par tous Peut être complétée Guide complétant ISO Conforme à l'iso Méthodes d'appréciation des risques existantes Se qualifieront de "conforme à la norme ISO 27005" Continueront à évoluer et innover Contribueront à l'amélioration de la norme ISO Compléteront la norme pour ceux qui en ont le besoin 9 / 40
10 Vocabulaire (3) Analyse de risque / Appréciation du risque Risque de sécurité de l'information (information security risk ) (3.2) Actif (asset) (B) Menace (threat) (C) Vulnérabilité (vulnerability) (D) Impact / Conséquence Tableau d'appréciation des risques Comparatif 10 / 40
11 ISO Analyse de risque/appréciation du risque Risk Analysis (IS ) Analyse du risque Risk Estimation (3.4) Estimation du risque Risk Evaluation (3.5) Evaluation du risque Risk Assessment (IS ) Appréciation du risque Langage couramment employé dans le microcosme de la SSI Analyse de risque Risk Assessment Usage impossible à garder sans confusions Pas d'autre traduction possible que Risk Analysis Analyse du risque Confusion avec Risk Assessment Donc : Risk Assessment Appréciation du risque Comme dans tous les autres métiers qui gèrent des risques 11 / 40
12 12 / 40 Risque (de( sécurité de l'information) Risque de sécurité de l'information (Information security risk) (3.2) : Possibilité (potential) qu'une menace va exploiter une vulnérabilité d'un actif et ainsi causer un préjudice à l'organisation Mesuré par combinaison de Probabilité d'occurence ou vraisemblance ou potentialité de l'évènement Impact (3.1) ou conséquence ou préjudice Impact plutôt SI Conséquence plutôt processus métier, organisme Conséquence ou Préjudice Menace exploite Vulnérabilité Impact cible Actif 1/3 possède
13 Risque 2/3 Risque généralement caractérisé par : Source ou origine Employé malveillant, employé non sensibilisé,... Menace Divulgation d'information confidentielle, coupure d'électricité,... Probabilité d'occurence ou vraisemblance ou potentialité Durée et lieu d'occurrence, probabilité d'occurrence Vulnérabilité ayant permis ce risque Erreur de conception, erreur humaine,... Impact, conséquence ou préjudice Indisponibilité du service, perte de marché ou d'image,... Mesure de sécurité ou protection ou contre-mesure pour s'en protéger Contrôle d'accès, politique de sécurité, sensibilisation du personnel, / 40
14 Risque 3/3 Exemple dans un tableau d'appréciation des risques : Actif Menace Probabilité Vulnérabilité Impact Niveau de risque d'occurence 14 / 40
15 Actif Bien, patrimoine informationnel Identification, valorisation, dépendances (B) : Actifs primordiaux (principaux, primaires) (primary assets) : Processus et activités métier Information Actifs de soutien (en support, secondaires) (supporting assets) : Cadre organisationnel Site Personnel Réseau Logiciel Matériel 15 / 40
16 Menace (C) Menaces (Threat) (CD27000:3.3.6) Source potentielle d'incident pouvant entraîner des changements indésirables sur : un actif Menaces un ensemble d'actifs l'organisation Classées par : 1/4 Menace cible Actif exploite possède Vulnérabilité Origine Type Source, motivation, action Impact 16 / 40
17 Menace (C) 2/4 Origines des menaces (C) Accidentelle (accidental) : A Action humaine qui endommage accidentellement un actif Délibérée (deliberate) : D Action délibérée sur un actif Environnementale (environmental) : E Tout incident sur un actif qui ne vient pas d'une action humaine 17 / 40
18 Menace (C) 3/4 Types de menaces (C) Dommage physique (A, D, E) Feu, dégât des eaux, pollution, poussière, gel Evènement naturel (E) Séisme, éruption volcanique, inondation (d'origine naturelle) Perte de service essentiel Eau (A, D), air conditionné (A, D), électricité (A, D, E), télécommunication Perturbations dues aux radiations (A, D, E) Compromission de l'information Interceptions de toutes natures (D) Vol d'équipement, de supports, d'équipements (D) Divulgation d'information, données peu fiables (A, D) Détection de position (D) 18 / 40
19 Menace (C) 4/4 Type de menaces (C) Pannes techniques Mauvais fonctionnement d'un équipement ou d'un logiciel (A) Saturation (A, D) Actions non-autorisées Copies de logiciels non-autorisés (A), usage de contrefaçons (A, D), corruption de données (D) Compromission de fonction Erreur d'utilisation, abus ou contrefaçon de droits, répudiation 19 / 40
20 20 / 40 Vulnérabilité (D) Vulnérabilité : propriété intrinsèque de l'actif Menaces peuvent exploiter les vulnérabilités (D) Exemples vulnérabilité menace Zone inondable inondation Spécifications incomplète pour les développeurs mauvais fonctionnement du logiciel Manque des rôles et responsabilités en sécurité de l'information dans la description de poste erreur d'utilisation Conséquence ou Préjudice Menace exploite Vulnérabilité Impact cible Actif possède
21 Impact/Conséquence Impact d'un risque exprimé ( d.4) par : Atteinte à un critère de risque, ou perte d'un critère de risque Exemples : Atteinte à l'intégrité Perte de disponibilité Menace exploite cible Actif possède Conséquence d'un risque (ou préjudice) exprimée par : Du français Vulnérabilité Impact Exemple : Atteinte à l'image de marque Perte de chiffre d'affaires Conséquence 21 / 40
22 Tableau d'appréciation des risques Exemple dans un tableau d'appréciation des risques : Rapport (report) d'appréciation des risques Tableau (table) d'appréciation des risques (IS e) (IS27005 E.2) Actif Menace Prob.Occ. Vulnérabilité Impact Niveau de risque 22 / 40
23 Comparatif Attention aux vocabulaires antérieurs Inspiré en partie d'un travail initial de Nicolas Mayer du Centre de Pecherche Public Henri Tudor 23 / 40
24 Processus de gestion du risque Définition d'un processus Continu et qui s'améliore, donc PDCA Processus de gestion de risque de la sécurité de l'information (information security risk management process) Processus applicable A toute l'organisation A un sous ensemble Plan Do Act Check Service, site géographique, etc. A tout système d'information A une mesure de sécurité ou un traitement existant ou planifié 24 / 40 Exemple : continuité d'activité
25 Processus de gestion du risque Identifier les risques Plan Quantifier chaque risque par rapport aux conséquences que sa matérialisation pourrait avoir sur le business à sa vraisemblance (likelihood) Identifier les actions appropriées pour réduire les risques identifiés à un niveau acceptable Implémenter les actions Do pour réduire les risques Eduquer la direction et le personnel sur les risques et les actions prises pour les atténuer Rectifier le traitement du risque à la lumière des évènements et des changements de circonstances Améliorer le processus de gestion du risque Act 25 / 40 Surveiller et réexaminer les résultats, l'efficacité et l'efficience du processus Check
26 Processus de gestion du risque (6) p6 Décomposé en deux activités { séquentielles et itératives Approche itérative Améliore la finesse de l'analyse à chaque itération Garantie une appréciation des risques élevés Minimise le temps et l'effort consenti dans l'identification des mesures de sécurité Appréciation des risques satisfaisante? Risques acceptables? dans ISO l'activité appréciation du risque s'appelle processus d'appréciation du risque (8.1) Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) Risques résiduels à un niveau acceptable? non 26 / 40
27 Processus de gestion du risque Approche itérative ou cyclique Permet d'avancer avec des Interlocuteurs absents ou incapables de savoir ou qui refusent de répondre Livrables incomplets Incapacité du management de se prononcer sur l'approbation des risques résiduels sans connaître d'abord les coûts associés Facilite la gestion des susceptibilités et des aspects politiques entre Interviewés Actifs et processus métier Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) Facilite les liens entre les risques et les impacts sur les processus métier 27 / 40
28 Processus de gestion du risque Appréciation du risque (8) Analyse des risques Mise en évidence des composantes des risques Estimation de leur importance Evaluation des risques Analyse d'ensemble et prise de décision sur les risques Traitement du risque (9) Sélection des objectifs et mesures de sécurité pour réduire le risque Refus, transfert ou prise du risque Acceptation du risque (10) Approbation par la direction des choix effectués lors du traitement du risque Communication du risque (11) 28 / 40
29 Processus de gestion du risque (6) p8-9 n 1 Est-ce que l'appréciation des risques donne assez d'éléments pour déterminer les actions nécessaires à la réduction des risques à un niveau acceptable? n 2 Est-ce que le plan de traitement des risques réduit le risque à un risque résiduel qui sera acceptable par la direction générale? Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Risque acceptable? oui Traitement du risque oui non Acceptation du risque Surveillance et réexamen du risque 29 / 40
30 Processus de gestion du risque (6) p7 Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Plan Do Implémentation du plan de traitement du risque Estimation du risque Evaluation du risque Elaboration du plan de traitement du risque Act Améliorer le processus de gestion de risque 30 / 40 Surveillance et réexamen du risque Check
31 Appréciation du risque Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Risque acceptable? oui Traitement du risque non oui Acceptation du risque Surveillance et réexamen du risque 31 / 40
32 Appréciation du risque Appréciation du risque (8.1) : Déterminer la valeur des actifs Identifier les menaces et les vulnérabilités Identifier les mesures de sécurité existantes et leurs effets sur le risque identifié Quantifier les conséquences potentielles Prioritiser et ordonnancer les risques par rapport aux critères préalablement établis Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Itérations de l'appréciation (8.1) Haut-niveau De plus en plus en profondeur 32 / 40
33 Traitement et acceptation du risque Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Risque acceptable? oui Traitement du risque oui non Acceptation du risque Surveillance et réexamen du risque 33 / 40
34 Traitement du risque (9.1) : Refus ou évitement Traitement et acceptation du risque Appréciation des risques Résultats Liste des risques prioritisés Choix des options de traitement des risques Transfert Réduction (IS f) (9.4) (9.3) (9.5) (9.2) Prise (Retention) Acceptation du risque (10) : risques résiduels risques acceptables? non oui 34 / 40 Plan de traitement des risques accepté
35 Acceptation (10) Acceptation du risque Du plan de traitement des risques De l'appréciation du risque résiduel Par la direction générale Soit le plan de traitement du risque est réussi Soit la direction générale accepte le risque en toute connaissance de cause Manque de budget Contraintes de temps Bien que le risque soit au-delà des critères d'acceptation des risques Enregistrement formel Traitement du risque Risque acceptable? oui Acceptation du risque (IS h) 35 / 40
36 ISO27005 ISO est une méthode en elle-même Autres méthodes servent comme outil au cas par cas Méthode de calcul dans l'estimation du risque Questionnaires pour conduire les entretiens etc 36 / 40
37 Rappels des recommandations Identifier les objectifs Mise en conformité ISO 27001, établissement de plan de reprise, démarche sécurité,... Adhésion de la direction? Identifier le périmètre Identifier les éléments existants Risques opérationnels? Risques métiers? Méthode? Risk manager? Mener des interviews Savoir où on va 37 / 40
38 Rappels Adapter l'existant Construire la méthode et établir les critères progressivement Choisir des formules simples NR = Max(C,I,D)*P NR = Max(C,I,D)*P*Difficulté d'exploitation... Conduire des entretiens Identifier et évaluer les actifs Identifier les menaces et vulnérabilités Identifier les mesures de sécurité existantes Identifier les mesures de sécurité potentielles 38 / 40
39 Conclusion Construisez une gestion de risques Pragmatique Vivante et Maitrisée Questions? ISO a son club! Paris, Toulouse, Rennes, Nantes,... En projet : Lyon, Nice,.. Mutualisation ITIL/itSMF fr 39 / 40
40 40 / 40
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO 27001 DCSSI/CFSSI 28 mars 2007 Alexandre Fernandez Hervé
Plus en détailSMSI et normes ISO 27001
SMSI et normes ISO 27001 introduction et perspectives Conférence "SMSI et normes 27001" 21 novembre 2007 Hervé Schauer Eric Doyen Sommaire Cahiers Oxford (publicité) Roue de Deming ISO 27001 Ensemble des
Plus en détailISO 27001:2013 Béatrice Joucreau Julien Levrard
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Béatrice Joucreau Julien Levrard Sommaire La norme
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailCinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr>
Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailLa conformité et sa dérive par rapport à la gestion des risques
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet La conformité et sa dérive par rapport à la gestion des risques Matinée
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailISO/CEI 27001:2005 ISMS -Information Security Management System
ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002
Plus en détailBrève étude de la norme ISO/IEC 27003
RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailMV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien
Plus en détailMontrer que la gestion des risques en sécurité de l information est liée au métier
Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme
Plus en détailQu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Plus en détailFormation en SSI Système de management de la SSI
Formation en SSI Système de management de la SSI 1 Présentation de la formation Objectif de la formation : "à l'issue de cette formation les stagiaires auront compris comment réaliser une PSSI d'unité
Plus en détailISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information
NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailLa politique de sécurité
La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,
Plus en détailcurité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détailColloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires
Colloque 2005 de la Sécurité des Systèmes d Information Du contrôle permanent à la maîtrise globale des SI Jean-Louis Bleicher Banque Fédérale des Banques Populaires Mercredi 7 décembre 2005 Du contrôle
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailSécurité des applications Retour d'expérience
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon
Plus en détailGestion de la continuité des activités. Mémento
Club EBIOS Gestion de la continuité des activités Mémento Date : 18 novembre 2008 Statut : Approuvé Nombre de pages : 49 Responsable des travaux : Cyril DEMONCEAUX Validation : Cercle de concertation concerné
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailSécurité informatique: introduction
Sécurité informatique: introduction Renaud Tabary: tabary@enseirb.fr 2008-2009 Plan 1 Généralités 2 3 Définition de la sécurité informatique Definition Information security is the protection of information
Plus en détailMise en place d un SMSI selon la norme ISO 27001. Wadi Mseddi Tlemcen, le 05/06/2013
Mise en place d un SMSI selon la norme ISO 27001 Wadi Mseddi Tlemcen, le 05/06/2013 2 Agenda Présentation de la norme ISO/IEC 27001 Eléments clé de la mise en place d un SMSI Situation internationale 2
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détailContractualiser la sécurité du cloud computing
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Club EBIOS, 11 décembre 2012 Contractualiser la sécurité du cloud
Plus en détailConsulter notre site : www.nt2s.net. Network Telecom Security Solutions. www.hsc.fr. en partenariat technique avec
NOS PARTENAIRES Network Telecom Security Solutions en partenariat technique avec Conseil, formation et accompagnement Création, Gestion et Stratégie Management et sécurité de l'information stratégique
Plus en détailISO 17799 la norme de la sécurité de l'information
ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.
Plus en détailGuide de bonnes pratiques de sécurisation du système d information des cliniques
Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,
Plus en détailISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)
ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) P 1 1 Définition de la sécurité de l'information L'information est une ressource qui,
Plus en détailLa sécurité applicative
La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques
Plus en détailMise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis
REPUBLIQUE TUNISIENNE MINISTERE DE L ENSEIGNENMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE Université Virtuelle de Tunis Mastère en Optimisation et Modernisation des Entreprises : MOME Mémoire Pour l
Plus en détailCatalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4
Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à
Plus en détailLes clauses «sécurité» d'un contrat SaaS
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric
Plus en détailDSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...
Table des matières CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 CONCEPTION... 3 RÉALISATION... 3 ÉVALUATION ET CONTRÔLE... 3 AMÉLIORATION... 3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...3 LA PROTECTION
Plus en détailConseils et préconisations de mutualisation ISO 2700x et ISO 20000 / ITIL Groupe de travail du Club 27001 Toulouse 3 Avril 2012
S Conseils et préconisations de mutualisation ISO 2700x et ISO 20000 / Groupe de travail du Club 27001 Toulouse 3 Avril 2012 Nicole Genotelle (ONX / Edelweb), Joris Pegli (SRCSolution), Emmanuel Prat (FullSave),
Plus en détails é c u r i t é Conférence animée par Christophe Blanchot
s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)
Plus en détailD ITIL à D ISO 20000, une démarche complémentaire
D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction
Plus en détailSymantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web
Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé
Plus en détailClub 27001 toulousain
Club 27001 toulousain Couverture organisme national Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer
Plus en détailINF 1160 Les réseaux d entreprise
INF 1160 Les réseaux d entreprise Politique sur la sécurité du réseau Termes de référence Quelques définitions pour parler le même langage SINISTRES : Événements liés aux caprices de la nature ou aux bâtiments.
Plus en détailHEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification
Les référentiels SMI, normes, processus de certification 1 Définitions selon le Guide ISO/IEC 2:2004 Norme Document, établi par consensus et approuve par un organisme reconnu, qui fournit, pour des usages
Plus en détailSANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents
Créée en 1989, Hervé Schauer Consultants (HSC), est une société spécialisée dans l expertise de conseil en sécurité des systèmes d information. De taille humaine (28 personnes dont 22 consultants), HSC
Plus en détailCopyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
VOLET N 2 1 Définition des objectifs de sécurité Principes fondamentaux de la sécurité du système d information Scenarios génériques de menaces Méthodes et bonnes pratiques de l analyse de risques Plan
Plus en détailLA CONTINUITÉ DES AFFAIRES
FORMATION LA CONTINUITÉ DES AFFAIRES Patrick Boucher CISSP, CISA, CGEIT, ITIL et Auditeur ISO 27001 1 LE 5 MAI 2009 QUI SUIS-JE? Patrick Boucher : Analyste principal chez Gardien Virtuel depuis 2003. Expérience
Plus en détailCollege Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé
College Du Chinchon Torniké Sidamonidzé 3C M. Brulé Introduction à la sécurité informatique Avec le développement de l'utilisation d'internet, il est donc essentiel de connaître les ressources de l'entreprise
Plus en détailITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)
Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.
Plus en détailSécurité du cloud computing
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ADIJ 20 janvier 2011 Sécurité du cloud computing Frédéric Connes Frédéric
Plus en détailITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)
Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.
Plus en détailRecommandations sur les mutualisations ISO 27001 ISO 20000 & ISO 27002 ITIL
Recommandations sur les mutualisations ISO 27001 ISO 20000 & ISO 27002 ITIL Groupe de travail du Club 27001 Toulouse Présentation du 10 novembre 2011 Nicole Genotelle, Joris Pegli, Emmanuel Prat, Sébastien
Plus en détailITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC
ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC Plan Autour d'itil ITIL qu'est-ce que c'est? Bénéfices attendus Ce qu'itil ne peut pas faire Pourquoi
Plus en détailRetour sur investissement en sécurité
Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité? Les Assises de la Sécurité Monaco, 21 octobre 2005 Hervé Schauer Hervé Schauer
Plus en détailJaafarDEHBI; Consultant SI-TI Pragmatic Consulting
Sécurité des SI ISO 2700X; MICDA M2 Année Universitaire : 2012-2013 2013 JaafarDEHBI; Consultant SI-TI Pragmatic Consulting 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 1 1 Sommaire
Plus en détailArchitecture des ordinateurs. Environnement Windows : sauvegarde
Architecture des ordinateurs Environnement Windows : sauvegarde 1/14 Table des matières 1.Introduction...3 a)objectifs...3 b)critères de choix...3 c)stratégies de sauvegarde...3 2.La source...4 a)sauvegarde
Plus en détailConception et Réalisation d une Application de Gestion de Sécurité d Information pour la Poste Tunisienne
Sujet: Conception et Réalisation d une Application de Gestion de Sécurité d Information pour la Poste Tunisienne Elaborée par : GHAZEL Taoufik Mémoire de fin d études Pour l obtention du diplôme Mastère
Plus en détailPolitique de sécurité de l information
5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des
Plus en détailGUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES
REPUBLIQUE FRANÇAISE PREMIER MINISTRE Secrétariat Général de la Défense Nationale N 730/ SCSSI Issy-les-Moulineaux, le 13 janvier 1997 GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS
Plus en détailCDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM
CDROM L amélioration continue de la gestion des risques René FELL Ingénieur HES en informatique Administrateur chez CDROM CDROM en quelques mots Le Centre de Données Romand est situé au Noirmont, à 1000
Plus en détail1. La sécurité applicative
ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité
Plus en détailL utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes
L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...
Plus en détailManagement des risques du Projet. www.ulyssconseil.com
Management des risques du Projet www.ulyssconseil.com 1 INTRODUCTION www.ulyssconseil.com 2 Introduction www.ulyssconseil.com 3 Introduction www.ulyssconseil.com 4 Introduction www.ulyssconseil.com 5 Introduction
Plus en détailMaîtriser ses données dans le cloud computing
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CNIS-Mag - 28 novembre 2012 Maîtriser ses données dans le cloud computing
Plus en détailLIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS
LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.
Plus en détailSécurité des Systèmes d Information
Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de
Plus en détailL après ETEBAC et le SEPA
L après ETEBAC et le SEPA CODINF 30 avenue Franklin Roosevelt 75 008 Paris Tél : 01.55.65.04.00 Fax : 01.55.65.10.12 Mail : codinf@codinf.fr N TVA CEE : FR 17 481 350 700 2 Pour y voir plus clair, vous
Plus en détailLes nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme
Les nouveaux guides de la CNIL Comment gérer des risques dont l impact ne porte pas sur l organisme Matthieu GRALL CLUSIF Colloque «conformité et analyse des risques» 13 décembre 2012 Service de l expertise
Plus en détailOpportunités s de mutualisation ITIL et ISO 27001
Opportunités s de mutualisation ITIL et ISO 27001 Club ISO 27001 Paris,19 avril 2007 Alexandre Fernandez-Toro Rappels sur l ISO l 27001 Norme précisant les exigences pour La
Plus en détailLes clauses sécurité dans un contrat de cloud
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Openday 23 juin 2011 Les clauses sécurité dans un contrat de cloud
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailBUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise
BUSINESS CONTINUITY MANAGEMENT I PLANZER I 2010 BUSINESS CONTINUITY MANAGEMENT Notre plan C pour situations d'urgence et de crise La sécurité n'est pas une valeur absolue. Une gestion de risque peut éventuellement
Plus en détailGRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation
GRIFES Gestion des risques et au-delà Pablo C. Martinez TRMG Product Leader, EMEA Symantec Corporation Gestion des risques et conformité Principaux soucis Se conformer aux mandats Rester loin des menaces
Plus en détail27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité
Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2
Plus en détailSécurité informatique : règles et pratiques
Sécurité informatique : règles et pratiques Dominique PRESENT I.U.T. de Marne la Vallée Construire une politique de sécurité : 12 thèmes Règles et pratiques : premières procédures à mettre en place basées
Plus en détailMise en œuvre de la certification ISO 27001
Mise en œuvre de la certification ISO 27001 1 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO 27001 4. Implémentation 5. Surveillance et audit
Plus en détailMETIERS DE L INFORMATIQUE
METIERS DE L INFORMATIQUE ISO 27001 LEAD AUDITOR REF : GOMO019 DUREE : 5 JOURS TARIF : 3 500 HT Public Toute personne amenée à conduire des audits dans le domaine de la sécurité des systèmes d'information.
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailLa sécurité informatique
La sécurité informatique SOMMAIRE 1. Présentation générale a. La SARL Invesys b. Pourquoi la sécurité informatique? c. Qu est-ce qu un audit de sécurité? 2. Espionnage industriel a. Définition b. Enjeux
Plus en détailLes conséquences de Bâle II pour la sécurité informatique
Les conséquences de Bâle II pour la sécurité informatique - 1 - PLAN GENERAL PLAN DO CHECK ACT Introduction : Présentation de l ISO 17799 Analyse de risque opérationnel Organisation de la sécurité Recommandations
Plus en détailAspects juridiques des tests d'intrusion
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI 2012 Aspects juridiques des tests d'intrusion Frédéric Connes
Plus en détailFedict Règlement général de sécurité de l'information
Fedict Règlement général de sécurité de l'information V 1.0 Table des matières 1 Politique de sécurité de l information 2 2 Gestion des actifs 4 3 Organisation de la sécurité de l information 5 4 Ressources
Plus en détailNom-Projet MODELE PLAN DE MANAGEMENT DE PROJET
Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Glossaire La terminologie propre au projet, ainsi que les abréviations et sigles utilisés sont définis dans le Glossaire. Approbation Décision formelle, donnée
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailEtude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information
Plus en détailLA GESTION DES ÉVÈNEMENTS ET DES INCIDENTS DE SÉCURITÉ NE PEUT PAS ÊTRE CONFONDUE AVEC LE PLAN DE CONTINUITÉ D'ACTIVITÉ
Auteur : Lionel GUILLET Expert en Management de la Sécurité de l Information LA GESTION DES ÉVÈNEMENTS ET DES INCIDENTS DE SÉCURITÉ NE PEUT PAS ÊTRE CONFONDUE AVEC LE PLAN DE CONTINUITÉ D'ACTIVITÉ Ce n'est
Plus en détailCA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA
DOSSIER SOLUTION : CA ARCSERVE BACKUP R12.5 CA ARCserve Backup CA ARCSERVE BACKUP, LOGICIEL DE PROTECTION DE DONNÉES LEADER DU MARCHÉ, INTÈGRE UNE TECHNOLOGIE DE DÉDUPLICATION DE DONNÉES INNOVANTE, UN
Plus en détailPANORAMA DES MENACES ET RISQUES POUR LE SI
PANORAMA DES MENACES ET RISQUES POUR LE SI LEXSI > CNIS EVENT CNIS EVENT 05/11/2013 SOMMAIRE Big Data Cloud Computing Virtualisation 2 BIG DATA Définition Chaque jour, 2,5 trillions d octets de données
Plus en détail