1. La sécurité applicative
|
|
- Corinne Barrette
- il y a 8 ans
- Total affichages :
Transcription
1 ISO Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité IT dans une organisation? La sécurité applicative couvre un domaine plus large que le seul développement applicatif. Elle s intègre dans la sécurité d infrastructure qui est un sous-ensemble de la sécurité de l information. Considérant que le management devrait consacrer une enveloppe de 100 à la sécurité de l information, la part relative de la sécurité applicative (dans laquelle est intégrée la sécurité des infrastructures) reviendrait donc à de cette enveloppe. Voici pourquoi : 1. Sécurité de l'information a) La sécurité applicative s exerce, en ce sens, à deux niveaux au sein de la sécurité de l information : i. premier niveau, organisationnel => gestion de la sécurité de l ensemble des applications utilisées par une entreprise (ISO ) ii. deuxième niveau, applicatif => gestion de la sécurité d une application particulière (ISO ) b) ISO envisage aussi la relation entre ces niveaux d étude en articulant les relations entre la sécurité d une application particulière au sein d un ensemble d applications d entreprise, et inversement (ISO ) 2. Sécurité applicative : Selon ISO 27034, la sécurité des applications est la sécurité de l information impliquée dans l utilisation d applications et des systèmes TI supportant les besoins métiers. NB : Cela inclut les technologies mais aussi les personnes et les processus impliqués dans l utilisation d une application. 3. Sécurité des TI : sécurité d infrastructure en entreprise, qui supporte l ensemble des systèmes et des applications. En ce sens la sécurité des TI est un sous-ensemble de la sécurité applicative.
2 v D'où proviennent la plupart des failles de sécurité des applications IT? Et quelles en sont les conséquences possibles? Les failles sont, ou non, importantes, selon les circonstances et les contextes multiples : ð Contexte métier ð Contexte technologique ð Contexte juridique Les exemples suivants démontrent que les dommages et inconvénients causés par la perte de la disponibilité, de la confidentialité ou de l'intégrité des informations reçues, traitées, conservées et communiquées par des applications peuvent parfois entraîner des conséquences très graves qui affectent tous les domaines métiers où des applications TI sont utilisées. Tableau 1.1 Synthèse par secteur d affaires, des cas et conséquences de bris de sécurité de l information impliquant des applications 1 Cas A causé une perte de C I D Conséquences Secteur médical a) , dysfonctionnement de l appareil de radiothérapie Therac-25 b) 1993, accès non journalisé des données des bénéficiaires de la CSST 1. Corruption des données du système 2. Mort de 3 personnes (sûreté) 3. Arrêt de l utilisation de l appareil 4. Poursuites judiciaires 1. Perte de confidentialité de données personnelles 2. Possibilité de modification non autorisée de données 3. Possibilité de destruction non autorisée de données Secteur des transports a) 2006, dysfonctionnement du système de transport rapide BART b) 2010, dysfonctionnement du logiciel de la voiture Prius de Toyota c) 2000 Panne dans un système de réservation de billets d'air Canada 1. Données erronées acceptées par le système 2. Ouvertures des portes lorsque le train était en marche 3. Arrêt et retard du train 1. Délai de traitement du signal de freinage trop long 2. Collisions et accidents de voiture 3. Rappels pour mises à jour du logiciel défectueux 4. Poursuites judiciaires 1. Indisponibilité des systèmes durant la panne 2. Retards et annulations de plusieurs vols 3. Paiement de fais de séjour aux personnes ayant manqué leurs correspondances Secteur financier a) 2004, panne à la Banque Royale du Canada b) 2007, panne à la Banque CIBC 1. Indisponibilité des comptes de 2,5 millions de clients durant la panne 2. Frais causés par les retards de transactions devant être réalisées 1. Perte d'information de Canadiens 2. Perte du fichier de sauvegarde 3. Investigation du vérificateur général du Canada 1 Source : Luc Poulin, Thèse de doctorat «La sécurité des applications en technologie de l information Une approche d intégration des éléments de sécurité dans le cycle de vie des applications et des systèmes d information», 2015, École des technologie supérieure, pp. 256.
3 Tableau 1.1 Synthèse par secteur d affaires, des cas et conséquences de bris de sécurité de l information impliquant des applications (suite) Cas A causé une perte de Conséquences a) 2005, arrêt d applications liées à l'impôt sur le revenu des particuliers québécois 1. Perte de revenu pour le Gouvernement du Québec Secteur gouvernemental a) 2005, problèmes des systèmes de votation électronique 1. Doutes sur le résultat des élections 2. Perte de la confidentialité d'une partie de la liste électorale 3. Enquête du DGÉQ 4. Moratoire interdisant le vote électronique au Québec 5. Pertes de contrats de plusieurs millions b) 2004, panne du système d'approbation du paiement des prêts et bouses 1. Des milliers d'étudiants sans prêts ni bourses pour la rentrée Systèmes des communications a) 1992, panne du système 911 de Londres b) 2003, accès d administration aux routeurs Cisco 1. Impossibilité pour un citoyen de faire un appel à l aide 2. Retard dans les délais d intervention des équipes de secours décès qui auraient pu être évités 1. Modifications possibles des données d'administration du routeur 2. Accès possible aux données reçues et transmises par le routeur 3. Arrêt possible de service du routeur Défense et aérospatiale a) 1991, corruption de la mémoire des missiles antimissiles Patriote 1. Perte de précision du missile 2. N'est plus en mesure d'intercepter des missiles soldats tués, 97 blessés a) 2010, dysfonctionnement 1. Faille permettant le téléchargement et l'installation automatique du composant de mise à de logiciels malicieux Secteur personnel jour du navigateur Web Firefox b) 2010, divulgation d information non autorisée, iphone et Android 2. Perte possible d intégrité, de confidentialité et de disponibilité des informations accessibles par l utilisateur 1. Transmission de données personnelles sans autorisation 2. Perte possible de la confidentialité des informations de l utilisateur
4 v Quels sont les risques majeurs pour le business? Faillite de l entreprise Perte financière inacceptable due o à une baisse de la clientèle ; o au coût de remplacement des informations perdues/divulguées/corrompues ; o à la perte de la réputation de (confiance envers) l organisation. Cela étant, en gestion de la sécurité applicative, la question n est pas tant de savoir quels sont les risques majeurs que d identifier quels sont les impacts (conséquences) pour l entreprise en cas de failles avérées dans les applications (voir le tableau 1.1 ci-dessus). 2. Cibles v Les organisations comprenant un nombre important d'applications et détenant des informations sensibles sont les plus concernées. Mis à part les banques, quelles entreprises/institutions sont les plus vulnérables? Nous préférons répondre en envisageant les secteurs dans lesquelles les entreprises sont actives et pour lesquels les impacts de sécurité applicative pourraient avoir le plus de gravité pour les personnes, puis les biens. En ce sens, nous identifions formellement 4 secteurs potentiellement plus vulnérables que le secteur financier par rapport à ces impacts, notamment : 1. Systèmes de santé 2. Transports de personnes 3. Défense et aérospatiale 4. Agences gouvernementales 5. Autres secteurs (incluant, personnel et systèmes de communication) v Est-il préférable pour une organisation d externaliser ou de conserver les métiers d'auditeur et d'implémenter elle-même la sécurité applicative? Stratégiquement : On conserve la gestion de la sécurité des applications (conception, la gestion et le maintien du cadre normatif organisationnel de la sécurité applicative). Tactiquement et opérationnellement : On peut externaliser les activités et tâches liées à l implémentation des processus et des contrôles ainsi que leur revue/audit. NB : Cette deuxième approche constitue la plus grosse part du travail. Elle couvre plus de 75% de l effort de mise en œuvre. La norme ISO 27001, et principalement le domaine 15 (gestion des relations fournisseurs), ainsi que la norme ISO peuvent aider à définir les frontières et exigences pour réussir à bien cadrer ces activités. v Quel est le meilleur profil au sein d'une organisation pour pérenniser un écosystème de sécurité applicative? En mode opérationnel pur, l objectif ultime de la mise en œuvre du référentiel ISO est de fournir à l organisation les moyens de planifier, mettre en œuvre, surveiller et maintenir un système cohérent de gestion de la sécurité des applications. Dans cette perspective, le rôle le plus approprié n est donc pas unique mais réparti entre les différentes responsabilités en matière de sécurité des applications au sein de celle-ci.
5 En mode de mise en œuvre (projet), c est le Certified Application Security Lead Implementer (CASLI) qui servira de tuteur/moniteur aux différents rôles opérationnels touchés par la sécurité des applications. Cette tâche peut être dévolue à un des rôles suivants au sein de l entreprise, dans l ordre de l importance de leur contribution à la réussite de la mise en place du référentiel et des contrôles associés : Senior Manager, Chefs d équipe de développement logiciel (rôle le plus communément associé à cette certification), Project managers en développement logiciel, Information Security Manager (plutôt orienté software), Administrateurs d applications, Propriétaires d application (seul capable d identifier et faire assumer le risque par l entreprise) 3. La norme internationale ISO/IEC Application Security v Quel sont les grands principes/grandes étapes de la norme ISO 27034? Le principe de base soutenu par ISO est, à travers un cadre de gestion adéquat, de faire évoluer, le l objectif de sécurité des applications, sur demande du management, vers un niveau de confiance cible mesurable et approuvé par l organisation. Ces principes se traduisent à travers deux parcours complémentaires : 1) Le processus de gestion du cadre normatif de l organisation (CNO) : a) Gestion du comité du CNO b) Elaboration du cadre (CNO) c) Implémentation de la sécurité dans le CNO d) Surveillance et révision de la sécurité des applications dans le CNO e) Audit de la sécurité applicative dans le CNO f) Amélioration de la sécurité des applications dans le CNO 2) Le processus de gestion de la sécurité d une application a) Identification des besoins et de l environnement de l application b) Evaluation des risques de sécurité amenés par l application c) Création et maintien du cadre normatif de l application, d) Réalisation et opérations de l application e) Vérification de la sécurité de l application v La norme ISO s'intègre-t-elle facilement avec et 27005? ISO est conçu pour supporter les besoins d ISO en matière de sécurité de l information dans le domaine de la sécurité des applications. ISO identifie les ressources informationnelles à protéger, tandis que ISO protège et apporte les preuves que c est réalisé, de même que fournir les processus permettant de prendre en compte les exigences de ISO et de lui retourner les résultats d évaluation compatibles une fois les activités de sécurité des applications effectuées. L annexe C d ISO présente l alignement possible avec la démarche et les exigences d ISO dans un contexte de gestion des risques en sécurité de l information. Egalement, la partie 3 d ISO fournit des éléments à inclure dans une analyse de risques en sécurité applicative, en respectant les critères d ISO
6 v Qu'apporte la norme aux organisations qui ont déjà mis en œuvre une démarche de sécurité des applications? Elle permet aux organisations plus petites ou moins matures en SA d identifier les activités qui leur manquent en matière de gestion de la sécurité des applications, spécifiquement les activités reliées à : 1) La conception, en développant une vision organisationnelle de la Sécurité des Applications (SA) qui permette : a) d identifier, de développer, de valider et de vérifier des contrôles de sécurité (CS) b) d identifier et d intégrer des CSa requis pour une application durant tout son cycle de vie c) de normaliser les activités et les CSA dans les projets d applications de l organisation d) d appliquer les CSA autant sur les personnes, les processus, et sur la technologie e) de fournir les preuves qu une application a atteint et maintient le niveau de confiance ciblé, en fonction d un contexte d utilisation spécifique 2) La vérification, en produisant un cadre de la SA qui soit : a) approuvé par une organisation internationale de normalisation b) vérifié par des instances nationales compétentes c) acceptable et applicable dans l industrie 3) La diffusion, en rendant le CNO (en tant que source d exigences définies par l organisation) accessible à toute organisation désirant mettre en place ou vérifier la Sécurité des Applications. Elle permet aux organisations plus largement déployées d aligner leurs activités existantes, notamment en : Appliquant les CSA autant sur les personnes, les processus, et la technologie Facilitant la communication et l échange des contrôles de sécurité applicative Minimisant les risques d incompréhension et de mauvaise évaluation des exigences et des impacts de la SA dans les projets Alignant la SA selon différentes méthodes de développement au sein d une même organisation ou de plusieurs entités utilisant des référentiels différents De plus, la mise en œuvre et le respect des exigences de la norme ISO : ð permet d avoir une vision globale des éléments de SA ð permet l intégration des activités de sécurité dans les processus existants de l organisation, en intégrant notamment les CSA requis durant ce cycle ð couvre les étapes de réalisation et d opération du cycle de vie de l application, en normalisant les activités et les CSA dans les projets d applications de l organisation ð définit des niveaux de confiances, qui identifie des listes de Contrôles de Sécurité des Applications (CSA) à mettre en place ð identifie et valide des CSA vérifiables ð rend la sécurité des applications mesurable, en fournissant les preuves qu une application a atteint et maintient le niveau de confiance ciblé, en fonction d un contexte d utilisation spécifique ð n exige pas une mise en place de tous les éléments proposés par la norme mais permet à une organisation de se définir une stratégie de mise en place de la SA qui tient compte de ses priorités, de ses ressources limitées et de son métier particulier.
Panorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailL évolution du modèle de la sécurité des applications
L évolution du modèle de la sécurité des applications Un modèle utilisé pour intégrer la sécurité dans le cycle de vie des applications Luc Poulin a, Alain Abran b et Alain April b a Cogentas Institut
Plus en détailcurité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailForum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008
Forum Suisse pour le Droit de la Communication Université de Genève Séminaire du 28 novembre 2008 Devoirs et responsabilités des organes de sociétés en matière de sécurité informatique Wolfgang Straub
Plus en détailLa politique de sécurité
La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,
Plus en détailÀ titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.
Eric Clairvoyant Consultant senior en gouvernance, audit et sécurité des T.I. ecclairvoyant@hotmail.com Summary À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents
Plus en détailMaîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?
Maîtriser les risques au sein d une d PME-PMI PMI Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances? Ces documents demeurent la propriété du cercle GASPAR Techdays MICROSOFT
Plus en détailL utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes
L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...
Plus en détailPolitique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information
Politique de sécurité de l information et des technologies Direction des systèmes et technologies de l information Adoptée par le conseil d administration le 17 février 2015 Responsable Document préparé
Plus en détailLa classification des actifs informationnels au Mouvement Desjardins
La classification des actifs informationnels au Mouvement Desjardins Cas vécu en grande entreprise Jean-François Allard Directeur principal Risques Informationnels Mouvement Desjardins Anick Charland Conseillère
Plus en détailMV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Plus en détailJOURNÉE THÉMATIQUE SUR LES RISQUES
Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Plus en détailStandard de contrôle de sécurité WLA
Standard de contrôle de sécurité WLA Standard de sécurité et d intégrité des activités de loterie et de jeu WLA-SCS:2012 Association mondiale des loteries (World Lottery Association) Édition Novembre 2014
Plus en détailRèglement sur l utilisation et la gestion des actifs informationnels
Le texte que vous consultez est une codification administrative des Règlements de l'uqam. Leur version officielle est contenue dans les résolutions adoptées par le Conseil d'administration de l'uqam. La
Plus en détailVector Security Consulting S.A
Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante
Plus en détailISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité
NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailISO/IEC TR 90006. Première édition 2013-11-01. Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013
RAPPORT TECHNIQUE ISO/IEC TR 90006 Première édition 2013-11-01 Technologies de l information Lignes directrices pour l application de l ISO 9001:2008 pour la gestion des services IT et son intégration
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailPolitique de sécurité de l information
5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des
Plus en détailChapitre 2. Le contrat et les concepts de base de en assurance
Chapitre 2 Le contrat et les concepts de base de en assurance 2.1 Les aspects économiques et social de l assurance L assurance est une sécurité pour la société parce qu elle permet au gens de protéger
Plus en détailActivité auxiliaire Activité réputée appuyer ou assurer la prestation d un service pour faciliter les opérations d assurance ou les placements.
SECTION III Généralités Des définitions sont ajoutées aux instructions afin d aider l assureur/la société à produire ses relevés. Ces définitions ne constituent pas une liste exhaustive des termes utilisés
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailISO/CEI 27001:2005 ISMS -Information Security Management System
ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailPolitique de remboursement pour la conférence annuelle du CATON Concernant les DÉPENSES DE VOYAGE DES PARTICIPANTS
Politique de remboursement pour la conférence annuelle du CATON Concernant les DÉPENSES DE VOYAGE DES PARTICIPANTS Le CATON maintient son engagement à offrir des possibilités de perfectionnement professionnel
Plus en détailisrs 7 Améliorer la performance Sécurité, Environnement et Opérationnelle
isrs 7 Améliorer la performance Sécurité, Environnement et Opérationnelle 2 isrs 7 : pour la santé de votre entreprise Pour répondre à l accroissement des multiples exigences de vos Parties Intéressées,
Plus en détailASSURANCE COLLECTIVE ACCIDENT VÉHICULE DE TRANSPORT PUBLIC CERTIFICAT D ASSURANCE
ASSURANCE COLLECTIVE ACCIDENT VÉHICULE DE TRANSPORT PUBLIC CERTIFICAT D ASSURANCE Le présent certificat comprend des limitations à la protection. Veuillez le lire attentivement, le conserver en lieu sûr
Plus en détailCADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC
CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC TABLE DES MATIÈRES CONTENU 1 PRÉAMBULE ----------------------------------------------------------------------------------------- 3 1.1 Définitions
Plus en détailConcours En route vers mon premier gala JPR RÈGLEMENT DE PARTICIPATION
Concours En route vers mon premier gala JPR RÈGLEMENT DE PARTICIPATION 1. Le concours En route vers mon premier gala JPR (ci-après le «Concours») est organisé par Vidéotron s.e.n.c. (ci-après collectivement
Plus en détailISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences
NORME INTERNATIONALE ISO/CEI 27001 Deuxième édition 2013-10-01 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences Information technology
Plus en détailISO 17799 la norme de la sécurité de l'information
ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.
Plus en détailDemande de permis Candidats du cheminement CPA, CA
5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 www.cpaquebec.ca Demande de permis Candidats du cheminement CPA, CA N.B. Il est inutile de présenter une demande
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailBanque Zag. Troisième pilier de Bâle II et III Exigences de divulgation. 31 décembre 2013
Banque Zag Troisième pilier de Bâle II et III Exigences de divulgation 31 décembre 2013 Le présent document présente les informations au titre du troisième pilier que la Banque Zag (la «Banque») doit communiquer
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailAppendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs
Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme
Plus en détailCHARTE DU CORRESPONDANT MODELE TYPE
CHARTE DU CORRESPONDANT MODELE TYPE CHAPITRE 1: CONDITIONS DANS LESQUELLES LE BUREAU LUXEMBOURGEOIS ACCORDE, REFUSE OU RETIRE SON AGREMENT A UN CORRESPONDANT 1.1 Comment remplir la fonction de correspondant
Plus en détailBureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration
Bureau du surintendant des institutions financières Audit interne des Services intégrés : Services de la sécurité et de l administration Avril 2014 Table des matières 1. Contexte... 3 2. Objectif, délimitation
Plus en détailPlan de Reprise d Activité
Garantie de continuité du fonctionnement de l activité Plan de Reprise d Activité Introduction Les systèmes informatiques font face à de nombreux dangers dont les risques naturels tels que les innondations,
Plus en détailFAQ LES ÉTUDIANTS INTERNATIONAUX ET L IMPÔT SERVICE DE SOUTIEN À LA DÉCLARATION DE REVENUS 2012
FAQ LES ÉTUDIANTS INTERNATIONAUX ET L IMPÔT SERVICE DE SOUTIEN À LA DÉCLARATION DE REVENUS 2012 Ce document ne contient que des informations générales sur les étudiants internationaux et l impôt. Pour
Plus en détailPolitique de gestion des risques
Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement,
Plus en détailPOLITIQUE SUR LES FRAIS DE FONCTION ET DE CIVILITÉS. Modification :
POLITIQUE SUR LES FRAIS DE FONCTION ET DE CIVILITÉS Adoption : Résolution XVIII du Conseil des commissaires extraordinaire du 7 juillet 2010 Modification : Résolution 20 du Conseil des commissaires du
Plus en détailIntroduction à l ISO/IEC 17025:2005
Introduction à l ISO/IEC 17025:2005 Relation avec d autres normes de Management de la Qualité Formation Assurance Qualité LNCM, Rabat 27-29 Novembre 2007 Marta Miquel, EDQM-CoE 1 Histoire de l ISO/IEC
Plus en détailL Agence du revenu du Canada protège l accès au système pour 70 000 utilisateurs
TÉMOIGNAGE DE CLIENT L Agence du revenu du Canada protège l accès au système pour 70 000 utilisateurs PROFIL DE CLIENT Industrie : Gouvernement Ministère : Agence du revenu du Canada Employés : 44 000
Plus en détail3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde
3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques
Plus en détailRECOMMANDATIONS PROPOSÉES
SYNDICAT CANADIEN DE LA FONCTION PUBLIQUE RECOMMANDATIONS PROPOSÉES (Ce guide doit être utilisé avec le Programme de vérification des syndics) **Ce n est pas nécessaire de le retourner au Bureau national**
Plus en détailDEVENIR TUTEUR DANS LE MEILLEUR INTÉRÊT DE L ENFANT
DEVENIR TUTEUR DANS LE MEILLEUR INTÉRÊT DE L ENFANT Que devez-vous savoir sur la tutelle en vertu de la Loi sur la protection de la jeunesse? LOI SUR LA PROTECTION DE LA JEUNESSE CETTE BROCHURE A ÉTÉ RÉALISÉE
Plus en détailWhen Recognition Matters
When Recognition Matters PROGRAMME DE PARTENARIAT DU PECB www.pecb.com A propos du PECB /// Le PECB (Professional Evaluation and Certification Board) est un organisme de certification des personnes pour
Plus en détailwww.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»
www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations
Plus en détailStratégie IT : au cœur des enjeux de l entreprise
Stratégie IT : au cœur des enjeux de l entreprise Business Continuity Convention Tunis 27 Novembre 2012 Sommaire Sections 1 Ernst & Young : Qui sommes-nous? 2 Stratégie IT : au cœur des enjeux de l entreprise
Plus en détailPOLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)
POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013) Le générique masculin est utilisé sans discrimination uniquement dans le but d alléger le texte. 1. OBJECTIFS Gérer efficacement
Plus en détailGestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services
Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Jaafar DEHBI 2003 Acadys - all rights reserved Conception des services Buts et objectifs Concevoir les nouveaux
Plus en détailD ITIL à D ISO 20000, une démarche complémentaire
D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction
Plus en détailRapport de certification
Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma
Plus en détailCONDITIONS GÉNÉRALES D ADHÉSION À L ASSURANCE COLLECTIVE
CONDITIONS GÉNÉRALES D ADHÉSION À L ASSURANCE COLLECTIVE INFORMATION LÉGALE SUR LA PROTECTION DES DONNÉES PERSONNELLES Nous vous informons que si vous décidez d adhérer à cette assurance, VACACIONES EDREAMS,
Plus en détailComment protéger ses systèmes d'information légalement et à moindre coût?
Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012
Plus en détailRelease Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014
ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing
Plus en détailSécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC
Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................
Plus en détailRÈGLEMENTS DU CONCOURS Gagnez une certification en ligne SMART
RÈGLEMENTS DU CONCOURS Gagnez une certification en ligne SMART 1. DURÉE DU CONCOURS Le concours «Gagnez une certification!» (ci-après le «Concours») est organisé par Marcotte Systèmes (ci-après l «Organisateur»).
Plus en détailMANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ
MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ Table des matières PRÉAMBULE... 3 1 Introduction... 4 2 Domaine d application... 4 3 Exigences générales... 4 3.1 Système de gestion de la sûreté... 4 3.2 Approche
Plus en détailGestion de la sécurité de l information par la haute direction
Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailClassification : Non sensible public 2 / 22
Le Ministère de la Santé, via son programme «Hôpital numérique», soutient l amélioration de la qualité de service et de la performance des établissements de santé par le développement et la promotion du
Plus en détailDéterminer quelle somme dépenser en matière de sécurité des TI
Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement
Plus en détailVERSION ENRICHIE DU STANDARD SUR LE CLAVIER QUÉBÉCOIS (SGQRI 001)
VERSION ENRICHIE DU STANDARD SUR LE CLAVIER QUÉBÉCOIS (SGQRI 001) Table des matières SECTION I : DISPOSITIONS GÉNÉRALES... 1 S.-s. 1 Objet du standard... 1 S.-s. 2 Champ d application... 1 S.-s. 3 Définitions...
Plus en détailPRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION
Plus en détailWHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace
Quatre indices pour identifier une intégration ERP inefficace 1 Table of Contents 3 Manque de centralisation 4 Manque de données en temps réel 6 Implémentations fastidieuses et manquant de souplesse 7
Plus en détailMÉMOIRE CONSEIL QUÉBÉCOIS DU COMMERCE DE DÉTAIL SUR LE DOCUMENT DE CONSULTATION VERS UN RÉGIME DE RENTES DU QUÉBEC RENFORCÉ ET PLUS ÉQUITABLE
MÉMOIRE DU CONSEIL QUÉBÉCOIS DU COMMERCE DE DÉTAIL SUR LE DOCUMENT DE CONSULTATION VERS UN RÉGIME DE RENTES DU QUÉBEC RENFORCÉ ET PLUS ÉQUITABLE PRÉSENTÉ À LA COMMISSION DES AFFAIRES SOCIALES AOÛT 2009
Plus en détailVeuillez lire les présentes modalités et conditions du service (les «CONDITIONS») avant d utiliser le présent site.
Groupe ENCON inc. 500-1400, Blair Place Ottawa (Ontario) K1J 9B8 Téléphone 613-786-2000 Télécopieur 613-786-2001 Sans frais 800-267-6684 www.encon.ca Avis juridique Veuillez lire les présentes modalités
Plus en détailCharte de Qualité sur l assurance vie
Charte de Qualité sur l assurance vie PRÉAMBULE La présente Charte de Qualité sur l assurance vie s'inspire largement de la Charte de Qualité ICMA Private Wealth Management, qui présente les principes
Plus en détailRÈGLES DE CERTIFICATION D ENTREPRISE
RÈGLES DE CERTIFICATION D ENTREPRISE Fabrication et transformation de matériaux et d emballages destinés au contact des aliments : respect des règles d hygiène (méthode HACCP) Réf. Rédacteur LNE PP/GLB
Plus en détailPartir en toute. assurance PARTOUT DANS LE MONDE
Partir en toute assurance PARTOUT DANS LE MONDE L information contenue dans ce document l est à titre indicatif et n engage en rien la responsabilité de la Société de l assurance automobile du Québec.
Plus en détailITIL V2 Processus : La Gestion des Configurations
ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service
Plus en détailCaRMS en ligne Guide d aide pour les candidats Connexion à la plateforme CaRMS en ligne et remplir votre candidature
CaRMS en ligne Guide d aide pour les candidats Connexion à la plateforme CaRMS en ligne et remplir votre candidature Le 22 juillet 2015 Ce guide a été conçu afin de faciliter votre utilisation de la plateforme
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détailprotection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des
Principes régissant la protection consommateurs des dans le commerce électronique Le cadre canadien Groupe de travail sur la consommation et le commerce électronique Principes régissant la protection
Plus en détailModèle Cobit www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détailPrincipes anti-blanchiment de Wolfsberg pour les banques correspondantes
Principes anti-blanchiment de Wolfsberg pour les banques correspondantes 1 Préambule Le groupe de Wolfsberg d établissements financiers internationaux 1 s est accordé sur ces Principes qui constituent
Plus en détailProgramme de Certification en Business Analysis
Altran, leader européen du conseil en innovation. La force du Groupe Altran, leader européen du conseil en innovation, est d anticiper les évolutions à venir afin d inventer avec et pour ses clients les
Plus en détailCrédits d impôt pour la recherche scientifique et le développement expérimental («RS&DE»)
Crédits d impôt pour la recherche scientifique et le développement expérimental («RS&DE») Aperçu du programme et occasions à saisir Pascal Martel Yara Bossé-Viola 8 octobre 2014 Objectifs Objectifs du
Plus en détailCommentaires de l ICÉA à la Commission canadienne de l UNESCO - Suivi de CONFITEA VI page 2
Commentaires de l ICÉA à la Commission canadienne de l UNESCO concernant le suivi de la mise en œuvre des engagements de CONFINTEA VI Le 19 janvier 2012 Commentaires de l ICÉA à la Commission canadienne
Plus en détailStatistiques de finances publiques consolidées
Statistiques de finances publiques consolidées Introduction Le concept de la consolidation est couramment utilisé dans le domaine de la comptabilité, tant dans le secteur privé que public. Définie simplement,
Plus en détailListe des recommandations
RECOMMANDATIONS À TOUS LES MINISTÈRES ET ORGANISMES L EXERCICE DES POUVOIRS DISCRÉTIONNAIRES DE L ADMINISTRATION: Que lorsque, dans l exercice de ses pouvoirs discrétionnaires, l Administration prend une
Plus en détail3. NORMES RELATIVES A LA CERTIFICATION DES COMPTES ANNUELS CONSOLIDES
3. NORMES RELATIVES A LA CERTIFICATION DES COMPTES ANNUELS CONSOLIDES Considérant que la révision des comptes consolidés doit s exercer conformément aux normes générales de révision; que ses caractéristiques
Plus en détailConditions d utilisation de la Carte Scotia MD SCÈNE MD*
Conditions d utilisation de la Carte Scotia MD SCÈNE MD* Aperçu du programme de récompenses SCÈNE Le programme de récompenses SCÈNE est administré par Scene Limited Partnership, une société en commandite
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailBrève étude de la norme ISO/IEC 27003
RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr
Plus en détailPré-requis Diplôme Foundation Certificate in IT Service Management.
Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d
Plus en détail5.11 Programme de subventions aux entreprises adaptées
5.11 Programme de subventions aux entreprises adaptées 5.11 PROGRAMME DE SUBVENTIONS AUX ENTREPRISES ADAPTÉES 2014-02-17 Table des matières Page 2 sur 16 Table des matières RÉFÉRENCE 1. INTRODUCTION...
Plus en détailexemple d examen ITMP.FR
exemple d examen ITMP.FR Les Principes de Management du Système d Information (ITMP.FR) édition 2010 table des matières introduction 3 examen 4 barème 9 évaluation 17 A la fin de l examen vous devez rendre
Plus en détailNormes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Janvier 2014
NMAM 11.10 Normes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Gestion de l information et rédaction de rapports en Mauritanie Coordinateur Programme National de Déminage Humanitaire
Plus en détailPolitique de gestion documentaire
Politique de gestion documentaire Responsabilité de gestion : Secrétariat général Date d approbation : 24 avril 1979 C.A. C.E. Direction générale Direction Date d'entrée en vigueur : 24 avril 1995 Date
Plus en détailLa sécurité entgv. avecpatrick Boucher
E N T R E V U E La sécurité entgv Photo : Michel Latulippe avecpatrick Boucher PROPOS RECUEILLIS PAR SAMUEL BONNEAU Patrick Boucher est diplômé de l UQAM en informatique. Il est président fondateur de
Plus en détailChapitre 9 : Informatique décisionnelle
Chapitre 9 : Informatique décisionnelle Sommaire Introduction... 3 Définition... 3 Les domaines d application de l informatique décisionnelle... 4 Architecture d un système décisionnel... 5 L outil Oracle
Plus en détail