Politique de Sécurité des Systèmes d Information

Dimension: px
Commencer à balayer dès la page:

Download "Politique de Sécurité des Systèmes d Information"

Transcription

1 Politique de Sécurité des Systèmes d Information

2 Sommaire 1 PREAMBULE CONTEXTE ORIENTATION STRATEGIQUE PERIMETRE ENJEUX DE LA PSSI AU CONSEIL DE L EUROPE LES BESOINS DE SECURITE PRINCIPES ET REGLES DE SECURITE ORGANISATION DE LA SECURITE POLITIQUE DE SECURITE GESTION DES BIENS DU CONSEIL DE L EUROPE SECURITE LIEE AUX RESSOURCES HUMAINES SECURITE PHYSIQUE ET ENVIRONNEMENTALE GESTION DE L EXPLOITATION ET DES TELECOMMUNICATIONS CONTROLE D ACCES ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES D INFORMATION GESTION DES INCIDENTS GESTION DE LA CONTINUITE D ACTIVITE INFORMATIQUE CONFORMITE LEXIQUE

3 1 PREAMBULE Ce document constitue le référentiel, aussi appelé «Politique de Sécurité des Systèmes d Information» du Conseil de l Europe (CdE). Il est construit à partir du «guide pour l'élaboration d'une Politique de Sécurité des Systèmes d Information» de l Agence Nationale de la Sécurité des Systèmes d Information (ex Direction Centrale de la Sécurité des Systèmes d Information) et suit la structure en chapitres de la norme ISO Il traduit en termes applicables la volonté et les exigences de l Organisation pour mettre en œuvre les moyens permettant de protéger de la manière la plus efficace le patrimoine que représentent les Systèmes d Information, avec tous ses biens (informations et leurs différents moyens de partage, de traitement, d échange et de stockage), et de préserver son fonctionnement en tant qu outil de production pour les utilisateurs. 3

4 2 CONTEXTE Le CdE dispose d un patrimoine d informations sensibles constituant l un de ses actifs les plus importants, sur lequel reposent son image et sa capacité à maintenir et développer ses activités et ses publications. Il recouvre : le patrimoine intellectuel, composé de toutes les informations concourant à son savoir et son savoir-faire, par exemple, ses travaux de préparation des sessions, ses futures publications, etc., les informations relatives à ses clients, ses partenaires ou tout autre tiers avec lesquels il est en relation, dont l altération ou la divulgation pourrait porter atteinte à son image, les informations relatives à son personnel, telles que les dossiers administratifs ou d appréciation, dont la divulgation constituerait une violation de la vie privée, la protection de ce patrimoine nécessite la prise en considération d un contexte organisationnel et technique complexe caractérisé par : - la répartition fonctionnelle et géographique (internationale) de l Organisation, - une utilisation importante de technologies hétérogènes et ouvertes offrant des moyens de communication puissants, internes comme externes, - une diversité importante de populations d utilisateurs induisant des comportements multiples et des attentes différentes, - des relations institutionnelles avec les Etats membres. 3 ORIENTATION STRATEGIQUE La stratégie de Sécurité des Systèmes d Information du CdE est axée sur une notion d ouverture. Par ouverture, il est entendu que toute information est par défaut considérée comme publique au sein du CdE, c'est-à-dire accessible depuis des outils de recherche. Ensuite, la personne propriétaire du bien (données, documents, matériels, logiciels, processus) est responsable de son niveau de confidentialité. Elle peut en complément, déterminer et demander des actions, afin de le rendre : - intègre / probant - disponible - tracé Cette orientation a pour objectif de faciliter la productivité, la communication et d éviter une surprotection des informations, tout en offrant la possibilité de sécuriser des informations jugées sensibles. 4

5 4 PERIMETRE La Politique de Sécurité des Systèmes d Information s applique à l ensemble des SI du CdE. Elle comprend l ensemble des moyens humains, techniques et organisationnels permettant, en support à l activité, de créer, de conserver, d échanger et de partager des informations entre les acteurs internes et tiers de l Organisation, quelle que soit la forme sous laquelle elles sont exploitées (électroniques, imprimées, manuscrites, vocales, images etc.). Elle complète l instruction 47 recensant les droits et devoirs des utilisateurs. La politique de sécurité concerne l ensemble des activités et des métiers du CdE, quels que soient leurs lieux d implantation. Elle s applique à : l ensemble des personnels autorisés à accéder, utiliser ou traiter, au niveau fonctionnel ou technique, des informations ou des biens des Systèmes d Information du CdE ; l ensemble des entités et des accords partiels du CdE ; l ensemble des tiers, dès lors qu ils utilisent les Systèmes d Information du CdE ou que leurs propres Systèmes d Information sont reliés au réseau informatique du CdE; l ensemble du patrimoine informationnel du CdE quel qu en soit le support ou la nature ; tous les composants matériel et logiciel des Systèmes d Information, et en particulier : les applications, processus de traitement, bases de données et les serveurs qui les hébergent, les réseaux de communication, et particulièrement les interconnexions avec les tiers du CdE, les systèmes externes utilisés ou connectés aux systèmes du CdE, les moyens et environnements techniques de fonctionnement des équipements, à l ensemble des procédures et modes opératoires de production et d échange d informations, quelle qu en soit la nature (données, voix, images, papier, etc.), aux bâtiments et locaux hébergeant les ressources humaines, les archives et les moyens informatiques du CdE. 5

6 5 ENJEUX DE LA PSSI AU CONSEIL DE L EUROPE La Sécurité des Systèmes d Information (SSI) s impose comme une composante essentielle de la protection du CdE dans ses intérêts propres et dans ceux liés à des enjeux internationaux relatifs à son activité. Face aux risques encourus, et dans le contexte fonctionnel et organisationnel propre au CdE, il convient d identifier ce qui doit être protégé, de quantifier l enjeu correspondant, de formuler des objectifs de sécurité et d identifier, arbitrer et mettre en œuvre les parades adaptées au juste niveau de sécurité retenu. Cela passe prioritairement par la définition et la mise en place au sein du CdE d une «Politique de Sécurité des Systèmes d Information» (PSSI) prenant en compte les principaux risques identifiés lors de la phase d analyse des activités métiers : risque d indisponibilité des informations et des systèmes les traitant (intrusion, vol, destruction, panne, déni de service), risque de divulgation perte de la confidentialité accidentelle ou volontaire des informations sensibles comme les données personnelles, les documents de préparation des sessions, les informations relevant des activités de monitoring, risque d altération perte d intégrité notamment dans le cadre des publications réalisées par le Conseil de l Europe. Elle a pour objectifs de : définir la cible en terme de gestion de la Sécurité des Systèmes d Information, organiser la sécurité, fédérer les entités autour du thème de la sécurité, savoir mesurer la sécurité, améliorer la sécurité au quotidien. Celle-ci se déclinera ensuite au niveau de chaque entité entrant dans le périmètre de la PSSI par un approfondissement du contexte (enjeux, menaces, besoins) et une explicitation des dispositions de mise en œuvre, au travers d un plan d action SSI et procédures de sécurité opérationnelles adaptées aux spécificités de chacun. Schéma de déclinaison de la PSSI : 6

7 6 LES BESOINS DE SECURITE La sécurité des Systèmes d Information repose sur quatre critères (DICT) : Disponibilité : garantir que les éléments considérés (fichiers, messages, applications, services) sont accessibles au moment voulu par les personnes autorisées. Intégrité : garantir que les éléments considérés (données, messages ) sont exacts et complets et qu ils n ont pas été modifiés. Confidentialité : garantir que seules les personnes autorisées ont accès aux éléments considérés (applications, fichiers ). traçabilité : garantir que les accès et tentatives d'accès aux informations sont tracés et que ces traces sont conservées et exploitables en temps voulu. 7

8 7 PRINCIPES ET REGLES DE SECURITE 7.1 Organisation de la Sécurité Organisation interne OBJECTIFS : Gérer, suivre et garantir la sécurité de l'information au sein du CdE de manière transversale. Définir les responsabilités et les rôles des différents acteurs de la sécurité. Schéma général de l organisation : Le Comité d Organisation de la Sécurité de l Information (COSI) : 8

9 Le COSI est composé du Responsable Sécurité des Systèmes d Information, d un collaborateur de l audit interne et de référents présents dans chacune des entités suivantes entrant dans le périmètre de la PSSI Le COSI est chargé de la définition, de l approbation, de la communication et de l'évolution de la PSSI Le COSI produit et valide un plan de communication de la PSSI et de ses règles de sécurité Le COSI est en charge de gérer les exceptions (événement non pris en compte dans la PSSI) ayant un impact sur la sécurité des Systèmes d Information du CdE Le COSI a également pour objectif d effectuer des retours d expérience et d échanger sur les pratiques de chacun dans le domaine de la sécurité des Systèmes d Information Le COSI planifie et exerce un contrôle annuel des dispositions prises. Ce contrôle est assuré par des audits de sécurité effectués en interne par le RSSI à la DIT ou les référents Sécurité ou alors confiés à des organismes tiers spécialisés devant vérifier l'application des règles définies dans la PSSI Dans l objectif de gérer la sécurité de manière transversale au sein du CdE, le RSSI rencontre régulièrement les différents référents sécurité du COSI (cf. schéma organisation de la sécurité). Il s agit de réaliser régulièrement un point d avancement sur les projets sécurité relatifs à leur périmètre d activité et d échanger sur les pratiques de sécurité mises en place Des indicateurs transversaux de suivi d avancement des projets de la PSSI sont complétés et approuvés par l ensemble des membres du COSI Le COSI dispose d un espace d échange interne permettant d assurer une communication transversale et un partage d information optimal entre les entités (problèmes, incidents, vulnérabilité, etc.). Gestion de crise Le processus et l organisation de gestion de crise sont identifiés localement au niveau de chaque entité, mais également au sein du COSI en cas de crise transverse. Ce document décrit comment les entités informatiques du CdE doivent réagir face à une crise, et cela de façon rapide et cohérente en utilisant une communication simple et transparente, dénuée de tout jargon informatique. 9

10 Responsable sécurité des Systèmes d Information Le Responsable Sécurité des Systèmes d Information (RSSI) du CdE est désigné par la définition de sa fiche de poste précisant son périmètre d'action, ses responsabilités et ses moyens d'action. Il veille à la sécurité des Systèmes d Information conformément à des grandes orientations et priorités et dans un souci de qualité, d efficience et de précision Le RSSI a un rôle de coordination pour la mise en œuvre et l'application de la PSSI du CdE. Il n'intervient pas directement au niveau opérationnel en tant que maître d'œuvre des projets de sécurité, mais : coordonne la gestion quotidienne de la fonction Sécurité, participe à l homogénéisation du niveau de sécurité, pilote la sécurité au niveau de la DIT, se tient informé de l état de l art en matière de TIC En collaboration avec les autres membres du COSI, le RSSI développe des contacts avec les spécialistes externes au CdE, afin d assurer une veille technologique en matière de protection des informations. Les référents Les référents sécurité assurent la responsabilité de la sécurité dans leur périmètre technique ou leur entité. Ils veillent au quotidien à l'application des procédures de sécurité pour la partie technique de l'exploitation systèmes, réseaux, postes de travail et applicatifs. Ils sont responsables de la mise en œuvre de la PSSI et du plan d action sécurité dans leur périmètre Ils assurent une veille sécurité (faille de sécurité, vulnérabilité, exploitations de vulnérabilités, etc.) en fonction de leur périmètre d intervention afin de garantir le maintien du niveau de sécurité (poste de travail, système, réseau, etc.) Le CdE désigne des responsables sécurité des sites chargés de la sécurité physique ou des personnes. En collaboration avec le RSSI et les autres référents sécurité, ils assurent la sécurité des locaux techniques et des environnements de travail Gestion des tiers de chacune des entités OBJECTIF : Assurer la sécurité de l'information et des moyens de traitement de l'information appartenant au CdE et consultés, communiqués ou gérés par des tiers. 10

11 Les risques doivent être évalués par le RSSI ou le référent sécurité de l entité en question préalablement à la collaboration avec un tiers afin de déterminer les impacts sécurité et les mesures nécessaires lorsque la CdE doit : collaborer avec des tiers et leur autoriser l'accès aux informations ou aux moyens de traitement (accès aux bureaux, salles des machines, dossiers papiers, accès logique interne ou externe), obtenir un produit ou un service d'un tiers, ou lui fournir un produit ou un service L accès aux tiers ne doit être autorisé qu aux systèmes utiles à la réalisation de leur travail dans la limite des attributions de chacun. La procédure d accès est validée par le RSSI à la DIT ou le référent sécurité de l entité en question Tous les contrats avec des tiers doivent comporter un volet sécurité qui précise les règles de la PSSI du CdE. Ce volet devra notamment mentionner l'obligation de faire signer un engagement de responsabilité et de confidentialité à leur personnel devant accéder à des données sensibles Le CdE confie à des tiers la gestion et le contrôle de toute ou partie de son système d information, de son infrastructure de traitement de l information (réseaux, postes de travail, etc.), il intègre dans le contrat de sous-traitance ses exigences de sécurité, à savoir : le respect des exigences légales, dont la protection des données à caractère personnel, les responsabilités en matière de sécurité pour l Organisation et pour le sous-traitant, la vérification du respect des exigences de confidentialité et d intégrité des informations, les mesures de contrôle d accès physique et logique à mettre en place et à respecter, les mesures de continuité de service en cas de survenance d un sinistre, le niveau de protection physique des matériels confiés à des tiers, le droit d audit de l application des procédures et des installations de sécurité. 11

12 7.2 Politique de sécurité Politique de Sécurité des Systèmes d Information OBJECTIF : Doter l établissement d une Politique de Sécurité des Systèmes d Information publiée, remise à jour régulièrement et soutenue par le COSI, afin d apporter à la sécurité de l'information une orientation conforme aux exigences métier et règlements en vigueur La PSSI, approuvée par le COSI, est publiée et diffusée auprès de l'ensemble des salariés et des tiers concernés La PSSI s'applique à l'ensemble des utilisateurs des Systèmes d Information Le document PSSI est revu à intervalle régulier par le COSI La PSSI est systématiquement réexaminée à chaque changement organisationnel de l'activité ou de l'environnement technique Un plan d action est établit après réexamen afin de combler les écarts La PSSI a, dans chaque entité, un responsable (RSSI ou référent sécurité) de sa mise en œuvre, de son suivi et de son évolution. Il assure l examen périodique de la mise en œuvre de la politique de sécurité en termes : d amélioration des dispositifs de sécurité des Systèmes d Information, de diminution des incidents et de leurs impacts sur le fonctionnement de l établissement (diminution des arrêts, diminution des pertes de données ), de prise en compte de l évolution des activités et de l Organisation, ainsi que des nouveaux risques pesant sur les Systèmes d Information de l Organisation. de mise au point des outils pour préserver l intégrité des informations archivées. 12

13 7.3 Gestion des biens du Conseil de l Europe Inventaire et responsabilités relatives aux biens OBJECTIFS : Inventorier et identifier la durée d utilité administrative pour ensuite mettre en place et maintenir une protection appropriée des biens du CdE. Identifier et inventorier tous les biens nécessaires à la gestion des informations. Pour chacune d entre elles, un responsable doit être identifié. Celui-ci est chargé de faire appliquer la politique de sécurité pour ses biens. L inventaire des ressources est un élément fondamental de la gestion des risques, indépendamment de l utilité qu il peut avoir pour d autres activités du Conseil de l Europe (publication, gestion des données personnelles ). En effet, les mesures de sécurité adéquates ne peuvent être mises en œuvre que si les éléments à protéger sont connus Chaque entité établit un inventaire des biens et le met à jour régulièrement pour chacun de ses Systèmes d Information. Chaque bien doit être clairement identifié et documenté (localisation ) conformément aux recommandations du COSI L ensemble des applications installé sur les postes de travail doit être suivi et maitrisé Une cartographie des applications est formalisée et régulièrement mise à jour en fonction des nouvelles applications et de celles sortant du périmètre. Cette cartographie applicative est nécessaire dans le cadre de projets structurants, comme la mise en place du Single-Sign-On, un Plan de Continuité d Activité ou tout autre projet en lien avec un ensemble d applications Les responsables des biens inventoriées présents dans le périmètre préconisé par le COSI, doivent clairement être identifiés, tout comme la personne chargée de mettre à jour des caractéristiques du bien et de maintenir des mesures de sécurité appropriées sur le bien concernée. 13

14 7.3.2 Classification des biens OBJECTIF : Attribuer le niveau de protection requis pour chaque bien des Systèmes d Information Une classification qui attribue les besoins et priorités de protection est établie. Cette classification repose sur les 4 axes correspondant aux besoins en termes de Disponibilité, d Intégrité, de Confidentialité et de Traçabilité (DICT). La classification des biens s appuie sur la procédure opérationnelle de classification des biens Il convient de classifier les biens sensibles pour indiquer le besoin, les priorités et le degré souhaité de protection lors de leur usage A tout bien, et en particulier toute information sensible, doit être associé sa classification de sécurité (sur les 4 axes DICT) La sensibilité d un bien évolue dans le temps. Chaque responsable de biens des Systèmes d Information doit donc périodiquement revoir la classification des biens dont il a la responsabilité. 14

15 7.4 Sécurité liée aux ressources humaines OBJECTIFS : Garantir que les utilisateurs connaissent les responsabilités en terme de sécurité. Réduire les risques d accident, d erreur et/ou de malveillance en intégrant les principes de sécurité dans la gestion des ressources humaines, du recrutement à la fin de collaboration, Veiller à ce que les agents, contractants et utilisateurs tiers quittent le CdE ou changent de poste selon une procédure définie et diffusée Un rappel sur les obligations en matière de respect du secret professionnel et sur les clauses de confidentialité est inscrit dans le contrat des agents du CdE L «Instruction 47», présentant les limitations générales à l utilisation des Systèmes d Information du CdE, les droits et obligations des utilisateurs, les contrôles réalisés par les entités informatiques et les conséquences en cas de non respect des règles, est transmise à chaque utilisateur lors de son arrivée. Ce document est porté à la connaissance de tout nouvel agent, qu il soit embauché à titre temporaire, à titre définitif ou en tant qu externe En cas de non-respect de la présente Politique de Sécurité des Systèmes d Information, des mesures disciplinaires seront, le cas échéant, prises conformément aux règles contenues dans le Statut du Personnel Lors de son arrivée, chaque utilisateur est sensibilisé à la sécurité par l entité lui fournissant l accès aux SI. Cette sensibilisation présente le CdE et les grands principes de la PSSI. Elle est effectuée avant que l'accès à l'information ou au service ne soit donné. L utilisateur est également averti des conséquences pénales de toute utilisation de moyens de traitement de l'information à des fins illégales Au cours de séances de sensibilisation à la sécurité, les utilisateurs sont sensibilisés à leurs responsabilités et aux bonnes pratiques sécuritaires concernant l utilisation des Systèmes d Information Des actions régulières de sensibilisation sont menées au niveau local et européen par les référents et le RSSI par le biais de lettres de communication, de news via l intranet ou d événements spécifiques (séminaire, petit déjeuner thématique, etc) La procédure de départ ou de changement de poste mise en place comprend : la suppression des droits d'accès, la reprise des matériels, la suppression des données stockées sur le réseau. 15

16 7.5 Sécurité physique et environnementale Protection des zones sécurisées OBJECTIF : Veiller que seules les personnes habilitées aient accès aux bâtiments, aux locaux techniques et locaux d archives du CdE et que les accès soient tracés Seules les personnes habilitées, enregistrées ou inscrites dans un registre des visites peuvent accéder aux sites. Un contrôle d accès est mis en place à l entrée de chaque site. L ensemble des personnes accédant aux sites du CdE (visiteurs, résidents, internes) se voient attribuer un badge permettant de les identifier Les intervenants tiers non habilités par contrat et les visiteurs sont accompagnés par une personne habilitée, qui assume la responsabilité de leurs actions L'accès aux locaux techniques et d archives est nominatif et n est autorisé qu'aux personnes habilitées par le RSSI à la DIT ou le référent sécurité des autres entités. Les personnes habilitées sont enregistrées et les accès journalisés La liste des personnels autorisés est régulièrement vérifiée par le RSSI à la DIT ou le référent sécurité de chaque entité en collaboration avec les responsables de la sécurité des sites du CdE Certaines zones de travail peuvent faire l'objet de conditions d'accès particulières. Ces règles sont affichées à l'entrée de la zone de l entité manipulant des données sensibles Les textes règlementaires sur l'accès et les règles d utilisation des archives physiques sont régulièrement maintenus à jour par les archives centrales du CdE Protection des matériels et supports papier OBJECTIFS : 16

17 Assurer la protection et la disponibilité des équipements sensibles. Assurer une sécurité environnementale homogène (incendie, climatisation, inondation) des salles serveurs Les éléments non dématérialisés, comme les vidéos ou les archives, doivent être stockés dans des locaux adéquats, afin de les protéger contre le vol, les incendies, l humidité et les inondations Tous les équipements informatiques qui sont répertoriés comme importants ou vitaux pour le CdE sont installés dans des locaux sûrs, appelés salle blanche ou locaux techniques La protection des équipements sensibles est réalisée par des mesures de prévention et/ou de protection en fonction de leur sensibilité (protection incendie, climatisation, secours électrique par onduleur) Le matériel sensible (serveurs, équipements réseaux) doit être protégé contre les perturbations de l'alimentation électrique (surtension par exemple) et disposer d'une alimentation électrique de secours lui permettant de garantir la disponibilité du service attendu Des visites et des tests réguliers des solutions de protection physique des salles informatiques sont réalisés par le RSSI à la DIT ou le référent sécurité de chaque entité. Ils travaillent en collaboration avec les experts internes et des sociétés tierces, afin de garantir l homogénéité et l efficacité des solutions Pour les biens classifiés sensibles, un contrat de maintenance est conclu avec un délai d'intervention ou de remplacement garanti, compatible avec les exigences de disponibilité et d'intégrité du bien S agissant des matériels nomades propriétés du CdE, personnels ou en libre service, accédant aux SI ou stockant des informations du CdE, un guide de bonnes pratiques d utilisation (suppression des traces, sauvegarde des données, suppression des données au retour, etc.) est formalisé et communiqué à l ensemble des utilisateurs susceptibles d utiliser ce type d accès. Ce référentiel est validé par le COSI. 17

18 7.6 Gestion de l exploitation et des télécommunications Procédures et responsabilités liées à l exploitation OBJECTIF : Assurer l exploitation correcte et sécurisée des moyens de traitement de l information Les procédures d exploitation (système, réseau, poste de travail, application) sont formalisées, partagées et les responsabilités associées (suivi, approbation, mise à jour) sont définies La documentation des Systèmes d Information (architecture, fonctionnement, procédures) est sauvegardée et son accès est réservé au personnel habilité Pour chaque système sensible, des cahiers d'exploitation doivent être formalisés et doivent comprendre : le suivi des mises à jour de logiciels, la modification de paramètres, Les erreurs systèmes et actions correctives prises Les cahiers d'exploitation doivent faire l'objet de contrôles réguliers par rapport aux procédures d'exploitation Le processus de modifications majeures des Systèmes d Information (ouverture vers l extérieur, modification de l architecture, ajout d une application critique) doit faire l objet d une analyse des risques et d une validation du référent sécurité associé Sécurité liée à l exploitation OBJECTIFS : Suivre les événements systèmes. Assurer le bon fonctionnement des SI. Détecter et analyser un dysfonctionnement. 18

19 Les équipements des Systèmes d Information sont surveillés en temps réel. Les principales informations concernant la disponibilité des services, la charge système et les espaces disques sont consolidées. En cas de dysfonctionnement, une alerte est remontée au référent sécurité adéquat, puis, en fonction de la criticité, au RSSI à la DIT ou au référent sécurité de chaque entité Le traçage des évènements (ou logs) sur les systèmes doit être activé partout où il est disponible et pertinent Une norme concernant la mise en place des logs sur l ensemble des systèmes est définie, elle permet de garantir leur exploitation dans le temps La collecte et la conservation des traces doivent être faites de manière à permettre leur utilisation comme élément de preuve aussi probant que possible Le processus de gestion des changements (mise à jour des correctifs et mise à jour de sécurité) est formalisé et mis en production sur l ensemble des équipements systèmes, réseaux, des postes de travail et des logiciels Les délais d applications des changements / mises à jour mineurs et majeurs applicatifs et systèmes sont définis par le référent sécurité associé Les matériels et systèmes obsolètes doivent être clairement identifiés et doivent faire l objet d une analyse des risques par le référent sécurité associé Protection contre les malveillances OBJECTIFS : Protéger l intégrité des logiciels et de l information. Contrôler et filtrer l accès internet. 19

20 Tous les serveurs et postes de travail doivent être protégés et supervisés afin de garantir l intégrité des informations (données, configuration, etc.) Chaque entité informatique possède un processus de traitement des infections. Elle réalise un reporting centralisant les statistiques d infection, dont la fréquence est définie par le COSI, à destination du RSSI à la DIT ou du référent sécurité de chaque entité Les protocoles réseaux autorisés et non autorisés doivent être identifiés et mis en production sur les équipements de sécurité périmétrique et de réseaux internes permettant leur cloisonnement Toute connexion distante (sites distants, bureaux extérieurs, OWA, tiers, etc.) doit être réalisée en utilisant une solution permettant le chiffrement des flux La liste des flux réseaux entrant et sortant autorisés est formalisée. Tous les flux n étant pas décrits dans ce référentiel sont interdits Les connexions internet des utilisateurs sont filtrées et journalisées. Une liste des sites non autorisés est établie et remise à jour régulièrement par le référent sécurité en charge de ces aspects Sauvegarde OBJECTIF : Maintenir l intégrité et la disponibilité des informations et garantir leur restauration Une politique de sauvegarde est formalisée et validée par les référents sécurité en charge de ces aspects. Elle prend en compte : le responsable de la sauvegarde, la fréquence, Le type (complète, incrémentale, différentielle), le support (bande, disque), la durée de rétention, des tests réguliers de restauration d une sauvegarde / contrôle de l intégrité des données sauvegardées. 20

21 Les données sauvegardées doivent être délocalisées dans un local sécurisé (cf. 7.5) distant de l environnement de production La politique de sauvegarde est régulièrement revue et mise à jour par le RSSI à la DIT ou le référent sécurité de chaque entité et les responsables des sauvegardes La politique de sauvegarde est communiquée de manière synthétique aux agents du CdE Sécurité de l information et des supports OBJECTIFS : Garantir la confidentialité des données stockées et échangées au sein du CdE et avec des tiers. Empêcher la divulgation, la modification, le retrait ou la destruction non autorisés de biens Les propriétaires d'information doivent définir les profils d'accès aux informations. Ces profils doivent distinguer les droits en lecture seule ou en lecture/écriture Les utilisateurs doivent être sensibilisés à la mise en œuvre d un ensemble de bonnes pratiques concernant les protections des documents physiques sensibles, par exemple : ne doivent être sortis que les documents utiles, quand ils ne sont plus utilisés, ils sont enfermés dans des armoires ou des coffresforts adaptés au niveau de sécurité requis, la destruction est réalisée au moyen de destructeurs de documents / broyeurs, les documents sensibles ne sont pas laissés sur les imprimantes réseau sans surveillance, les faxs sont immédiatement récupérés Le processus de restitution des biens est formalisé, il prévoit la remise de l ensemble des biens appartenant au CdE et, sauf en cas de demande de sa hiérarchie, la suppression des données présentes sur l ensemble des supports Lors du remplacement ou de la mise à la réforme des appareils de type fax, copieur, etc., les supports de stockage qu ils contiennent doivent faire l objet d une gestion particulière, notamment pour ce qui concerne l effacement sécurisé des données. 21

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

MAINTENANCE DISTRIBUTIONSi SOLUTION INFORMATIQUE

MAINTENANCE DISTRIBUTIONSi SOLUTION INFORMATIQUE MAINTENANCE DISTRIBUTION SOLUTION INFORMATIQUE MAINTENANCE DISTRIBUTION SOLUTION INFORMATIQUE Disponibilité, accompagnement, partenaire unique, engagements de services... concentrez-vous sur votre métier,

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56 CHARTE ADMINISTRATEUR CORRELYCE Version du 31/08/2007 10:56 Table des matières 1. CONTEXTE... 3 2. OBJET... 3 3. REFERENTIEL... 3 4. PREROGATIVES DE L ADMINISTRATEUR SYSTEME CORRELYCE... 4 4.1 DROIT D

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI)

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI) POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI) Date : 15.06.2011 Version : 1.0 Auteur : DSI Statut : Approuvé Classification : Publique Destinataires : ACV TABLE DES MATIÈRES 1 RESUME

Plus en détail

COMMISSION SCOLAIRE DE LA BEAUCE-ETCHEMIN Page 1 de 7 POLITIQUE DE GESTION DES DOCUMENTS POLITIQUE DE GESTION DES DOCUMENTS

COMMISSION SCOLAIRE DE LA BEAUCE-ETCHEMIN Page 1 de 7 POLITIQUE DE GESTION DES DOCUMENTS POLITIQUE DE GESTION DES DOCUMENTS COMMISSION SCOLAIRE DE LA BEAUCE-ETCHEMIN Page 1 de 7 1.0 PRÉAMBULE La présente politique est fondée sur les éléments suivants : Tel que stipulé dans la Loi sur les archives, la Commission scolaire doit

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,

Plus en détail

Le management environnemental

Le management environnemental Le management environnemental L application de la norme Iso14001 USTV Cambrai, année 2008-09 Management environnemental Iso 14001 n 1 Le management environnemental La norme Iso 14001 Ce qu elle est / n

Plus en détail

«écosystème» TIC en EPLE

«écosystème» TIC en EPLE «écosystème» TIC en EPLE Séminaire DUNE «Numérique responsable» Académie de Créteil Février 2013 Document publié sous licence D un point de vue C2i2e Domaine A1 «Maîtrise de l'environnement numérique professionnel»

Plus en détail

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES LOT 2 Fourniture et installation d un système de GED pour la Mairie de La Wantzenau. Fiche technique Cahier des Charges

Plus en détail

ANNEXE 1. PSSI Préfecture de l'ain. Clause de sécurité à intégrer dans les contrats de location copieurs

ANNEXE 1. PSSI Préfecture de l'ain. Clause de sécurité à intégrer dans les contrats de location copieurs ANNEXE 1 PSSI Préfecture de l'ain Clause de sécurité à intégrer dans les contrats de location copieurs Sommaire 1 - Configuration...2 1.1 - Suppression des interfaces, services et protocoles inutiles...2

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur :

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur : COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 30/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Responsable d affaires I OBJECTIF PROFESSIONNEL

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Exigences V2014 de la certification «Les systèmes d information»

Exigences V2014 de la certification «Les systèmes d information» Exigences V2014 de la certification «Les systèmes d information» G. Hatem Gantzer Hôpital de Saint Denis Séminaire AUDIPOG 9/4/2015 Les autres points clés de la certification impactés par le SI Le dossier

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Modalité de gestion et d utilisation du cluster de calcul de l UMR AGAP

Modalité de gestion et d utilisation du cluster de calcul de l UMR AGAP 27/01/2014 Page 1 sur 5 Modalité de gestion et d utilisation du cluster de calcul de l UMR AGAP Historique des versions Référence : Gestionnaire : qualité Version date de version Historique des modifications

Plus en détail

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information : Annonces internes Sonatrach recherche pour sa DC Informatique et Système d Information : Un Directeur Système d Information Système d Information Gestion Système d Information Métier Décisionnel et Portail

Plus en détail

dans un contexte d infogérance J-François MAHE Gie GIPS

dans un contexte d infogérance J-François MAHE Gie GIPS Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

POLITIQUE GENERALE DE LA SECURITE ET DE LA PROTECTION DES DONNEES A LA CRAMIF DOCUMENT PUBLIC

POLITIQUE GENERALE DE LA SECURITE ET DE LA PROTECTION DES DONNEES A LA CRAMIF DOCUMENT PUBLIC POLITIQUE GENERALE DE LA SECURITE ET DE LA PROTECTION DES DONNEES A LA CRAMIF DOCUMENT Version 1 du 13 mai 2015 SOMMAIRE Page 1 Présentation du document et enjeux... 3 2 Le contexte applicable... 4 2.1

Plus en détail

Identification du document. Référence. ASIP_PGSSI_Referentiel_Destruction_Donnees_V0.0.4.Docx. Version V 0.0.4. Nombre de pages 9

Identification du document. Référence. ASIP_PGSSI_Referentiel_Destruction_Donnees_V0.0.4.Docx. Version V 0.0.4. Nombre de pages 9 PGSSI - Politique générale de sécurité des systèmes d information de santé Règles de destruction de données lors du transfert de matériels informatiques des Systèmes d Information de Santé (SIS) «ASIP

Plus en détail

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,

Plus en détail

POLITIQUE DE SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

POLITIQUE DE SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC POLITIQUE DE SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC ADOPTÉ PAR LE CONSEIL D ADMINISTRATION LE 18 JUIN 2010 / RÉSOLUTION N O 1880 Page 1 de 7 PRÉAMBULE La présente politique est adoptée par le conseil

Plus en détail

Chapitre 5 La sécurité des données

Chapitre 5 La sécurité des données 187 Chapitre 5 La sécurité des données 1. Les risques de perte des données La sécurité des données La sauvegarde des données est essentielle pour une entreprise, quelle que soit sa taille, à partir du

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Responsable du département. Production / Infrastructures

Responsable du département. Production / Infrastructures Page 1 sur 9 Nom Fonction REDACTEUR VERIFICATEUR APPROBATEUR Martine Véniard Directeur du système d information Directeur du personnel Direction générale Date 1/01/2016 Signature Sources : Répertoire des

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Administrateur (trice) / Gestionnaire de systèmes et réseaux informatiques

REFERENTIEL DU CQPM. TITRE DU CQPM : Administrateur (trice) / Gestionnaire de systèmes et réseaux informatiques COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LA METALLURGIE Qualification : Catégorie : C Dernière modification : 30/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Administrateur (trice) / Gestionnaire de

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

40 règles «d hygiène informatique» pour assurer la sécurité informatique d un cabinet/service d imagerie médicale

40 règles «d hygiène informatique» pour assurer la sécurité informatique d un cabinet/service d imagerie médicale 40 règles «d hygiène informatique» pour assurer la sécurité informatique d un cabinet/service d imagerie médicale Le système d information (RIS, PACS, internet, ) est au cœur de l organisation de tout

Plus en détail

Yourcegid Fiscalité On Demand

Yourcegid Fiscalité On Demand Yourcegid Fiscalité On Demand LS -YC Fiscalité - OD - 06/2012 LIVRET SERVICE YOURCEGID FISCALITE ON DEMAND ARTICLE 1 : OBJET Le présent Livret Service fait partie intégrante du Contrat et ce conformément

Plus en détail

RECUEIL POLITIQUE DES

RECUEIL POLITIQUE DES RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) Adoptée par le Conseil d'administration

Plus en détail

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

Les métiers de l assistanat Evolutions Compétences - Parcours

Les métiers de l assistanat Evolutions Compétences - Parcours Les métiers de l assistanat Evolutions Compétences - Parcours Neuf pôles d activité La majorité des assistantes ont des activités couvrant ces différents pôles, à des niveaux différents, à l exception

Plus en détail

PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE

PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE Référentiel de certification du Baccalauréat professionnel GESTION ADMINISTRATION PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE 1 Le référentiel de certification du Baccalauréat GESTION ADMINISTRATION Architecture

Plus en détail

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT LA SECURITE DU PATRIMOINE NUMERIQUE, DBB Groupe ICT Plan LA SECURITE DU PATRIMOINE NUMERIQUE, Le Patrimoine informationnel Menaces & Conséquences Responsabilité du Chef d Entreprise Comment répondre aux

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

GUIDE ASSISTANT DE PREVENTION

GUIDE ASSISTANT DE PREVENTION GUIDE ASSISTANT DE PREVENTION SOMMAIRE PROFIL DE RECRUTEMENT - STATUT... 1 LES QUALITES ATTENDUES LA FORMATION... 1 ROLE, MISSIONS ET CHAMP D INTERVENTION... 1 A. Rôle et champ d intervention... 1 B. Les

Plus en détail

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012 Cahier des charges MAINTENANCE INFORMATIQUE Mai 2013 Table des matières Sommaire 1 Introduction... 3 1.1 Objectifs...

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

2. Les droits des salariés en matière de données personnelles

2. Les droits des salariés en matière de données personnelles QUESTIONS/ REPONSES PROTECTION DES DONNEES PERSONNELLES Ce FAQ contient les trois parties suivantes : La première partie traite des notions générales en matière de protection des données personnelles,

Plus en détail

CQP Animateur(trice) d équipe de logistique des industries chimiques. Référentiels d activités et de compétences Référentiel de certification

CQP Animateur(trice) d équipe de logistique des industries chimiques. Référentiels d activités et de compétences Référentiel de certification CQP Animateur(trice) d équipe de logistique des industries chimiques Référentiels d activités et de compétences Référentiel de certification Désignation du métier ou des composantes du métier en lien avec

Plus en détail

Systèmes d information

Systèmes d information 11 Systèmes Cette famille rassemble des métiers dont la finalité est de concevoir, développer, exploiter et entretenir des solutions (logicielles et matérielles) répondant aux besoins collectifs et individuels

Plus en détail

Eric CIOTTI Président du Conseil général des Alpes-Maritimes

Eric CIOTTI Président du Conseil général des Alpes-Maritimes A sa création, en 2005, la FORCE 06, rattachée à l ONF, constituait une unité de forestiers-sapeurs dédiée aux travaux d entretien des infrastructures de Défense des Forêts Contre l Incendie (DFCI) et

Plus en détail

Principes de base et aspects techniques

Principes de base et aspects techniques HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques

Plus en détail

ITIL Gestion de la continuité des services informatiques

ITIL Gestion de la continuité des services informatiques ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques

Plus en détail

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - 145-147 rue Yves Le Coz 78 000 Versailles Tél. : 01.39.24.16.66 Fax : 01.39.24.16.67

Plus en détail

Comment protéger ses systèmes d'information légalement et à moindre coût?

Comment protéger ses systèmes d'information légalement et à moindre coût? Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

PARC ET RESSOURCES INFORMATIQUES POLITIQUE DE GESTION

PARC ET RESSOURCES INFORMATIQUES POLITIQUE DE GESTION Le 27/08/2014 Gestion du parc informatique de l école Jean Moulin Page 1 sur 5 PARC ET RESSOURCES INFORMATIQUES DE L ÉCOLE PRIMAIRE JEAN-MOULIN : POLITIQUE DE GESTION Synthèse : Pour garder des outils

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX

Plus en détail

3. Guide Technique Type de l «utilisateur»

3. Guide Technique Type de l «utilisateur» 3. Guide Technique Type de l «utilisateur» Sommaire 1. Préambule.......................... page 25 2. Champ d application................... page 25 3. Procédures de sécurité................. page 25 3.1

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Choisissez un pôle d activité ou un profil et cliquez

Choisissez un pôle d activité ou un profil et cliquez Organisation et planification des activités du service Gestion des ressources matérielles Gestion et coordination des informations Relations professionnelles Rédaction et mise en forme de documents professionnels

Plus en détail

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES SDTICE/SDITE Version : 1.0 - Date création : 09/01/09 1. Périmètre des S2i2e Les S2i2e ont pour objectif principal

Plus en détail

FAIRE FACE A UN SINISTRE INFORMATIQUE

FAIRE FACE A UN SINISTRE INFORMATIQUE FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation

Plus en détail

TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications

TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications NO 1 Adoption par la direction générale : Date : Le 1 er octobre 2003 Dernière révision : 01/10/03

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

APX Solution de Consolidation de Sauvegarde, restauration et Archivage

APX Solution de Consolidation de Sauvegarde, restauration et Archivage APX Solution de Consolidation de Sauvegarde, restauration et Archivage APX vous accompagne de la Conception à l Exploitation de votre Système d Information. Ce savoir faire est décliné dans les 3 pôles

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

Ce que dit la norme 2009

Ce que dit la norme 2009 Mettre en œuvre un système d archivage électronique : les apports de la norme révisée Ce que dit la norme 2009 Formation APROGED 2009 1 Domaine d application de la norme Politique et pratiques d archivage

Plus en détail

En quoi consiste la gestion des dossiers et de l information (GDI)?

En quoi consiste la gestion des dossiers et de l information (GDI)? OBJET Les dossiers et l information sont d importants biens stratégiques pour une organisation et, comme c est le cas d autres éléments organisationnels (ressources humaines, capital et technologie), ils

Plus en détail

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE

Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE Management par les processus Les facteurs clés de succès Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise

Plus en détail

L impact d un incident de sécurité pour le citoyen et l entreprise

L impact d un incident de sécurité pour le citoyen et l entreprise L impact d un incident de sécurité pour le citoyen et l entreprise M e Jean Chartier Président Carrefour de l industrie de la sécurité 21 octobre 2013 - La Malbaie (Québec) Présentation générale La Commission

Plus en détail

MANAGEMENT DE LA RADIOPROTECTION

MANAGEMENT DE LA RADIOPROTECTION Page : 1/10 MANUEL MAN-CAM-NUC-F Seule la version informatique est mise à jour, avant toute utilisation consulter sur le réseau Intranet la version en cours de ce document Page : 2/10 HISTORIQUE DE RÉVISION

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

DEROULEMENT PEDAGOGIQUE ET CONTENU DE LA FORMATION

DEROULEMENT PEDAGOGIQUE ET CONTENU DE LA FORMATION DEROULEMENT PEDAGOGIQUE ET CONTENU DE LA FORMATION 1 ère journée Durée : 6 heures sur les expériences de chacun, Travail en sous-groupes et Synthèse collective. 1. Prise de contact Créer les conditions

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section

Plus en détail

Contrat et mise à disposition d infrastructure d hébergement

Contrat et mise à disposition d infrastructure d hébergement 1 Contrat et mise à disposition d infrastructure d hébergement ARTICLE 1 DESCRIPTION DE LA PRESTATION DE SERVICES HEBERGEMENT La prestation consiste en la réalisation des tâches suivantes : Mise à disposition

Plus en détail

SSI Sensibilisation à la sécurité de l'information**

SSI Sensibilisation à la sécurité de l'information** SSI Sensibilisation à la sécurité de l'information** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage Connaissances de base en informatique Etre capable de comprendre

Plus en détail

Date : 29/10/2015 Version : v 0.4 IDENTIFICATION DU POSTE. Intégrateur d applications Administrateur d outils A ou contractuel de droit public

Date : 29/10/2015 Version : v 0.4 IDENTIFICATION DU POSTE. Intégrateur d applications Administrateur d outils A ou contractuel de droit public FICHE DE DESCRIPTION DE POSTE DIRECTION DE L INFORMATION LEGALE ET ADMINISTRATIVE TITULAIRE DU POSTE Nom : Prénom : RESPONSABLE HIERARCHIQUE DIRECT Nom : Aziz Prénom : Bénédicte Visa : Visa : Date : 29/10/2015

Plus en détail

BIG DATA Jeudi 22 mars 2012

BIG DATA Jeudi 22 mars 2012 BIG DATA Jeudi 22 mars 2012 87 boulevard de Courcelles 75008 PARIS Tel :01.56.43.68.80 Fax : 01.40.75.01.96 contact@haas-avocats.com www.haas-avocats.com www.jurilexblog.com 1 2012 Haas société d Avocats

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN

CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN Diffusion Référence Accès non restreint Charte_SSI_INSAR.doc Version Propriétaire 1 Responsable Qualité Date Jean- Louis Billoët Directeur,

Plus en détail