Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
|
|
- Flore Favreau
- il y a 8 ans
- Total affichages :
Transcription
1 Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
2 Agenda Les enjeux liés aux systèmes d information La gestion des risques liés aux SI Les risques liés au SI, la part de la SSI RSSI, ligne métier, missions Articulation avec le contrôle permanent Articulation avec l audit interne. Colloque 2012 des banques centrales francophones 2
3 ENJEUX LIÉS AU SYSTÈME D INFORMATION
4 Les enjeux du SI dans le tertiaire Dématérialisation de l argent Dématérialisation de la connaissance information processus Dématérialisation de la relation client Dématérialisation de la mémoire de l entreprise archives et même documents originaux («dématique») Secteur tertiaire : des hommes, des bâtiments et des octets. Colloque 2012 des banques centrales francophones 4
5 Les enjeux du SI dans le tertiaire Facteur d aggravation chainage de systèmes d information SI à effet systémique hyper réactivité des marchés surmédiatisation, dans certaines circonstances. Des enjeux tels que la SSI mérite une «union sacrée» pour le meilleur usage des compétences dans l évitement du risque systémique. Colloque 2012 des banques centrales francophones 5
6 LES RISQUES LIÉS AUX SYSTÈMES D INFORMATION
7 Rappels sur l ensemble des risques liés au SI Risques induits par les systèmes construits pour les métiers défaut de confidentialité, erreurs, indisponibilité, manque d auditabilité, infractions réglementaires, traités par l analyse de risque des projets et l application des politiques de sécurité. Risques induits par les infrastructures informatiques indisponibilité, traité par l analyse de risque au moment de la conception, application des meilleures pratiques de résilience, audits. Risques induits par les activités des informaticiens erreurs, malveillance traité par découpage de l activité en processus normalisés, cartographie des risques, formalisation des procédures, séparation des pouvoirs Colloque 2012 des banques centrales francophones 7
8 Rappels sur l ensemble des risques liés au SI Risques induits par les bâtiments malveillance liée à des défauts de sécurité physique, accidents (incendie), traités par analyse de risque, adoption des meilleures pratiques, audits. Risques induits par le niveau de performance économique de l informatique et la stratégie défaut d agilité des métiers, excédent de charges, mauvais alignement stratégique traités par benchmarks, consultation des métiers, contrôle budgétaire, gouvernance, consultants extérieurs Risques découlant de l exécution des projets non-conformité des livraisons (carences fonctionnelles), retards méthodologie d exécution de projets, audits, formalisation du pilotage des projets, suivi des projets au niveau requis Colloque 2012 des banques centrales francophones 8
9 Rappels sur l ensemble des risques liés au SI Risques traités par les RSSIs Risques induits par les systèmes construits pour les métiers Risques induits par les infrastructures informatiques Le périmètre peut varier d un établissement à l autre (nuance fraude vs SSI). Ce qui compte, c est l exhaustivité de la couverture des risques par des branches complémentaires. Colloque 2012 des banques centrales francophones 9
10 UN ACTEUR CENTRAL, LE RSSI
11 RSSI RSSI = acteur spécialisé du contrôle permanent pour rappel : Contrôle interne Contrôle périodique Contrôle permanent Niv. Contrôle permanent réalisé par 3 Inspection Générale 2.2 Acteur spécialisé indépendant de l activité considérée 2.1 Management, contrôleur au sein de l activité RSSI 1 Opérateur Colloque 2012 des banques centrales francophones 11
12 Des missions étendues Définir une cartographie des risques Énoncer les risques auxquels l entreprise est exposé Définir les traitements prioritaires Fixer les règles (politiques de sécurité, notes de procédures, etc.) Animer le dispositif de gouvernance Fournir les méthodes (définition, entretien, formation) Alerter et organiser la mise en place et le suivi de plans d action Définir des plans de contrôle Colloque 2012 des banques centrales francophones 12
13 Des missions étendues Exercer des contrôles, évaluer les risques Informer les décideurs Conseiller les propriétaires de systèmes d information et les maîtres d œuvre Mener une veille sur les menaces et les parades Animer le processus d analyse de risque Sensibiliser à tous les niveaux de l entreprise Parangonner l entreprise Sponsoriser des projets de sécurité Dans les groupes, animer la ligne métier des RSSI. Colloque 2012 des banques centrales francophones 13
14 Des missions variables selon les environnements Certains RSSI jouent un rôle opérationnel dans la gestion des habilitations, l exploitation de systèmes de sécurité. En matière de reprise des activités informatiques, le rôle des RSSI est défini de manière très variable d une entreprise à l autre. L allocation précise de cette mission doit être vérifiée. Des missions peuvent être réparties sur différentes personnes ou directions. Ce qui compte est leur exécution. L audit vérifie le fait que les missions sont attribuées, les moyens permettant de les exécuter sont octroyés, les livrables résultant de ces missions existent. Lerattachement du RSSI est secondaire par rapport à ces points. Colloque 2012 des banques centrales francophones 14
15 QUELLE COMPLÉMENTARITÉ EN MATIÈRE DE CONTRÔLES?
16 Pourquoi rechercher la complémentarité? Les compétences en SSI sont encore rares, demande une connaissance transverse de l informatique (systèmes d exploitation, réseaux, programmation, pratiques de production, technologies de stockage, de virtualisation) et des notions juridiques, la SSI est assez peu présente dans les cursus des écoles et universités. Les métiers sont excédés par les sollicitations multiples. L efficience concerne aussi le contrôle qui participe à la performance des entreprises. Dans un environnement bien coordonné, à ressources égales, on détecte davantage de choses. Colloque 2012 des banques centrales francophones 16
17 Audit vs contrôle permanent Le contrôle permanent : forte couverture, certitude moyenne Contrôles nombreux, couverture étendue mais certitude moyenne Colloque 2012 des banques centrales francophones 17
18 Audit vs contrôle permanent L audit : faible couverture, certitude élevée Périmètre audité réduit Certitude accrue sur zone connexe Colloque 2012 des banques centrales francophones 18
19 Audit vs contrôle permanent Audits incorrectement répartis Ressources gaspillées Faible certitude sur une grande partie de l univers d audit Colloque 2012 des banques centrales francophones 19
20 Audit vs contrôle permanent Audits correctement répartis Ressources identiques au cas précédent Réduction de la zone à faible certitude Colloque 2012 des banques centrales francophones 20
21 Pourquoi rechercher la complémentarité? Le RSSI attendra une bonne répartition des audits soit sur une année, soit sur plusieurs années. - qui seront focalisés sur les sujets à forts enjeux - et s appuieront donc sur des référentiels qui en garantiront l objectivité. Cela demande une concertation préalable, respectueuse des prérogatives de l auditeur. La répétition peut être souhaitable en cas de constats de déficiences majeures. Colloque 2012 des banques centrales francophones 21
22 Étagement des contrôles, une science pas si simple Le contrôle interne : apporteur d assurance raisonnable, aux dirigeants, sur le bon équilibre entre désir de développement et prises de risques. Un mauvais étagement des contrôles gaspillage de ressources sollicitations multiples des opérationnels sur des sujets identiques : mauvaise acceptation => données de mauvaise qualité. Une logique de consolidation pas d assurance raisonnable le management n aura qu une consolidation de la perception des opérateurs assurant les contrôles de niveau 1! Perte de vue de la finalité des contrôles! Colloque 2012 des banques centrales francophones 22
23 Quels contrôles de niveau 2.2 (RSSI) Des contrôles originaux, pas des consolidations! Renouer avec le principe d assurance raisonnable se poser la question de la valeur ajoutée du contrôle (finalité), privilégier la qualité des assurances apportées, introduire une rupture. Exemple test d intrusion s affranchit des assurances données par tous les contributeurs à l élaboration d un système (intégrateurs, opérateurs de pare-feux, développeurs, etc), apporte un fort niveau de certitude. mais coûteux. croisements d information utiliser les résultats d un contrôle à d autres fins statistiques du helpdesk sur le nombre de désinfections de postes à confronter aux assurances données par les contrôles de niveau 2.1 alimentés par les consoles de gestion des antivirus Un contrôle de niveau 1 alimente un contrôle de niveau 2.2 pour conforter ou infirmer un contrôle de niveau 2.1! L étagement des contrôles doit être révisé régulièrement car la maturité des opérationnels s accroît (exemple des scans de vulnérabilité). Colloque 2012 des banques centrales francophones 23
24 Quels contrôles de niveau 2.2 (RSSI) Des contrôles validant les efforts et investissements KPI (Key Performance Indicators) Exemple : combien d attaques bloquées par mon dispositif de filtrage Internet? Des contrôles illustrant le niveau d exposition à des risques significatifs KRI (Key Risk Indicators) Exemple : nombre de systèmes «abrités» ayant été atteints par une tentative d intrusion. Le RSSI attendra, de la part de l audit, des indicateurs des deux catégories car il a besoin de justifier les investissements et niveaux de ressources le R.O.I de la sécurité est un sujet délicat : toute aide est bienvenue. Colloque 2012 des banques centrales francophones 24
25 Répartition des contrôles Cas d entreprises multiples Dans les groupes, lorsque des services sont rendus entre entreprises, se pose la question de la répartition des contrôles chaque entreprise a son dispositif de contrôle interne, réputé compétent, les clients de l entreprise qui fournit le service ont besoin de garanties (encore les assurances raisonnables), il s agit d apporter cette assurance en utilisant au mieux les compétences disponibles. Le RSSI de l entité faitière conçoit un plan de contrôle réparti. Le responsable des contrôles permanents eut être appelé à en valider la pertinence (répartition). L audit interne ou externe vérifie que, tel que conçu, le plan apporte bien aux «clients» de la prestation les assurances raisonnables cible de l audit, méthodologie employée. Colloque 2012 des banques centrales francophones 25
26 Répartition des contrôles Cas d entreprises multiples Prestations externes L approche sera similaire en matière de prestations fournies par une entreprise extérieure : Un équilibre est à trouver entre le recours à la compétence des contrôleurs prestataires et la compétence du client. La question est : «qui apporte la garantie d assurance raisonnable?» auditeur tiers? superviseur? tiers sous la supervision du superviseur? Les choses évoluent rapidement dans ce sens. Colloque 2012 des banques centrales francophones 26
27 RÉFÉRENTIELS D AUDIT
28 Recours à un référentiel reconnu Garantie d objectivité L audit doit susciter une envie de progresser. L envie de progresser résulte d un sentiment de justice des conclusions de l audit. L objectivité du référentiel employé pour l audit est donc un facteur important d évolution des pratiques. Deux sources de référentiels interne, externe. Colloque 2012 des banques centrales francophones 28
29 Référentiel interne Textes de gouvernance sur lesquels l audit basera ses vérifications sur la bonne mise en œuvre du dispositif de gouvernance Politiques de sécurité de nombreuses normes sont applicables à l entreprise peu d entre elles sont obligatoires (dépend des pays) elles peuvent être contradictoires elles ne répondent pas toujours à une logique d analyse de risque il reste donc utile qu existe un jeu de règles propres à l entreprise rapportées, autant que possible, aux normes (ISO 270XX, etc) découlant de l analyse de risque ce sont les politiques de sécurité. Politiques de sécurité L audit doit valider la qualité du jeu de politiques de sécurité couverture (dans l absolu ou vis-à-vis des normes), degré d abstraction / précision, applicabilité. Colloque 2012 des banques centrales francophones 29
30 Référentiel interne Analyse Analyse de de risque Analyse de risque risque Normes Normes Normes Politiques de sécurité Standards Systèmes & organisations Plans de contrôle Audits Colloque 2012 des banques centrales francophones 30
31 ANALYSE DE RISQUE
32 Objectif du dispositif de maîtrise de la SSI Que chaque système dispose du juste niveau de résistance aux risques Donc Disponibilité Intégrité Confidentialité Preuve préjudice en cas d occurrence d un risque D I C P facilité d usage, potentiel commercial, coût Colloque 2012 des banques centrales francophones 32
33 Une démarche : l analyse de risque Quelle que soit la méthode, deux livrables essentiels des mesures à appliquer techniques, organisationnelles, contractuelles, un risque résiduel à faire ratifier par le sponsor du projet (métier). Un enjeu pour le RSSI : une pratique de l analyse de risque, au moins sur les projets à enjeux. Colloque 2012 des banques centrales francophones 33
34 Une démarche : l analyse de risque Ce que l audit apporte : vérification de l existence d une méthode l existence de conditions d applications du degré d application de la ratification effective du risque résiduel, au bon niveau de responsabilité de l application réelle des mesures (en conformité avec le calendrier fixé). Audit des projets à l aune de l analyse de risque, pas d un absolu théorique sinon : décrédibilisation de la démarche d analyse de risque, porteuse de progrès sécuritaire des entreprises, un projet sans analyse de risque est bien plus préjudiciable qu un projet analysé et comportant un risque connu et accepté. Colloque 2012 des banques centrales francophones 34
35 CONSTITUTION DES PLANS
36 Constitution de plans L une des missions du RSSI Le RSSI produit un plan annuel Constats du contrôle permanent Constats du contrôle périodique Application de la politique de sécurité Nouvelles menaces Incidents Plan annuel Colloque 2012 des banques centrales francophones 36
37 L audit au service du plan Le plan d action SSI n est pas le fruit du hasard : il résulte de diverses influences. L audit doit s assurer de l existence d un plan, régulièrement révisé, du rationnel qui a régi la définition du plan, de la bonne exécution du plan. Du point de vue du RSSI il est préférable que l audit renvoie au plan, plutôt que s y substituer. Ainsi, l audit renforce la cohérence plutôt que favoriser la dispersion. Colloque 2012 des banques centrales francophones 37
38 CONCLUSION
39 Conclusion Le contrôle périodique amène des certitudes sur une zone restreinte de l univers d audit Le contrôle permanent amène une connaissance moins certaine sur un large périmètre L un compense les faiblesses de l autre : 1+1=3 En période contrainte, il faut rechercher les synergies entre niveaux de contrôle pour mieux utiliser l expertise côté contrôle pour mieux focaliser les efforts côté contrôlé. La concertation ne remet pas en cause la primauté de l audit. Le RSSI, est, lui-même, assujetti au contrôle mais, en tant qu acteur du contrôle permanent, il a besoin du renfort de l audit. Colloque 2012 des banques centrales francophones 39
40 Conclusion L audit, sans dériver vers le laxisme, doit rester incitatif. reconnaître les points positifs porter les jugements négatifs sur la base de références objectives internes : politiques de sécurité, textes de gouvernance externes : normes reconnues et méthodes d audit, pratiques observées sur la Place. L idée est de constituer un éco-système de contrôle qui ne soit pas antinomique de la performance de l entreprise. Le contrôle interne peut alors devenir un instrument de pilotage. Colloque 2012 des banques centrales francophones 40
Identification, évaluation et gestion des incidents
Identification, évaluation et gestion des incidents De la cartographie des risques à la mise en place de la base incidents Xavier DIVAY Responsable de la conformité et du contrôle permanent QUILVEST BANQUE
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailHySIO : l infogérance hybride avec le cloud sécurisé
www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique
Plus en détailQu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailLES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)
LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC) Donnez à votre comité de direction une visibilité à 360, en temps réel, du cadre de Gouvernance d Entreprise REGULATORY COMPLIANCE Rc
Plus en détailSécurité des Systèmes d Information
Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de
Plus en détailAtelier A7. Audit de la gestion globale des risques : efficacité ou conformité?
Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1 Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle
Plus en détailA. Le contrôle continu
L audit d achat est une action volontaire décidée par l entreprise avec pour objet d apprécier la qualité de l organisation de sa fonction achats et le niveau de performance de ses acheteurs. L audit achat
Plus en détailGouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailLe management des risques de l entreprise Cadre de Référence. Synthèse
Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction
Plus en détailApproche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs
Plus en détailCONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER
CONTROLE GENERAL ECONOMIQUE ET FINANCIER MISSION AUDIT 3, boulevard Diderot 75572 PARIS CEDEX 12 CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER CHARTE DE L'AUDIT Validée par le comité des audits du 4 avril 2012
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détailDOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89
DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet
Plus en détailla conformité LES PRINCIPES D ACTION
La fonction Conformité au sein de BNP Paribas La fonction Conformité a été créée en décembre 2004, en anticipation de nouvelles dispositions du règlement 97-02 sur le contrôle interne des établissements
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailContinuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition
E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe
Plus en détailExcellence. Technicité. Sagesse
2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA
Plus en détailRapport du Président du Conseil d'administration
SOCIETE ANONYME DES BAINS DE MER ET DU CERCLE DES ETRANGERS A MONACO (S.B.M.) Société anonyme monégasque au capital de 18 160 490 euros Siège social : Monte-Carlo - Place du Casino, Principauté de Monaco
Plus en détailOptimisation de la gestion des risques opérationnels. EIFR 10 février 2015
Optimisation de la gestion des risques opérationnels EIFR 10 février 2015 L ADN efront METIER TECHNOLOGIE Approche métier ERM/GRC CRM Gestion Alternative Approche Technologique Méthodologie Implémentation
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détaildans un contexte d infogérance J-François MAHE Gie GIPS
Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion
Plus en détail) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011.
Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT 27 avril 2011 Paris ) ) ) ) Ce document est la propriété de Provadys SAS et ne peut être reproduit
Plus en détailGUIDE OEA. Guide OEA. opérateur
Guide > > Fiche 1 : Pourquoi être certifié? > > Fiche 2 : Les trois types de certificats et leurs critères > > Fiche 3 : La préparation de votre projet > > Fiche 4 : Le questionnaire d auto-évaluation
Plus en détailNORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES
NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe
Plus en détails é c u r i t é Conférence animée par Christophe Blanchot
s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)
Plus en détailpolitique de la France en matière de cybersécurité
dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le
Plus en détailwww.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»
www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailITIL V3. Transition des services : Principes et politiques
ITIL V3 Transition des services : Principes et politiques Création : janvier 2008 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé
Plus en détailCharte d audit du groupe Dexia
Janvier 2013 Charte d audit du groupe Dexia La présente charte énonce les principes fondamentaux qui gouvernent la fonction d Audit interne dans le groupe Dexia en décrivant ses missions, sa place dans
Plus en détailwww.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne
www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne Contexte Depuis plusieurs années, les institutions publiques doivent faire face à de nouveaux défis pour améliorer leurs
Plus en détailAssociations Dossiers pratiques
Associations Dossiers pratiques Le tableau de bord, outil de pilotage de l association (Dossier réalisé par Laurent Simo, In Extenso Rhône-Alpes) Difficile d imaginer la conduite d un bateau sans boussole
Plus en détailMenaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014
Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailUne véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.
Introduction Un projet ITIL n est pas anodin Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique. Un projet ITIL ne peut
Plus en détailSystèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailTRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.
TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace
Plus en détailPosition de l ASTEE sur l innovation en matière de services d eau et de déchets
Position de l ASTEE sur l innovation en matière de services d eau et de déchets Les services publics locaux de l environnement : des services discrets mais moteurs de développement Depuis leur mise en
Plus en détailLes nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme
Les nouveaux guides de la CNIL Comment gérer des risques dont l impact ne porte pas sur l organisme Matthieu GRALL CLUSIF Colloque «conformité et analyse des risques» 13 décembre 2012 Service de l expertise
Plus en détailBureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration
Bureau du surintendant des institutions financières Audit interne des Services intégrés : Services de la sécurité et de l administration Avril 2014 Table des matières 1. Contexte... 3 2. Objectif, délimitation
Plus en détailGestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?
Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI
Plus en détailLa sécurité applicative
La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques
Plus en détailPASSI Un label d exigence et de confiance?
PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,
Plus en détailSoftware Asset Management Savoir optimiser vos coûts licensing
Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détailAppel à candidatures. Audit de l organisation, de la planification et du pilotage des systèmes d information
Appel à candidatures Audit de l organisation, de la planification et du pilotage des systèmes d information Version 0.6 20 mars 2015 Statut Validé 1 Introduction 1.1 Présentation de l Agence universitaire
Plus en détailRelease Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014
ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing
Plus en détailCharte de contrôle interne
Dernière mise à jour : 05 mai 2014 Charte de contrôle interne 1. Organisation générale de la fonction de contrôle interne et conformité 1.1. Organisation Le Directeur Général de la Société, Monsieur Sébastien
Plus en détailGestion de la sécurité par la gestion du changement
Gestion de la sécurité par la gestion du changement Jeudi 11 juin 2009 Séminaire Aristote Ecole Polytechnique Palaiseau Daniel DEZULIER Sommaire Le Groupe et sa transformation Etre leader : quelles contraintes?
Plus en détailLe risque opérationnel - Journées IARD de l'institut des Actuaires
Le risque opérationnel - Journées IARD de l'institut des Actuaires 1 er a v r i l 2 0 1 1 Dan Chelly Directeur Métier "Risk management, Audit et Contrôle interne" SOMMAIRE Partie 1 Définition des risques
Plus en détailMise en place de la composante technique d un SMSI Le Package RSSI Tools BOX
Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX PLAN 1 INTRODUCTION...3 1.1 OBJECTIF...3 1.2 FONCTIONNALITES...3 2 DESCRIPTION TECHNIQUE DE LA PLATE-FORME...4 2.1 ARCHITECTURE...4
Plus en détail2012 / 2013. Excellence. Technicité. Sagesse
2012 / 2013 Excellence Technicité Sagesse Audit Conseil >> Présentation d ATHENA ATHENA est une société de services fondée en 2007 offrant des prestations dans les domaines de la sécurité informatique
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détailITIL V3. Exploitation des services : Les fonctions
ITIL V3 Exploitation des services : Les fonctions Création : juin 2013 Mise à jour : juin 2013 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé en se basant
Plus en détailPROGRAMME DE FORMATION
F-5.04 : METHODOLOGIE D UN PROJET DE DEMATERIALISATION ET D ARCHIVAGE ELECTRONIQUE, APPLICATION AUX MAILS /// Objectifs pédagogiques Apporter aux participants les informations essentielles pour aborder
Plus en détailGestion budgétaire et financière
Élaboration et suivi de la programmation budgétaire Exécution budgétaire et comptable Aide au pilotage et contrôle financier externe Expertise financière et juridique Ministère de la Culture et de la Communication
Plus en détailITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation
Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi
Plus en détailPOLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0
POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT Version 1.0 HISTORIQUE DES VERSIONS DATE VERSION ÉVOLUTION DU DOCUMENT 17/07/2014 1.0 Publication de la première version de la Politique de sécurité
Plus en détailPôle Finance Exemples de réalisations
Pôle Finance Exemples de réalisations CONFIDENTIEL C PROPRIETE RENAULT Coûts de développement de l Ingénierie Mécanique: Réaliser une grille commune d analyse des coûts, et un benchmarking, puis proposer
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailLes cyber risques sont-ils assurables?
Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent
Plus en détailLes rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance
Risk Advisory Février 2014 Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Des points de vue sur vos sujets de préoccupation dans les domaines de la gestion des risques,
Plus en détailSécurité. Tendance technologique
Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction
Plus en détailL'AUDIT DES SYSTEMES D'INFORMATION
L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION
Plus en détailPrincipales dispositions du projet de règlement
Principales dispositions du projet de règlement (TEXTE VOTÉ PAR LA COMMISSION JURI LE 21 JANVIER 2014) Février 2014 1 Honoraires d audit (article 9) (1/3) Limitation des services non audit Si un contrôleur
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailCatalogue de services standard Référence : CAT-SERVICES-2010-A
Catalogue de services standard Référence : CAT-SERVICES-2010-A Dans ce catalogue, le terme Client désigne l entité légale intéressée à l achat de services délivrés par ITE- AUDIT, que cet achat soit un
Plus en détailLIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS
LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.
Plus en détailD ITIL à D ISO 20000, une démarche complémentaire
D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction
Plus en détailAudits Sécurité. Des architectures complexes
Audits Sécurité Des architectures complexes L avènement d Internet et le développement des applications Intranet/Extranet ont permis aux entreprises d accroître leur compétitivité par l ouverture de leurs
Plus en détailLA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES
LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne
Plus en détailSTRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI
STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailDÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER
DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER Pour les banques, le papier devrait servir à imprimer des billets ; pas à en garder la trace dans
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détailAtelier Tableau de Bord SSI
LEXSI > OzSSI 1 Atelier Tableau de Bord SSI De quel Tableau de bord Sécurité du SI ai-je besoin? LEXSI en quelques mots 2 130 experts - 600 clients - +20 % par an - 10 ans - 4 pays - 24/7 AUDIT VEILLE
Plus en détailAssurance et Protection sociale Les enjeux du Digital Commerce
Assurance et Protection sociale Les enjeux du Digital Commerce Sortir des murs, démultiplier les contacts 2013 T A L E N T E D T O G E T H E R Unissons nos Talents 1 Introduction Entre discours incantatoires
Plus en détailCHARTE D ÉTHIQUE PROFESSIONNELLE DU GROUPE AFD
CHARTE D ÉTHIQUE PROFESSIONNELLE DU GROUPE AFD AVANT-PROPOS Établissement public, l Agence Française de Développement exerce une mission d intérêt public, principalement à l international. CHARTE D ÉTHIQUE
Plus en détail3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde
3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques
Plus en détailAppendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs
Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme
Plus en détailClub ISO 27001 11 Juin 2009
Club ISO 27001 11 Juin 2009 Risk IT et ISO 2700x complémentarité ou concurrence? Jean-Luc STRAUSS 11 Juin 2009 Risk IT et ISO 2700x: guerre des organismes? National Institute of Standards and Technology
Plus en détailCopyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
VOLET N 2 1 Définition des objectifs de sécurité Principes fondamentaux de la sécurité du système d information Scenarios génériques de menaces Méthodes et bonnes pratiques de l analyse de risques Plan
Plus en détailDocument technique Outil d évaluation des risques et orientation
Promotion de la bonne gouvernance et lutte contre la corruption Activité T3.3 : (SNAC Tunisie) Apporter des outils et des méthodologies ainsi que consolider les capacités pour soutenir la conception de
Plus en détailBrève étude de la norme ISO/IEC 27003
RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr
Plus en détailRapport standard analyse des risques/stratégie d audit. Sommaire
Projet de mise en consultation du 9 septembre 2003 Circ.-CFB 0 / Annexe 1: Rapport standard analyse des risques/stratégie d audit Rapport standard analyse des risques/stratégie d audit Les sociétés d audit
Plus en détailPlan Stratégique 2008-2013
Plan Stratégique 2008-2013 Version finale Adopté le 26 septembre par le Conseil d administration Septembre 2008 Mission La Société Santé en français est un chef de file national qui assure, en étroite
Plus en détailL hygiène informatique en entreprise Quelques recommandations simples
L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières
Plus en détailModèle Cobit www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre
Plus en détailMicrosoft IT Operation Consulting
Microsoft IT Operation Consulting Des offres de services qui vous permettent : D améliorer l agilité et l alignement de votre IT aux besoins métier de votre entreprise. De maîtriser votre informatique
Plus en détailGuillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton
Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Lyon, le 25 février 2009 Introduction à la gestion des identités et des accès Enjeux et objectifs Les
Plus en détail