SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

Dimension: px
Commencer à balayer dès la page:

Download "SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS"

Transcription

1 SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de nos systèmes d informations. Au-delà d une pure problématique technique, cela représente un risque pour la bonne marche de nos services et de nos institutions. Il est plus que jamais nécessaire de mettre en place une démarche de Sécurité des Systèmes d Information et de gérer les risques! 2

2 Introduction Cette présentation vise à présenter les différents éléments qui vont constituer une démarche de sécurité, depuis sa conception jusqu à son pilotage. Après un tour d horizon de quelques concepts fondamentaux en sécurité, nous présenterons les étapes à suivre pour déployer une démarche SSI. Chacun va pouvoir s inspirer de ces éléments pour décliner sa propre démarche au sein de sa collectivité. 3 Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 4

3 Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 5 Définition La sécurité de l information est l'ensemble des moyens techniques, organisationnels et humains à mettre en place pour établir, conserver et garantir la sécurité des systèmes informatiques et des données. ORGANISATION DISPOSITIFS & PROJETS COMPORTEMENTS 6

4 La sécurité des informations 7 Les fondamentaux de la sécurité La Sécurité du Système d Information (SSI) repose sur 4 critères : DICP Disponibilité L information et les ressources SI doivent être disponibles quand on en besoin Intégrité L information doit rester fiable et les risques d altération doivent être maitrisés Confidentialité L information doit être accessible aux seules personnes autorisées Preuve Savoir qui a fait quoi, et à quel moment? 8

5 Les fondamentaux de la sécurité Disponibilité L information et les ressources SI doivent être disponibles quand on en besoin 9 Les fondamentaux de la sécurité Intégrité L information doit rester fiable et les risques d altération doivent être maitrisés 10

6 Les fondamentaux de la sécurité Confidentialité L information doit être accessible aux seules personnes autorisées 11 Les fondamentaux de la sécurité Preuve Savoir qui a fait quoi, et à quel moment? 12

7 Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 13 La démarche par les risques 14

8 La démarche par les risques Vulnérabilité Clés sous le tapis Menace Cambrioleur essaie d entrer Impact Cambrioleur casse l armoire, vole de l argent, crée des ennuis Vulnérabilité x Menace x Impact = Risque 15 Comment identifier ses besoins de sécurité? Un des fondement de la démarche : définir un plan d action pragmatique et cohérent L analyse de risque permet de définir la feuille de route du RSSI et de prioriser les plans d action Document confidentiel Advens 2015

9 Introduction à l'analyse de risque La menace 17 Introduction à l'analyse de risque L actif 18

10 Introduction à l'analyse de risque La vulnérabilité 19 Introduction à l'analyse de risque Le risque 20

11 Introduction à l'analyse de risque Accepter le risque 21 Introduction à l'analyse de risque Réduire le risque 22

12 Introduction à l'analyse de risque Contourner/éviter le risque 23 Introduction à l'analyse de risque Assurances Transférer le risque 24

13 Comment identifier ses risques? Une démarche à adapter à son propre contexte et ses contraintes Métier («biens essentiels») Processus Informations Flux Identification des composants du SI (structurés ou non) SI («biens support») Applications Services Données Sécurité / Contrôle Mesures Contrôles Audits Valeur pour le métier (impacts, événements redoutés, besoins) Vulnérabilités des ressources Dispositifs de maîtrise des risques Menaces Biens Impacts métiers Vulnérabilités Contrôles Probabilité Risques Document confidentiel Advens 2015 La méthode EBIOS Présentation Méthode publiée par l ANSSI (Agence Nationale de la Sécurité des Systèmes d Information), anciennement DCSSI (Direction Centrale de la Sécurité des Systèmes d Information). Trois versions à ce jour dont : EBIOS v2 (2004) EBIOS V3 (2010), dernière version en date De profonds bouleversements entre la v2 et la v3 Changements sur la forme (moins de documents de référence, méthodologie mieux organisée, plus claire et plus accessible) Changements sur le fond (réorganisation complète de la démarche, dorénavant beaucoup plus orientée sur l évaluation et l appréciation des risques) 26

14 Fiche d identité de la méthode EBIOS Fiche d identité Nom Complet : Expression des Besoins et Identification des Objectifs de Sécurité Date de naissance : 1995 Lieu de naissance : Direction Centrale de la Sécurité des Systèmes d Information (ANSSI actuelle) Pays de naissance : France Langue : Français, Anglais, Allemand, Espagnol Contenu de la méthode Evénements redoutés Démarche EBIOS Contexte Risques Mesures de sécurité Scénarios de menaces Etude du contexte Définir le cadre de la gestion des risques, préparer les métriques et identifier les biens. Etude des événements redoutés Apprécier les événements redoutés identifiés par les métiers de l organisme en termes de gravité et de vraisemblance. Etude des scénarios de menace Apprécier les scénarios de menaces envisageables pour chaque bien support en termes de vraisemblance. Etude des risques Apprécier et évaluer les risques et identifier les objectifs de sécurité par rapport à ces risques. Etude des mesures de sécurité Formaliser les mesures de sécurité à mettre en œuvre et mettre en œuvre les mesures de sécurité. Démarche Biens essentiels et biens supports Sources de menace Menaces Impacts Vulnérabilités Mesures de sécurité L établissement du contexte L appréciation des risque Le traitement des risques La validation du traitement des risques La communication et la concertation relatives aux risques La surveillance et la revue des risques 27 Exemple d une cartographie des risques N. Crit. Risque Impact 1 R12 R01 R02 R03 R05 R11 R14 R04 R07 R08 R09 R10 R13 Probabilité Légende : D = Disponibilité, I = Intégrité, C = Confidentialité, P = Preuve = Risque critique, = Risque Majeur, = Risque Mineur R06 4 R01 D Destruction globale des Datacenters R02 D Défaillance physique d un Datacenter R03 DIC Manque de sécurité dans la conception R04 DICP Perte de maîtrise de gouvernance (cloud) R05 DICP Perte de maîtrise (usages) R06 C Divulgation d informations sensibles (non médicales) R07 C Divulgation d infos. médicales R08 C Vol de données / documents R09 D Pertes de compétences clés pour le SI R10 DI Dysfonctionnements dus à l obsolescence, ou l hétérogénéité R11 DIP Pertes de données R12 DI Dysfonctionnements dus à l exploitation d une faille de sécurité R13 DIP Erreurs de manipulation en prod. entraînant dysfonctionnement d une appli. R14 DI Pannes / dysfonctionnements ou saturation du SI dus à la complexité croissante du SI et sa centralisation 28

15 Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 29 Le cadre normatif La famille ISO A venir également : ISO : gestion des traces ISO : IDS (Intrusion Detection Systems) ISO : Stockage et sauvegarde ISO : Méthodes d investigation 30

16 ISO ISO : guide des bonnes pratiques Pistes et recommandations pour la gestion globale de la sécurité de l information ISO ISO : guide d implémentation Exemples types et recommandations pour l implémentation d un SMSI Déployer D P C A ISO ISO : gestion des risques Identification des risques Evaluation de ces risques Traitement des risques retenus Phase d implémentation : Mise en œuvre de la politique de sécurité Planifier C D A Phase de définition du contexte: La vision sécurité de l organisation Les objectifs à atteindre Les moyens mis à disposition Analyse des risques La stratégie de mise en œuvre La politique de sécurité SMSI ISO ISO ISO : guide d implémentation Exemples types et recommandations pour la planification d un SMSI Phase de contrôle et de mesure d efficacité du SMSI: Mise en place de tableaux de bords Mise en place de métriques de la sécurité Evaluation périodique de la sécurité P Phase de révision et de mise à jour du SMSI: Corriger Adapter Améliorer A C P Impulsion initiale «Nous souhaiterions mettre en place un SMSI» D Améliorer ISO ISO : mesurage Guide de préparation d un programme de mesure de l efficacité d un SMSI ainsi que des métriques à choisir et à mettre en place Légende: En vert, cycle PDCA principal tel qu il est utilisé dans la norme ISO En orange, les autres normes qui gravitent autour de l ISO P A D C Contrôler ISO ISO ISO : audit des SMSI ISO : audit des contrôles Recommandations relatives à Recommandations relatives à la conduite la conduite d audits internes et d audits portés sur les contrôles ou groupe externesdocument confidentiel de contrôles Advens implémentés 2015 au sein d un SMSI La norme ISO La norme ISO pose les bases d un SMSI Elle professionnalise la démarche sécurité Elle garantie l adéquation entre les mesures mises en œuvre et les risques identifiés, pour une meilleure maîtrise des coûts Elle est certifiante Elle est reconnue internationalement Elle est référencée par ITIL Elle est complétée par une famille de normes (la famille ISO 27000) C est une norme qui établit une démarche, mais ne l outille pas Le choix de la méthode d analyse pour cartographier les risques est libre Des exemples précis et riches sont proposés en annexe Liste type de menaces Exemples de vulnérabilités Tableau de classification des actifs. 32

17 La norme ISO La norme ISO est un guide de bonnes pratiques THÈME Politique de sécurité Organisation de la sécurité Gestion des biens Sécurité liées aux RH Sécurité physique et environs. Gestion des communications. et des opérations Contrôle d accès Acquisition. développement et maintenance des SI Gestion des incidents de sécurité Gestion de la continuité d activité Conformité EXIGENCES Existence, Qualité, Application, Révision de la politique de Sécurité de l Information Définition des rôles et responsabilités au sein de l organisation ainsi que les instances opérationnelles et stratégiques Inventaire et classification des actifs du Système d Information Arrivée et départ des collaborateurs Sécurisation physique des locaux, protection environnementale, définition des zones sensibles Sauvegardes, capacity planning, cloisonnement réseau, gestion des correctifs, sécurité réseaux, échange d informations Gestion des accès utilisateurs, gestion des accès réseaux, gestion de la mobilité, sensibilisation, télétravail Veille technologique, intégration de la sécurité dans les projets, cloisonnement des environnements, bonnes pratiques de développement, gestion des vulnérabilités techniques, cryptographie Procédure de signalement, gestion de crise, procédure de résolution, capitalisation Définition, application, test, révision des plans de continuité d activité, procédures métier, plan de secours informatique. Conformité aux normes et réglementations en fonction de votre activité : Gestion des licences logicielles, CNIL (manipulation de données personnelles) 33 Le SMSI, un modèle de gouvernance de la sécurité de l information Un SMSI, c est un «processus de gestion de la sécurité de l information au quotidien» Le SMSI est cohérent avec les autres systèmes de management de l entité, notamment avec les systèmes de management de la qualité, de la sécurité des conditions de travail, et de l environnement. Des moyens Organisationnels, techniques, humains Validés par la direction Etablis selon un référentiel Mesurables pour répondre à des objectifs De confiance D amélioration permanente de la sécurité de l information A la demande des parties prenantes et pour les parties prenantes Sur un périmètre bien défini Document confidentiel Advens 2015

18 7 processus essentiels Pilotage du SMSI Veille Gestion des risques Gestion documentaire SMSI Gestion des incidents Sensibilisation à la sécurité Contrôle et amélioration 35 L amélioration continue Plan Act Do Check Plan (je dis ce que je fais) Définir le périmètre du SMSI Définir la politique du SMSI Définir la politique de sécurité Impliquer le Management Définir et mettre en œuvre la méthode d analyse de risques Rédiger la déclaration d applicabilité Do (je fais ce que je dis) Définir et mettre en œuvre le plan de traitement des risques Sensibiliser et former Gérer l exploitation et les ressources du SMSI Gérer les incidents de sécurité Gérer la documentation Check (je contrôle ce que je fais ) Collecter et analyser les enregistrements générés par le SMSI Revoir l analyse des risques Conduire les contrôles et mesurer les performances du SMSI Mettre à jour les plans d actions de sécurité pour prendre en compte les résultats des contrôles Act (je corrige et j améliore ce que j ai fait et dit) Décider de mesures correctives et préventives pour améliorer le SMSI Communiquer sur les mesures d amélioration Assurer que les modifications permettront d atteindre les objectifs du SMSI Apporter des résultats concrets, durables, mesurables et proportionnés aux risques 36

19 Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 37 Exemple de démarche Démarche sponsorisée Pilotage / Sensibilisation / Communication Diagnostic sécurité du SI Analyse de risque sur les processus métier Etude Définition des chantiers sécurité Schéma Directeur Sécurité Identification ou mise à jour des référentiels ou des procédures Construction du Schéma Directeur Sécurité Accompagnement des chantiers de réduction des risques Mise en œuvre des plans d action Mesures et amélioration continue Contrôles 38

20 Quel résultat? Réalisation d un état des lieux global traitant de l ensemble des thématiques de sécurité de l information, en s appuyant par exemple sur les normes et l état de l art Implication de l ensemble des parties prenantes dès le début de la démarche Identification des risques principaux pesant sur la sécurité de l information Définition d un plan d actions adapté aux enjeux et à l environnement de l organisation Identifier des actions courts termes à gains rapides («quicks wins») et des projets ou chantiers plus globaux 39 Exemple Gouvernance Conformité Référentiel Maîtrise des risques Contrôle et pilotage Couverture Globale (Vision Stratégique et métier) Année 1 Politique de Sécurité Année 2 Référentiels Année 3 Analyse de risque globale Contrôles et tableaux de bord Globaux CSSI Conformité Informatique et libertés RGS : Mise en conformité Organisation Schéma directeur RGS : Cadrage et méthodologie Analyse de risque CCAS Pilotage opérationnel- Contrôle Intégration de la sécurité dans les projets PKI Authentification forte Continuité SI Diagnostic Sécurité opérationnelle : Contrôle opérationnel Opérationnelle Initiale Maturité (vision tactique) 40 Elevée

21 Exemple de chantiers C2. Sensibiliser les agents et les managers Objectif L objectif est la prise de conscience. Les différentes populations doivent prendre consciences des menaces et des risques ainsi que des enjeux de la sécurité. Des plans d action différenciés doivent être envisagés pour couvrir le «grand public» et instaurer un ensemble de bons réflexes et pour couvrir le management et accorder une place importante à la SSI dans la feuille de route de l organisation. Actions préconisées Organiser un plan de sensibilisation global pour la Collectivité Définirles populations à couvrir Identifierles médias et les actions de communication Décliner le plan pour les agents via la tenue de sessions de sensibilisation et des actions de communication Définir la nature des sessions (e-learning, session plénière ou en petit groupe) Définir le contenu des supports à présenter Identifierdes actions de communication «marquantes» (affichagede poster, communicationpar la bande dessiné, utilisationde la lettre RH, etc.) Décliner le plan pour la direction et les personnels «VIP» via la tenue de sessions de sensibilisation et des actions de communication Définir la nature des sessions (e-learning, session plénière ou en petit groupe) Organiser un ou plusieurs ateliers de travail visant à sensibiliser les personnels «VIP» sur leurs enjeux de sécurité ainsi que sur l importance de la sécurité pour la collectivité Mettre en place un intranet ou un espace documentaire accessible aux agents et dédié aux sujets SSI Identifierun outil ergonomique et visuel Mettre en ligne les documentations de référence Mettre en ligne les réponses aux questions courantes et les procédures en cas d incident Complexité Coût Gain en sécurité Principaux Acteurs Priorité RSSI, Communication, Ressources Humaines Agents 41 1 Exemple de chantiers 42

22 Exemple de chantiers C9. Surveiller le SI Objectif L objectif est de se doter de moyens pragmatiques et efficaces pour surveiller le SI et renforcer sa maitrise. Cela passe notamment par l analyse des logs (pour connaitre les actions réalisées sur le SI) et par la détection des vulnérabilités (pour connaitre les zones de faiblesses) et l application des patchs de sécurité. Actions préconisées Améliorer la collecte et l analyse des logs Mettre en place un service de collecte et d analyse des logs Définiret appliquer les processus d alerte et d action associé Détecter et traiter les vulnérabilités Mettre en place une solution de diffusionautomatisée des correctifsde sécurité Mettre en place un service de détection automatisée des vulnérabilités Définiret appliquer les processus d alerte et de correction Mettre en place des tableaux de bord opérationnels Construire un «reporting» permettant le suivi des solutions de sécurité opérationnelle Mettre en place un service d alimentation des tableaux de bord et du reporting Définir et appliquer les processus d analyse des tableaux de bord Complexité Coût Gain en sécurité Principaux Acteurs Priorité RSSI, DSI 2 43 C5. Rédiger une charte administrateur Objectif Exemple de chantiers L objectif est de cadrer les «droits et devoirs» des administrateurs vis-à-vis de la sécurité du SI. Le chantier vise à couvrir les administrateurs de la DSI mais également les administrateurs fonctionnels, au sein des directions métier. Ces administrateurs prennent une part croissante dans le suivi de certaines problématiques de sécurité, comme la gestion des droits, et leurs actions doivent être encadrées. Actions préconisées Rédiger une charte administrateur Formaliser une charte administrateur cadrant les droits et devoirs en matière de SSI Expliquer les réflexes à avoir et les comportements à risques Rédiger une charte administrateur fonctionnel Formaliser une charte administrateur fonctionnel cadrant les droits et devoirs en matière de SSI Expliquer les réflexes à avoir et les comportements à risques Formaliser l implication des administrateurs fonctionnels sur les chantiers sécurité (sur la gestion opérationnel de la SSI et la gestion des droits, sur la gestion des incidents, sur l intégration de la sécurité dans les projets) Organiser la diffusion des chartes Prévoir une session d information ou un média adapté pour expliquer l objectif et le contenu des chartes Exemple de documents Plan d une charte administrateur 1. Préambule 2. Objet 3. Définitions 4. Champ d application 5. Prérogatives de l administrateur 5.1. Administration des moyens informatiques et de communications électroniques 5.2. Participation a la politique de sécurité 5.3. Gestion des risques et des menaces 6. Engagements de l administrateur 6.1. Obligation de collaboration 6.2. Obligation d information, de conseil et d alerte 6.3. Obligation de confidentialité renforcée 6.4. Obligation de sécurité 6.5. Obligation de respecter les droits de propriété 6.6. Obligation de respecter la vie privée des utilisateurs 6.7. Obligation de respecter la règlementation informatique et libertés 7. Responsabilité de l administrateur 8. Evolution de la charte 9. Documentation associée 10. Acceptation de la charte 11. Publicité Complexité Coût Gain en sécurité Principaux Acteurs Priorité RSSI, DSI, Administrateurs Document confidentiel Advens 2015 fonctionnels 44 2

23 Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 45 Le tableau de bord de pilotage de la sécurité Le tableau de bord permet de piloter le niveau de sécurité et d améliorer le niveau de qualité des services de sécurité. Objectifs : Disposer d une vision synthétique aux travers d indicateurs consolidés Evaluer le niveau de conformité aux règles / objectifs de sécurité Mesurer l efficacité des mesures de sécurité mises en œuvre Suivre l évolution du niveau de sécurité et des menaces Etablir un plan d action unifié dans le cadre de la démarche d amélioration continue Communiquer sur le niveau de sécurité opérationnelle et sur les actions réalisées Tableaux de bord stratégiques Direction Tableaux de bord de pilotage tactique RSSI, DSI Tableaux de bord de pilotage opérationnel DSI, Equipes opérationnelles SI Une vision adaptée en fonction des destinataires 46

24 Nature des indicateurs Indicateurs quantitatifs valeurs factuelles : permet de rester objectif Pour faire du suivi de projet ou de plan d actions Pour se situer par rapport à une situation antérieure Indicateurs qualitatifs Pour évaluer le respect des procédures de sécurité, la pénétration de la culture sécurité Respect des règles de la politique Indicateurs issus d audit ou de contrôle Nombre de mot de passe découverts dans un délai Nombre de procédures de la politique de sécurité non rédigées Indicateurs de suivi Nombre de test de sauvegarde, de back up, de maintien en condition opérationnelle du plan de secours 47 Indicateurs stratégiques Thème Politique de sécurité Organisation de la sécurité Gestion des biens Sécurité des ressources humaines Sécurité physique et environnementale Exploitation et gestion des menaces Contrôle d accès Intégration de la sécurité dans les projets Suivi des incidents de sécurité Continuité d activités Conformité Situation Commentaires A diffuser aux équipes Peu de personnes présentes lors du dernier CSSI Incohérences dans les inventaires Sensibilisation utilisateur réalisée Pas d incident constaté Certaines procédures à rédiger Des contrôles d accès à mieux maîtriser En cours de mise en place Processus mis en oeuvre PCA mise à jour et testé Projet de mise en conformité prévu en début d année Préserver le patrimoine informationnel I C Assurer la continuité business I C Garantir la conformité I C Légende I Mesure initiale (Diagnostic) C Cible (Objectifs fixés) Niveau actuel (selon la période) C Objectifs atteints I Niveau initial 48

25 Indicateurs de pilotage Incidents de sécurité Incidents de sécurité Répartition des incidents de sécurité en fonction de leurs impacts Janvier 2014 Nombre d'incidents de sécurité 1 3 Perte de disponibilité Perte d'intégrité <= 2 entre 2 et 7 2 Perte de confidentialité > 7 2 Perte de traçabilité 8 incident(s) Répartition par type d'incidents de sécurité Tentative d'intrusion Incident éthique Déni de service Usage abusif du SI Virus/Malware M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 49 Indicateurs opérationnels Lutte antivirale Mise à jour des serveurs Incidents de type infection virale <= 0 entre 0 et 2 > 2 93% 2 incident(s) Gestion des sauvegardes Mise en œuvre du plan de sauvegarde Tests de restauration 89% 67% 50

26 Conclusion Tous les outils, dispositifs et méthodes existent pour mettre en place une démarche de sécurité des SI adaptée à votre collectivité. Une analyse de risques ou un diagnostic vont vous aider à évaluer le niveau de départ et définir les chantiers à organiser. La feuille de route ou le plan d action- vont lister les projets et les sujets à traiter, en interne ou avec un complément d expertise. Le tableau de bord va permettre de piloter la démarche dans le temps. Le tout doit s accompagner de communication, de sensibilisation et de formation! L initiative du CDG59 va vous permettre d être accompagnée dans cette démarche, pour maitriser vos risques, protéger votre collectivité ainsi que les agents et citoyens du territoire! 51 Questions / Réponses 52

Utilisation de la méthode EBIOS :

Utilisation de la méthode EBIOS : Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Sommaire 2. Généralités 3. ISO 27001 et SMG ou le pilotage de NC2 4. Approche processus et cartographie 5

Sommaire 2. Généralités 3. ISO 27001 et SMG ou le pilotage de NC2 4. Approche processus et cartographie 5 Sommaire 2 Généralités 3 ISO 27001 et SMG ou le pilotage de NC2 4 Approche processus et cartographie 5 D une organisation fonctionnelle vers des processus 6 Pilotage des processus et Amélioration continue

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

Exigences V2014 de la certification «Les systèmes d information»

Exigences V2014 de la certification «Les systèmes d information» Exigences V2014 de la certification «Les systèmes d information» G. Hatem Gantzer Hôpital de Saint Denis Séminaire AUDIPOG 9/4/2015 Les autres points clés de la certification impactés par le SI Le dossier

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Quelques réflexions sur les normes

Quelques réflexions sur les normes EBIOS et normes internationales Présentation pour le colloque ARS sur la gouvernance de la sécurité des systèmes d information 7 juin 2011 1 Quelques réflexions sur les normes Les normes sont avant tout

Plus en détail

Principes de base et aspects techniques

Principes de base et aspects techniques HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques

Plus en détail

Sécurité des systèmes d information

Sécurité des systèmes d information M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 Sandrine.beurthe@ageris-group.com Protection

Plus en détail

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI,

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI, Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information Awatef HOMRI, ISO27001 Lead Auditor, ITIL Ingénieur en chef, ANSI Awatef.homri@ansi.tn 1 Agenda Management de la Sécurité

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information Copyright Fidens 2013 - All rights reserved 04/04/13 1 2! Consultant sécurité des SI et Co-fondateur de Fidens Chef

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Gouvernance de la sécurité des systèmes d information

Gouvernance de la sécurité des systèmes d information Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

Tous droits réservés SELENIS

Tous droits réservés SELENIS 1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,

Plus en détail

ISO 27001 conformité, oui. Certification?

ISO 27001 conformité, oui. Certification? ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche

Plus en détail

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE Management par les processus Les facteurs clés de succès Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

Sécurité des Systèmes d Information

Sécurité des Systèmes d Information Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Gérer concrètement ses risques avec l'iso 27001

Gérer concrètement ses risques avec l'iso 27001 SMSI Oui! Certification? Peut être Gérer concrètement ses risques avec l'iso 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 23 octobre 2008 Agenda 1. L'ISO 27001 : pour

Plus en détail

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information : Annonces internes Sonatrach recherche pour sa DC Informatique et Système d Information : Un Directeur Système d Information Système d Information Gestion Système d Information Métier Décisionnel et Portail

Plus en détail

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 D une PSSI d unité de recherche à la PSSI d établissement Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 SOMMAIRE 2 1. Eléments de contexte 2. Elaboration d une PSSI d

Plus en détail

Gagnez en compétences et en autonomie avec nos 15 modules de formation!

Gagnez en compétences et en autonomie avec nos 15 modules de formation! La transition vers le numérique est en marche! La dématérialisation, l archivage numérique et la gestion électronique sont plus que jamais d actualité, avec leurs enjeux d optimisation, de sécurisation

Plus en détail

Microsoft IT Operation Consulting

Microsoft IT Operation Consulting Microsoft IT Operation Consulting Des offres de services qui vous permettent : D améliorer l agilité et l alignement de votre IT aux besoins métier de votre entreprise. De maîtriser votre informatique

Plus en détail

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC) LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC) Donnez à votre comité de direction une visibilité à 360, en temps réel, du cadre de Gouvernance d Entreprise REGULATORY COMPLIANCE Rc

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

Référentiel de compétences en système d'information

Référentiel de compétences en système d'information ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable

Plus en détail

ITIL v3. La clé d une gestion réussie des services informatiques

ITIL v3. La clé d une gestion réussie des services informatiques ITIL v3 La clé d une gestion réussie des services informatiques Questions : ITIL et vous Connaissez-vous : ITIL v3? ITIL v2? un peu! beaucoup! passionnément! à la folie! pas du tout! Plan général ITIL

Plus en détail

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI

Plus en détail

Production Informatique

Production Informatique Production Informatique Solutions de pilotage V1.0 20 avril 2013 Un S.I. contrôlé, managé et communiquant. Sommaire 1. PREAMBULE... 3 2. OBJECTIFS... 3 3. LES REPONSES ADVIM... 3 4. QUELQUES MODULES PROPOSES...

Plus en détail

Association ESSONNE CADRES

Association ESSONNE CADRES Association ESSONNE CADRES 10 avenue du Noyer Lambert - 91300 MASSY : 01 60 12 01 45 Email : competences91@essonnecadres.org Site web : www.essonnecadres.org Besoin d un Professionnel pour une situation

Plus en détail

UE 5 Management des systèmes d informations. Le programme

UE 5 Management des systèmes d informations. Le programme UE 5 Management des systèmes d informations Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur 1.

Plus en détail

dans un contexte d infogérance J-François MAHE Gie GIPS

dans un contexte d infogérance J-François MAHE Gie GIPS Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

SYSTÈME DE MANAGEMENT DE LA QUALITÉ ET POLITIQUE DÉVELOPPEMENT DURABLE

SYSTÈME DE MANAGEMENT DE LA QUALITÉ ET POLITIQUE DÉVELOPPEMENT DURABLE SYSTÈME DE MANAGEMENT DE LA QUALITÉ ET POLITIQUE DÉVELOPPEMENT DURABLE Mars 2014 SOMMAIRE Faire équipe avec vous 3 SFR Business Team, 1 er opérateur alternatif 4 Notre gouvernance Qualité et Développement

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

Software Asset Management Savoir optimiser vos coûts licensing

Software Asset Management Savoir optimiser vos coûts licensing Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons

Plus en détail

Nos formations sont conçues pour vous permettre de gagner en autonomie sur ces thématiques au coeur de votre quotidien :

Nos formations sont conçues pour vous permettre de gagner en autonomie sur ces thématiques au coeur de votre quotidien : Nouvelles technologies, nouvelles pratiques, nouvelles normes dans un environnement de plus en plus complexe, se former pour maîtriser les concepts clés de l archivage physique, numérique et de la dématérialisation

Plus en détail

PSSI, SMSI : de la théorie au terrain. Journées Informatique IN2P3/IRFU, Le Grau du Roi, Octobre 2014, BARBET JM Subatech

PSSI, SMSI : de la théorie au terrain. Journées Informatique IN2P3/IRFU, Le Grau du Roi, Octobre 2014, BARBET JM Subatech PSSI, SMSI : de la théorie au terrain 1/23 Plan Introduction : nécessité de la SSI Problématiques en SSI Cadre légal, réglementaire, normes Pilotage de la SSI : de la théorie au terrain Expérience SSI

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

Gestion de parc et qualité de service

Gestion de parc et qualité de service Gestion de parc et qualité de service Journée Josy, 14 octobre 2008 A. Rivet Gestion de parc et qualité de service Gestion de parc Fonctions de base GT «Guide de bonnes pratiques» Référentiels et SI ITIL/ISO

Plus en détail

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Que la stratégie soit belle est un fait, mais n oubliez pas de regarder le résultat. Winston Churchill PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Conseil en Organisation, stratégie opérationnelle

Plus en détail

MANAGEMENT ENVIRONNEMENT ISO 14001 PAR ETAPES BILAN CARBONE. Accompagnement groupé laboratoires d analyses médicales

MANAGEMENT ENVIRONNEMENT ISO 14001 PAR ETAPES BILAN CARBONE. Accompagnement groupé laboratoires d analyses médicales MANAGEMENT ENVIRONNEMENT ISO 14001 PAR ETAPES BILAN CARBONE Accompagnement groupé laboratoires d analyses médicales La démarche d analyse et d accompagnement, constituée de 3 étapes telles qu elles sont

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

La gestion de la documentation

La gestion de la documentation La gestion de la documentation Des aspects méthodologiques & organisationnels.vers la mise en œuvre d un outil de GED M S. CLERC JOSY 13 OCTOBRE 2015 PLAN Définition d un projet de gestion de la documentation

Plus en détail

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Quels risques, quelles approches pour sécuriser? Chadi HANTOUCHE chadi.hantouche@solucom.fr Notre mission : Accompagner les grands comptes dans la maîtrise des risqueset la conduite

Plus en détail

L analyse de risques avec MEHARI

L analyse de risques avec MEHARI L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de

Plus en détail

Atelier thématique QUA1 -Présentation de la norme ISO 9001-

Atelier thématique QUA1 -Présentation de la norme ISO 9001- Forum QHSE - QUALITE Atelier thématique QUA1 -Présentation de la norme ISO 9001- Laurent GUINAUDY OC2 Consultants Atelier ISO 9001 1 Présentation du Cabinet OC2 Consultants Cabinet créé en 1996 Zone d

Plus en détail

L ACCOMPAGNEMENT ET LA CERTIFICATION. Dr. H. AHMIA

L ACCOMPAGNEMENT ET LA CERTIFICATION. Dr. H. AHMIA L ACCOMPAGNEMENT ET LA CERTIFICATION Dr. H. AHMIA LES 8 PRINCIPES DE MANAGEMENT Implication du personnel Amélioration continue Approche Processus Approche factuelle Relation Mutuellement Bénéfique Fournisseurs

Plus en détail

REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU DE LA MAIRIE DE PARIS

REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU DE LA MAIRIE DE PARIS REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU DE LA MAIRIE DE PARIS V2. 3/23/2011 1 / 7 SOMMAIRE DU REFERENTIEL INTRODUCTION PREAMBULE POURQUOI UN REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU? P.

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

des référentiels r rentiels Jean-Louis Bleicher Régis Delayat

des référentiels r rentiels Jean-Louis Bleicher Régis Delayat L évolution récente r des référentiels r rentiels Jean-Louis Bleicher Régis Delayat 7 Avril 2009 Plan COBIT V4.1 COBIT Quickstart V2 Guide d audit informatique COBIT Val IT Risk IT Le Guide pratique CIGREF/

Plus en détail

CQP Inter-branches Technicien de la Qualité

CQP Inter-branches Technicien de la Qualité CQP Inter-branches Technicien de la Qualité Référentiels d activités et de compétences Référentiel de certification OBSERVATOIRE DES INDUSTRIES CHIMIQUES Désignation du métier ou des composantes du métier

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

CQP Animateur(trice) d équipe de logistique des industries chimiques. Référentiels d activités et de compétences Référentiel de certification

CQP Animateur(trice) d équipe de logistique des industries chimiques. Référentiels d activités et de compétences Référentiel de certification CQP Animateur(trice) d équipe de logistique des industries chimiques Référentiels d activités et de compétences Référentiel de certification Désignation du métier ou des composantes du métier en lien avec

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013 Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013 Eléments de contexte Un coût significatif, une évolution des typologies Selon l ALFA (sur la base

Plus en détail

LICENCE MANAGEMENT DE PROJET DANS LE TERTIAIRE UE 4 LA GESTION DE PROJET

LICENCE MANAGEMENT DE PROJET DANS LE TERTIAIRE UE 4 LA GESTION DE PROJET LICENCE MANAGEMENT DE PROJET DANS LE TERTIAIRE UE 4 LA GESTION DE PROJET Méthodologie et conduite de projet 09/2013 - Ed 0 MÉTHODOLOGIE 2 FONDAMENTAUX CADRE DU MANAGEMENT DE PROJET 09/2013 - Ed 0 LES PROJETS

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS

Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS Introduction à la Sécurité des Systèmes d Information en établissements de santé Fiche N 1 : Les enjeux

Plus en détail

Piloter le contrôle permanent

Piloter le contrôle permanent Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF

Plus en détail

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

INDICATIONS DE CORRECTION

INDICATIONS DE CORRECTION SUJET NATIONAL POUR L'ENSEMBLE DES CENTRES DE GESTION ORGANISATEURS CONCOURS INTERNE ET TROISIÈME VOIE DE TECHNICIEN TERRITORIAL PRINCIPAL DE 2 ème CLASSE SESSION 2014 SPÉCIALITÉ : INGENIERIE, INFORMATIQUE

Plus en détail

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI)

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI) POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI) Date : 15.06.2011 Version : 1.0 Auteur : DSI Statut : Approuvé Classification : Publique Destinataires : ACV TABLE DES MATIÈRES 1 RESUME

Plus en détail

Information Technology Services - Learning & Certification. www.pluralisconsulting.com

Information Technology Services - Learning & Certification. www.pluralisconsulting.com Information Technology Services - Learning & Certification www.pluralisconsulting.com 1 IT Consulting &Training Créateur de Performance Pluralis Consulting Services et de Conseil en Système d Information

Plus en détail

Enjeux de la Qualité et Norme ISO 9001

Enjeux de la Qualité et Norme ISO 9001 Enjeux de la Qualité et Norme ISO 9001 Journées Qualité et Chimie A. Rivet ANF Autrans, 2011 Normes et Qualité Introduction : les enjeux de la démarche qualité La qualité : notions La norme ISO 9001 :

Plus en détail

Rév : K. Programme de Janvier 2014

Rév : K. Programme de Janvier 2014 CATALOGUE des FORMATIONS Programme de Janvier 2014 Rév : K Siret : 448 016 543 SARL au capital de 7500 APE : 741G 1/13 Ce catalogue de formations Intra entreprise est adaptable à vos besoins. Il est issu

Plus en détail

Améliorer l efficacité de votre fonction RH

Améliorer l efficacité de votre fonction RH Améliorer l efficacité de votre fonction RH Des tendances accentuées par un environnement économique et social en constante évolution La fonction RH doit répondre à des exigences croissantes en termes

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

CONSEIL STRATÉGIQUE. Services professionnels. En bref

CONSEIL STRATÉGIQUE. Services professionnels. En bref Services professionnels CONSEIL STRATÉGIQUE En bref La bonne information, au bon moment, au bon endroit par l arrimage des technologies appropriées et des meilleures pratiques. Des solutions modernes adaptées

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

L approche processus c est quoi?

L approche processus c est quoi? L approche processus c est quoi? D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002) Introduction Termes et définitions

Plus en détail

INDICATIONS DE CORRECTION

INDICATIONS DE CORRECTION SUJET NATIONAL POUR L ENSEMBLE DES CENTRES DE GESTION ORGANISATEURS TECHNICIEN TERRITORIAL PRINCIPAL DE 2 ème CLASSE SESSION 2014 EPREUVE Rédaction d un rapport technique portant sur la spécialité au titre

Plus en détail

Aligner le SI sur la stratégie de l entreprise

Aligner le SI sur la stratégie de l entreprise En convention avec la chaire Ecole Polytechnique Thales «Ingénierie des systèmes complexes» Aligner le SI sur la stratégie de l entreprise Etude de cas: Transformation d un Système d Information Philippe

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

APX Solution de Consolidation de Sauvegarde, restauration et Archivage

APX Solution de Consolidation de Sauvegarde, restauration et Archivage APX Solution de Consolidation de Sauvegarde, restauration et Archivage APX vous accompagne de la Conception à l Exploitation de votre Système d Information. Ce savoir faire est décliné dans les 3 pôles

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques,

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques, L-ebore SAS 2013 La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques, choisissez des solutions à portée de main... Qui sommes-nous? Spécialisée dans le domaine de

Plus en détail

Systèmes d information

Systèmes d information 11 Systèmes Cette famille rassemble des métiers dont la finalité est de concevoir, développer, exploiter et entretenir des solutions (logicielles et matérielles) répondant aux besoins collectifs et individuels

Plus en détail