Synthèse. Quelle performance opérationnelle pour la sécurité de l information?
|
|
- Côme St-Hilaire
- il y a 8 ans
- Total affichages :
Transcription
1 Synthèse Quelle performance opérationnelle pour la sécurité de l information? Décembre 2010 : Synthèse de notre étude des enjeux et de la démarche d optimisation Benchmark des priorités et bonnes pratiques
2
3 Introduction du responsable de la Practice Sécurité Chers clients, La maturité de vos organisations sécurité et un contexte économique exigeant posent la question de l'excellence opérationnelle. Plus vite, plus grand, plus efficace : des attentes métiers que vous devez accompagner. Nous avons décidé de combiner nos expertises en sécurité et en performance pour vous proposer les meilleures pratiques de la performance opérationnelle appliquées concrètement au domaine de la sécurité de l information. Certains d'entre vous ont déjà mis en oeuvre notre approche ou déployé un module pour optimiser l'accompagnement des métiers, la gestion des fournisseurs ou la mise en place de catalogues de services sécurité, par exemple. Nous avons également mené deux études auprès de vous, enrichies de nos retours d'expériences en performance sécurité. La première est un benchmark des enjeux et des domaines d'action que vous avez estimés prioritaires. Un grand merci pour l'accueil que vous avez réservé à ces entretiens qui ont été réalisés entre mars 2009 et mars 2010 sur la base du jeu de cartes OPIS (Operational Performance of Information Security). La deuxième est une évaluation par notre B-Community Information Security des solutions technologiques qui contribuent à la sécurité des systèmes d information. Nos convictions s'en trouvent renforcées : approche de la sécurité par les processus et insertion dans les processus de l'entreprise, décloisonnement de l'organisation sécurité, responsabilisation des acteurs par les risques, conception pragmatique fondée sur la pérennité des effets des actions et non pas sur la granularité du contrôle. La synthèse que vous tenez entre vos mains présente la problématique, les résultats des benchmarks ainsi que quelques clés et outils méthodologiques qui vous permettront d'optimiser la performance de votre filière Sécurité. Je vous laisse parcourir ce document qui reflète le point de vue et le savoir que Beijaflore a capitalisé. Maxime de Jabrun 3
4
5 Table des matières La sécurité de l information au cœur de l entreprise De l expertise sécurité à la performance opérationnelle Benchmark de la performance opérationnelle des processus sécurité Analyse et synthèse des axes stratégiques pour une sécurité performante Benchmark des technologies et outils sécurité Un point de vue d expert sur la sécurité au quotidien Une approche processus éprouvée Maîtrise efficiente des risques sécurité comme levier de compétitivité Conclusion
6 La sécurité de l information au cœur de l entreprise De l expertise sécurité à la performance opérationnelle Point de situation sur la sécurité de l information Quelle sécurité de l information pour demain? Budget Entre 2008 et 2009, 60% des entreprises ont augmenté leur budget sécurité. La part de la sécurité dans le budget IT global tend à progresser. En 2010, les entreprises françaises allouant moins de 3% de leur budget IT à la sécurité ne sont plus que 27% - contre 33% en 2009 ; 42% affichent une enveloppe de plus de 3% - contre 37% en Positionnement Le RSSI est soit rattaché à la DSI (36%), soit à la Direction Administrative et Financière (DAF) (12%) ou directement à la Direction Générale pour un tiers (34%) des entreprises, en fort recul par rapport à 2008 (-11%). Ceci peut s expliquer par l arrivée plus nombreuse de RSSI au sein d entreprises de tailles moyennes ayant un niveau de maturité en SSI encore faible. Mesures de la sécurité Plus de 65% des entreprises ne mesurent toujours pas leur niveau de sécurité régulièrement. Plus des deux tiers (71%) des entreprises mènent au moins un audit par an, alors que 25% n en mènent pas du tout (-10% par rapport à 2008). Dans les tableaux de bord, l évaluation des risques métier est de plus en plus suivie 39%, +7% par rapport à Source : Clusif 2010, Menaces informatiques et pratiques de sécurité en France Un contexte en évolution constante La sécurité de l'information s'est fortement développée pour répondre à des risques qui sont apparus avec la globalisation des systèmes d'information. Aujourd hui, le risque technologique n est plus le seul élément moteur des équipes sécurité et cette approche tend à s aligner sur les risques et besoins métiers. Malgré une position plus stratégique des RSSI, le manque de budget et les contraintes organisationnelles rendent difficile une bonne couverture des risques. Bien que les initiatives de mise en conformité soient globalement satisfaisantes, un tiers des projets restent à sécuriser et le contrôle continu du maintien de cette conformité est perfectible. Vers une recherche de performance pour la filière sécurité La sécurité occupe une place grandissante tant au niveau stratégique que réglementaire. Les entreprises n'ont cependant pas les capacités humaines, matérielles et financières pour répondre rapidement à ces nouveaux impératifs. Les chiffres révèlent des lacunes dans la sécurité de l'information. Néanmoins, les organisations prennent conscience de l'importance d'une protection efficace contre les menaces de sécurité. Elles ont une démarche de plus en plus proactive. Les RSSI rencontrent des difficultés pour suivre la performance de leurs mesures de sécurité. 6
7 Notre vision de la performance opérationnelle De la performance opérationnelle à la sécurité de l information Performance opérationnelle = ensemble de bonnes pratiques qui permettent d améliorer la qualité, d optimiser la gestion de toutes les ressources et ainsi de créer de la valeur au sein du département Objectif de performance de la filière sécurité = augmenter l efficacité des processus Efficacité = Pertinence x Efficience Pertinence = rapport entre les moyens utilisés et les objectifs. Deux facteurs influencent la pertinence des processus de sécurité : l identification des besoins et des objectifs métiers l analyse des risques sécurité Maturité et approche par les risques Maturité de la sécurité = niveau d expertise, d expérience, de prise de conscience des usagers, d alignement au business que l entreprise possède en sécurité de l information Se protéger = Identifier, évaluer, et apporter une réponse adaptée à chaque risque Probabilité = probabilité qu un scénario d attaque (menace exploitant une vulnérabilité) se réalise Impact = niveau d impact pour le métier (financier, image, clientèle, juridique, ) est déterminé par les besoins sécurité impactés par une vulnérabilité Efficience = Résultats optimum en regard des moyens déployés. Travailler l efficience = Augmentation des résultats des processus Optimisation des moyens à niveau de résultat équivalent L objectif de performance des filières sécurité Performance opérationnelle du dispositif sécurité Des services sécurité performants Couverture performante des risques Eléments clés d une analyse de risques sécurité Risque = Probabilité x Impact = f (Menace, Vulnérabilité, Besoins, Actif) Menace - Une menace est un danger qui peut se réaliser Etat embryonnaire Matrice Beijaflore de performance du dispositif sécurité Bonne couverture des risques Niveau de sécurité délivré Vulnérabilité - Une vulnérabilité est une faiblesse qui peut être exploitée par une menace Besoins - Les besoins de sécurité se rapportent à l actif, en termes de confidentialité, d intégrité, de disponibilité et de preuve. Actif - Tout ce qui a de la valeur pour l entreprise Echelle de maturité en sécurité de l information Menace Maturité en gestion des risques Faciliter la création de valeur Adapter les solutions sécurité aux besoins métiers Appliquer uniformément les standards définis par l organisation Temps Vulnérabilité Besoins C I Actif P D Impact Probabilité Echelle de maturité sécurité Beijaflore 7
8 Une approche par les enjeux de performance Les gains de performance pour la sécurité Si la performance opérationnelle est recherchée depuis longtemps dans les processus industriels, elle est peu abordée dans le domaine de la sécurité de l information. Dans un contexte qui exige une amélioration permanente de l efficience des processus, pourquoi ne pas appliquer les démarches éprouvées de performance opérationnelle à la sécurité? Avec OPIS, Beijaflore propose d appréhender la maîtrise des risques sécurité comme un levier de compétitivité pour l entreprise. Le socle d analyse d OPIS s appuie sur onze familles qui regroupent une soixantaine de processus et qui couvrent ainsi la globalité de l activité sécurité. La performance opérationnelle de ces processus sécurité est étudiée au travers de sept enjeux essentiels. Décloisonner la sécurité, éliminer les dysfonctionnements et industrialiser les pratiques sont autant de leviers pour améliorer la performance opérationnelle de la sécurité. En généralisant cette démarche qui impacte les sept enjeux clés de la performance opérationnelle de la sécurité de l information, les grands comptes seront témoins d une amélioration globale de leur dispositif de sécurité. 7 Enjeux essentiels de performance opérationnelle pour la sécurité Alignement métier Faire correspondre les processus sécurité à des besoins des métiers de l entreprise ou des risques que les métiers souhaitent couvrir Couverture S assurer que les activités sécurité sont prises en compte pour le périmètre requis (organisationnel, géographique, technique) Cohérence Garantir que les mêmes inputs génèrent les mêmes résultats et ainsi augmenter la prédictibilité des activités / processus sécurité Réactivité Optimiser les délais de prise en compte et de traitement Coût Réduire la charge financière (jh, ) nécessaire à la couverture des risques Respect Faire en sorte que l ensemble des activités soient constamment réalisées telles que définies Réutilisation Réutiliser les résultats des processus sécurité sans avoir à réeffectuer toutes leurs activités (solutions, recommandations ) Un historique à gérer? Une réduction du budget sécurité? Une modification de votre organisation? Des clients plus exigeants? Des menaces plus importantes? Operational Performance of Information Security Améliorer le respect Optimiser les coûts Améliorer la cohérence Augmenter la couverture Augmenter la réactivité Améliorer l alignement métier Favoriser la réutilisation 8
9 Benchmark de la performance opérationnelle des processus sécurité Analyse et synthèse des axes stratégiques pour une sécurité performante Objectif, périmètre et méthode L objectif est de permettre aux RSSI de positionner leur vision de la performance opérationnelle de leur dispositif sécurité par rapport au marché en identifiant : Les enjeux de performance Cohérence Alignement au métier Réactivité Respect Coûts Réutilisation Couverture Les périmètres sur lesquels agir Analyse & Gouvernance Vulnérabilités Identités & Accès Patrimoine informationnel Continuité Conseil sécurité Stratégie Accès réseau Audit & Contrôle Alertes & Incidents Ressources humaines Le profil type est un RSSI groupe ou métier (78%) d une société qui emploie plus de personnes (61%) réalisant un chiffre d affaires supérieur ou égal à 5Mds d euros (81%) Présentation de l échantillon Secteur Chiffre d affaires Assurance Industrie & service Banque 23% 32% 45% 5% 5% 9% 23% 58% Inférieur à 500 M Compris entre 500 M et 1 Mds Compris entre 1 et 5 Mds Compris entre 5 et 50 Mds Supérieur à 50 Mds Effectif Inférieur à Compris entre et % 13% 13% 22% 22% Profil Fonction IT Compris entre et Supérieur à % 56% RSSI Entité métier RSSI Groupe 9
10 Déroulement des interviews Les interviews se sont appuyées sur le jeu de cartes OPIS. Jeu de cartes OPIS : 11 cartes beiges «familles OPIS» et 7 cartes grises «Enjeux» à positionner sur un plateau où sont imprimées deux matrices : matrice de potentiel de gain opérationnel et matrice d amélioration des processus sécurité. Jeu de cartes OPIS Attente client plus forte Alignement au métier Réutilisation gains gamea3:mise en page 1 12/06/09 15:21 Page 2 Vulnérabilité Exemples Besoin d amélioration plus urgent Respect Veille technologique Sécurisation de ressources Patching de ressources Maintenance Beijaflore Operational Performance of Information Security Potentiel de gain plus élevé processus Accès réseau Contrôle & Audit Operational Performance of Information Security Posture Sécurité Contribution plus forte 10
11 Quelques exemples types d amélioration de la performance opérationnelle sur des processus sécurité de l information Les drivers Réduire les coûts du processus de cloisonnement Améliorer l alignement métier du processus de sensibilisation Améliorer la réactivité du processus IAM Améliorer la cohérence des analyses de risques Améliorer la couverture de gestion des vulnérabilités Améliorer la réutilisation du processus d alertes et incidents Les points d amélioration potentiels Réduire le coût de l isolement d une ressource informatique Renforcer le suivi des règles de sécurité Réduire le délai d implémentation des droits Objectiver la démarche d évaluation des risques Augmenter le nombre de ressources dans le périmètre de gestion Définir une méthodologie centrale et un outil de capitalisation Leviers clés Virtualiser les architectures Identification des risques IT en lien avec l activité métier Routage et priorisation des demandes, automatisation des tâches, centralisation des outils d implémentation Définir un catalogue de scénarios et une méthode d évaluation commune Modifier le process de mise en production Rédiger une politique et une méthodologie d alerte aux incidents déclinable sur les différents périmètres 11
12 Synthèse des résultats Enjeux de la performance opérationnelle de la sécurité La matrice des enjeux opérationnels donne une tendance où 3 groupes d enjeux se distinguent : Augmenter la couverture et améliorer l alignement métier sont les enjeux principaux des répondants Améliorer le respect et la cohérence, augmenter la réactivité et favoriser la réutilisation sont des enjeux secondaires Réduire les coûts reste une attente forte malgré une estimation de potentiel faible Priorisation des périmètres d action La priorité des RSSI en matière de sécurité de l information est donnée aux processus de gestion des identités et des accès, de contrôle ainsi qu au traitement des vulnérabilités. Parmi les projets de premier plan, on citera entre autres la détection des vulnérabilités, la gestion et synchronisation des référentiels d identité, la traçabilité des accès, la définition du plan de contrôle La description des familles de processus est détaillée en annexe. Enjeux de la performance opérationnelle de la sécurité Priorisation des périmètres d action Attente client plus forte Coûts Réactivité Couverture Respect Alignement au métier Réutilisation Besoin d amélioration plus urgent Gouvernance Patrimoine RH IAM Vulnérabilité Contrôle Analyse Alertes Réseau Cohérence Stratégie Continuité Potentiel de gain plus élevé Posture Sécurité Contribution plus forte Source : Benchmark Beijaflore, 2010 Positionnement relatif 12
13 Synthèse des résultats L augmentation de la couverture est l attente principale du top management et le point d amélioration potentiel le plus fort du périmètre sécurité. L alignement des processus sécurité aux besoins métier est un enjeu majeur des équipes sécurité. Pour la grande majorité des RSSI interrogés, la priorité est donnée à la gestion des identités & accès qui est de plus un enjeu pour la DSI. Le contrôle & l audit contribuent toujours autant à la posture sécurité et nécessitent encore des améliorations notamment dans la gestion des tiers et la sélectivité dans les plans de contrôle interne. Les projets d amélioration des plans de contrôle permettent ainsi d obtenir un juste équilibre entre une bonne couverture du périmètre et une maîtrise des charges induites. Appliqué au sourcing, cela peut également permettre la mise en place d un système de pénalités pour les fournisseurs. Ces pénalités permettent d assurer une meilleure prise en compte opérationnelle des enjeux sécurité dans les services fournis. Les enjeux majeurs identifiés pour optimiser la performance opérationnelle de la sécurité de l information sont l alignement au métier des processus sécurité de la gouvernance et la couverture du périmètre géographique et technique par la gestion des vulnérabilités. Matrice processus sécurité prioritaires / enjeux identifiés Gains principaux Alignement Métier Coûts Couverture Gains secondaires Cohérence Réutilisation Contrôle & Audit Contrôle & Audit Gouvernance Gouvernance Identités & Accès Identités & Accès Vulnérabilités Vulnérabilités Source : Benchmark Beijaflore, 2010 Très important Important Moyen 13
14 Synthèse des résultats Les enjeux par profils Les enjeux propres au profil RSSI Groupe tiennent en grande partie à l amélioration de la réactivité des processus de contrôle et de gouvernance. Derrière ces enjeux se dessinent souvent des tableaux de bords trop complexes avec des indicateurs pas assez pertinents qui limitent la performance des contrôles et des cycles de reporting. Pour le profil RSSI Entité métier, l augmentation du périmètre de sensibilisation des usagers du SI et des plans de contrôle est un enjeu majeur. Leur vision de la performance est principalement sujette à un travail de maîtrise de l impact de l homme sur la sécurité avec une proximité assez forte au métier. La cohérence de l approche et le respect des règles font partis de leur conviction dans l amélioration de la performance opérationnelle. Les profils fonction IT ont des préoccupations liées aux processus opérationnels de leur périmètre. Leur priorité va à la réutilisation et à l alignement sur les besoins métiers. Ces enjeux peuvent par exemple être primordiaux pour : la gestion des règles des firewalls où l empilement des règles inhibe souvent leur performance ; la capitalisation sur les accompagnements sécurité dans les projets métiers ; la compréhension du fonctionnement des lignes métiers pour implémenter des services adaptatifs. Matrices processus sécurité prioritaires / gains identifiés par profil RSSI Groupe Gains principaux Alignement Métier Couverture Réactivité Réutilisation Analyse & Conseil Contrôle & Audit Gouvernance Identité & Accès Vulnérabilités RSSI Entité métier Contrôle & Audit Gouvernance Identité & Accès Alignement Métier Couverture Gains principaux Réactivité Cohérence Respect Fonction IT Accès au réseau Identités & Accès Vulnérabilités Alignement Métier Gains principaux Couverture Réutilisation Ressources Humaines Vulnérabilités Source : Benchmark Beijaflore, 2010 Très important Important Moyen 14
15 Benchmark des technologies et outils sécurité Un point de vue d expert sur la sécurité au quotidien Objectif, périmètre et méthode Ce benchmark a pour objectif de partager avec vous notre point de vue sur les outils et technologies qui contribuent à la maîtrise des risques sécurité. Nous vous proposons une cartographie générale des solutions sécurité qui vous permettra de guider vos choix technologiques stratégiques à court et moyen terme en fonction d un référentiel de critères pertinents pour la réussite de vos projets sécurité. Ce benchmark est l objet d une mûre réflexion sur la capacité des technologies et outils présents sur le marché à répondre facilement aux problématiques actuelles de sécurité de l information. Nous avons élaboré un modèle d évaluation permettant d orienter les choix technologiques d une entreprise. Nous vous présentons dans ce document une vision nourrie de nos interventions, vision qui peut être déclinée dans votre entreprise. Le modèle d évaluation L'évaluation des outils sécurité est faite suivant deux paramètres : l'impact sécurité de la solution la facilité de déploiement et de gestion de la solution Modèle d évaluation Beijaflore des technologies et outils sécurité Impact Sécurité Diminution du risque sécurité impact sur le niveau de sécurité Facilité de déploiement et de gestion Popularité taux d adoption par des entreprises Facilité de déploiement Impact user niveau d implication nécessaire des futurs utilisateurs Impact sur le SI importance de la pré-production, de la mise en production et de l analyse Expertise de la solution niveau d expertise et de formation pour l implémentation de la solution Ressources IT spécifiques importance du nombre et de la standardisation des composants (soft/hard) Facilité de gestion Coût investissement nécessaire pour gérer la solution Maintenance maintien de l infrastructure / configuration nécessaire pour fonctionner correctement Simplicité du support niveau d expertise déployée pour maintenir la solution en production Contraintes induites contraintes opérationnelles potentielles induites par l utilisation de l outil 15
16 Positionnement global des outils et technologies sécurité Les résultats génériques de ce benchmark sont rassemblés dans la matrice de positionnement qui prend en compte l ensemble des critères de la méthodologie d évaluation Beijaflore. Cet outil de cartographie générale des outils et technologies sécurité permet de suivre l évolution des cycles de vie des solutions, de matérialiser la veille technologique mais également de positionner ces technologies de manière relative pour soutenir vos choix stratégiques en termes d investissement à court et moyen termes via un regroupement facilitant la prise de décision : Investir rapidement Ce groupe rassemble les technologies «valeurs sûres» usuellement faciles à déployer et dont la gestion apporte relativement peu de contraintes pour l équipe sécurité et les lignes métiers. Ces solutions sécurité permettent aussi une bonne réduction des risques résiduels. Maintenir Déployées quasi-systématiquement, ces technologies dites «basiques» ont des effets sur les risques résiduels plus limités que les deux groupes précédents. Néanmoins, elles ont l avantage au-delà de leur popularité de bénéficier d une facilité de déploiement et de gestion qui en font des indispensables pour libérer les équipes sécurité de nombreuses tâches automatisables ou bien pour garantir une voie de recours en cas d incident. Saisir les opportunités Les technologies que l on qualifie de «contraignantes» forment ce groupe. Il convient de noter qu elles apportent un niveau de sécurité acceptable et sont de plus en plus adoptées dans les organisations soumises à de fortes régulations (finance, sociétés côtées, ). En dépit des contraintes qu elles imposent en termes de maintenance, d expertise et de charge, ces technologies sont souvent à considérer si l opportunité budgétaire et la mobilisation des acteurs de l entreprise sont réunies. Leur déploiement est généralement lié à des problématiques relatives à une incidentologie forte, à la régulation ou à des besoins spécifiques de protection de données sensibles. Surveiller Dans ce groupe, on place les technologies «en retrait». Ces solutions n ont généralement pas encore assez de maturité pour trouver un réel besoin sécurité auquel répondre, les avantages qu elles offrent sont souvent liés au confort des utilisateurs mais ces solutions restent un casse-tête pour les équipes sécurité. 16
17 Positionnement global des outils et technologies sécurité Impact sécurité DLP Saisir les opportunités VPN, chiffrement de flux Vulnerability Assessment IPS Hardening servers Investir rapidement Chiffrement de données Firewall poste de travail Firewall applicatif PKI IAM provisionning Surveiller Authentification forte IAM identify management Event log correlation IAM authentification VPN Accès nomade Firewall Event log centralisation IAM authorization Reverse proxy 802,1x IAM Access right workflows IAM Contrôle & Audit Maintenir Patch management Antivirus HTTP Antivirus System Anti-spam/ AV SMTP Backup serveur SLO/SSO Backup poste de travail nomade Contrôle d intégrité URL Filter Facilité de mise en œuvre et de gestion, et popularité Source : Benchmark Beijaflore, 2010 Beijaflore,
18 Résultats détaillés Les solutions par environnement Les technologies et outils du benchmark ont été classés en quatre catégories d environnement : Les solutions agissant sur l infrastructure qui regroupent les technologies et outils sécurité nécessitant l ajout et/ou la configuration de serveurs : Backup, Patch management, Event log management, SLO/SSO, IAM authentification & autorisation, Les solutions agissant sur le réseau parmi lesquelles on trouve les technologies et outils sécurité qui s intègrent ou s installent directement sur le réseau : Firewall, Data Leak Prevention, Antivirus http, Anti-spam, Intrusion Prevention System, VPN, Les solutions agissant sur les processus, à savoir des technologies et outils sécurité qui modifient l usage ou l accès aux applications : IAM control & audit, identity management, access right workflows. Les solutions agissant sur le poste de travail au sein desquelles on place les technologies et outils sécurité qui modifient l usage et les fonctionnalités du poste de travail des usagers : Antivirus system, Firewall & Backup poste de travail, chiffrement de données, PKI, Le positionnement des catégories d environnement sur la matrice d évaluation Beijaflore montre deux choses : la première, que les solutions qui agissent sur le réseau diminuent globalement le risque de manière plus large et à un niveau plus acceptable que les autres solutions, la seconde, que les solutions agissant sur l infrastructure sont généralement plus complexes à gérer et déployer que les autres solutions. Les solutions les plus impactantes sur la sécurité Les résultats de ce benchmark fournissent le classement des solutions qui diminuent le plus le risque sécurité et le plus de risques sécurité, parmi lesquelles on retrouve une grande partie des solutions «valeurs sûres» précédemment définies mais également les solutions de protection DLP, IPS et Firewall, et les solutions de prévention de type chiffrement de flux (VPN) et de données ou d authentification forte. Diminution du risque sécurité - impact sur le niveau de sécurité 1. Solution qui change peu le niveau de risque ou qui est palliative / compensatoire 2. Solution qui diminue le niveau de risque sans atteindre un niveau de risque acceptable 3. Solution qui apporte un niveau de risque acceptable 4. Solution qui apporte un niveau de risque acceptable et couvrant plus de risques Résultats par impact sécurité (Top 10) Hardening server 3,8/4 VPN, chiffrement de flux 3,7/4 Data Leak Prevention (DLP) 3,6/4 Vulnerability assessment 3,6/4 Intrusion Prevention System (IPS) 3,4/4 Firewall poste de travail 3,2/4 Chiffrement de données 3,2/4 Firewall, Firewall apllicatif 3,1/4 Authentification forte 3,1/4 Patch Management 3/4 Source : Benchmark Beijaflore,
19 Résultats détaillés Les solutions les plus faciles à mettre en œuvre Le classement des solutions les plus faciles à mettre en œuvre est largement dominé par les solutions du type antivirus et/ou filtre qui font aussi partie des solutions les plus déployées par les organisations, suivies de près par le patch management et le contrôle des accès. On notera également la présence des outils VPN (accès nomade), firewall personnel, backup qui se déploient facilement, ne nécessitent pas d analyse de risque en pré-production et peu d expertise. Le facteur coût n est pas pris en compte dans le critère de facilité de déploiement. En effet il est trop variable selon l ampleur des projets et les périmètres à couvrir. Il convient en revanche de le prendre en compte dans l évaluation des solutions pour l utilisation des résultats du benchmark. Résultats par facilité de déploiement (Top 10) Antivirus system 3,1/4 Anti-Spam / AV SMTP 2,9/4 Antivirus HTTP 2,9/4 URL Filter 2,8/4 Patch Management 2,8/4 Solution IAM : Contrôle & audit 2,7/4 VPN (accès nomade) 2,6/4 Firewall poste de travail 2,6/4 Backup serveur 2,6/4 Source : Benchmark Beijaflore, 2010 Event log centralisation 2,5/4 Les solutions les plus faciles à gérer Les résultats montrent que ce sont des outils sécurité autonomes ou n ayant besoin que d une gestion superficielle. Ces solutions sont majoritairement des logiciels, des algorithmes indépendants, des processus de paramétrage, d audit ou de sauvegarde dont les coûts de gestion sont quasiment transparents post déploiement. Néanmoins, ces solutions induisent généralement des contraintes pour les lignes métiers lorsqu elles cessent de fonctionner, c est pourquoi elles nécessitent souvent d être déployées à plusieurs niveaux de l architecture sécurité ou bien d être dupliquées et reliées à des ponts réseau. Résultats par facilité de gestion (Top 10) Antivirus system 3,1/4 Event log centralisation 2,9/4 Hardening servers 2,9/4 Firewall poste de travail 2,8/4 Solution IAM : Contrôle & audit 2,8/4 Anti-Spam / AV SMTP 2,7/4 Antivirus HTTP 2,6/4 Backup poste de travail (nomade) 2,6/4 Backup serveur 2,6/4 Source : Benchmark Beijaflore, 2010 Solution IAM : access right workflows 2,5/4 19
20 Focus sur les solutions IAM Les évolutions légales et réglementaires (Loi sur la Sécurité Financière, Sarbanes-Oxley, Solvency II...) tendent à augmenter le niveau d exigence en matière de traçabilité et de maîtrise des droits d accès. Les entreprises peinent à faire aboutir les projets IAM malgré les enjeux qui lui sont directement reliés. Le déploiement d un système de gestion des identités et accès est complexe, c est pourquoi les prérequis suivants sont nécessaires pour garantir la performance des accès : le niveau de sponsorship du projet doit être suffisant pour mobiliser les acteurs métiers (il n est donc pas DSI) ; le référentiel organisationnel doit être fiabilisé (structure & utilisateurs) ; une vue simple (macro) de l urbanisation doit être disponible. Les projets IAM doivent s appuyer sur 3 drivers essentiels : associer les responsables des équipes métiers à la construction des profils métier ; démarrer la construction des profils techniques avec les équipes IT; s appuyer sur les technologies maîtrisées de l organisation (annuaire LDAP, moteur de workflows, base de données ). La roadmap IAM doit intégrer les 4 étapes clés suivantes (cf. schéma ci-dessous) : 1. Fiabilisation des référentiels organisationnel et applicatif Le référentiel organisationnel doit permettre de distinguer la structure et les personnes. Parmi ces personnes, il est nécessaire de différencier 3 types de population : les internes (CDD, CDI), les externes (consultant, stagiaire, interim) et les partenaires (utilisateurs des ressources internes que l on ne connaît pas).enfin les statuts des personnes sont également à prendre en compte. On identifie les statuts RH avec les use cases : join, leave, move, suspend (congés, maladie, maternité ). 2. Profilage des droits Le profilage doit se faire sur la base d un référentiel organisationnel et applicatif unique pour être efficace. La définition des rôles doit conduire à une simplification de l organisation du métier, la performance sera directement diminuée si la granularité est trop importante. La construction des profils techniques doit permettre de construire l urbanisation simplifiée de chaque application et composants techniques du SI. 3. Workflows validation/gestion Les outils de workflows doivent répondre aux critères d auditabilité définis. Les workflows doivent déclencher les ordres de provisionning, l industrialisation de cette étape contribue pour beaucoup à la performance de l IAM. 4. Provisionning Roadmap IAM Référentiel applicatif Profilage technique Mise à jour des apllications & composants Référentiel organisationnel Profilage métier Workflows + Reporting Provisionning Authentification forte Source : Benchmark Beijaflore, 2010 SSO Temps 20
STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI
STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailAxe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM
BROCHURE SOLUTIONS Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM L IDENTITE AU COEUR DE VOTRE PERFORMANCE «En tant que responsable informatique,
Plus en détailMenaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014
Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient
Plus en détailGestion des autorisations / habilitations dans le SI:
Autorisations RBAC (Role Based Access Control) Séparation des pouvoirs (SoD) Annuaire central de sécurité Gestion des autorisations / habilitations dans le SI: S'appuyer sur la modélisation fonctionnelle
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailAugmenter l efficacité et la sécurité avec la gestion des identités et le SSO
Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Alexandre Garret Directeur des opérations - Atheos Charles Tostain Consultant Sécurité - IBM 24 Juin 2009 2009 IBM Corporation
Plus en détailInfostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données
Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes
Plus en détailEtude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information
Plus en détailDÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER
DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER Pour les banques, le papier devrait servir à imprimer des billets ; pas à en garder la trace dans
Plus en détailSystèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailApproche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs
Plus en détailGouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs
Plus en détailITIL : Premiers Contacts
IT Infrastructure Library ITIL : Premiers Contacts ou Comment Optimiser la Fourniture des Services Informatiques Vincent DOUHAIRIE Directeur Associé vincent.douhairie douhairie@synopse. @synopse.fr ITIL
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailSurabondance d information
Surabondance d information Comment le manager d'entreprise d'assurance peut-il en tirer profit pour définir les stratégies gagnantes de demain dans un marché toujours plus exigeant Petit-déjeuner du 25/09/2013
Plus en détail<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts
La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion
Plus en détailDOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89
DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet
Plus en détailLa sécurité applicative
La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailD ITIL à D ISO 20000, une démarche complémentaire
D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailOrange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco
De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailA. Le contrôle continu
L audit d achat est une action volontaire décidée par l entreprise avec pour objet d apprécier la qualité de l organisation de sa fonction achats et le niveau de performance de ses acheteurs. L audit achat
Plus en détailAssociation ESSONNE CADRES
Association ESSONNE CADRES 10 avenue du Noyer Lambert - 91300 MASSY : 01 60 12 01 45 Email : competences91@essonnecadres.org Site web : www.essonnecadres.org Besoin d un Professionnel pour une situation
Plus en détailHABILITATIONS dans les systèmes d information Avec la contribution de
Réflexions des établissements financiers du Forum des Compétences HABILITATIONS dans les systèmes d information Avec la contribution de Propriété intellectuelle du Forum des Compétences Tous droits de
Plus en détailLes rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance
Risk Advisory Février 2014 Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Des points de vue sur vos sujets de préoccupation dans les domaines de la gestion des risques,
Plus en détailSoftware Asset Management Savoir optimiser vos coûts licensing
Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons
Plus en détailL outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise
Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Quel outil pour le PCA? de sa conception à sa mise en œuvre en situation de crise Introduction
Plus en détailHySIO : l infogérance hybride avec le cloud sécurisé
www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique
Plus en détailAtelier " Gestion des Configurations et CMDB "
Atelier " Gestion des Configurations et CMDB " Président de séance : François MALISSART Mercredi 7 mars 2007 (Nantes) Bienvenue... Le thème : La Gestion des Configurations et la CMDB Le principe : Échanger
Plus en détailGuillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton
Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Lyon, le 25 février 2009 Introduction à la gestion des identités et des accès Enjeux et objectifs Les
Plus en détailStratégie de rémunération
CONSULTING Offre Conseil RH Stratégie de rémunération La stratégie de rémunération est un facteur de stabilité et de performance de l'entreprise. GFI Consulting vous accompagne en mettant en cohérence
Plus en détailNos Solutions PME VIPDev sont les Atouts Business de votre entreprise.
Solutions PME VIPDev Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise. Cette offre est basée sur la mise à disposition de l ensemble de nos compétences techniques et créatives au service
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailFaire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.
IBM Global Services Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. Les services d infrastructure et d intégration IBM Pour une infrastructure informatique qui participe
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détailMaîtriser les mutations
Maîtriser les mutations Avec UNE Supply chain AGILE La réflexion porte ses fruits www.cereza.fr TALAN Group Notre savoir-faire : maîtriser les mutations et en faire une force pour l entreprise Cereza,
Plus en détailIAM et habilitations, l'approche par les accès ou la réconciliation globale
IAM et habilitations, l'approche par les accès ou la réconciliation globale 04/12/08 Page 1 Evidian 2008 1 Les couches archéologiques du Système d information: Les systèmes centraux Ventes Employés Employé
Plus en détailMicrosoft IT Operation Consulting
Microsoft IT Operation Consulting Des offres de services qui vous permettent : D améliorer l agilité et l alignement de votre IT aux besoins métier de votre entreprise. De maîtriser votre informatique
Plus en détailLes ressources numériques
Les ressources numériques Les ressources numériques sont diverses et regroupent entre autres, les applications, les bases de données et les infrastructures informatiques. C est un ensemble de ressources
Plus en détailMICROSOFT DYNAMICS CRM & O Val
MICROSOFT DYNAMICS CRM & O Val O Val Operational Value JSI Groupe 2, rue Troyon 92310 Sèvres 1 AGENDA 1. QUI SOMMES-NOUS? 2. NOS OFFRES 3. UNE ORGANISATION COMMERCIALE DÉDIÉE À NOS CLIENTS 4. O VAL : OPERATIONAL
Plus en détailL Edition Pilotée XL
L Edition Pilotée XL Piloter son activité, une nécessité Processus décisionnel: «Exploiter les données de l entreprise dans le but de faciliter la prise de décision» Etre informé en permanence sur l état
Plus en détailAtelier A7. Audit de la gestion globale des risques : efficacité ou conformité?
Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1 Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle
Plus en détailAuditabilité des SI Retour sur l expérience du CH Compiègne-Noyon
Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon 8 avril 2015 DGOS Rodrigue ALEXANDER 1 Le CH Compiègne-Noyon Territoire de santé Oise-Est (Picardie) issu d une fusion au 1/01/2013 1195litsetplaces(MCO,SSR,HAD,USLD,EHPAD)
Plus en détailExternaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN
Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...
Plus en détailSciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION
Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Classe de terminale de la série Sciences et Technologie du Management et de la Gestion Préambule Présentation Les technologies de l information
Plus en détailMANAGEMENT PAR LA QUALITE ET TIC
Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux référentiels dont le plus connu et le
Plus en détailCatalogue «Intégration de solutions»
Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus
Plus en détailComment réussir son projet de Master Data Management?
Comment réussir son projet MDM? Table des matières Comment réussir son projet de Master Data Management?...... 2 Un marché en croissance..... 2 Les démarches qui réussissent... 2 A quels projets métiers
Plus en détailC ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats
C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.
Plus en détailMANAGEMENT PAR LA QUALITE ET TIC
MANAGEMENT PAR LA QUALITE ET TIC Lorraine Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux
Plus en détailAuditer son environnement Telecom Un des fondements du projet TEM
Auditer son environnement Telecom Un des fondements du projet TEM Sommaire Introduction... 3 Les éléments internes essentiels à auditer... 4 Le dimensionnement de l infrastructure... 4 Les factures...
Plus en détailPlan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA
Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales
Plus en détailINDUSTRIALISATION ET RATIONALISATION
INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements
Plus en détailITIL V3. Transition des services : Principes et politiques
ITIL V3 Transition des services : Principes et politiques Création : janvier 2008 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé
Plus en détailLIVRE BLANC. Dématérialisation des factures fournisseurs
LIVRE BLANC 25/03/2014 Dématérialisation des factures fournisseurs Ce livre blanc a été réalisé par la société KALPA Conseils, société créée en février 2003 par des managers issus de grandes entreprises
Plus en détailTRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.
TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace
Plus en détailNovembre 2013. Regard sur service desk
Novembre 2013 Regard sur service desk édito «reprenez le contrôle grâce à votre service desk!» Les attentes autour du service desk ont bien évolué. Fort de la riche expérience acquise dans l accompagnement
Plus en détailGLOBAL SAAS HR SOLUTION INTÉGRÉE DE GESTION DES TALENTS
GLOBAL SAAS HR SOLUTION INTÉGRÉE DE GESTION DES TALENTS GLOBALISATION ET TRANSFORMATION RH UNE RÉPONSE FACE À L EXIGENCE DE PERFORMANCE ET DE COMPÉTITIVITÉ La globalisation des entreprises, accélérée par
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailL Application Performance Management pourquoi et pour quoi faire?
Management pourquoi et pour quoi faire? Un guide pratique pour comprendre l intérêt des solutions d Application Management, à l heure où les systèmes d information sont au cœur de l efficacité opérationnelle
Plus en détail1. GOUVERNANCE IT (INFORMATIQUE ET TÉLÉCOMS)
1. GOUVERNANCE IT (INFORMATIQUE ET TÉLÉCOMS) Ensemble de relations et processus qui dirigent et contrôlent une organisation permettent d atteindre ses objectifs créent de la valeur en évaluant les risques
Plus en détailNouveau usages, nouvelle gestion des identités?
28 juin 2013 Nouveau usages, nouvelle gestion des identités? Patrick MARACHE, Manager Sécurité de l Information patrick.marache@solucom.fr Solucom, conseil en management et système d information Cabinet
Plus en détailGestion des utilisateurs et Entreprise Etendue
Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission
Plus en détailModèle Cobit www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre
Plus en détailFrontRange SaaS Service Management Self-Service & Catalogue de Service
FrontRange SaaS Solutions DATA SHEET 1 FrontRange SaaS Service Management Self-Service & Catalogue de Service ACTIVATION DE LA PRESTATION DE SERVICE ET DE SUPPORT VIA L AUTOMATISATION Proposez des Opérations
Plus en détailwww.bestpractices-si.fr Intégrer la gestion des actifs informatiques et le Service Management
www.bestpractices-si.fr Intégrer la gestion des actifs informatiques et le Service Management Intégrer la gestion des actifs informatiques et le Service Management Réduire les coûts, renforcer l agilité,
Plus en détailGestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?
Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI
Plus en détailPÉRENNISER LA PERFORMANCE
PÉRENNISER LA PERFORMANCE La recherche de performance est aujourd hui au cœur des préoccupations des organisations : succession des plans de productivité et de profitabilité, plans de reprise d activités,
Plus en détailLa Gouvernance IT en France : de nombreuses avancées, encore beaucoup à faire
La Gouvernance IT en France : de nombreuses avancées, encore beaucoup à faire IDC France, Conférence Gouvernance IT 6 Avril 2011 www.idc.fr Cyril Meunier IDC France Research & Consulting Manager Copyright
Plus en détailPosition du CIGREF sur le Cloud computing
Position du CIGREF sur le Cloud computing Septembre 2010 Cette position est le fruit d un groupe de réflexion ayant rassemblé les Directeurs des Systèmes d Information de grandes entreprises, au premier
Plus en détailITSM - Gestion des Services informatiques
Chapitre 1 - COMPRENDRE LE MARCHÉ ITSM - Gestion des Services informatiques Copyright 2011 CXP. 1 ITSM - Gestion des Services informatiques L'étude a été réalisée par : Dalila Souiah OBJECTIF DU DOCUMENT.
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailSécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service
Sécurité des Systèmes d Information Le pragmatisme et l innovation de PwC à votre service Réduire les risques par une meilleure mise en œuvre des politiques de sécurité IT Global State of Information Security
Plus en détailFAIRE FACE A UN SINISTRE INFORMATIQUE
FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation
Plus en détailRelease Notes POM v5
Release Notes POM v5 POM Monitoring http://www.pom-monitoring.com Ce document est strictement réservé à l usage de la société POM Monitoring. Il ne peut être diffusé ou transféré sans l autorisation écrite
Plus en détailRisques d accès non autorisés : les atouts d une solution IAM
Risques d accès non autorisés : les atouts d une solution IAM Comment l'entreprise peut-elle réduire ses risques informatiques liés aux droits d accès des utilisateurs Livre Blanc Introduction Tous les
Plus en détailGarantir une meilleure prestation de services et une expérience utilisateur optimale
LIVRE BLANC Garantir une meilleure prestation de services et une expérience utilisateur optimale Mai 2010 Garantir une meilleure prestation de services et une expérience utilisateur optimale CA Service
Plus en détailPiloter le contrôle permanent
Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF
Plus en détailVotre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise
Votre référentiel documentaire STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise STS group le groupe STS Créé en 1984 Autonomie et stabilité financière Partenaire
Plus en détailPré-requis Diplôme Foundation Certificate in IT Service Management.
Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d
Plus en détailLa modernisation de la gestion publique au sein des EPSCP. Colloque des Agents Comptables. 05 juin 2015
La modernisation de la gestion publique au sein des Colloque des Agents Comptables 05 juin 2015 EPSCP Frédéric Dehan Directeur Général des Services Université de Strasbourg 1) Des éléments de contexte
Plus en détailCopyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
VOLET N 2 1 Définition des objectifs de sécurité Principes fondamentaux de la sécurité du système d information Scenarios génériques de menaces Méthodes et bonnes pratiques de l analyse de risques Plan
Plus en détailL automatisation des processus métier au cœur de la relation client
Financial Services savoir-faire L automatisation des processus métier au cœur de la relation client Améliorez votre efficacité, au service d une expérience client plus fluide et d une rentabilité accrue
Plus en détailA PROPOS DE LANexpert
A PROPOS DE LANexpert Société suisse fondée en 1995, aujourd hui basée à Genève, Lausanne, Berne et Zurich, LANexpert est un intégrateur de services et de solutions d infrastructures informatiques à fortes
Plus en détailPARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE
PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE Gouvernance du Système d Information Comment bien démarrer? Page 1 Soirée «Gouverner son informatique et sa sécurité : le défi des entreprises» CLUSIS / ISACA
Plus en détailISO 27001 conformité, oui. Certification?
ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche
Plus en détailLe partenaire des directions financières
Le partenaire des directions financières IFRS due diligences transaction services direction financière fast close reporting controlling évaluation externalisation CSP business plan consolidation Notre
Plus en détailFormations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397
Formations «Règles de l Art» Nos formations Réf. ART01 14 Heures Authentification Réf. ART02 14 Heures Durcissement des systèmes Réf. ART03 14 Heures Firewall Réf. ART04 14 Heures Logs Réf. ART05 7 Heures
Plus en détailSommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service
Mars 2012 Sommaire Présentation OXIA Le déroulement d un projet d infogérance L organisation du centre de service La production dans un centre de service 2 Fournisseurs Technologies Banque & Finance Telecom
Plus en détailFORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000
FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 Les pratiques professionnelles de la Continuité Métier sont définies comme les aptitudes, connaissances et procédures
Plus en détail