La Lettre Sécurité. Dossier
|
|
- Thomas Beaudoin
- il y a 8 ans
- Total affichages :
Transcription
1 n 22 - Septembre 2010 La Lettre Sécurité Édito Trois sujets au programme de cette lettre. Tout d abord un dossier sur le référentiel général de sécurité (RGS). L Agence nationale de sécurité des systèmes d information (ANSSI) l a publié en mai Patrick Pailloux, son Directeur général, a bien voulu répondre à nos questions sur ce référentiel et je l en remercie. Deux sujets d actualité ensuite : d une part, la sécurité des smartphones et les nouvelles stratégies pour les intégrer au SI en maîtrisant ses risques ; d autre part, les nouvelles réglementations en matière de sécurité pour les opérateurs de jeux en ligne. Je profite de cette lettre pour vous rappeler que comme tous les ans, Solucom sera présent aux Assises de la Sécurité à Monaco du 6 au 9 octobre Nous y animerons cette année un atelier sur les 15 dernières années de la sécurité et les perspectives pour les années à venir, au travers d une table ronde qui réunira Gil DELILLE (RSSI du Crédit Agricole), Thierry OLIVIER (RSSI de SFR) et Sylvain THIRY (RSSI de la SNCF). Je vous invite tous à y participer et à venir nous rencontrer sur notre stand. Bonne lecture à tous! Dossier Le référentiel général de sécurité : applicable à l administration, utile pour tous Le développement de l administration électronique est l un des fers de lance de la politique de modernisation de l État. De nombreuses administrations ont mis en place des services en ligne à destination de leurs usagers (impôts, changement d adresse, casier judiciaire, emploi, paiement des amendes...) ou des entreprises (télétva, déclarations sociales, compte fiscal...) La sécurité de ces services en ligne est un élément fondamental pour garantir la confiance des utilisateurs. C est pour répondre à cet enjeu qu a été élaboré le référentiel général de sécurité (RGS). Périmètre et objectifs du RGS Le référentiel général de sécurité (RGS) a été officiellement approuvé par arrêté du Premier Ministre le 6 mai Ce texte, résultat d un travail conjoint entre l Agence nationale de la sécurité des systèmes d information (ANSSI) et la Direction générale de la modernisation de l État (DGME) a pour objectif de développer la confiance des usagers et des administrations dans leurs échanges numériques. Par «autorité administrative» on entend les administrations de l État, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant les régimes de protection sociale et les organismes chargés de la gestion d un service public administratif. Le RGS concerne aussi l ensemble des éditeurs de produits et prestataires de services de confiance (PSCO) souhaitant voir leurs produits ou services être qualifiés et être ainsi choisis par les autorités administratives voulant sécuriser leurs téléservices. Contenu du RGS La première partie du RGS pose un cadre général pour gérer la sécurité des systèmes d information au sein des autorités administratives. Ce cadre s appuie sur les bonnes pratiques du marché en matière de sécurité (ISO 27001, ISO 27005) et sur les documents de référence publiés par l ANSSI (méthode EBIOS d analyse de risques, guide de maturité SSI, PSSI type, guide d intégration de la sécurité dans les projets...). Frédéric GOUX Directeur practice Sécurité & risk management Le RGS vise à améliorer le niveau de sécurité de toute autorité administrative mettant en œuvre des systèmes d information susceptibles d échanger des informations avec des usagers ou avec d autres autorités administratives. Le RGS édicte six grands principes en matière de sécurité des systèmes d information (voir encart page 2). S imposent notamment : La mise en place d une approche de la sécurité «pilotée par les risques». Il s agit Suite en page 2 DÉCRYPTAGES P4 Jeux en ligne : pas de bluff sur la sécurité P6 Ouvrez votre SI aux smartphones!
2 Dossier notamment de conduire systématiquement une analyse de risques lors de la conception ou de l évolution d un système d information, afin d identifier en amont les mesures de sécurité à implémenter par rapport aux enjeux et aux besoins de sécurité. L homologation de sécurité d un système d information préalablement à sa mise en service opérationnelle. Cette homologation, à conduire par une «autorité d homologation» habituellement au sein de l autorité administrative, permet de vérifier que le système d information est protégé conformément aux objectifs de sécurité fixés suite à l analyse de risques. Cette homologation doit être motivée et justifiée, généralement par l analyse d un dossier de sécurité. Dans le cas d un téléservice, l attestation d homologation doit être rendue accessible aux usagers. Le recours, chaque fois que possible, à des produits de sécurité et des prestataires de services de confiance labellisés pour leur sécurité. Le processus de labellisation («qualification») des produits et prestataires de services est piloté par l ANSSI. La suite du RGS fournit des règles de sécurité plus précises pour plusieurs fonctions de sécurité. La version en vigueur du RGS (version 1.0 du 6 mai 2010) couvre les fonctions d authentification, de signature électronique, de confidentialité et d horodatage. Pour chacune de ces fonctions, les règles fournies par le RGS sont différenciées selon plusieurs niveaux de sécurité (*, **, ***) qui permettent d adapter les mesures de sécurité aux enjeux et aux besoins spécifiques de chaque système d information. La version 1.0 du RGS a repris les documents qui constituaient l ancienne PRIS (Politique de référencement intersectoriel de sécurité) dans sa version 2.3. Il est intéressant de noter que le RGS déconseille sans pour autant la bannir l utilisation d un simple couple «identifiant / mot de passe» pour assurer la fonction d authentification. Le RGS introduit par ailleurs de nouvelles exigences, relatives à : La fourniture d un accusé de réception élec- «Témoignage Patrick PAILLOUX Directeur général de l Agence nationale pour la sécurité des SI (ANSSI, Qu est ce qui a motivé la mise en place du RGS? Devant l essor des téléservices, il paraissait naturel que l État se dote des règles permettant de garantir la sécurité de ses systèmes d information, au-delà du périmètre des informations classifiées dont la protection était encadrée depuis de nombreuses années. L objectif du RGS est de définir un texte à portée générale, applicable par l ensemble des autorités administratives, quels que soient leur taille et leurs enjeux. En effet, le RGS doit permettre à la fois de sécuriser le site internet d une petite mairie, tout comme des systèmes d information très complexes et à forts enjeux tels que les déclarations fiscales des entreprises et des particuliers. L élaboration du RGS a-t-elle été complexe? La validation d un tel texte nécessite de suivre un parcours assez chronophage : consultation publique, notification à la Commission européenne, avis de la Commission consultative d évaluation des normes (CCEN), etc. Au-delà de ce premier point, la principale complexité a été de parvenir à un texte apportant des réponses concrètes en matière de sécurisation des systèmes d information, tout en restant suffisamment général pour s adapter à tous les types d entités concernés. Comment évaluez-vous la maturité actuelle des autorités administratives par rapport à ce texte? La maturité est évidemment très inégale, mais les enjeux et les risques sont très variés selon les autorités administratives. Le RGS permet justement d aider les autorités administratives à positionner le juste niveau d exigence en matière de sécurisation. Pour des systèmes d information à forts enjeux, les mesures de sécurité à implémenter seront relativement poussées. Pour les systèmes à enjeux moindres, il ne faut pas se faire une montagne du RGS : on se contentera d actions élémentaires de sécurisation, telles que la mise en place d une politique de mots de passe, le déploiement de correctifs de sécurité, etc. 2 La Lettre Sécurité N 22 Septembre 2010
3 tronique et, le cas échéant, d un accusé d enregistrement électronique pour toute demande, déclaration ou production de documents adressée par un usager à une autorité administrative par voie électronique. La validation par l ANSSI des certificats électroniques utilisés dans le cadre de services en ligne. Cette validation est fondée sur l analyse d un dossier de «demande de validation», éventuellement complétée par la réalisation d audits sur place. Calendrier de mise en œuvre du RGS Le calendrier de mise en œuvre du RGS vise une mise en conformité de l ensemble des systèmes d information concernés d ici à mai 2013 : Les systèmes d information existant à la date de publication du RGS doivent être mis en conformité dans un délai de trois ans (échéance : mai 2013). Les systèmes d information créés dans les six mois qui suivent la publication du RGS doivent être mis en conformité dans un délai de 12 mois (échéance : fin 2011). Analyse Le référentiel général de sécurité apporte enfin un cadre général, complet et pérenne en matière de sécurité des SI, obligatoire pour toutes les autorités administratives françaises et recommandé plus largement pour l ensemble des entreprises françaises. Il constitue de ce fait un réel outil à la disposition du RSSI pour légitimer sa démarche et améliorer au fil du temps le niveau de sécurité de son organisation. Pour autant, même s il amène quelques exigences nouvelles, le RGS n est pas une révolution : il s appuie en particulier sur les normes internationales et les publications de l ANSSI qui guident les actions des RSSI depuis de nombreuses années ; il laisse par ailleurs la latitude et la responsabilité à chaque entité de choisir le niveau de sécurité à implémenter en fonction de ses enjeux et de ses risques. D un point de vue technique, le RGS augmente le niveau d exigences minimales requises, notamment en ce qui concerne les infrastructures cryptographiques (tailles de clés, algorithmes utilisés...). De nombreuses autorités administratives ont déjà lancé des actions d alignement avec le RGS. Tout laisse à penser que ce dernier deviendra rapidement le livre de chevet de beaucoup de RSSI, y compris en dehors de l administration! Guillaume DURAND En savoir plus : Quel est le rôle de l ANSSI vis-à-vis du RGS? L ANSSI a pour mission d assister les autorités administratives dans la mise en œuvre du RGS. L ANSSI veille par ailleurs à faire évoluer le RGS dans le temps, en l enrichissant de nouveaux contenus et en apportant les ajustements qui s avéreront nécessaires. L objectif est de maintenir au fil du temps un référentiel complet et à jour, en intégrant des guides et des recommandations sur des sujets spécifiques. Nous travaillons par exemple actuellement sur les problématiques de sécurité dans l externalisation des SI. Des actions de contrôle, voire des sanctions en cas de non-conformité, sont-elles prévues? Le RGS a été conçu pour aider les autorités administratives dans l amélioration progressive de leur niveau de sécurité. Les exigences du RGS seront naturellement intégrées dans le cadre des inspections SSI réalisées par l Agence, mais clairement l objectif de ce texte n est pas de sanctionner. Le RGS préconise le recours à des produits et à des prestataires labellisés pour leur sécurité. Des actions sont-elles prévues pour enrichir ce référentiel? Concernant les produits de sécurité, l ANSSI a créé récemment le label CSPN (certification de sécurité de premier niveau) qui permet de labelliser un produit au terme d une expertise moins formelle que celle des Critères Communs. La charge pour obtenir un label CSPN est de 25 à 35 hommes / jour. Depuis août 2008, 11 certificats sur 23 demandes ont déjà été accordés, soit environ 50% de réussite. D ailleurs la plupart des candidats qui échouent représentent leur produit, qu ils ont renforcé grâce au rapport de certification. D autres opérations de certification sont actuellement en cours. L ANSSI a également mis en place un circuit de labellisation des prestataires de services : «la qualification». En version 1.0 du RGS, deux familles de prestataires peuvent être qualifiées : les prestataires de services de certification électronique et les prestataires de services d horodatage. Des travaux sont en cours sur les prestations d archivage électronique et les prestations d audit et de test d intrusion. Les initiatives actuelles autour d une identité numérique «fédérée» vontelles dans le sens du RGS? Le RGS pose une trajectoire visant à augmenter le niveau de sécurité de nos systèmes d information ; nous sommes bien entendu très favorables à toutes les initiatives allant dans ce sens. C est notamment le cas de projets tels que le label IDéNum ou le projet de Carte nationale d identité électronique (CNIE). Quels sont les autres grands sujets d actualité pour l ANSSI, un an après sa création? L activité de l agence est forte, avec notamment la mise en place du centre opérationnel de détection des attaques informatiques, des actions sur la résilience des infrastructures vitales de la France (notamment les infrastructures télécoms), la mise en place de produits pour garantir un haut niveau de sécurité aux télécommunications de l administration, des actions de communication plus régulières, etc. L effectif de l Agence est d environ 150 personnes aujourd hui, nous prévoyons d être 250 en 2012 : le recrutement et l intégration des nouveaux embauchés fait aussi partie des challenges de l ANSSI dans les années à venir! Propos recueillis par Frédéric GOUX et Guillaume DURAND Septembre 2010 La Lettre Sécurité N 22 3
4 Focus Dossier projets La sécurité toujours au cœur des projets métiers ASSURER LA CONFIDENTIALITÉ ET L INTÉGRITÉ DES MESSAGES ÉLECTRONIQUES, UN ENJEU MAJEUR Le ministère des Affaires étrangères et européennes souhaite constamment améliorer le niveau de sécurité des échanges de données entre ses agents. À ce titre, le ministère a décidé d offrir un service de messagerie sécurisée à ses agents basés en France ou à l étranger, ainsi qu à du personnel d autres entités (Élysée, Matignon, autres ministères). Ce service leur permettra de signer et de chiffrer leurs courriels à l aide de certificats électroniques. L enjeu est de taille : une visibilité du projet au niveau du secrétariat général du ministère et un planning d étude et de mise en œuvre très ambitieux. Aujourd hui, Solucom accompagne le ministère dans la mise en place de sa solution technique de messagerie sécurisée et de son infrastructure de gestion des clés (IGC). Cette dernière comprend notamment le développement d un portail de gestion des certificats électroniques destiné à simplifier au maximum les opérations des utilisateurs (demandes de certificats, renouvellement, révocation, recouvrement de clés). Solucom fait intervenir une équipe de consultants multi-compétences (direction de projets, experts fonctionnels et techniques, développeurs) pour adresser l ensemble des problématiques techniques et organisationnelles du projet. Dans ce cadre, une attention particulière est portée au respect des exigences règlementaires, notamment celles concernant le rattachement de l IGC du ministère à celle de l administration française (IGC/A), ainsi que le respect du référentiel général de sécurité (RGS) récemment publié. UNE ANALYSE DE RISQUE PROSPECTIVE Mener une analyse de risques, c est d abord identifier les risques qui pèsent aujourd hui sur l activité de la société, mais il faut également se poser la question de l avenir : quels seront mes besoins demain? Quelles évolutions de mon activité dois-je anticiper au niveau du SI? Quelles nouvelles contraintes, nouvelles réglementations vais-je devoir respecter?... Une entreprise de transport public a souhaité être accompagnée par Solucom afin de réactualiser l expression des risques liés à son métier de vente (une vingtaine d applications majeures) en s inscrivant dans cette logique prospective. En effet, confrontée à un environnement en forte évolution (réglementaire, technologique, stratégique ), l enjeu de la démarche réside autant dans la capacité à anticiper les changements afin de prioriser les évolutions que dans la prise en compte de l existant. Se pencher sur l avenir implique bien sûr une part d incertitude. La mobilisation des différents experts, la confrontation intelligente des points de vues, la comparaison avec des cas similaires permettent de la réduire. L avenir nous dira si le pari était gagnant. QUELLE PLACE POUR LA SÉCURITÉ SUR UN RÉSEAU OPÉRATEUR? Nous accompagnons actuellement un opérateur dans la réalisation de son schéma directeur sécurité. Comme beaucoup d autres, ce dernier est confronté à une très forte augmentation des usages sur son réseau (internet mobile, vidéo à la demande, flux multimédia ), aux contraintes de nouvelles réglementations et à de futures ruptures technologiques importantes (LTE, multicast, IPv6 ). Solucom l accompagne dans une réflexion sur la place de la sécurité dans ses futures évolutions et dans la définition des principes qui vont sous-tendre les orientations à venir (Centralisation/décentralisation des fonctions de sécurité? Quelles fonctions de sécurité sur le réseau mobile? Comment allier performance et filtrage?). Cette étude débouche sur la définition du schéma directeur à 3 ans, incluant à la fois des volets techniques et organisationnels en relation avec les différentes entités MOE et MOA. 4 La Lettre Sécurité N 22 Septembre 2010
5 Décryptage Jeux en ligne : pas de bluff sur la sécurité L ouverture du marché du jeu en ligne en France a entraîné la promulgation d une nouvelle loi et la définition de mesures de sécurité innovantes et exigeantes. Tour d horizon d une évolution qui pourrait bien toucher d autres secteurs d activités. La loi relative à l ouverture à la concurrence et à la régulation du secteur des jeux d argent en ligne, promulguée le 12 mai 2010, a instauré une nouvelle entité : l Autorité de régulation des jeux en ligne (ARJEL). Cette entité définit les jeux autorisés, contrôle et sanctionne l activité des opérateurs et surtout délivre les licences d exploitations, sésame nécessaire pour entrer sur le marché français légalement. Des mesures exigeantes... Le cahier des charges de l ARJEL définit un ensemble de mesures de sécurité qui impactent l ensemble des processus métiers et en particulier le système d information : Des exigences organisationnelles : au-delà des multiples règles sur les processus métiers (enregistrement des joueurs, gestion des partenaires, de la fraude ), il est notamment demandé de formaliser l ensemble des processus de maintien, de contrôle et d évaluation de la sécurité dans le temps. Architecture d interconnexion entre l ARJEL et les opérateurs de jeux Des exigences sur les infrastructures techniques de jeux : très techniques, ces mesures décrivent la manière dont l ensemble des éléments doit être sécurisé. Bien que la majorité des mesures soit des bonnes pratiques classiques (cloisonnement, séparation production/développement, sécurité dans les projets ), la profondeur de l application est ici exemplaire et des technologies peu courantes doivent être mises en œuvre (contrôle d intégrité des plate-formes à la fois sur la configuration et les journaux ). Des exigences portant sur les applications : il s agit de garantir le caractère équitable du jeu (égalité entre les joueurs, principe de redistribution des gains, fiabilité des générateurs de nombres aléatoires pour le poker ) : fourniture de l ensemble du code source des applications à l ARJEL, réalisation régulière d audits fonctionnels et techniques (analyse du code source et tests d intrusion)... et des innovations! Au-delà des mesures de sécurité «classiques», l ARJEL impose une exigence plus innovante : la mise en place d un coffrefort électronique, garantissant la traçabilité des transactions entre joueurs et opérateurs afin d assurer la protection des joueurs, mais aussi la lutte contre le blanchiment d argent. Ce coffre-fort, propre à chaque opérateur et financé par lui, capte l ensemble des informations circulant entre le joueur et la plate-forme de jeux et conserve des traces de transactions : données de jeu (paris, mains de poker ), données des joueurs (inscription, modification et suppression de compte ) et dépôts/retraits d argent. Ces éléments doivent être chiffrés, signés et horodatés et seule l ARJEL peut accéder aux données archivées dans le coffre-fort. Il s agit bien d un mécanisme innovant, rarement rencontré dans d autres contextes et qui donne ainsi une visibilité importante à l ARJEL sur les opérations. Une sécurité contrôlée Au-delà de la définition des exigences et de l accès au coffre-fort, l ARJEL dispose de droits de contrôles importants. Audits organisationnels et techniques, revues de code, homologation des nouvelles plate-formes ou encore reporting très fréquent (incidents, changements majeurs ) garantissent ainsi que les opérateurs conservent un haut niveau de conformité dans le temps et que l ARJEL est au courant des déviances potentielles. Même si les retours d expérience sont encore jeunes et les premières utilisations complexes, l ARJEL a réussi à imposer pour la première fois des mesures précises, des contrôles pointus et la mise en place d infrastructures de traçabilité, directement accessibles par une autorité de régulation. Est-ce une direction que l État souhaite suivre pour l ensemble des régulations à venir dans le secteur du SI? Seul l avenir nous le dira, mais la voie est ouverte. Matthieu GARIN et Vincent NGUYEN Septembre 2010 La Lettre Sécurité N 22 5
6 Décryptage Ouvrez votre SI aux smartphones! durcissement et des restrictions multiples qui limitent l utilisation au cadre professionnel. Cette méthode, appliquée depuis des années aux postes de travail de l entreprise, n est pas envisageable pour des terminaux dont les principaux attraits sont précisément la polyvalence et l aspect ludique : en contraindre l usage peut créer une frustration chez l utilisateur. Et les risques restent les mêmes, en particulier en ce qui concerne le vol ou la perte du terminal. Un silo applicatif sécurisé Une nouvelle approche permet de répondre à cette situation : l utilisation d un silo applicatif sécurisé sur le terminal. 1) Il s agit de concentrer la protection sur les données sensibles en les isolant des autres dans une application dédiée (messagerie, application métier, intranet ). L explosion des ventes de smartphones, et en particulier de l iphone, depuis deux ans ne se dément pas et les utilisateurs des grandes entreprises exercent aujourd hui une pression importante pour pouvoir utiliser ces terminaux dans un cadre professionnel. Il est nécessaire d y apporter une réponse fonctionnelle satisfaisante tout en garantissant la sécurité. L utilisation de smartphones en entreprise est aujourd hui entrée dans les mœurs. Cependant, l arrivée des nouveaux terminaux multimédia provoque une rupture dans les habitudes des entreprises. Les cadres dirigeants aimeraient abandonner leurs terminaux précédents de type BlackBerry ou Windows Mobile. Les collaborateurs les plus jeunes, issus d une «génération connectée», souhaitent retrouver en entreprise un terminal aussi riche que dans leur sphère privée. Cela est vrai pour l ensemble des nouvelles plateformes, mais la pression la plus importante est centrée sur l iphone. Une sécurité perfectible Cependant, le terminal d Apple n a pas été initialement conçu pour l entreprise. Les outils natifs (messagerie, agenda...) sont compatibles avec les messageries Microsoft Exchange, mais ne prennent pas en charge certaines fonctions avancées pourtant très utiles (suivi des messages, gestion avancée de l agenda, synchronisation des tâches...). Par ailleurs, il n existe pas nativement de solution de gestion de flotte : les fonctions restent limitées et complexes à mettre en œuvre. De plus, les systèmes de sécurité de l appareil restent perfectibles : chiffrement du stockage, authentification, utilisation de VPN, durcissement par profil de sécurisation... Des progrès notables sont apparus au fil des versions et Apple travaille sur ces sujets. Cependant, tous les verrous qu il est possible de poser ne sont plus efficaces sitôt l appareil «jailbreaké*» : l utilisateur peut alors, en quelques secondes, accéder au système et modifier les configurations à sa guise. La première approche - réflexe historique - serait de verrouiller le terminal à travers un 2) Toutes les données contenues dans ce silo sont protégées avec des mécanismes indépendants du système : chiffrement du stockage et des échanges, mot de passe spécifique L application peut être configurée finement pour respecter les politiques de sécurité de l entreprise. 3) Il est possible de garder la maîtrise à distance des données : si par exemple le terminal est perdu ou volé, l application détruira les données à la prochaine tentative d ouverture du silo. S il est «jailbreaké», vulnérable à une faille ou ne possède pas la bonne version de système d exploitation, il sera possible de lui bloquer l accès au service. Il s agit là d un vrai changement de modèle : on ne force pas techniquement l application des politiques de sécurité sur le parc de terminaux, mais on interdit à ceux qui ne les respectent pas d accéder aux données. Des éditeurs, comme Good Technology ou Sybase, proposent aujourd hui des solutions permettant d implémenter ces mécanismes pour les fonctions liées à la messagerie ( , contacts, agenda ). L arrivée d applications métiers est prévue pour les mois à venir. Ces * «Jaibreak» est le terme désignant l opération de débridage de l iphone. 6 La Lettre Sécurité N 22 Septembre 2010
7 solutions embarquent également des modules de gestion de flotte permettant d intégrer des terminaux variés, au-delà de l iphone, et d avoir un fonctionnement homogène avec Android et Windows Mobile par exemple. Principe de ségrégation des données professionnelles et non-professionnelles sur un smartphone Autoriser de nouveaux usages Ces solutions émergentes amènent également une réponse à un besoin naissant des collaborateurs : pouvoir utiliser leur terminal personnel en entreprise. Appliquer des restrictions fortes à ce terminal est alors illusoire : il ne peut être question de couper l appareil photo ou la connectivité Bluetooth sur un terminal personnel. Le principe de silo permet alors de conserver un haut niveau de sécurité sur les données professionnelles tout en permettant un usage personnel libre. Autre avantage pour l entreprise : l usage qui est fait en dehors du silo est toujours sous la responsabilité de l utilisateur (surf internet, stockage de médias...). Voila un cas concret où la sécurité est centrée autour de la donnée et portée par l application plutôt que par les terminaux et l infrastructure. C est un exemple qui montre que cette approche permet d autoriser simplement et en toute sécurité de nouveaux usages. Chadi HANTOUCHE et Gérôme BILLOIS «En utilisant un silo applicatif sécurisé sur le terminal (...), on ne force pas techniquement l application des politiques de sécurité sur le parc de terminaux, mais on interdit à ceux qui ne les respectent pas d accéder aux données.» Septembre 2010 La Lettre Sécurité N 22 7
8 L actualité commentée Rachat de McAfee par Intel Nouvelle inattendue de l été, le constructeur de processeurs Intel a racheté l éditeur de solutions de sécurité McAfee pour la coquette somme de 7,68 milliards de dollars. Un des objectifs de cette opération serait de permettre l intégration de la sécurité dans les nouvelles plate-formes matérielles qui sont amenées à se connecter à internet : ordinateur portable, mais aussi smartphones, tablettes, télévisions, voitures L avis de Gérôme BILLOIS Cette opération a été une réelle surprise pour le marché : il est en effet difficile d imaginer des synergies entre ces deux sociétés œuvrant sur des cœurs de métiers très éloignés. Néanmoins, les ambitions affichées par ce nouveau couple sont alléchantes : intégrer la sécurité dès le niveau matériel afin de garantir la fiabilité des couches basses des systèmes et ainsi renforcer la protection des utilisateurs et des services connectés à internet. Mais c est aussi un message fort d un acteur majeur du marché sur le fait que la sécurité constitue désormais un enjeu clé pour les systèmes d information dans le cadre de l ouverture sur internet. Reste à voir dans les prochains mois comment se concrétisera cette fusion et si de nouvelles solutions de sécurité innovantes, intégrées dans les plate-formes matérielles, feront leur apparition sur le marché Solucom maintient sa certification ISO sur les prestations d audits de sécurité des systèmes d information En septembre 2008, l offre audit du cabinet Solucom a été auditée et certifiée ISO par l organisme LSTI, accrédité par le COFRAC. Il s agissait d une première en France pour des prestations d audit. Cette certification a été à nouveau confirmée suite à un audit de surveillance deux ans après la certification initiale. Ce succès souligne la maturité du Système de Management de la Sécurité de l Information (SMSI) de Solucom. Solucom présents aux Assises de la Sécurité Comme tous les ans, Solucom participe aux Assises de la Sécurité à Monaco, du 6 au 9 octobre À cette occasion, nous présenterons un atelier sur le thème «15 ans de sécurité de l information : bilan et perspectives». La sécurité de l information a connu des mutations importantes depuis sa généralisation dans toutes les grandes entreprises dans les années 1995 avec l explosion des réseaux d entreprise et l arrivée d internet. Aujourd hui, l ouverture généralisée du SI, son extension en dehors des murs de l entreprise (off-shore, cloud), les attaques ciblées rendent insuffisants les mécanismes de protection historiques et obsolètes certains réflexes sécurité. Le RSSI se doit d adopter un nouveau positionnement, entre garant du patrimoine informationnel, offreur de solutions de sécurité et facilitateur des nouveaux usages. Cet atelier sera l occasion de découvrir et de partager autour des enjeux futurs et des sujets clés pour préparer l évolution de la fonction de RSSI dans les prochaines années. Il sera basé sur les retours d expériences de Solucom et avec l intervention de RSSI de grands groupes français (Gil DELILLE, RSSI du Crédit Agricole ; Thierry OLIVIER, RSSI de SFR ; Sylvain THIRY, RSSI de la SNCF). Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme BILLOIS, Guillaume DURAND, Matthieu GARIN, Chadi HANTOUCHE, Vincent NGUYEN, Laurent PERRUCHE. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue trimestrielle de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense solucom@solucom.fr abonnement : lettresecurite@solucom.fr
PASSI Un label d exigence et de confiance?
PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,
Plus en détailRÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ
Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ version 2.0 2
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailpolitique de la France en matière de cybersécurité
dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détailRéférentiel Général de Sécurité
Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel
Plus en détailNote technique. Recommandations de sécurité relatives aux ordiphones
DAT-NT-010/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 19 juin 2013 de la défense et de la sécurité nationale N o DAT-NT-010/ANSSI/SDE/NP Agence nationale de la sécurité Nombre
Plus en détailConférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015
Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif
Plus en détailLes ressources numériques
Les ressources numériques Les ressources numériques sont diverses et regroupent entre autres, les applications, les bases de données et les infrastructures informatiques. C est un ensemble de ressources
Plus en détailFedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"
FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels" Compte-Rendu Date publication : 19/07/2013 *SAE = Système d Archivage Electronique 1 1 Introduction Le présent
Plus en détailINDICATIONS DE CORRECTION
SUJET NATIONAL POUR L ENSEMBLE DES CENTRES DE GESTION ORGANISATEURS TECHNICIEN TERRITORIAL PRINCIPAL DE 2 ème CLASSE SESSION 2014 EPREUVE Rédaction d un rapport technique portant sur la spécialité au titre
Plus en détailDOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89
DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailn spécial Assises de la Sécurité 2009
n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif
Plus en détail«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de
1 2 «Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de Copie, seules les références bibliographiques peuvent
Plus en détail27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité
Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détail3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde
3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détailLa Lettre Sécurité. Dossier
n 23 La Lettre Sécurité Édito L actualité sécurité récente et à venir s avère chargée : la cybercriminalité est sur toutes les lèvres, innovations technologiques et nouvelles réglementations obligent les
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailL IDENTITÉ NUMÉRIQUE MULTISERVICES EN FRANCE : LE CONCEPT IDÉNUM
L IDENTITÉ NUMÉRIQUE MULTISERVICES EN FRANCE : LE CONCEPT IDÉNUM Par Francis Bruckmann ISEP 1975 Directeur délégué à la promotion de la sécurité Orange Cet article est paru dans le numéro 103 de Signaux,
Plus en détailPOLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0
POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT Version 1.0 HISTORIQUE DES VERSIONS DATE VERSION ÉVOLUTION DU DOCUMENT 17/07/2014 1.0 Publication de la première version de la Politique de sécurité
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailLa réponse aux enjeux des RH du 21 ème siècle
La réponse aux enjeux des RH du 21 ème siècle Comment répondre aux nouveaux enjeux des DRH du 21 ème siècle? Besoin n 1 : innover et développer de nouveaux usages métier en décloisonnant les différents
Plus en détailLOGICIELS PHOTOCOPIEURS DÉVELOPPEMENT FORMATION ASSISTANCE MATERIELS
LOGICIELS PHOTOCOPIEURS DÉVELOPPEMENT ASSISTANCE MATERIELS FORMATION Votre expert en solutions globales Plus de 25 ans d expériences, nous nous appuyons sur des partenaires leader du marché en matériel
Plus en détailCybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007
QUELLE PLACE POUR UN FRAMEWORK CLOUD SÉCURISÉ? Cybersecurite Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007 Fondateurs Jean-Nicolas Piotrowski
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques
Plus en détailLA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES
LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne
Plus en détailLes pratiques du sourcing IT en France
3 juin 2010 Les pratiques du sourcing IT en France Une enquête Solucom / Ae-SCM Conférence IBM CIO : «Optimisez vos stratégies de Sourcing» Laurent Bellefin Solucom en bref Cabinet indépendant de conseil
Plus en détailHomologation ARJEL : Retour d expérience
Homologation ARJEL : Retour d expérience Ossir Paris / Juin 2013 Thibaud Binétruy Consultant Sécurité Thibaud.Binetruy@intrinsec.com 1 Homologation ARJEL : Retour d expérience Intrinsec? Petite présentation!
Plus en détailRéférentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Plus en détailMenaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014
Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient
Plus en détailPortail collaboratif Intranet documentaire Dématérialisation de processus
Portail collaboratif Intranet documentaire Dématérialisation de processus 2 Le groupe Divalto, Solutions de gestion Catalyseur de performance Créé en 1982, le groupe Divalto propose des solutions de gestion
Plus en détailGUIDE OEA. Guide OEA. opérateur
Guide > > Fiche 1 : Pourquoi être certifié? > > Fiche 2 : Les trois types de certificats et leurs critères > > Fiche 3 : La préparation de votre projet > > Fiche 4 : Le questionnaire d auto-évaluation
Plus en détailHySIO : l infogérance hybride avec le cloud sécurisé
www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détailwww.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»
www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailAttaques ciblées : quelles évolutions dans la gestion de la crise?
3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr
Plus en détailDéjeuner EIM 360 - Enterprise Information Management. Mardi 16 novembre 2010 Restaurant l Amourette Montreuil Thomas Dechilly CTO Sollan
Déjeuner EIM 360 - Enterprise Information Management Mardi 16 novembre 2010 Restaurant l Amourette Montreuil Thomas Dechilly CTO Sollan (Extract du livre blanc) Introduction... 2 Continuité des pratiques
Plus en détailCENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES
informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailBonnes pratiques de la gestion des identités et des accès au système d information (IAM)
Bonnes pratiques de la gestion des identités et des accès au système d information (IAM) Lionel GAULIARDON Solutions techniques et Organisations SOMMAIRE IAM Qu est-ce que c est et à quoi cela sert Cas
Plus en détailDématérialiser les échanges avec les entreprises et les collectivités
Dématérialiser les échanges avec les entreprises et les collectivités Conference Numerica Le 11/05/09 1 Sommaire Enjeux de la dématérialisation Possibilités concrètes d usages Moyens à mettre en œuvre
Plus en détailVotre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise
Votre référentiel documentaire STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise STS group le groupe STS Créé en 1984 Autonomie et stabilité financière Partenaire
Plus en détailRéussir le choix de son SIRH
Réussir le choix de son SIRH Pascale Perez - 17/09/2013 1 L évolution du SI RH 1960 à 1970 : le progiciel de paie. Le système d information RH apparaît dans les années soixante avec la construction des
Plus en détailAccenture accompagne la première expérimentation cloud de l État français
Accenture accompagne la première expérimentation cloud de l État français Pays marqué par la centralisation, la France dispose paradoxalement d une informatique en silo, chaque ministère étant doté de
Plus en détailDigital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance
L authentification de confiance Digital DNA Server Serveur d authentification multifacteurs par ADN du Numérique Simplicité Rapidité Economie Liberté Evolutivité Fiabilité FR mar 205 www.loginpeople.com
Plus en détailSolution. collaborative. de vos relations clients.
Solution collaborative de vos relations clients. Le Collaborative Relationship Management : une autre vision du CRM L un des enjeux majeurs dans les relations qu une entreprise entretient avec ses clients
Plus en détailRapport technique n 8 :
Modernisation de l action publique Groupe de travail interministériel sur les agences et opérateurs de l Etat Rapport technique n 8 : L'appui des têtes de réseau interministérielles en matière de fonctions
Plus en détailJean-Marc Rietsch, PCI DSS Roadshow Paris juillet 2013 1
Dématique*, stockage, archivage gouvernance! Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique et archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération
Plus en détailEtude d Exchange, Google Apps, Office 365 et Zimbra
I. Messagerie Exchange 2013 2 1) Caractéristiques 2 2) Pourquoi une entreprise choisit-elle Exchange? 2 3) Offres / Tarifs 2 4) Pré requis pour l installation d Exchange 2013 3 II. Google Apps : 5 1) Caractéristiques
Plus en détailBig Data : se préparer au Big Bang
Big Data : se préparer au Big Bang Initialement confinées au cœur des moteurs de recherche et des réseaux sociaux, les technologies du Big Data s'exportent désormais avec succès dans de nombreux secteurs
Plus en détailPRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
Plus en détailMaîtriser les mutations
Maîtriser les mutations Avec UNE Supply chain AGILE La réflexion porte ses fruits www.cereza.fr TALAN Group Notre savoir-faire : maîtriser les mutations et en faire une force pour l entreprise Cereza,
Plus en détailMICROSOFT DYNAMICS CRM & O Val
MICROSOFT DYNAMICS CRM & O Val O Val Operational Value JSI Groupe 2, rue Troyon 92310 Sèvres 1 AGENDA 1. QUI SOMMES-NOUS? 2. NOS OFFRES 3. UNE ORGANISATION COMMERCIALE DÉDIÉE À NOS CLIENTS 4. O VAL : OPERATIONAL
Plus en détailSynthèse du «Schéma Directeur des Espaces Numériques de Travail» A l attention du Premier degré (doc réalisé par Les MATICE 76)
Synthèse du «Schéma Directeur des Espaces Numériques de Travail» A l attention du Premier degré (doc réalisé par Les MATICE 76) 1. Qu est-ce que le SDET : schéma directeur des espaces numériques de travail?
Plus en détailC ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats
C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.
Plus en détailStandard de contrôle de sécurité WLA
Standard de contrôle de sécurité WLA Standard de sécurité et d intégrité des activités de loterie et de jeu WLA-SCS:2012 Association mondiale des loteries (World Lottery Association) Édition Novembre 2014
Plus en détailOrange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco
De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation
Plus en détailMais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation?
n 27 La Lettre Sécurité Édito De la réaction à la détection / réaction, le nécessaire changement de posture du RSSI! Les initiatives sécurité ont lontemps consisté à définir et mettre en œuvre des plans
Plus en détailArchivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC
Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC Sommaire Description du modèle de surveillance Définitions Objectifs de la surveillance des PSDC Présentation
Plus en détailde la DSI aujourd hui
de la DSI aujourd hui Partout, l industrialisation de l IT est en cours. ITS Group accompagne ce mouvement avec une palette de compétences exhaustives permettant de répondre aux principaux challenges que
Plus en détailComment réussir son projet de Master Data Management?
Comment réussir son projet MDM? Table des matières Comment réussir son projet de Master Data Management?...... 2 Un marché en croissance..... 2 Les démarches qui réussissent... 2 A quels projets métiers
Plus en détailSOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE QUALITE 2 UNE ORGANISATION PROFESSIONNELLE FORTE ET GARANTE DE SES MEMBRES 3 NOTRE SMQ
Manuel Qualité 5 place du Rosoir 21000 DIJON Tél. : 03.80.59.65.20 Fax : 03.80.53.09.50 Mèl : contact@bfc.experts-comptables.fr www.bfc.experts-comptables.fr SOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE
Plus en détailPolitique de Référencement Intersectorielle de Sécurité (PRIS)
PREMIER MINISTRE ADAE PREMIER MINISTRE SGDN - DCSSI =========== Politique de Référencement Intersectorielle de Sécurité (PRIS) Service de confiance "Authentification" =========== VERSION 2.0 1.2.250.1.137.2.2.1.2.1.5
Plus en détailSoftware Asset Management Savoir optimiser vos coûts licensing
Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons
Plus en détailCompte Rendu Club Utilisateurs. Marseille 08/10/2014 GINTAO CU 2. Page 1 de 9
GINTAO CU 2 Page 1 de 9 Référence : gintao_cr_cu_02_fr Version : 1.2 Date de dernière mise à jour : 3 novembre 2014 Version applicative associée : CU 2 Niveau de confidentialité : Diffusion restreinte
Plus en détailMDM : Mobile Device Management
articlemai 2011 MDM : Mobile Device Management > Objectifs Cet article aura pour but : de décrire ce qu est le MDM ; donner un aperçu des acteurs majeurs sur le marché ; de fournir des données chiffrées
Plus en détailExcellence. Technicité. Sagesse
2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA
Plus en détailApproche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détailibelem Solutions d EMM : l accompagnement d un partenaire expert, clef du succès du projet Livre blanc IBELEM - Enterprise Mobility Management
ibelem ENJOY MOBILITY Solutions d EMM : l accompagnement d un partenaire expert, clef du succès du projet Livre blanc IBELEM - Enterprise Mobility Management De l art de bien choisir «Devine, si tu peux,
Plus en détailNovembre 2013. Regard sur service desk
Novembre 2013 Regard sur service desk édito «reprenez le contrôle grâce à votre service desk!» Les attentes autour du service desk ont bien évolué. Fort de la riche expérience acquise dans l accompagnement
Plus en détailBYOD : Suppression des frontières numériques professionnelles
BYOD : Suppression des frontières numériques professionnelles Alain Bensoussan 09 10 2014 09/10/2014 Copyright Lexing 2014 Confidentiel Entreprise 1 Réseau Lexing 2 Introduction (1) Enjeux Défis La maîtrise
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailLe Dossier Médical Personnel et la sécurité
FICHE PRATIQUE JUIN 2011 Le Dossier Médical Personnel et la sécurité www.dmp.gouv.fr L essentiel Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs
Plus en détailSolution. collaborative. de vos relations clients.
Solution collaborative de vos relations clients. Le Collaborative Relationship Management : une autre vision du CRM L un des enjeux majeurs dans les relations qu une entreprise entretient avec ses clients
Plus en détailSignature électronique. Romain Kolb 31/10/2008
Romain Kolb 31/10/2008 Signature électronique Sommaire I. Introduction... 3 1. Motivations... 3 2. Définition... 3 3. La signature électronique en bref... 3 II. Fonctionnement... 4 1. Notions requises...
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailRefonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel
Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel 1 Sommaire 1) Présentation du contexte technique...3 1.1) Des
Plus en détailSciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION
Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Classe de terminale de la série Sciences et Technologie du Management et de la Gestion Préambule Présentation Les technologies de l information
Plus en détailClassification : Non sensible public 2 / 22
Le Ministère de la Santé, via son programme «Hôpital numérique», soutient l amélioration de la qualité de service et de la performance des établissements de santé par le développement et la promotion du
Plus en détailCATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES
CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES Sommaire Fiche 1 : Gestion des identités : annuaires et authentification Fiche 2 : Connectez-vous en toute sécurité
Plus en détailSystèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Plus en détailGouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs
Plus en détailLIVRE BLANC. Dématérialisation des factures fournisseurs
LIVRE BLANC 25/03/2014 Dématérialisation des factures fournisseurs Ce livre blanc a été réalisé par la société KALPA Conseils, société créée en février 2003 par des managers issus de grandes entreprises
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailLivre blanc Compta La dématérialisation en comptabilité
Livre blanc Compta La dématérialisation en comptabilité Notre expertise en logiciels de gestion et rédaction de livres blancs Compta Audit. Conseils. Cahier des charges. Sélection des solutions. ERP reflex-erp.com
Plus en détail