Livre Blanc La sécurité des systèmes d information industriels

Dimension: px
Commencer à balayer dès la page:

Download "Livre Blanc La sécurité des systèmes d information industriels"

Transcription

1 Livre Blanc La sécurité des systèmes d information industriels

2 Le livre blanc de la sécurité des systèmes d information industriels

3 Avant-propos Le présent document est la propriété d EURIWARE et ne peut être utilisé que dans le seul but pour lequel il a été transmis. Il ne peut en aucun cas être utilisé ou copié, partiellement ou en totalité, dans quelque document que ce soit, sans l accord préalable et écrit d EURIWARE. Il peut naturellement être communiqué, en version papier ou électronique, à toute personne qui pourrait en avoir l usage, avec information à Euriware. La communication par EURIWARE du présent document et des informations qu il contient ne saurait constituer et/ou conférer quelque droit de propriété intellectuelle et/ou industrielle que ce soit dont EURIWARE est titulaire. Remerciements Les rédacteurs de cet ouvrage, Michel Brayard et Etienne Busnel, remercient les sociétés AREVA et TOTAL et plus particulièrement messieurs Cardebat, Jeufraux, Romary et Zimmer pour leurs conseils et leur soutien tout au long de ce projet. Révision mai 2010

4 Le livre blanc de la sécurité des systèmes d information industriels

5 Sommaire Quelques rappels sur la sécurité des SI Caractéristiques de l information Référentiels et méthodologies 9 Les systèmes d information industriels (SII) Périmètre concerné Evolution, tendance et historique Besoins de sécurité et état actuel 15 Deux mondes avec des différences notables Priorités, organisation et fournisseurs Technologies, utilisation et gestion 18 Les bonnes pratiques Les composantes de la sécurité pour tous les systèmes Une déclinaison pour les SII Démarche proposée Risques et enjeux Mise en oeuvre Gestion opérationnelle 37 Annexes 39 L enquête sur les SII 39 Les attentes les plus courantes 43 Les vulnérabilités des SCADA 44

6 Le livre blanc de la sécurité des systèmes d information industriels Introduction De manière simpliste, mais surtout pragmatique et évitant tout débat avec la SURETE, la SECURITE au sens général concerne les risques que chaque activité engendre pour l Homme, ses Biens et son Environnement. La SECURITE DES SYSTEMES D INFORMATION s intéresse aux pannes, aux intrusions, aux incohérences ou aux altérations qui peuvent affecter les systèmes d information et leurs données. Bien entendu, cette sécurité des systèmes d information est une composante essentielle de la sécurité, mais son action est rarement directe, car le contact entre ces systèmes et l homme, ses biens ou son environnement se fait presque toujours à travers des équipements ou dispositifs qui participent eux aussi à la sécurité. La sécurité des systèmes d information est devenue une thématique à part entière avec l émergence d Internet, des interconnexions et des risques d accès non sollicités aux systèmes et aux informations. Cette problématique a touché les applications et systèmes bureautiques qui communiquent de plus en plus avec des applications centrales, et dont la technologie «grand public» universelle attire les tentations et les malveillances. Historiquement, ces technologies bureautiques ainsi que les applications centrales concernées relèvent des DSI et ces DSI ont mis en place et déployé des parades de plus en plus efficaces pour protéger ces systèmes dits «de gestion». Il existe, dans les entreprises, d autres systèmes informatiques liés à la production et à la gestion des «utilités». Ce sont les Systèmes d Information «Industriels» : les SII. Ils sont dans les usines ou dans les salles techniques des bâtiments, et sont souvent connus seulement par les responsables de production, les services généraux et les agents de maintenance. 6

7 Avec l évolution des technologies, les systèmes industriels «ressemblent» de plus en plus aux systèmes de gestion et on pourrait penser y appliquer les mêmes solutions que celles mises en œuvre sur les SI de gestion. Ce serait oublier que les SII possèdent des spécificités non négligeables. De plus, et c est là un point MAJEUR de ce livre blanc, la Technologie n est qu une des composantes de la sécurité. D autres aspects, tels que l organisation, les accès, l exploitation ou la maintenance doivent également être pris en compte dans une réflexion globale. Ce sont des composants essentiels pour que les visions des DSI et des responsables de production convergent. Avec près de 400 ingénieurs et techniciens œuvrant depuis plus de 15 ans dans ce domaine, EURIWARE a acquis une expérience incomparable dans tout le périmètre des SII, quel que soit leur type, et dans presque tous les domaines d application. EURIWARE a vécu l émergence des besoins en matière de sécurité des SII chez ses clients et a apporté les réponses appropriées aux problèmes soulevés. La démarche proposée donnera aux entreprises des pistes pour adresser les composantes d une politique de sécurité efficace et mettra en lumière les éléments récurrents à traiter pour une bonne sécurité des SII. Il ne faut cependant pas chercher dans ce livre des éléments exhaustifs pour résoudre tous les problèmes. Il convient d une part d être bien conscient de la grande diversité des solutions et fournisseurs de SII, et d autre part de reconnaître que, dans les différents secteurs de l industrie, les niveaux de sécurité requis pour les SII sont très variables d un secteur à l autre : certains répondent à de très hautes exigences sécuritaires (le spatial, l aéronautique, le nucléaire et la santé). 7

8 Le livre blanc de la sécurité des systèmes d information industriels Quelques rappels sur la sécurité des SI Tout d abord, quelques rappels sur les concepts de la sécurité des systèmes d information afin de faciliter la compréhension des différences entre l approche des systèmes d information industriels et celle des systèmes d information «de gestion». Signalons que ce livre blanc n intègre pas les contraintes réglementaires liées aux systèmes classifiés de défense ou d importance vitale même si des approches et des pratiques proposées sont également applicables à ces environnements. Il nous semble malgré tout utile de signaler l existence d une réglementation interministérielle traitant de la sécurité des systèmes industriels dits «d importance vitale» : l IGI 6600/SGDN/PSE/PPS du 26 septembre Caractéristiques de l information La sécurité des «systèmes d information» - ensemble des moyens techniques, organisationnels, juridiques et humains mis en place - repose principalement sur les quatre critères de sensibilité rappelés ci-après : D Disponibilité : c est la garantie pour que les informations ou services soient accessibles et utilisables dans des conditions spécifiées de temps, C Confidentialité : c est la garantie que l accès aux informations et services considérés ne soit pas possible sans autorisation, I Intégrité : c est la garantie que les informations ou services considérés ne soient pas modifiés de manière indue, P Preuve (ou Traçabilité, ou encore Imputabilité) : c est la garantie de disposer des éléments qui apportent la preuve des traitements ou autres événements relatifs aux informations ou services considérés. 8

9 1.2 Référentiels et méthodologies Plusieurs normes, méthodologies et bonnes pratiques en matière de sécurité des systèmes d information, existent. L ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO : ainsi, issue de la norme BS 7799 du British Standard Institute datant du début des années 1990, la norme internationale ISO formalise le périmètre global sur lequel doit s appliquer ou se décliner la sécurité des systèmes d information. Cette norme peut être représentée comme suit : Politique de sécurité Organisationnel Stratégique Organisation de la gestion de la sécurité des systèmes d'information Gestion des biens et actifs Sécurité des personnels Contrôles d'accès Sécurité physique et environnementale Gestion de la continuité d'activité Acquisition, développement et maintenance de systèmes Gestion des opérations et des communications Conformité Gestion des incidents de sécurité Opérationnel Mais d autres approches existent également parmi lesquelles nous citerons : La norme ISO 15408, datant de 1999, qui, plutôt tournée vers les industriels du secteur informatique, propose des critères communs d évaluation de la sécurité des technologies de l information (Common Criteria - CC - for Information Technology Security Evaluation). 9

10 Le livre blanc de la sécurité des systèmes d information industriels EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), méthode établie par l ANSSI (Agence nationale de la sécurité des systèmes d information ex DCSSI) pour identifier les besoins de sécurité d un système d information, se présente sous la forme d une brochure et d un logiciel gratuits. La méthode MEHARI (Méthode Harmonisée d Analyse de Risques), proposée par le CLUSIF (Club de la Sécurité des Systèmes d Information Français) est destinée à permettre l évaluation des risques, mais également le contrôle et la gestion de la sécurité du système d information. Le référentiel de gouvernance et d audit des SI COBIT (Control Objectives for Business and Related Technology), publié en 1996 par l ISACA (Information Systems Audit and Control Association), contient, dans ses 34 objectifs de contrôle, un objectif couvrant une bonne partie des domaines de l ISO 27002, mais en s intéressant à beaucoup plus de critères de sensibilité de l information (Efficacité, Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité). Dans le contexte spécifique des SII, des normes liées aux métiers ont également formalisé la prise en compte de la sécurité des SI. On peut notamment citer : NERC-CIP : norme américaine concernant le secteur de l énergie, CNPI : recommandations de l organisme britannique en charge des infrastructures nationales critiques, API 1164 (American Petroleum Institute) et AGA 12 (American Gaz Institute) : normes de sécurisation des SCADA (systèmes de contrôle - commande, cf paragraphe suivant) mis en œuvre par des sociétés pétrolières ou gazières, ISA 99 (ex ISA SP 99) : norme relative à la Cyber-sécurité des systèmes de contrôle promue par l ISA (International Society of Automation), association regroupant les professionnels de l automatisation et de la supervision des procédés industriels. 10

11 Les systèmes d information industriels (SII) 2.1 Périmètre concerné Depuis déjà longtemps, le modèle CIM 1 (Computer Integrated Manufacturing) organise l information servant dans la chaîne de production en cinq couches ou niveaux, repris par de plus récents standard comme l ISA Le schéma suivant résume ce modèle : Informatique de gestion N 4 Fonctions centrales : finance, commerce, comptabilité ERP d entreprise, Bureautique, Info-centre Level 4 Business Planning & Logistics Plants Product Scheduling. Operational Management, etc. Gestion industrielle N 3 Pilotage : GPAO, GMAO, Ordonnancement LIMS, métrologie Level 3 Manufacturing Operations Management Dispatching Production. Detailed Production Scheduling. Production Tracking, etc. Procédé N 2 N 1 Superviseurs : élaboration des ordres Calculateur de process, CFAO, transitique Régulation et automatismes Level 2 Level 1 Batch Control Continuous Control Discrete Control (N0) Capteur, actionneur intelligent Média de communication Level 0 Modèle CIM OU ISA Ce modèle est une très bonne représentation des informations utilisées dans les chaines de production, même si certains éléments à la marge sont difficiles à intégrer (réseaux locaux, capteurs intelligents, packages ver ticaux, etc.). En ce qui nous concerne, nous préférons une autre représentation, un peu plus éloignée des «modèles et standards qui séparent arbitrairement, par exemple, les superviseurs des autres constituants d un même système. 1 Ne pas confondre avec un autre modèle aux mêmes initiales, le Common Information Model qui permet avec une représentation UML des échanges d informations sur l état et la configuration des réseaux électriques. 11

12 Le livre blanc de la sécurité des systèmes d information industriels Notre approche intègre des systèmes que les «normes» et «standards» ignorent souvent et qui sont pourtant fondamentaux pour la marche d une installation de production ou d une entreprise industrielle. Elle nous semble à ce titre plus représentative et plus complète. Dans cette représentation, qui va DU PLUS PRES AU PLUS LOIN DE LA PRODUCTION proprement dite, nous préférons utiliser la notion de «type» plutôt que de «niveau», et VOLONTAIREMENT sans distinguer les différents constituants des types de systèmes. Level 4 Level 3 Level 2 Level 1 Level 0 Production Capability Information (What is available for use) Business Planning & Logistics Plants Product Scheduling. Operational Management, etc. Manufacturing Operations Management Dispatching Production. Detailed Production Scheduling. Production Tracking, etc. Batch Control Product Definition Information (How to make a product) Continuous Control Production Schedule (What to make and use) Discrete Control Couverts par ISA 95 Enterprise Information Plant Product Scheduling, Operational Management, etc. Production Performance (What was made and used) Manufacturing Control Information Area Supervision, Production Planning, Production Tracking, etc. Non couverts par ISA 95 Les systèmes de conduite (et de sécurité) Classiques (SNCC, SCADA) Hétérogènes (superviseurs + PLC) Spécifiques (pilotage magasins, équipements d emballage, etc.) Les systèmes informatiques interagissant avec les systèmes de conduite Historisation (PI, IP21, etc.) Métrologie (et détection de défauts) Conduite avancée Les systèmes informatiques d aide à la production Système d ordonnancement Gestion de production et de distribution Gestion de la maintenance Type 3 Gestion de la logistique (chargement - déchargement, circuits) Gestion de laboratoire (LIMS) Les systèmes de sécurité site (type «Services généraux») Gestion Technique Centralisée (GTC) Sécurité incendie Consignations des équipements Contrôle d accés du personnel (clefs et badges) Type 1 Type 2 AUTRES Du plus près au plus loin de la production 12

13 A titre d exemple, les différents systèmes concernés sont : Type 1 : les systèmes sont directement en liaison avec le procédé de fabrication, par l intermédiaire des capteurs et des actionneurs et peu importe qu ils soient aux niveaux 0, 1, 2, voire 3 de ISA 95. Ce sont des systèmes : De conduites classiques (SNCC) De conduites hétérogènes (superviseurs + PLC) De conduites spécifiques (pilotage magasins, équipements d emballage, etc.) De contrôle et de mesure à base de PC (permanents ou temporaires aides au diagnostic) Type 2 : les systèmes ne sont pas en liaison directe avec le procédé, mais interagissent avec les systèmes de Type 1. On y trouve, par exemple les dispositifs : D historisation De métrologie et détection de défauts De conduite avancée Type 3 : les systèmes ne sont presque jamais reliés directement à la production, mais ils sont indispensables aux activités de production : Systèmes d ordonnancement Gestion de production et de distribution Gestion de la maintenance Gestion de la logistique (chargement déchargement, circuits) Gestion de laboratoire (LIMS) Cette décomposition en trois types, inclut aussi les composants tels que les systèmes embarqués ou les lecteurs de codes à barres ou de RFID qui participent aux opérations de production ou de livraison de produits. Cette représentation est également applicable à d autres types de systèmes d information pilotant : les grandes infrastructures des utilités (réseaux, électricité, gaz, eau, etc.) les grandes infrastructures de transport (train, métro, tramway, aéroports, autoroutes, tunnels, etc.) 13

14 Le livre blanc de la sécurité des systèmes d information industriels Cependant, d autres systèmes sont inclassables selon les modèles CIM ou ISA 95, car ils n ont rien à voir avec la fabrication, bien qu agissant pourtant sur des équipements réputés industriels. Ils constituent le type «AUTRES». On les trouve bien sûr dans les usines, mais aussi, et c est au moins aussi important, dans les datacenters, les bureaux et les sièges. Ce sont tous les systèmes que nous qualifions de type «services généraux», en particulier les systèmes qui servent à la surveillance des bâtiments, aux utilités des salles de machine, à l accès des personnels et des visiteurs. Ils sont indispensables à l activité de la société, au même titre que la bureautique, les applications de paye et de facturation, mais ils sont rarement visibles de la DSI. 2.2 Evolution, tendance et historique Pour reprendre la définition de Wikipedia : «Le directeur des systèmes d information (DSI) d une organisation est responsable de l ensemble des composants matériels (postes de travail, serveurs, équipements de réseau, systèmes de stockage, de sauvegarde et d impression, etc.) et logiciels du système d information, ainsi que du choix et de l exploitation des services de télécommunications mis en œuvre». Comme mentionné dans l introduction, les DSI se sont jusqu à il y a peu surtout consacré aux applications «métiers» : les ERP, les réseaux d entreprise, la bureautique. Ces chantiers sont lancés et plutôt bien maîtrisés ; par ailleurs la tendance est à un système d information intégré et global pour l entreprise (incluant tous les systèmes d information). Les DSI voient donc, de plus en plus, arriver dans leur périmètre de responsabilité ces nouveaux systèmes que sont les SII. Autre facteur favorisant le rapprochement évoqué précédemment, la «standardisation» des matériels et des systèmes d exploitation fait que techniquement la DSI peut ou pense pouvoir mieux maîtriser l infrastructure des SII. Parallèlement, les personnes en charge des SII ont l impression de moins en moins les maîtriser compte tenu de la rapidité d évolution et du changement de «philosophie». 14

15 2.3 Besoins de sécurité et état actuel Un retour d expérience d une cinquantaine d industriels dans les 5 dernières années converge avec les conclusions d études externes disponibles : il montre que la prise de conscience de la problématique sécurité existe au niveau des personnes en charge des systèmes d information industriels, que le besoin existe, mais que la situation actuelle n y répond pas de façon satisfaisante. Ce constat est illustré par les deux schémas suivants qui montrent l importance de la sécurité des SII et son niveau d atteinte, même si les chiffres sont à utiliser avec beaucoup de prudence. Quelle est l importance de la sécurité de l informatique dans vos sites de production? 30 % 40 % 10 % 20 % Non sensible Sensible Important Vital Quel est le niveau actuel de cette sécurité? 50 Non satisfaisant Partiel Bon Très bon Pour 90% des industriels, la sécurité des SII est un enjeu important, voire critique, mais seuls 45% estiment être parvenus à un niveau plutôt bon. Cependant, même si la prise de conscience est présente, de nombreuses différences entre les SII et les SI de gestion font que ce qui a été mis en oeuvre sur ces derniers n est pas directement reproductible en l état sur les SII. 15

16 Le livre blanc de la sécurité des systèmes d information industriels Deux mondes avec des différences notables 3.1 Priorités, organisation et fournisseurs Plusieurs points distinguent les SII et les systèmes d information «de gestion» sur l approche et les caractéristiques générales. Les priorités concernant les besoins de sécurité des Systèmes d Information sont souvent différentes. Les SI industriels ont en premier lieu un besoin de disponibilité afin de ne pas interrompre la production ou la marche de l entreprise : l impact d interruptions pouvant être fort non seulement sur l arrêt de production (ou sa remise en marche) mais aussi sur l utilisation des «utilités» (bureaux, sièges). Des considérations de sûreté et de protection des personnes sont également à l origine de cette priorité. Les priorités des SI de gestion sont souvent différentes. Compte tenu des données traitées, un des premiers besoin de sécurité exprimés concerne la confidentialité des données. L ordre de priorité couramment retenu est le suivant : L ordre de priorité perçu est souvent le suivant : 1. Disponibilité 2. Intégrité 3. Preuve 4. Confidentialité 1. Confidentialité 2. Intégrité 3. Preuve 4. Disponibilité SI Industriels SI Gestion En termes d organisation, le rattachement de la responsabilité de la sécurité des systèmes est également très différent entre les deux mondes. Les SI industriels, par leur histoire et leur fonction initiale, sont souvent rattachés à la production, mais leur sécurité, souvent liée aux équipements, est en général du ressort de plusieurs fonctions de l entreprise (services généraux, direction de la production, etc.). Les résultats de l enquête interne précédemment citée illustrent cette diversité : 10 % Risques HQSE % 20 % 15 % DSI Production 15 % Pas de responsable Autres Parce que la sécurité est venue de l omniprésence de l informatique, d Internet et des interconnexions, des virus et des attaques, la sécurité de l informatique de gestion est le plus souvent gérée par la DSI. Le graphique suivant issu d une étude récente du CIGREF le montre bien : 76 % SI Industriels SI Gestion Même si la structure d accueil est identifiée comme étant souvent la production, la responsabilité des systèmes informatiques et de leur sécurité est variable et diffuse : département technique, HQSE, opérations, exploitation, maintenance, services généraux ; elle est en tout cas mal connue. 0 % 0% 0 % 3 % 6 % Direction Direction des risques financière Autre Direction de l audit et du contrôle Direction métier 18 % Direction générale Direction des systèmes d information 16

17 Concernant les systèmes eux-mêmes, un certain nombre de caractéristiques différencie largement les deux mondes. SI Industriels Les SI industriels sont souvent caractérisés par une forte expertise de l éditeur ou du constructeur sur le métier lui-même. Cela se traduit souvent par des formats, technologies, protocoles, propriétaires. L expertise nécessaire pour comprendre et «détourner» ces systèmes est donc peu répandue et directement liée à l éditeur ou au constructeur. Autre conséquence : ces systèmes sont peu connus et faiblement diffusés, quelques milliers tout au plus pour les plus connus (Honeywell, Invensys, Yokogawa, Siemens, Schneider, Emerson, etc.). Autre point de différence notable, la durée de vie des SII est liée à celle des chaînes de production ou des bâtiments. La durée de vie de ces systèmes peut aller de 5 à 25 ans. Fonctionnellement, ces systèmes sont conçus pour fonctionner de manière autonome, avec peu de liaisons avec le monde extérieur. Ils sont très rarement administrés ou supervisés de l extérieur. Ils ne peuvent ou ne doivent pas dépendre de téléchargements. L installation ou les mises à jour se font souvent à partir de supports numériques. SI Gestion A l inverse, les SI de gestion se sont largement homogénéisés et leur large diffusion, notamment au-delà du monde de l entreprise vers la sphère personnelle, fait que la connaissance voire l expertise sur ces systèmes sont largement répandues et diffusées (notamment par Internet). Les failles et les attaques sont de ce fait plus critiques et en même temps plus intéressantes pour les «pirates» dans la mesure où elles touchent potentiellement un nombre très élevé de systèmes. Les évolutions technologiques, la standardisation et la volonté des éditeurs et des constructeurs font que les SI de gestion ont généralement une durée de vie de 2 à 5 ans. Les systèmes d information de gestion sont aujourd hui to t a lement in te rconnecté s. L ex ternalisation de la super vision et de l administration est une pratique qui existe et qui se répand. La diffusion des mises à jour voire des installations se fait de plus en plus via des téléchargements afin d accélérer leur diffusion et de faciliter leur utilisation. Les éditeurs et constructeurs ont également des caractéristiques particulières. Les SNCC (Systèmes Numériques de Contrôle Commande) gèrent des données «d instrumentation» (capteurs et actionneurs). De ce fait, les fournisseurs travaillent chez tous les industriels du même métier et connaissent l instrumentation aussi bien que leurs clients. Compte tenu de la faible diffusion des outils, le monde de l industriel est très fermé : la réputation se partage et le domaine de confiance inclut souvent le fournisseur. Les éditeurs et constructeurs majeurs des SI de gestion sont internationaux et ne connaissent que rarement les clients finaux et l utilisation qu ils font de leurs systèmes. Par ailleurs, les problématiques adressées sont très générales et les éditeurs/constructeurs ne maîtrisent pas les spécificités des clients qui sont généralement laissées aux intégrateurs. 17

18 Le livre blanc de la sécurité des systèmes d information industriels Technologies, utilisation et gestion L utilisation et l approche concernant les postes de travail et les serveurs sont différentes. SI Industriels La sécurisation des composants du SII est souvent hétérogène et très variable d un poste de travail ou d un serveur à l autre, sans justification particulière. Ainsi, on peut constater sur des machines de niveau de criticité identique, des niveaux de sécurité très différents (verrouillage de poste, authentification nécessaire, redondance ou matériel de secours, etc.). La sécurisation des postes de travail et des serveurs est récente. Un apport des SI de gestion est le point d accès unique sur le réseau de l entreprise. Ce dispositif, encore peu répandu, permet de mettre à jour les antivirus maintenant courants dans les SII avec des mises à jour que les fournisseurs valident et rendent accessibles dans le cadre d un contrat de maintenance. C est beaucoup moins vrai pour les correctifs de sécurité, qui eux, sont plus rarement validés sur les sites des fournisseurs. Le verrouillage des postes de travail est un moyen rarement mis en œuvre dans la mesure où les opérateurs, souvent externes par ailleurs, doivent pouvoir intervenir rapidement sur les postes de travail. Par ailleurs, d un point de vue métier, la nécessité de déverrouiller un écran juste pour pouvoir consulter une valeur est difficile à justifier. L identification et l authentification des utilisateurs sont peu appliquées dans la mesure où la rotation des équipes et des intervenants est souvent incompatible avec les contraintes d une authentification minimale. SI Gestion Globalement, la mise en œuvre de moyens de sécurisation sur le SI de gestion, aidée par l automatisation est relativement homogène et se déploie sur l ensemble des composants. La cohérence de la sécurisation n est cependant pas toujours simple à assurer, par exemple pour les postes des utilisateurs nomades. La sécurisation des postes de travail passe par la mise en œuvre de différents moyens. De façon quasi systématique, un antivirus est installé. En complément, des pare-feux personnels, des anti-malware, des anti-spam, du SSO, etc. sont installés. Ces composants, pour la plupart, nécessitent des mises à jour régulières afin de ne pas dégrader le niveau de sécurité qu ils apportent. Les correctifs de sécurité sont des points clés dans la sécurisation des postes de travail. Le délai de mise en œuvre dépend de la criticité et de la politique de sécurité de l entreprise. Il doit dans tous les cas être le résultat d une étude de risques. A u t r e p o i n t «c l a s s i q u e» c o n c e r n a n t l implémentation d une politique de sécurité, le verrouillage des matériels et des logiciels en cas d inactivité durant une certaine période est également largement répandu sur les systèmes d information de gestion. L authentification est réalisée de façon quasi systématique sur les SI de gestion. Ce point est facilité par la mise en œuvre de systèmes d authentification centralisée (Annuaires Active Directory Microsoft, LDAP, Novell, etc.). En complément de l absence de mots de passe évoquée précédemment, lorsque des mots de passe sont utilisés, ils sont soit «simples» (pour des problématiques de mémorisation), soit laissés à leur valeur par défaut. Il faut également mentionner le fait que les systèmes notamment «anciens» n acceptent pas toujours des mots de passe complexes ou de taille suffisante. Les mots de passe font généralement l objet de directives de type «politique de sécurité» qui imposent une taille et une complexité minimales. Des contrôles techniques peuvent être ajoutés afin d imposer ces contraintes et les utilisateurs sont généralement sensibilisés à l importance de ces contraintes. 18

19 SI Industriels L installation des systèmes est généralement réalisée en utilisant les options par défaut proposées par l éditeur ou le constructeur. Cela a pour conséquence de laisser des vulnérabilités et des services inutiles qui peuvent être vecteurs d incidents, d attaques ou de dysfonctionnements. Malgré un besoin de disponibilité fort, les mécanismes proposés par les technologies «standard» sont rarement mis en œuvre sur les SII, même si des mécanismes propriétaires existent. L environnement dans lequel sont utilisés les matériels des SII est également particulier : il s agit d environnements industriels avec une qualité d air, une température, des conditions d hygrométrie, des rayonnements électromagnétiques souvent incompatibles avec l utilisation de composants des systèmes de gestion, pourtant souvent faite. Par ailleurs, si les matériels implantés à la conception des installations sont conformes à l environnement, des risques supplémentaires apparaissent souvent en exploitation, liés à la présence de conduites de fluides, à la présence de graisses, de poussières, et au partage des accès physiques et des responsabilités avec d autres acteurs voire des prestataires externes. SI Gestion De même que précédemment, les politiques de sécurité définies dans les entreprises intègrent en général des principes visant à proposer des configurations standard personnalisées afin de présenter un niveau minimal de sécurité. Les technologies actuelles permettent de prendre en compte un besoin de disponibilité qui augmente, mais aussi de limiter la perte de données en cas d incident. Le partage de charge, la réplication à chaud, les sauvegardes, les bascules sont autant de moyens techniques qui, associés aux procédures et à l organisation adéquates, permettent de répondre à la plupart des besoins de disponibilité et de «non-perte» de données. L environnement du SI de gestion est en général conforme aux recommandations des constructeurs : «salle blanche» pour les serveurs et bureaux pour les postes de travail. Les risques liés à l environnement sont limités : détection d incendie, contrôle d hygrométrie, filtre antipoussière, etc. Les accès physiques sont contrôlés aussi bien sur les salles serveurs que sur les postes de travail. Sur ce dernier point, la sensibilisation des utilisateurs vise à expliquer l objectif et à les faire adhérer à l exigence et à les faire comprendre la contrainte.ce dernier point, la sensibilisation des utilisateurs vise à expliquer l objectif et à les faire adhérer à l exigence et à les faire comprendre la contrainte. L accès au système et au réseau sont également vus et mis en œuvre de façon très différente dans les deux mondes. Comme mentionné précédemment, les systèmes d information industriels sont au départ prévus pour fonctionner de façon autonome. De ce fait, les SII sont souvent cloisonnés physiquement sur des réseaux spécifiques. Cependant, les interconnexions et la remontée d information notamment vers les systèmes de gestion, imposent de plus en plus d abandonner le cloisonnement physique sans pour autant prendre en compte les risques induits. Les SI de gestion s appuient de façon massive sur l interconnexion de réseau aussi bien entre les entités de l entreprise qu avec le monde extérieur (partenaires, clients, fournisseurs, Internet, etc.). Ces interconnexions permettent d optimiser et de donner plus de valeur ajoutée aux systèmes d information. Elles exposent également de ce fait le SI de l entreprise à de nouveaux risques qu il faut prendre en compte. 19

20 Le livre blanc de la sécurité des systèmes d information industriels SI Industriels La priorité étant à la disponibilité du système, le filtrage des flux entre le réseau industriel et le réseau «de gestion» est rarement mis en œuvre. De même, l utilisation de cloisonnements de type VLAN fait rarement partie des dispositifs implémentés par défaut par les exploitants des réseaux industriels. Cependant, les flux étant souvent mal connus (notamment du fait du caractère propriétaire des systèmes) et rarement conçus pour être filtrés, la mise en œuvre d un tel filtrage est souvent complexe. Compte tenu de la durée de vie des SI industriels (cf. point évoqué précédemment), les technologies utilisées dans les SI industriels sont rarement les dernières. A titre d exemple, les protocoles réseau utilisés dans les SI industriels sont récemment IP : des protocoles plus anciens voire propriétaires sont également utilisés. De ce fait, les outils de protection classiques proposés par les éditeurs et constructeurs peuvent être difficiles à mettre en œuvre, voire être inopérants. L optimisation de l architecture en termes de routage notamment est souvent mal maîtrisée des exploitants. Les réseaux sont donc souvent installés de façon basique, «à plat». Le manque fréquent de maîtrise induit également une installation des composants réseau par défaut (avec par exemple des comptes d administration protégés par les mots de passe initiaux des constructeurs et éditeurs, des services offerts inutiles, un niveau de sécurité minimal : utilisation de Telnet/HTTP au lieu de SSH pour l administration, etc.). Les accès distants sur les réseaux industriels sont une pratique courante pour permettre aux éditeurs et constructeurs de pouvoir assurer la maintenance des composants du SII. La sécurité de ces accès est souvent limitée à des autorisations ponctuelles en cas d incident, suivie d une fermeture manuelle après résolution. Ces accès se faisant pour certains directement sur les postes de commande, le risque induit et son impact peuvent être très importants. SI Gestion C o m p t e t e n u d e s r i s q u e s décrits précédemment, le besoin de cloisonnement est important dans les SI de gestion. Par ailleurs, afin d optimiser la gestion, la virtualisation via des techniques de type VLAN et VPN a été largement développée et permet de répondre à ces besoins de sécurité. De nombreuses solutions permettent d améliorer la sécurité des réseaux. Elles permettent une sécurisation à différents niveaux : Protection, filtrage, cloisonnement (Firewall, contrôle d accès réseau NAC) Détection d incidents, de tentatives d intrusion (détection/prévention d intrusion IDS/IPS, analyse de comportement réseau NBA) Mise en œuvre de politique de protection de l information (protection contre la fuite de données DLP). L optimisation des réseaux est également une préoccupation importante, aussi bien pour des raisons de performances que de sécurité. Le cloisonnement des systèmes en fonction de rattachement «métier», des performances attendues, etc. est aujourd hui une pratique répandue. La sécurisation des réseaux passe également par la définition de politiques de sécurité dédiées au réseau, qui définissent le niveau minimal de sécurité attendu à travers des configurations requises. Les accès distants sur les SI de gestion sont limités au strict minimum et sécurisés via des mécanismes de type authentification forte. Les maintenances et supports sont rarement réalisés par les éditeurs/ constructeurs directement sur les systèmes, mais plutôt via les exploitants, ou au travers d un point d accès unique sur le réseau de l entreprise, heureusement de plus en plus utilisé aussi pour les SII. 20

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

FICHE D IDENTITÉ DE LA QUALIFICATION VALIDÉE OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE

FICHE D IDENTITÉ DE LA QUALIFICATION VALIDÉE OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE COMMISSION PARITAIRE NATIONALE DE L'EMPLOI DE LA METALLURGIE Qualification : 2001 01 89 0195 (Cette fiche annule et remplace, à compter du 9 janvier 2007, la précédente fiche d identité) FICHE D IDENTITÉ

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013 Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes 03 Décembre 2013 2 HIDD Harmonisation des Infrastructures Système Informatique Industrielle et de Gestion Etude

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel : La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail

SESSION 2010 MANAGEMENT DES SYSTÈMES D'INFORMATION. Durée de l épreuve : 3 heures - coefficient : 1

SESSION 2010 MANAGEMENT DES SYSTÈMES D'INFORMATION. Durée de l épreuve : 3 heures - coefficient : 1 1020005 DSCG SESSION 2010 MANAGEMENT DES SYSTÈMES D'INFORMATION Durée de l épreuve : 3 heures - coefficient : 1 Document autorisé : Liste des comptes du plan comptable général, à l exclusion de toute autre

Plus en détail

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel 1 Sommaire 1) Présentation du contexte technique...3 1.1) Des

Plus en détail

INDUSTRIALISATION ET RATIONALISATION

INDUSTRIALISATION ET RATIONALISATION INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Gestion de parc et qualité de service

Gestion de parc et qualité de service Gestion de parc et qualité de service Journée Josy, 14 octobre 2008 A. Rivet Gestion de parc et qualité de service Gestion de parc Fonctions de base GT «Guide de bonnes pratiques» Référentiels et SI ITIL/ISO

Plus en détail

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Que la stratégie soit belle est un fait, mais n oubliez pas de regarder le résultat. Winston Churchill PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Conseil en Organisation, stratégie opérationnelle

Plus en détail

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques Intégration de la cybersécurité aux systèmes de conduite industriels Méthodes et pratiques Les Infrastructures critiques utilisant des Systèmes de Contrôle Industriels Industrie nucléaire Industrie pétrolière,

Plus en détail

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Jaafar DEHBI 2003 Acadys - all rights reserved Conception des services Buts et objectifs Concevoir les nouveaux

Plus en détail

D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002)

D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002) L'approche processus D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002) Diaporama : Marie-Hélène Gentil (Maître de Conférences,

Plus en détail

Sommaire 2. Généralités 3. ISO 27001 et SMG ou le pilotage de NC2 4. Approche processus et cartographie 5

Sommaire 2. Généralités 3. ISO 27001 et SMG ou le pilotage de NC2 4. Approche processus et cartographie 5 Sommaire 2 Généralités 3 ISO 27001 et SMG ou le pilotage de NC2 4 Approche processus et cartographie 5 D une organisation fonctionnelle vers des processus 6 Pilotage des processus et Amélioration continue

Plus en détail

ITSM - Gestion des Services informatiques

ITSM - Gestion des Services informatiques Chapitre 1 - COMPRENDRE LE MARCHÉ ITSM - Gestion des Services informatiques Copyright 2011 CXP. 1 ITSM - Gestion des Services informatiques L'étude a été réalisée par : Dalila Souiah OBJECTIF DU DOCUMENT.

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

L approche processus c est quoi?

L approche processus c est quoi? L approche processus c est quoi? D après FD X50-176 Management des processus (2005) AC X50-178 Management des processus, Bonnes pratiques et retours d expérience (2002) Introduction Termes et définitions

Plus en détail

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon

Plus en détail

ITIL Gestion de la continuité des services informatiques

ITIL Gestion de la continuité des services informatiques ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques

Plus en détail

STRATÉGIE DE SURVEILLANCE

STRATÉGIE DE SURVEILLANCE STRATÉGIE DE SURVEILLANCE Décembre 2013 SOMMAIRE OBJET page 3 OBJECTIFS DE LA SURVEILLANCE page 3 PRINCIPES D ÉLABORATION DU PROGRAMME page 4 PROGRAMME 2014 page 5 RESSOURCES page 6 PERSPECTIVES 2015/2016

Plus en détail

Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013)

Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013) Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013) 1 Le Système qualité La cartographie des processus, qui se situe entre le manuel qualité et les procédures

Plus en détail

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Yphise optimise en Coût Valeur Risque l informatique d entreprise Gérer le risque opérationnel ORM - Operational Risk Management Juin 2008 Xavier Flez yphise@yphise.com Propriété Yphise GM Gouvernance PR Projets IS Systèmes d Information SO Service Management 1 Le risque

Plus en détail

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication.

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication. CONNECTER LES SYSTEMES ENTRE EUX L informatique, au cœur des tâches courantes, a permis de nombreuses avancées technologiques. Aujourd hui, la problématique est de parvenir à connecter les systèmes d information

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT

Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT Directeur adjoint, Contrôles spécialisés et transversaux en assurance Autorité de contrôle prudentiel et de résolution 01/04/2015

Plus en détail

Gouvernance de la sécurité des systèmes d information

Gouvernance de la sécurité des systèmes d information Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

Plus en détail

CONSEIL STRATÉGIQUE. Services professionnels. En bref

CONSEIL STRATÉGIQUE. Services professionnels. En bref Services professionnels CONSEIL STRATÉGIQUE En bref La bonne information, au bon moment, au bon endroit par l arrimage des technologies appropriées et des meilleures pratiques. Des solutions modernes adaptées

Plus en détail

RSSI à Temps Partagé Retour d expériences. 2011 Intrinsec - www.intrinsec.com securite.intrinsec.com

RSSI à Temps Partagé Retour d expériences. 2011 Intrinsec - www.intrinsec.com securite.intrinsec.com RSSI à Temps Partagé Retour d expériences 2011 Intrinsec - www.intrinsec.com securite.intrinsec.com Agenda Contexte Présentation du cadre d intervention «RSSI à Temps Partagé». Démarche SSI Retour d expérience

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

SERVICES RELATIFS A L EXPLOITATION DE RESEAUX DE TELECOMMUNICATIONS (Terrestres et satellitaires)

SERVICES RELATIFS A L EXPLOITATION DE RESEAUX DE TELECOMMUNICATIONS (Terrestres et satellitaires) PROBLEMATIQUE - L APPROCHE JADE Telecom L exploitation de réseaux de télécommunications implique pour les entreprises la prise en compte de différents points importants : La mise en place de personnel

Plus en détail

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009»

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009» 3 ème Concours de technicien de classe normale des systèmes d information et de communication «Session 2009» Meilleure copie "Etude de cas" Note : 11/20 Thème : réseaux de télécommunication et équipements

Plus en détail

OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE

OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE Commission paritaire nationale de l'emploi de la Métallurgie Qualification : MQ 2007 10 89 0264 FICHE D IDENTITE DE LA QUALIFICATION VALIDEE TITRE DE LA QUALIFICATION : Coordonnateur (trice) du développement

Plus en détail

Sécurisation d un site nucléaire

Sécurisation d un site nucléaire Sécurisation d un site nucléaire Club automation 03 décembre 2013 Application du concept de défense en profondeur Laurent RAILLIER Un site nucléaire existant Base installée Schneider Electric importante

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

La Continuité des Activités

La Continuité des Activités Caroline Fabre- Offering Manager BC&RS Ikbal Ltaief Consulting Manager BC&RS La Continuité des Activités Nouveaux enjeux, nouvelles technologies, nouvelles tendances Paris, le 9 juin 2010 Grandes entreprises

Plus en détail

Systèmes d information

Systèmes d information 11 Systèmes Cette famille rassemble des métiers dont la finalité est de concevoir, développer, exploiter et entretenir des solutions (logicielles et matérielles) répondant aux besoins collectifs et individuels

Plus en détail

INDICATIONS DE CORRECTION

INDICATIONS DE CORRECTION SUJET NATIONAL POUR L ENSEMBLE DES CENTRES DE GESTION ORGANISATEURS TECHNICIEN TERRITORIAL PRINCIPAL DE 2 ème CLASSE SESSION 2014 EPREUVE Rédaction d un rapport technique portant sur la spécialité au titre

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

Evolution des infrastructures informatiques au Cerema. Patrick Berge Comité Technique d Établissement

Evolution des infrastructures informatiques au Cerema. Patrick Berge Comité Technique d Établissement Evolution des infrastructures informatiques au Cerema Patrick Berge 1 Objectifs de cette présentation Le contexte de l informatique au Cerema Les besoins du Cerema en matière d Infrastructure Informatique

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

MESURE DE L ÉNERGIE ET DES FLUIDES

MESURE DE L ÉNERGIE ET DES FLUIDES MESURE DE L ÉNERGIE ET DES FLUIDES MESURER EN CONTINU TOUTES VOS CONSOMMATIONS D ÉNERGIE ET DE FLUIDES POUR PERMETTRE UNE OPTIMISATION DE VOS PERFORMANCES ENVIRONNEMENTALES Instrumenter vos immeubles à

Plus en détail

Réussir l externalisation de sa consolidation

Réussir l externalisation de sa consolidation Réussir l externalisation de sa consolidation PAR ERWAN LIRIN Associé Bellot Mullenbach et Associés (BMA), activité Consolidation et Reporting ET ALAIN NAULEAU Directeur associé Bellot Mullenbach et Associés

Plus en détail

Circuit du médicament informatisé

Circuit du médicament informatisé Circuit du médicament informatisé Points de vigilance axe technique SOMMAIRE... 1 FICHE N 1- DISPONIBILITE ET PERFORMANCE... 2 FICHE N 2- ENVIRONNEMENT DE TEST... 4 FICHE N 3- VERSIONNING... 5 FICHE N

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Organiser le SLM pour les applications en production

Organiser le SLM pour les applications en production Organiser le SLM pour les applications en production Xavier Flez Juin 2006 Propriété Yphise yphise@yphise.com 1 Plan Introduction Les principes ITIL Maitriser le SLM sur les opérations métier 2 Introduction

Plus en détail

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011 SOMMAIRE Synthèse et Conclusion... 1 Introduction... 4 1. La description

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012 Cahier des charges MAINTENANCE INFORMATIQUE Mai 2013 Table des matières Sommaire 1 Introduction... 3 1.1 Objectifs...

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Software Asset Management Savoir optimiser vos coûts licensing

Software Asset Management Savoir optimiser vos coûts licensing Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

CONTRAT DE MAINTENANCE INFORMATIQUE CONDITIONS GÉNÉRALES

CONTRAT DE MAINTENANCE INFORMATIQUE CONDITIONS GÉNÉRALES CONTRAT DE MAINTENANCE INFORMATIQUE CONDITIONS GÉNÉRALES TABLE DES MATIÈRES 1 Objet... 3 2 Abonnement service technique... 3 2.1 Les points forts de notre système d'abonnement... 3 2.2 Souscription d un

Plus en détail

Association ESSONNE CADRES

Association ESSONNE CADRES Association ESSONNE CADRES 10 avenue du Noyer Lambert - 91300 MASSY : 01 60 12 01 45 Email : competences91@essonnecadres.org Site web : www.essonnecadres.org Besoin d un Professionnel pour une situation

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Changement dans les achats de solutions informatiques

Changement dans les achats de solutions informatiques Changement dans les achats de solutions informatiques Ce que cela signifie pour l informatique et les Directions Métiers Mai 2014 Le nouvel acheteur de technologies et la nouvelle mentalité d achat Un

Plus en détail

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur :

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur : COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 30/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Responsable d affaires I OBJECTIF PROFESSIONNEL

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

Table Ronde Cybersécurité

Table Ronde Cybersécurité 03 décembre 2013 Table Ronde Cybersécurité Comment les fournisseurs d automatismes prennent en compte les besoins de cybersécurité? Participants: Phoenix Contact T.Vajsman Rockwell Automation J.Poncharal

Plus en détail

S engager pour gagner la confiance

S engager pour gagner la confiance Services S engager pour gagner la confiance Depuis 1934, les femmes et les hommes de COURBON mobilisent leurs énergies pour la réussite de vos projets. Les équipes COURBON sont présentes tout au long du

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

I OBJECTIF PROFESSIONNEL DU CQPM

I OBJECTIF PROFESSIONNEL DU CQPM COMMISSION PARITAIRE NATIONALE DE L'EMPLOI DE LA METALLURGIE Qualification : 2012 07 31 0297 Catégorie : C* Dernière modification : 31/07/2012 REFERENTIEL DU CQPM TITRE DU CQPM : Gestionnaire de configuration

Plus en détail

SNCC SCADA MES Vecteurs d intégration

SNCC SCADA MES Vecteurs d intégration SNCC SCADA MES Vecteurs d intégration Paris, le 6 juin 2013 Improving your execution systems Parcours Personnel 30 années d expérience en informatique industrielle ABSY (1983-1988 : constructeur SNCC)

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT LA SECURITE DU PATRIMOINE NUMERIQUE, DBB Groupe ICT Plan LA SECURITE DU PATRIMOINE NUMERIQUE, Le Patrimoine informationnel Menaces & Conséquences Responsabilité du Chef d Entreprise Comment répondre aux

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

A LIRE ATTENTIVEMENT AVANT DE TRAITER LE SUJET

A LIRE ATTENTIVEMENT AVANT DE TRAITER LE SUJET SUJET NATIONAL POUR L ENSEMBLE DES CENTRES DE GESTION ORGANISATEURS CONCOURS EXTERNE DE TECHNICIEN TERRITORIAL SESSION 2012 EPREUVE Réponses à des questions techniques à partir d un dossier portant sur

Plus en détail

Tous droits réservés SELENIS

Tous droits réservés SELENIS 1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,

Plus en détail

Concours EXTERNE d ingénieur des systèmes d information et de communication. «Session 2009»

Concours EXTERNE d ingénieur des systèmes d information et de communication. «Session 2009» Concours EXTERNE d ingénieur des systèmes d information et de communication «Session 2009» Meilleure copie "Rapport Technique" Thème : conception et développement logiciel Note : 15,75/20 Rapport technique

Plus en détail

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC) LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC) Donnez à votre comité de direction une visibilité à 360, en temps réel, du cadre de Gouvernance d Entreprise REGULATORY COMPLIANCE Rc

Plus en détail

Contrat et mise à disposition d infrastructure d hébergement

Contrat et mise à disposition d infrastructure d hébergement 1 Contrat et mise à disposition d infrastructure d hébergement ARTICLE 1 DESCRIPTION DE LA PRESTATION DE SERVICES HEBERGEMENT La prestation consiste en la réalisation des tâches suivantes : Mise à disposition

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

Production / Qualité / Maintenance / Méthodes. Garantir un haut niveau de production

Production / Qualité / Maintenance / Méthodes. Garantir un haut niveau de production Garantir un haut niveau de production 1 - Ingénieur industrialisation 2 - Ingénieur maintenance 3 - Ingénieur méthodes 4 - Ingénieur production 5 - Ingénieur qualité projet 6 - Ingénieur résident qualité

Plus en détail

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

MINISTÈRE DE L ÉCOLOGIE, DU DÉVELOPPEMENT DURABLE ET DE L'ÉNERGIE. PLAN D ACTIONS POUR LA SECURITE DU SYSTEME FERROVIAIRE 9 septembre 2014

MINISTÈRE DE L ÉCOLOGIE, DU DÉVELOPPEMENT DURABLE ET DE L'ÉNERGIE. PLAN D ACTIONS POUR LA SECURITE DU SYSTEME FERROVIAIRE 9 septembre 2014 MINISTÈRE DE L ÉCOLOGIE, DU DÉVELOPPEMENT DURABLE ET DE L'ÉNERGIE PLAN D ACTIONS POUR LA SECURITE DU SYSTEME FERROVIAIRE 9 septembre 2014 La sécurité ferroviaire demande de réinterroger périodiquement

Plus en détail

«Appropriation de la norme EN9100 par les entreprises et pistes d amélioration»

«Appropriation de la norme EN9100 par les entreprises et pistes d amélioration» Conférence sur la certification EN 9100 «Appropriation de la norme EN9100 par les entreprises et pistes d amélioration» 16/12/2014 Christelle REBILLET Chef de Produit - AFNOR Certification Programme Contexte

Plus en détail

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011 Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure

Plus en détail

AGREPI Ile de France Lundi 18 octobre 2010 Stéphane RIO stephane.rio@cnpp.com 02 32 53 63 09

AGREPI Ile de France Lundi 18 octobre 2010 Stéphane RIO stephane.rio@cnpp.com 02 32 53 63 09 Présentation de la nouvelle règle APSAD R6 AGREPI Ile de France Lundi 18 octobre 2010 Stéphane RIO stephane.rio@cnpp.com 02 32 53 63 09 1 Le cadre et l historique de la révision de la règle R6 Planning

Plus en détail

QU EST-CE QUE LE DECISIONNEL?

QU EST-CE QUE LE DECISIONNEL? La plupart des entreprises disposent d une masse considérable d informations sur leurs clients, leurs produits, leurs ventes Toutefois ces données sont cloisonnées par les applications utilisées ou parce

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Introduction Face à l évolution constante des besoins fonctionnels et des outils informatiques, il est devenu essentiel pour

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail