Catalogue de stages

Transcription

1 Practice Risk management et sécurité de l information «Changez votre point de vue sur les stages!»

2 : devenir le 1 er cabinet de conseil indépendant en France est un cabinet indépendant de conseil en management et système d information, fort de plus de 20 ans d expérience et de plus de 1200 collaborateurs. Partenaire des plus grandes entreprises et administrations, nous intervenons auprès de leurs directions métiers et de leurs directions des systèmes d information sur leurs projets nationaux et internationaux afin d anticiper et accompagner les transformations créatrices de valeur, innover au service des métiers et faire du système d information un véritable actif au service de la stratégie de l entreprise. Notre ambition : devenir le 1 er cabinet de conseil indépendant e à horizon Retrouvez-nous sur le web et les réseaux sociaux : Des stages et bien plus! Plus de 100 stagiaires sont accueillis au sein de chaque année, en majorité pour des stages de longue durée (stages de fin d études, années de césure ou encore apprentissage). Ces stages s inscrivent dans une logique de pré-embauche. Considérés comme des collaborateurs à part entière, nos stagiaires suivent le même processus de recrutement, bénéficient d un encadrement RH et d un suivi réguliers, participent à des missions opérationnelles et à tous les événements qui rythment la vie du cabinet. Notre culture managériale met l accent sur les résultats, le leadership et le développement des compétences. En nous rejoignant, vous faites le choix d évoluer dans un environnement exigeant alliant rigueur et qualité, et de découvrir la richesse du métier de consultant. Nos équipes mettent tout en œuvre pour que votre stage soit plus qu un aperçu du monde du travail. Bien plus qu un métier, vous apprécierez également une entreprise dans laquelle les collaborateurs se passionnent pour le conseil en management et système d information depuis plus de 20 ans. «Une vraie culture du partage et de la transmission. Formations, encadrement, équipes à taille humaine offre un cadre de travail idéal pour monter en puissance rapidement sur un métier aussi exigeant que le conseil. Chaque journée est faite de nouveaux challenges, mettant à l épreuve mes connaissances techniques et fonctionnelles, ma capacité à gérer des projets complexes, et surtout ma faculté à apprendre et entreprendre!» Yamina, Consultante, Télécom ParisTech 2012 ex-stagiaire Risk Management et Sécurité de l information Notre practice Risk management et sécurité de l information Risk Management et sécurité de l information Page 2

3 Avec plus de 200 consultants, notre practice Risk management et sécurité de l information est aujourd hui leader dans son domaine. Cette position de premier ordre nous permet de capter les plus grands projets du marché et d être un véritable fer de lance du cabinet dans son développement. Afin d accompagner cette dynamique, nous souhaitons intégrer de nouveaux talents. Nous accompagnons depuis plus de 15 ans les plus grandes entreprises dans la gestion des risques et la conduite des projets sécurité au bénéfice de leurs métiers. Nos convictions : Prioriser les risques en fonction des enjeux des métiers et accompagner le développement de l entreprise. S adapter à l évolution rapide des risques et apporter des réponses innovantes. Allier protection, détection et réaction pour faire face à la diversification des menaces. Pour ce faire, nous disposons d une alliance unique d expertises de premier plan, autour des 9 grands thèmes d actualité suivants : Risk management Protection de l information Audits & tests d intrusion Stratégie & gouvernance Smartphones & mobilité Cloud computing Cybercriminalité / gestion de crise Innovations sécurité Continuité d activité Retrouvez nos éclairages et nos prises de parole sur l actualité sur la revue en ligne de : solucominsight.fr/category/securite-risk-management/ Risk Management et sécurité de l information Page 3

4 Notre approche des stages Rejoignez-nous en tant que Consultant stagiaire. Votre stage se composera de deux volets complémentaires : La réalisation d une étude sur un sujet de stage défini en amont, qui pourra prendre différentes formes : veille technologique, capitalisation de retours d expériences, recherche documentaire, rencontres éditeurs L objectif de cette étude, fil conducteur de votre stage, sera de développer vos connaissances théoriques et de vous familiariser avec notre méthodologie de travail. Des interventions opérationnelles sur des missions Risk management et sécurité de l information. Intégré au sein d'une équipe projet, vous pourrez ainsi découvrir le quotidien du métier de consultant et intervenir sur des problématiques concrètes, directement sur des projets à fort enjeu de transformation pour nos clients. - Les 3 clés du succès de votre stage - 1 Un triple encadrement 2 Les projets 3 Les formations par un maître de stage, un manager et un chargé de recrutement pour assurer régulièrement le suivi et la montée en compétences pour mettre en perspective les savoir-faire théoriques, intervention auprès de nombreux clients au sein des équipes projet pour consolider les connaissances métier et parfaire le développement professionnel de nos stagiaires Modalités pratiques Durée : de 5 à 12 mois, à n importe quel moment de l année. Localisation : Paris La Défense (déplacements ponctuels éventuels en province et à l étranger dans le cadre de missions). Processus de recrutement Notre processus de recrutement se déroule en deux temps : rencontre avec un(e) chargé(e) de recrutement, puis avec un Directeur Risk Management et sécurité de l information. Des échanges informels avec d anciens de votre école pourront vous être proposés. Pour nous faire parvenir votre candidature, merci de nous adresser un CV et une lettre de motivation, en précisant le(s) sujet(s) de stage, à l adresse suivante : recrutement@solucom.fr Risk Management et sécurité de l information Page 4

5 Quelques sujets de stages autour du Risk management L Enterprise Risk Management au service du pilotage stratégique L Enterprise Risk Management vise à obtenir une vue d ensemble des risques qui pèsent sur une organisation, en mettant notamment en évidence leurs adhérences et le risque d effet domino qui peut en découler. Il permet de se positionner auprès des décideurs et leur apporter l éclairage adéquat : le risk manager ne gère pas les risques, il aide les autres à mieux les gérer. L objectif est d accompagner le développement du cabinet sur ce secteur en plein essor, en complétant l existant documentaire sur les enjeux de l ERM, les démarches de mise en œuvre et l outillage associé. Business case sur l ERM. Démarche d implémentation et méthodologies associées. Tableaux de bord / Key Risk indicators. Risques du secteur (banque, assurance, énergie, transport, télécom) : tendances et dispositifs de maitrise L étudiant choisira le secteur d activité qu il désire pour la réalisation de son sujet de stage. Si quelques risques sont transverses, et impactent tous les secteurs d activité, la plupart d entre eux sont spécifiques à la nature de l activité menée : les risques d une banque ne recouvrent que très partiellement ceux pesant sur une multi-nationale de l énergie par exemple. Dans cette optique, et pour accompagner nos clients au mieux sur ces thématiques, se doit de développer et maintenir un référentiel de risques propres à chacun des secteurs d activités, et une «boite à outils» pour placer ces risques sous contrôle. Cartographie des risques sectoriels. Plan d action type. Déclinaison sur un cas d étude. Risk Management et sécurité de l information Page 5

6 Governance, Risk, Compliance : quels outils pour mieux piloter? Poussées par les besoins en conformité réglementaire du secteur bancaire, les solutions de GRC (Governance, Risk, Compliance) arrivent aujourd hui à maturité. Elles viennent outiller les réflexions sur l ERM (Enterprise Risk Management) et facilitent le pilotage des risques, en automatisant leur mesure, leur gestion et le reporting associé. L objectif de ce stage est d étudier l apport de ces solutions et de consolider notre doctrine par des cas concrets utilisables dans le cadre de missions auprès de nos clients : la valeur ajoutée dans le processus de gestion des risques du point de vue des métiers sera le critère essentiel. Proposition de valeur pour les solutions de Risk Management. Démarche générale pour mettre en place l ERM et facteurs clés de succès. Benchmark des solutions de GRC (sur la base de travaux réalisés précédemment au sein de ). L IAM par les risques au service des stratégies métiers Les grandes entreprises se lancent toutes dans une démarche GRC (Governance, Risk, Compliance) dans le but d améliorer la maîtrise de leurs processus. La gestion des identités et des habilitations (IAM) contribue naturellement à une telle démarche («donner le bon droit à la bonne personne au bon moment»). Cette contribution devient de plus en plus forte avec l apparition d innovations positionnant le contexte risque au cœur des opérations de gestion d habilitations et de contrôle d accès. L objectif de ce stage est de dresser un panorama des dernières innovations technologiques «Riskbased IAM» et d identifier comment celles-ci peuvent et doivent être intégrées dans les organisations, processus et outillages existants. État de l art et analyse des évolutions du marché par le prisme «Risques» : apports et limites. Stratégies d implémentation chez les grands comptes. Identification des meilleures pratiques et des écueils en termes d organisation, processus de gestion et outillage. Risk Management et sécurité de l information Page 6

7 Quelques sujets de stages autour de la Protection de l information La protection des données patients au sein de l hôpital de demain Comme de nombreux de secteurs, celui de la santé se modernise et devient de plus en plus numérique. Le Système d Informations devient alors central dans les projets des établissements de santé, apportant ainsi des opportunités et risques, notamment les risques de sécurité et de continuité. La protection des informations des patients constitue donc un enjeu de premier plan pour les professionnels de la santé, les établissements hospitaliers, mais aussi les autorités sectorielles... L objectif du stage est d aider à renforcer sa position sur le marché de la protection des informations concernant les patients. Il s agit de bien appréhender les enjeux du secteur puis de déterminer comment doit évoluer la sécurité des Systèmes d Informations Hospitalier afin de respecter les exigences règlementaires tout en restant adaptée au contexte très spécifique du monde de la santé (efficacité et réactivité). Panorama du cadre légal et réglementaire (Hôpital Numérique, Certification de la Haute Autorité de Santé, Hébergement de Données de santé ). Analyse des risques liés aux informations des patients. Définition des chantiers de mise en conformité des établissements de santé permettant notamment leur certification par la Haute Autorité de Santé. Big Data : se préparer au Big Bang Initialement confinées au cœur des moteurs de recherche et des réseaux sociaux, les technologies du Big Data s'exportent désormais avec succès dans de nombreux secteurs d'activité. La capacité du Big Data à analyser des volumes gigantesques de données hétérogènes avec une rapidité déconcertante ouvre en effet de nouvelles opportunités dans les domaines de la recherche, du marketing, de la finance, des télécommunications ou encore de la sécurité et de la lutte anti-fraude. Pour autant, le recours au Big Data n'est pas sans risque et lève de nouvelles questions, notamment quant aux modèles de gestion des données, en particulier personnelles. L'objectif du stage est de qualifier les risques de sécurité apportés par les technologies du Big Data et leurs usages et d'identifier les leviers organisationnels, techniques et règlementaires dont disposent les entreprises pour maîtriser ces risques. Veille marché et réglementaire sur le Big Data. Analyse de risques sur les technologies du Big Data et leurs usages. Risk Management et sécurité de l information Page 7

8 Recherche et analyse des solutions métiers Big Data dans certains secteurs, en particulier sécurité et fraude. Fuite d information : comment protéger les secrets industriels? Face à un Système d Information de plus en plus ouvert, les moyens de faire sortir les secrets d entreprise sont multiples : attaques logiques, transferts illégitimes, intrusions physiques, vols de données... L actualité des derniers mois montre que de nombreuses grandes entreprises et institutions publiques, en France ou à l international, en sont régulièrement la cible. L objectif de ce stage est d étudier les menaces de fuite d informations au sein d un grand compte, d identifier les processus ou les outils de contrôle permettant de maîtriser ce risque et de définir une politique de défense respectant les obligations CNIL et prenant en considération le futur label «confidentiel entreprise». Analyse des méthodes de fuite d informations, des mesures de prévention et des contrôles associés. Étude de marché sur les outils de prévention de fuite d informations logiques. Réalisation d un Proof of Concept sur un outil de prévention des fuites d informations : bilan de maturité de l outil et analyses des limites. Sécurité applicative : quels moyens pour assurer sa réussite? La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes. Les équipes sécurité, historiquement centrées sur la protection des infrastructures, sont souvent éloignées des problématiques des études, des chefs de projet applicatifs et des développeurs. Les initiatives de sécurisation se multiplient (méthodologie de développement, gestion des identités, analyses de risques projets, web application firewall, chiffrement des bases ) mais montrent rapidement leurs limites du fait de cette distance. L objectif de ce stage est d étudier les moyens techniques et organisationnels permettant de réussir la transition vers une sécurité applicative réelle et efficace. Panorama des activités de sécurité applicative à mettre en œuvre dans les entreprises : revues de code, développement sécurisé, tests d intrusion Comparaison de différents scénarios d organisation : cellule centralisée, réseau de correspondants Étude et benchmark des principaux outils de sécurité applicative : scanners de vulnérabilités applicatives, pare-feux applicatifs Risk Management et sécurité de l information Page 8

9 Super administrateurs, super pouvoirs super risques? Les comptes à forts privilèges (administrateurs) sont paradoxalement moins contrôlés que les utilisateurs «conventionnels». Cependant, une véritable prise de conscience des risques liés à l usage de ces comptes est apparue ces dernières années. L objectif du stage est d identifier quelles sont les meilleures pratiques en terme d organisation, de processus et d outils, et comment ces approches s inscrivent dans la stratégie globale de gestion des identités et des accès des entreprises. Identification des principaux cas d usage fonctionnels. Panorama du marché : technologies matures et émergentes, principes d architecture, solutions éligibles, coût de déploiement de ces solutions. Préparation d une maquette de démonstration. Risk Management et sécurité de l information Page 9

10 Quelques sujets de stages autour des Audits & tests d intrusion Investigation numérique / forensics L actualité, la presse spécialisée, les rapports des agences de sécurité et les constats réalisés lors de nos audits de sécurité le prouvent : les entreprises sont devenues la cible d une cybercriminalité visant à s infiltrer dans leurs réseaux pour y dérober de l information. accompagne ses clients victimes de telles attaques en réalisant des investigations postincident pour identifier les vecteurs d attaque, circonscrire l intrusion et élaborer un plan de sécurisation. En soutien des équipes intervenant sur ces missions d investigation post-incident, l objectif de ce stage est de faire évoluer et de compléter les méthodologies et l outillage utilisés. Étude des principes et des procédés d analyse forensics. Formalisation des méthodologies d analyse, d inspection et de traitement. Développement de l outillage associé. La sécurité du socle smartphone Dans les entreprises comme dans la vie privée, les smartphones et autres tablettes deviennent un moyen incontournable d accès et de traitement de l information. Pour répondre à ces besoins, les entreprises offrent à leurs clients et à leurs collaborateurs des applications, sites et services dédiés aux équipements mobiles. Ces derniers augmentent l exposition des entreprises à certaines menaces (écoute des communications, vol des informations locales, etc.). a développé une méthodologie d audit de sécurité sur ces sujets afin d accompagner ses clients dans l évaluation de la sécurité des applications mobiles et des smartphones. L objectif de ce stage vise à analyser la sécurité des différents socles déployés sur les smartphones afin de mettre à jour et de compléter les méthodologies existantes. Il s agit d apporter les prérequis nécessaires à l évaluation de la sécurité des données et des applications accessibles par ce socle. Analyse de la sécurité intrinsèque aux socles présents sur les smartphones. Conception et développement d outils. Formalisation des démarches et méthodologies associées. Risk Management et sécurité de l information Page 10

11 Audit sécurité de code applicatif Applications Web, applications natives sur smartphones, clients riches ou lourds, exposés sur Internet, l Extranet ou l Intranet, etc. la sécurité du code applicatif est un axe majeur de protection du Système d Information. En complément de ses missions de tests d intrusion, propose donc de réaliser des revues sécurité du code source des applications afin d adresser l ensemble des menaces (backdoor, bufferoveflow, protection des données locales, etc.) et d y répondre par des corrections précises et détaillées. Intégré à la démarche et aux équipes menant des tests d intrusion, ce stage vise à compléter et mettre à jour la méthodologie d audit sécurité de code applicatif, sur différentes technologies et différents environnements. Caractérisation des failles de développement en fonction du langage, du framework, de l environnement Intégration des constats dans les méthodologies de tests d intrusion. Formalisation des méthodologies d audits sécurité de code applicatif. Audit et tests d intrusion : méthodologie et outils 2.0 Afin de maintenir dans la durée un bon niveau de protection vis-à-vis d accidents ou d attaques, les entreprises doivent contrôler régulièrement leurs solutions techniques et les procédures associées à travers différents types d audit (tests d intrusion, audits organisationnels, etc.). L objectif de ce stage est de faire évoluer et de compléter la méthodologie et l outillage utilisés par dans les audits de sécurité, notamment pour les tests d intrusion. Étude des fonctions de sécurité de technologies émergentes prédéfinies et identification des outils de tests relatifs. Formalisation de méthodologies d audits et de tests d intrusion, relatives aux technologies étudiées. Risk Management et sécurité de l information Page 11

12 Quelques sujets de stages autour de Stratégie & gouvernance Smart banking, smart grid, smart things smart security? Le Smart entre notre quotidien : les réseaux d énergie et d eau se numérisent et s interconnectent, les objets connectés se déploient dans nos foyers et dans nos moyens de transports. Et tout ceci attire les cybercriminels! Suivre la consommation d électricité à distance permet de savoir si quelqu un est dans le domicile, pirater une clé de voiture numérique permet de voler le véhicule, à plus grande échelle il est même envisager d interrompre les réseaux de transport ou encore de distribution d énergie (voir le film Die Hard 4 ou encore Les équipes sécurité doivent prendre en compte ces nouvelles menaces et intégrer la sécurité dans la conception de ces nouveaux équipements sans remettre en cause la facilité d usage. L objectif de ce stage est d identifier les principales menaces visant le smart, à la fois dans le grand public et pour les entreprises. Il s agira également d identifier des dispositifs innovants de réponse et de prévention sur les plans techniques et organisationnels. Veille sur les différentes initiatives Smart et les attaques associées. Réalisation d analyses de risque sur quelques thèmes ciblées : «La maison connectée», «Les réseaux de distribution d énergie» Identification des solutions de sécurité innovantes alliant sécurité et facilité d usage. Données personnelles, cybercriminalité : quel avenir pour la réglementation SI? Face aux nouvelles menaces de la cybercriminalité, les États réagissent pour protéger les citoyens et les systèmes cruciaux pour leurs activités. L un des axes de cette démarche est l évolution des lois et réglementations, autant d opportunités que de contraintes pour les grandes entreprises. L objectif de ce stage est d étudier les évolutions du contexte juridique en matière de systèmes d information en France et à l international, d analyser les impacts pour les grandes entreprises et de définir les dispositifs organisationnels et techniques à implémenter pour y répondre. Panorama évolutions réglementaires et légales attendues. Démarche de mise en conformité aux principes du futur projet de réglementation européen pour la protection des données à caractère personnel. Analyse des impacts de la loi de programmation militaire sur les SI (responsabilités des différents acteurs, rôle de la direction des risques ). Risk Management et sécurité de l information Page 12

13 Audit et benchmark IAM : quel niveau de maturité aujourd hui, que faire demain? Depuis plus de 10 ans, les grandes entreprises ont lancé de nombreuses initiatives IAM (Identity and Access Management) : informatisation des processus d habilitation pour les métiers, authentification sans couture, ouverture du SI aux partenaires... Cela a pu donner lieu à des empilements de services et de technologies, provoquant des impressions de mauvaise qualité de service et d une équation économique peu avantageuse pour l entreprise. L objectif du stage est de définir une méthodologie d audit et de benchmark IAM d une grande entreprise afin d analyser son niveau de maturité sur les sujets IAM et de l aider à définir les chantiers prioritaires à mener dans les trois ans à venir. Grille d audit (stratégie et organisation, gouvernance IAM, usages et services aux métiers, investissements et coûts récurrents, roadmap ). Identification de ratios d analyse du positionnement et de la maturité d une grande entreprise (fonctionnelle, technologique, économique) pour être en mesure de la «benchmarker». Méthodologie d audit et de benchmark IAM, et application sur trois clients de Sécurité du SI : quelle stratégie de coûts pour les entreprises? La majorité des Grands comptes a mis en place une démarche de maîtrise des risques de sécurité, en vue de se prémunir des menaces qui portent sur ses informations (vol d informations, indisponibilité des applications, non-respect des exigences réglementaires, etc.). Même si les directions comprennent de mieux en mieux la nécessité de prendre en compte ces risques, le discours est plus convaincant lorsqu il est appuyé sur un business case. L objectif de ce stage est d étudier le business case de la sécurité et de définir un modèle de retour sur investissement (ROI) à destination des décideurs de l entreprise. : Réalisation d un benchmark auprès des Grands comptes : identification des grands indicateurs de budgets de la sécurité, évaluation de la part relative des différents postes de coûts, etc. Formalisation d un modèle d évaluation du ROI de la sécurité (gain direct, productivité, image de marque, etc.), définition d indicateurs de chiffrage. Risk Management et sécurité de l information Page 13

14 Sensibilisation, gamification : quel avenir pour la communication sur la sécurité? Sans l adhésion des collaborateurs, les stratégies de sécurisation de l information restent partielles et inefficaces. Les campagnes de sensibilisation constituent donc un moyen essentiel pour traiter ce «vecteur humain» des risques de sécurité. L objectif de ce stage est d élaborer un portefeuille de supports de sensibilisation utilisables dans le cadre de missions auprès de nos clients. Au-delà des supports classiques de communication, il s agira d étudier l opportunité pour de réaliser des supports multimédia et d analyser les nouvelles techniques de sensibilisation comme la gamification et le nudging. Portefeuille de supports de sensibilisation (présentations, affiches, plaquettes, démonstrations, etc.). Étude d opportunité pour la réalisation de supports multimédia (films, flash, etc.) et cadrage du contenu (storyboard). Analyse des nouvelles techniques de sensibilisation et préconisations de mise en œuvre dans le domaine de la gestion du risque. Réseaux sociaux et sécurité de l information : un mélange explosif? Facebook, Twitter, Viadeo, LinkedIn, Google+ : les réseaux sociaux se sont imposés dans notre quotidien jusqu à s immiscer dans nos vies professionnelles. La nouvelle fenêtre sur l extérieur que représentent les réseaux sociaux relance le débat de la prudence : quels sont les risques pour l entreprise à autoriser et à utiliser les réseaux sociaux? Ce stage consiste à étudier les stratégies de positionnement de l entreprise vis-à-vis des réseaux sociaux en alignement avec les enjeux métiers. Il s agit également d établir les réponses aux risques que doivent intégrer ces stratégies. Analyse des risques liés à l autorisation et à l utilisation des réseaux sociaux au sein de l entreprise. Définition d une politique de sécurité sur les réseaux sociaux en lien avec les risques identifiés. Élaboration d une charte utilisateur réseaux sociaux et des outils de sensibilisation associés. Risk Management et sécurité de l information Page 14

15 Quel rôle joue l État en matière de sécurité SI : acteur, législateur, orchestrateur? Début 2012, la Commission Européenne dévoilait son projet de refonte de la législation communautaire en matière de protection des données à caractère personnel. A la même période, en France, le texte relatif au «secret des affaires» et à la protection des informations des entreprises était adopté après des années de réflexion. L État devient ainsi de plus en plus présent dans le domaine de la sécurité SI. L objectif du stage consiste à analyser les éléments relatifs aux lois françaises et internationales en matière de sécurité de l information et de définir concrètement comment l entreprise peut déployer ces règles à différents niveaux de son organisation. Analyse des textes de loi français et internationaux, y compris les jurisprudences. Benchmark sur le rôle de l'état en matière de sécurité SI dans différents pays. Construction d un plan d actions pour décliner concrètement la loi française dans les entreprises. Risk Management et sécurité de l information Page 15

16 Quelques sujets de stages autour de Smartphones & mobilité Les nouveaux usages de l ultra-mobilité Les nouvelles plateformes ios et Android se généralisent dans les entreprises. L ultra-mobilité qu elles autorisent suscite de nombreuses interrogations, aussi bien en termes d usages que de sécurité. L objectif de ce stage est d étudier en détail le sujet de la sécurité des smartphones et des tablettes (offres existantes et orientations futures). Analyse du positionnement et des usages dans une stratégie de mobilité. État de l art des offres du marché et de leur niveau de sécurité (identification des fonctions de sécurité intégrée et de leurs limites). Analyse des offres de sécurisation disponibles sur le marché (plateformes, applications..). Réflexion sur l usage d équipements personnels dans un SI d entreprise. Smartphone, e-commerce et authentification forte L accès à l Internet 3G permet d effectuer diverses transactions via son smartphone. Le risque de vol d identité suivi de fraude est accru, un smartphone pouvant être dérobé ou perdu facilement. Afin de limiter ces risques, des services d authentification forte sont proposés. L objectif de ce stage est d étudier les initiatives menées autour de l authentification forte sur les smartphones (applications et composantes matérielles). Étude des principes et du fonctionnement de l authentification forte par applicatif, composant cryptographique ou par carte SIM évoluée. Rencontre des acteurs du marché dans le but de réaliser une analyse critique du niveau de maturité des solutions et de déterminer les typologies de services sur lesquels elles pourraient être déployées. Risk Management et sécurité de l information Page 16

17 La sécurité des nouveaux moyens de paiement Les possibilités techniques de nos téléphones mobiles permettent aujourd hui le transfert d argent et le paiement par le terminal. Ces nouveautés engendrent pour les acteurs du marché des besoins de protection des données du client et de mise en conformité avec la réglementation. L objectif de ce stage est de réaliser une cartographie des services de paiement actuellement ou prochainement proposés en France tout en identifiant les niveaux de sécurité proposés. État de l art des principales offres du marché sur les solutions de paiement mobiles (Kwixo, Lemonway, Google Wallet, Buyster ), des mesures de sécurité mises en œuvre, des différentes orientations prises à l étranger. Étude sur les réglementations qui encadrent ces moyens de paiement (PCI DSS ) et sur la technologie NFC (services proposés et nouvelles menaces associées) et sa sécurité. Windows 8 : une révolution pour la sécurité des terminaux mobiles? Les mécanismes de sécurité de la dernière version de Windows ont été complètement revus par rapport aux versions précédentes et nécessitent d être testés et évalués. L objectif de ce stage est d étudier en détail le sujet de la sécurité de Windows 8 et de définir les orientations devant être suivies par les entreprises souhaitant migrer vers ce nouveau système d exploitation. Analyse des nouveautés de Windows 8 et identification des fonctions de sécurité intégrées et de leurs limites. Étude comparative des principales offres du marché en termes d OS mobiles (Google Chrome OS, Apple ios/ipad, RIM QNX, etc.), d outils de sécurité (antivirus, antispyware, etc.) et évaluation de leur niveau de protection. Réflexion sur l usage des équipements personnels dans un SI d entreprise. Risk Management et sécurité de l information Page 17

18 Authentification renforcée et Single Sign-On pour smartphone et tablettes De plus en plus de grands comptes déploient des flottes de tablettes et smartphones, depuis lesquels les utilisateurs accèdent à la fois à des applications Web et à des applications métiers natives développées spécifiquement. Malheureusement, les contraintes de sécurité (i.e. sandboxing) ne permettre pas le partage de la session entre ces applications. L expérience utilisateur est alors grandement pénalisée par les multiples authentifications qui deviennent nécessaires. L objectif du stage est d explorer les différentes solutions techniques qui permettraient de réaliser une authentification renforcée des utilisateurs et de gérer la session sécurisée entre les applications. Le consultant stagiaire aura à développer un prototype permettant de démontrer la faisabilité et les limites des solutions envisagées sur ios et Android. DIRECTION TECHNIQUE ET INNOVATION Ce stage sera effectué au sein de la Direction Technique et Innovation de notre practice, et encadré par l un de nos experts. Il nécessitera du stagiaire un goût prononcé pour les nouvelles technologies et l innovation. État de l art et analyse des principales technologies. Conception et réalisation de prototypes. BYOD : comment utiliser des équipements personnels en entreprise? Tablettes, smartphones ou encore ordinateurs portables sont aujourd hui au cœur de la société. Les collaborateurs des grandes entreprises souhaitent pouvoir utiliser les dernières innovations dont ils disposent pour réaliser leurs tâches professionnelles. Mais cela représente des risques, aussi bien de fuite d information pour l entreprise que d intrusion dans la vie privée pour le salarié. L objectif de ce stage est d étudier de manière exhaustive les risques relatifs au BYOD (Bring Your Own Device), à la fois sur les aspects techniques, juridiques et ressources humaines. Cette étude sera complétée par l analyse des solutions présentes sur le marché, avec la possibilité de monter des maquettes. Analyse des risques du BYOD et focus sur les enjeux juridiques et réglementaires. Étude de marché sur les solutions permettant d autoriser le BYOD. Réalisation d un Proof of Concept sur un outil : bilan de maturité de l outil et de ses limites. Risk Management et sécurité de l information Page 18

19 Technologies sans contact et sécurité : un pari audacieux? À l origine, les technologies sans contact ont surtout été utilisées pour du contrôle d accès physiques et dans les transports. Le caractère ergonomique de ces solutions encourage aujourd hui le développement de nouveaux usages, tels que les systèmes de paiement et d authentification. La diversité des technologies (Bluetooth, NFC, RFID, MIFARE, HID) et l offre pléthorique complexifient néanmoins le choix pour les grands comptes. De plus, de nombreuses questions se posent quant au niveau de sécurité effectif de ces technologies, la presse ayant notamment fait écho de failles dans de nombreux systèmes (ex : MIFARE). L objectif de ce stage est d analyser et de classifier les différentes solutions sans contact proposées dans le cadre de l authentification, puis d auditer la robustesse de quelques produits majeurs dans notre laboratoire. DIRECTION TECHNIQUE ET INNOVATION Ce stage sera effectué au sein de la Direction Technique et Innovation de notre practice, et encadré par l un de nos experts. Il nécessitera du stagiaire un goût prononcé pour les nouvelles technologies et l innovation. Identification et analyse des cas d usage. Benchmark des principales technologies : caractéristiques, usages, apports et limites Maquettage et audit technique de trois produits majeurs du marché. Risk Management et sécurité de l information Page 19

20 Quelques sujets de stages autour du Cloud computing Sécurité et Cloud computing : un mariage impossible? Le cloud computing marque un virage important dans l évolution des SI de par la mise à disposition de systèmes via internet, mutualisés, hébergés et maintenus chez un prestataire de services. L objectif de ce stage est d identifier la sécurité des offres Cloud, de leurs technologies sous-jacentes et de définir les orientations devant être suivies par les grandes entreprises lors de la migration. Étude des principales offres du marché français et international (acteurs grand public, entreprises, acteurs spécialisés, etc.) et des limites de leurs fonctions de sécurité intégrées. Identification et analyse des offres de sécurisation disponibles sur le marché. Analyse des enjeux juridiques et réglementaires encadrant l usage du Cloud. Cloud apps : comment prendre une longueur d avance? Le discours marketing des éditeurs a fait mouche auprès des directions métiers, qui poussent les DSI à utiliser de plus en plus d applications dans le cloud (Google Apps, Salesforce, Office 365 ). Les infrastructures de contrôle d accès existantes, dont le déploiement et la maintenance nécessite un effort certain, sont souvent obsolètes et inadaptées face à ces nouveaux usages. Dans ce contexte, la DSI doit proposer une réponse concrète garantissant à la fois confort et sécurité d accès à l ensemble des applications de l entreprise, on-premises ou dans le cloud. L'objectif de ce stage est d analyser l offre du marché du contrôle d accès dans le cloud au regard de la maturité des grands comptes et des premières références outre-atlantique. Enjeux et problématiques du contrôle d accès aux applications dans le cloud. État de l art du marché des offreurs de solutions. Stratégies de migration, quick wins et facteurs clés de succès. Risk Management et sécurité de l information Page 20

21 Cloud & secours informatique : Le secours dans le cloud, la solution pour atteindre le 7 ème ciel? L innovation technologique amène les entreprises à faire évoluer leur stratégie informatique, dont leur politique de secours informatique. Parmi ces évolutions technologiques, la généralisation de l usage du cloud ou les offres spécialisées de cloud recovery remettent-elles en question les stratégies actuelles de secours informatique des entreprises? L objectif de ce stage est de réaliser un état de l art du secours dans le cloud pour identifier son impact sur les stratégies de secours informatique des entreprises. Étude prospective des acteurs, des offres de secours dans le cloud et de leur maturité. Analyse de technique et économique de l utilisation de ces offres. Positionnement et perspectives du cloud pour le secours informatique. Risk Management et sécurité de l information Page 21

22 Quelques sujets de stages autour de la Cybercriminalité et gestion de crise Cybercriminalité : comment doit réagir l entreprise? La cybercriminalité ne cesse de croître. Les cas concrets se multiplient. Des entités gouvernementales, des géants de l informatique, des leaders industriels Tous les types d entreprises et d organisations sont susceptibles d être victimes d attaques informatiques ciblant directement les données qui constituent le cœur de métier de l organisation. L objectif de ce stage est de dégager les tendances majeures en matière d évolution des menaces et méthodes d attaque, et à identifier des dispositifs innovants de réponse et de prévention sur les plans techniques, juridiques et organisationnels. Analyse des faits d actualité marquants en termes de cyber-attaques (faiblesses exploitées, source et nature des attaques, métiers ciblés ) et identification des nouvelles tendances. Proposition de dispositifs organisationnels et techniques de protection (organisation de crise, sanctuarisation des informations, solutions innovantes d analyse comportementale ). Lutte informatique défensive : quelles actions pour contrecarrer les attaques cybercriminelles Espionnage industriel, attaques en déni de service, cyber-guerre : les incidents marquants en matière de sécurité font régulièrement la une de l actualité. Lorsqu une entreprise est sous le feu des cybercriminels, elle cherche à se protéger et à réduire l impact d une attaque. Au-delà des solutions historiques de protection (fermeture des flux, déploiement de correctifs), des solutions innovantes de lutte informatique défensive sont de plus en plus étudiées. Elles visent à proposer une réponse active à une attaque, jusqu à envisager des contre-attaques. L objectif de ce stage est de faire le point sur cette tendance et à identifier des pistes de réponses à des typologies d attaques. Veille sur l actualité autour de ce thème (contre-attaques réalisées dans certains pays, nouvelles réglementations, nouvelles solutions techniques ). Analyse des familles d attaques cybercriminelles (déni de service, attaque ciblée, usurpation d identité par ) et des solutions de défense possibles. Évaluation de la faisabilité technique, de l efficacité mais aussi de la légalité des solutions identifiées suivant les différents contextes. Risk Management et sécurité de l information Page 22

23 Doctrines internationales de cyberdéfense : quels enjeux pour les États et les entreprises? La cyberdéfense est sous les feux de la rampe. La multiplication et la gravité des incidents montre la faible préparation de la plupart des Etats à gérer des crises numériques majeures. Ce contexte impose de réfléchir à de nouvelles stratégies de défense et fait émerger de nouvelles réglementations. En France, le Livre Blanc de la Défense Nationale et la loi de Programmation Militaire ont posé les bases de nos doctrines. Mais qu en est-il dans les autres pays? Une cyberdéfense à l échelle européenne est-elle envisageable? Quel rôle doivent jouer les partenariats public/privé dans ces stratégies? Quelle proximité entre cyberdéfense, écoute étatique et espionnage industriel? Ce stage a pour objectif de dégager les tendances en matière de cyberdéfense à l échelle internationale, d identifier les directions majeures et de concrétiser ces éléments dans une vision utilisables par les grandes entreprises pour eux-mêmes se protéger de manière adéquate. Veille sur les politiques de cyberdéfense des pays et organisations majeurs (États-Unis, Europe, OTAN, Chine, Inde, Japon ) et sur les incidents les plus importants Réalisation d un panorama des différentes postures en matière de cyber défense des pays majeurs (doctrine d engagement, moyens mis en œuvre, effectifs, organisation ) et projection sur les évolutions à venir dans les prochaines années Réflexion sur les impacts de ces orientations dans les stratégies de protection des grandes entreprises (impact, nouveaux risques, aide pouvant être apportée par les Etats ). Risk Management et sécurité de l information Page 23

24 Quelques sujets de stages autour des Innovations sécurité Photocopieuse, machine à café, parking et le reste du SI : comment mettre en place «le badge à tout faire»? Le badge multiservices séduit de plus en plus de grandes entreprises, en offrant une ergonomie accrue dans l accès aux ressources au travers des différentes technologies qu ils embarquent (puce à contact, puces sans contact, RFID) : accès logique au poste de travail, accès physiques aux locaux, monétique (cantine, machine à café ), contrôle de présence et gestion intelligente des bâtiments. L objectif de ce stage est de réaliser une étude de l ensemble des solutions du marché (atouts, contraintes d intégration, etc.) afin de déterminer les scénarios d usage les plus pertinents. Étude des technologies avec et sans contact, des nouveaux usages associés et panorama des acteurs et des solutions du marché. Évaluation des impacts techniques et organisationnels, analyse des coûts de déploiements et de maintenance. Conception et mise en place d un démonstrateur. Identité numérique, en finir avec la schizophrénie! L État français a élaboré un plan de développement de l économie numérique qui vise à accroître et diversifier les usages et les services numériques pour les citoyens. Par ailleurs, les géants d Internet (Google, Facebook) se positionnent de plus en plus comme fournisseurs d identités numériques. Enfin, le phénomène de «consumérisation» (effacement de la frontière sphère personnelle / sphère professionnelle) est en plein essor au sein des grandes entreprises. L objectif du stage est de dresser un panorama du marché des services d identité et de confiance numérique dans les sphères privée, professionnelle et citoyenne : quelle(s) identité(s) numérique(s) demain pour accéder aux différents services de ces trois sphères? Analyse des acteurs de l économie numérique et des projets actuels/à venir en France et au sein de l Union Européenne (passeport / carte d identité électroniques, mon.service-public.fr ). Cas d usage et services nécessaires dans les sphères privée, professionnelle et citoyenne (identification, signature électronique, tiers de confiance, protection des données ). Analyse des axes de convergence des identités numériques. Risk Management et sécurité de l information Page 24

25 IPv6 : une nouvelle donne pour la sécurité des réseaux? Au-delà d une simple réponse à la pénurie d adresses à l échelle mondiale, l IPv6 a été pensé pour faciliter l exploitation des réseaux, en s adaptant aux nouveaux usages (mobile, Cloud, etc.). Néanmoins, les interrogations des entreprises sont nombreuses d un point de vue de la sécurité. L objectif de ce stage est d identifier les enjeux et risques liés à la transition IPv4 vers IPv6 et de définir les orientations pour les entreprises ayant besoin d un éclairage sur les technologies sous-jacentes. Étude de la sécurité des mécanismes de transition et cohabitation IPv4/IPv6. État de l art du support de l IPv6 par les équipements de sécurité et identification de leurs limites. Réalisation d une maquette pour le routage et le filtrage de flux en dual stack. La biométrie dans le monde de l entreprise : quels usages pour quels besoins? L usage de la biométrie est aujourd hui largement répandu dans le domaine grand public, mais est encore très restreint dans le monde de l entreprise. Tous les moyens d authentification biométriques, allant des empreintes digitales à la reconnaissance d iris, ne sont pas éligibles pour tous les besoins fonctionnels et ne satisfont pas toutes les exigences techniques, légales et règlementaires. L objectif du stage est d identifier comment les différentes technologies biométriques peuvent être utilisées dans le monde de l entreprise : quels usages pour quels besoins? DIRECTION TECHNIQUE ET INNOVATION Ce stage sera effectué au sein de la Direction Technique et Innovation de notre practice, et encadré par l un de nos experts. Il nécessitera du stagiaire un goût prononcé pour les nouvelles technologies et l innovation. Panorama sur les cas d usages fonctionnels et technologies biométriques associées, le cadre légal et réglementaire, le modèle économique. Analyse des principaux acteurs du marché et de leurs offres. Conception et réalisation de prototypes. Risk Management et sécurité de l information Page 25

26 Gestion des identités : quelles opportunités pour l open source? Les grands comptes ont pris conscience de la nécessité de mettre en place une infrastructure de gestion des identités. Les éditeurs majeurs du marché (IBM, Microsoft, Oracle...) proposent une offre qui peut être assez coûteuse pour les entreprises. La solution open source est une alternative. L objectif du stage est de confronter l adéquation de ces services open source aux besoins exprimés par les grands comptes. DIRECTION TECHNIQUE ET INNOVATION Ce stage sera effectué au sein de la Direction Technique et Innovation de notre practice, et encadré par l un de nos experts. Il nécessitera du stagiaire un goût prononcé pour les nouvelles technologies et l innovation. Identification et analyses des briques open source existantes. Analyse des fonctionnalités de ces solutions, adéquation aux besoins fonctionnels des métiers et de l IT. Analyse des déploiements existants de solutions open source de gestion des identités au sein des grandes entreprises : forces et faiblesses. Conception et réalisation d un prototype sur le périmètre du cabinet. Comment développer l usage des services de confiance numérique? Beaucoup d entreprises ont investi dans des infrastructures de gestion de clés (ou PKI pour Public Key Infrastructure) afin d émettre des certificats numériques sur lesquels peuvent s appuyer différents services de confiance (authentification forte, signature électronique, chiffrement de données ). Il leur est cependant difficile d identifier toutes les pistes d utilisation, et donc de rentabilisation, de ces services. L objectif de ce stage est d identifier les leviers permettant de développer les usages autour des nouveaux services de confiance numérique en entreprise. Il s agira notamment de déterminer comment mieux tirer parti des enjeux et des initiatives des métiers. Panorama des usages innovants autour des services de confiance numérique. Identification des leviers et facteurs clés de succès pour mener un projet de services de confiance numérique (démarche, stratégie de déploiement, catalogue de services, sponsors ). Préparation d une maquette de démonstration de certains des usages identifiés. Risk Management et sécurité de l information Page 26

27 Contrôle d accès : la réponse du marché face à l évolution des usages Plusieurs solutions de contrôle d accès Web, aujourd hui assez largement déployés, doivent faire face à de nouvelles contraintes et innovations technologiques imposées par les nouveaux usages : fédération d identités, hébergements partenaires, mécanismes d authentification innovants, diversité des terminaux clients, etc. Les contournements ou «verrues» mis en œuvre pour y répondre augmentent significativement le risque sur le SI. Face à ces produits «historiques», des approches plus simples et légères rencontrent de plus en plus de succès. L objectif de ce stage est de démontrer les faiblesses de produits historiques, de proposer une architecture idéale pour répondre à la fois aux besoins d ouverture du SI, de confort utilisateur et de sécurité pour les données de l entreprise et de réaliser un démonstrateur de cette architecture. DIRECTION TECHNIQUE ET INNOVATION Ce stage sera effectué au sein de la Direction Technique et Innovation de notre practice, et encadré par l un de nos experts. Il nécessitera du stagiaire un goût prononcé pour les nouvelles technologies et l innovation. Étude des principes et du fonctionnement des différentes technologies et architectures possibles. Panorama du marché et analyse des nouvelles offres innovantes. Préparation, configuration et documentation d un démonstrateur. Risk Management et sécurité de l information Page 27

28 Quelques sujets de stages autour de la Continuité d activité Comment donner un nouveau souffle au management de la continuité des entreprises? Le Plan de Continuité d Activité (PCA) est le dispositif traditionnel qu adoptent les entreprises pour contribuer à leur résilience, mais il ne suffit plus. Pour être efficace, la continuité doit s enraciner «en profondeur» dans les organisations : améliorer les dispositifs d alerte et de gestion de crise, repenser des processus pour mieux résister aux interruptions, fluidifier les relations avec les clients, partenaires et prestataires, etc. L objectif du stage est de mener une réflexion sur les modalités émergeantes de management de la continuité afin de proposer à nos clients des organisations plus agiles et plus efficaces face à des crises de plus en plus nombreuses. Panorama des pratiques actuelles. Étude des pratiques émergentes de gestion de la continuité (Système de Management de la Continuité d Activité, résilience structurelle, etc.). Démarche de mise en œuvre des nouvelles pratiques de management de la continuité. Continuité informatique : quelles innovations pour le SI de demain? Si la continuité d activité fait partie depuis longtemps des préoccupations de bon nombre d entreprises, elle demeure néanmoins un sujet d actualité. Nouveaux modes d hébergement, nouvelles architectures, nouvelles solutions les Systèmes d Informations des entreprises évoluent et les solutions de continuité aussi! L objectif de ce stage est d identifier les innovations pouvant représenter un risque pour la continuité informatique des entreprises, mais aussi celles qui représentent des opportunités d évolutions (plus performantes, moins couteuses, etc.). Étude prospective des principales innovations pouvant avoir un impact sur la continuité informatique des entreprises. Proposition de solutions de continuité informatique innovantes et de leurs modalités de mises en œuvre Analyse comparative des solutions ainsi identifiées : complexité, performance, coûts et préconisations Risk Management et sécurité de l information Page 28

29 De l incendie à l attaque ciblée : quelle organisation pour gérer les crises? Les plans de traitement des risques visent notamment à réduire la probabilité ou à minimiser les impacts des crises potentiellement générées par la concrétisation de ces risques. Les organisations de crise sont souvent définies par silo : à chaque catégorie de risque ses processus. L objectif du stage est de mener une réflexion sur la mise en cohérence des modalités pour aider nos clients à disposer d organisations permettant de bien réagir face à une crise, et ce, par la mobilisation des bonnes ressources au bon moment. Analyse des organisations de crise existantes. Définition de scénarios de crise utilisables sur plusieurs risques sur la base de l organisation préalablement proposée. Élaboration d un «kit de test de gestion de crise» : chronogramme intégrant des exemples de stimuli, script des stimuli, etc Audit du secours informatique : comment en mesurer l efficacité? De nombreuses entreprises ont mis en place un plan de secours informatique pour assurer la continuité de leurs activités en cas d incident. L organisation et le SI évoluant rapidement, le plan de secours peut s avérer inefficace s il n est pas régulièrement audité. Ainsi, l audit évalue le niveau de maturité du plan de secours et détermine ses axes d améliorations. L objectif du stage est de faire évoluer l outillage d audit existant afin qu il permette d évaluer, au-delà de la maturité des processus de Continuité d Activité client, l efficacité du plan de secours. Identification des différents indicateurs à prendre en compte pour la bonne mesure de l efficacité du plan de secours, des évaluations ou tests techniques à conduire au cours de l audit. Mise à jour de l outillage d audit existant afin de permettre d évaluer l efficacité du plan de secours. Risk Management et sécurité de l information Page 29

30 Compromission de la supply chain : quels sont les dispositifs de secours à mettre en place? Les processus de l entreprise «étendue» sont désormais mondialisés : la production fait appel à une myriade de fournisseurs répartis sur la planète, et la distribution se fait à la même échelle. L exposition aux risques d indisponibilité de la supply chain s en trouve considérablement accrue (risques fournisseurs, politiques, techniques, etc.). L objectif de ce stage est de produire une analyse des impacts métiers en cas de compromission de la supply chain, et d en déduire les dispositifs de secours les plus adéquats. Un complément pourra être apporté sur les bonnes pratiques en matière de cadrage et de déploiement de ces dispositifs. Analyse des impacts métiers en cas d indisponibilité de la supply chain (Business Impact Analysis). Catalogue des dispositifs de secours associés. Bonnes pratiques concernant ces dispositifs (définition / mise en œuvre). Le poste de travail évolue, quelles opportunités pour le Plan de Continuité d Activité? Le poste de travail connaît actuellement une réelle mutation et se transforme en un environnement construit autour des besoins des collaborateurs, prestataires et fournisseurs. La virtualisation, en particulier, supporte les nouveaux besoins tout en rationalisant les coûts informatiques : mobilité, BYOD (Bring Your Own Device), télétravail, etc. Cette évolution peut bénéficier grandement au Plan de Continuité d Activité, la virtualisation du poste de travail permettant la reprise des opérations sans interruption de service. L objectif de ce stage est d évaluer l apport des principales innovations concernant le poste de travail en termes de continuité d activité. Étude prospective des principales innovations concernant le poste de travail. Évaluation des opportunités pour le Plan de Continuité d Activité issues de l évolution du poste de travail (apports économiques, organisationnels et techniques). Risk Management et sécurité de l information Page 30

31 Tour Franklin , Terrasse Boeildieu Paris La Défense Cedex Tél. : +33 (0)