L'approche Iso27001 au sein du Gie Systalians de Réunica Bayard



Documents pareils
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Vers un nouveau modèle de sécurité

PRÉVOYANCE SANTÉ ÉPARGNE RETRAITE OFFRE CRÉATEURS TRAVAIL TEMPORAIRE

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

AG2R LA MONDIALE - RÉUNICA - VIASANTÉ 1 AG2R LA MONDIALE - RÉUNICA - VIASANTÉ

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

D ITIL à D ISO 20000, une démarche complémentaire

THEORIE ET CAS PRATIQUES

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

ISO/CEI 27001:2005 ISMS -Information Security Management System

SMSI et normes ISO 27001

DOSSIER DE PRESSE. 24 Janvier Création de l association HEVEA «Habiter Et Vivre Ensemble Autrement»

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

Copyright Agirc-Arrco Mars QUESTIONS pour comprendre le Système d Information Retraite Complémentaire (SI-RC)

METIERS DE L INFORMATIQUE

Gestion de parc et qualité de service

ISO conformité, oui. Certification?

Les clauses «sécurité» d'un contrat SaaS

Mise en œuvre de l interopérabilté du SI-RC Gie Agirc-Arrco Processus Forum 2013

ITIL v3. La clé d une gestion réussie des services informatiques

Protection sociale des expatriés: l évolution de l approche des entreprises. Congrès RéaVie octobre 2009

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Recommandations sur les mutualisations ISO ISO & ISO ITIL

GÉNÉRATEUR DE PERFORMANCE CONSEIL EN SYSTÈMES D INFORMATION

ITIL : Premiers Contacts

Mise en place d un Système de Management Environnemental sur la base de la Norme ISO SARRAMAGNAN Viviane

Opportunités s de mutualisation ITIL et ISO 27001

CRIP 17/09/14 : Thématique ITIL & Gouvernance

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Prestations d audit et de conseil 2015

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Excellence. Technicité. Sagesse

Périmètre d Intervention. Notre Offre

Décision n 11-DCC-11 du 27 janvier 2011 relative au rapprochement du Groupe Aprionis et du Groupe Vauban Humanis

OBRE 2013 OCT COMPLÉTÉ PAR LA CIRCULAIRE DU 25 SEPTEMBRE

curité des TI : Comment accroître votre niveau de curité

TUV Certification Maroc

vous informer sur votre retraite

La protection sociale des salariés

Retraite Prévoyance Santé. Créateurs / Repreneurs d entreprises. Gérez l essentiel, nous nous. chargeons du reste

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

à mes salariés... la solution, c est l offre modulaire de Réunica Prévoyance.

MANAGEMENT PAR LA QUALITE ET TIC

PICRIS. Le progiciel des métiers de la Retraite, de la Santé, de la Prévoyance et du Social

MANAGEMENT PAR LA QUALITE ET TIC

Responsable d agence

dans un contexte d infogérance J-François MAHE Gie GIPS

Au profit des apprentis du bâtiment et des travaux publics

Table des matières. Partie I CobiT et la gouvernance TI

MBA Spécialisé en Alternance

ITIL FOUNDATION. 2 jours. Programme

Santé publique - Protection sociale -

Améliorer l efficacité de votre fonction RH

Calendrier des formations 2015 CERTIFICAT DE QUALIFICATION PROFESSIONNELLE EN MUTUALITE

Programme de formation " ITIL Foundation "

Page. LES FONDAMENTAUX Les savoirs généraux de l assurance 2

La retraite complémentaire obligatoire des salariés du secteur privé

2012 / Excellence. Technicité. Sagesse

réservé aux établissements sanitaires et sociaux privés. Pour protéger vos salariés consultez les experts.

Information Technology Services - Learning & Certification.

Intervenants. Philippe SORIA. Gilles GOURMAND. Direction Technique GAN ASSURANCE VIE. Expert-Comptable

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Catalogue de Formations

Catalogue des services intégrés

Club toulousain 7 février Couverture organisme national

Réduction Fillon sur les bas salaires Employeur de 1 à 19 salariés au plus

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Catalogue de services standard Référence : CAT-SERVICES-2010-A

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

MBA Spécialisé en Alternance

PRESENTATION ACTION SOCIALE PREVOYANCE MICHELIN

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Jean- Louis CABROLIER

SEMINAIRES SPECIFIQUES

Gestion budgétaire et financière

Les offres de Xebia : Agilité, Big Data, Cloud, DevOps, Java & Friends, Mobilité et Web Oriented Architecture.

UNE PROTECTION SOCIALE L EXEMPLE DE PRO BTP COMPLÉMENTAIRE SOLIDAIRE ET INTERGÉNÉRATIONNELLE IPSE BOLOGNE 4 JUILLET 2014

Atelier " Gestion des Configurations et CMDB "

RESUME DESCRIPTIF DE LA CERTIFICATION (FICHE OPERATIONNELLE METIERS)

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

Sage Formation. Le parcours pédagogique Sage HR Management. Sage HR Management

FICHE THÉMATIQUE Protection sociale

Modèle Cobit

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Aide au recrutement, à l accueil et à l intégration des nouveaux entrants Professionnalisation et fidélisation d un salarié Tutorat

REGIMES COMPLEMENTAIRES DE RETRAITE ET PREVOYANCE : CONDITIONS D EXONERATION DE COTISATIONS

SOLVENCY II: GOUVERNANCE ET NOUVELLE POLITIQUE DE EIFR

Une couverture équilibrée de vos exigences métiers

B2V lance le Prix Solidarité Autonomie Seniors

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

Transcription:

L'approche Iso27001 au sein du Gie Systalians de Réunica Bayard Club Iso 27001 - Emmanuel GARNIER 21 novembre 2007

L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 2

L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 3

Systalians, le GIE informatique de Réunica Bayard Systalians : GIE de la protection sociale Né du rapprochement des groupes de protection sociale Réunica et Bayard Retraite Prévoyance Il a pour objet : de mettre en commun et de mutualiser, tant sur le plan technique que financier, les différents systèmes d informations spécifiques à chacun de ses membres ou communs à tout ou partie d entre eux, dans le but d en réduire leurs coûts, de concevoir, mettre en œuvre et gérer tous systèmes d informations pour ses membres, De fournir à ses membres les services et prestations de conseils associés Créé en juillet 2005, Systalians est entré en activité le 1er janvier 2006, date à laquelle l ensemble du personnel informatique du groupe Réunica Bayard a rejoint le GIE. 4

Systalians, le GIE informatique de Réunica Bayard Systalians, en quelques chiffres Effectifs : 350 personnes (dont 150 internes) Localisation : Courbevoie : Direction, Domaines Etudes, Intégration Usine Retraite, Achats, Contrôle de gestion, Sécurité, Esvres sur Indre : Domaines Etudes, Production, Méthodes Qualité, Sécurité Activité : Chiffre d affaires : 65,3 millions d euros Investissements : 6,3 millions d euros Volumes gérés (2006) : 3 000 postes de travail standards 230 serveurs Windows, UNIX, AS400, MVS de production Espace disque de production : 40 To 325 millions de transaction CICS sur le serveur central 25 000 appels au Service Desk (centre d accueil CATI) 17 000 demandes d intervention traitées 5

Systalians, le GIE informatique de Réunica Bayard Réunica Bayard Leader de la retraite complémentaire, 10ème groupe français en prévoyance, Groupe paritaire indépendant à but non lucratif 2 300 collaborateurs, répartis : 3 implantations en Ile de France (Courbevoie, Levallois-Perret, Paris) 4 implantations en régions (Angoulême, Esvres-sur-Indre, Lyon, Toulouse) 27 délégations commerciales 11 délégations sociales 6

Systalians, le GIE informatique de Réunica Bayard Réunica Bayard Retraite 4 institutions de retraite complémentaire qui gèrent et redistribuent les cotisations de retraite complémentaire (en ARRCO : ANEP, IREPS ; en AGIRC : CIRCACIC, CRICA) Chiffres clés : 4,6 millions d affiliés 1,3 million d allocataires (retraités) 7,2 milliards d euros de cotisations encaissées Prévoyance 2 institutions de prévoyance : Bayard Prévoyance et Réunica Prévoyance. Assurent une garantie aux salariés et leur famille en cas de maladie, maternité, accident de travail, invalidité, décès 1 mutuelle interprofessionnelle qui propose aux particuliers une complémentaire santé Chiffres clés : 2 millions d assurés en prévoyance, 154 000 assurés en santé, 30 000 contrats entreprises 330 millions d euros de cotisations encaissées 7

SYSTALIANS, le GIE informatique de la protection sociale Deux grands axes d activités : retraite et prévoyance Un secteur retraite en forte concentration avec des synergies entre groupes (Usine Retraite), La prévoyance, un milieu qui reste concurrentiel Enjeux de Sécurité Flux financier, Données à caractère personnel, Garantir un niveau de sécurité conforme aux exigences des membres adhérents et des fédérations AGIRC et ARRCO 8

L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 9

La sécurité chez SYSTALIANS Une mise en œuvre en ligne avec les principes de management Qualité 10

La sécurité chez SYSTALIANS Revue annuel du processus dans une démarche d amélioration continue Maîtrise d ouvrage > 1 500 jours Maîtrises d œuvre 1 000 à 1 500 jours Un encadrement par le règlement de sécurité des fédérations AGIRC ARRCO (basé sur l ISO 27002) 11

L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 12

ISO 27001, de multiples raisons d y aller A partir d un existant aligné sur les bonnes pratiques Certification ISO 9001 depuis 2001, Mise en place du contrôle interne en 2006 basé sur COBIT, Alignement en cours sur les pratiques ITIL La volonté d aller plus loin S aligner sur l ISO 27001 Se démarquer dans le secteur Et être attractif Simplifier le dialogue Avec les métiers, les fournisseurs et les acteurs externes Faciliter les démarches d audit Renforcer la confiance des clients 13

L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 14

Diagnostic Iso 27001 : une démarche en 4 temps Préparation du diagnostic Réalisation du diagnostic Restitution des résultats du diagnostic plan d'actions et gestion dans la durée du SMSI Mai 2007 Juin 2007 Juillet 2007 Septembre 2007 Analyse de risques MEHARI 2004 - Systalians - Réunica Bayard 8 7 24 entretiens - Systalians - Réunica Bayard Evaluation des sites Présentation du diagnostic Processus de sélection des auditeurs internes et de mise à jour du référentiel 6 7 6 5 4 3 2 1 0 2 3 - Esvres sur Indre - Lyon - Toulouse Rapport du diagnostic plan d'actions 5 4 Conformité ISO17799:2005 1 actuelle 5 11 2 4 3 10 2 3 1 0 9 4 8 5 7 6 Diagnostic ISO - ISO 27001 - ISO 27002 15

Iso 27001 : norme certifiante 2005 2007 2008 et + Exigences Recommandations «génériques» Exigences «métiers» Mise en place du SMSI ISO 27001 Certification Code de bonnes pratiques ISO 17799 Accréditation organismes de certification ISO 27006 Code de bonnes pratiques ISO 27002 Guide d audit ISO 27007 Implémentation du SMSI ISO 27003 Gestion des risques ISO 27005 Tableaux de bord ISO 27004 Normes métiers ISO 27xxx Une différence majeure par rapport aux autres systèmes de management : des mesures et des contrôles techniques 16

Méhari 2004 une conversion vers l ISO et un périmètre modifié MEHARI 2004 Orientation risques Périmètre initial Périmètre : Réunica Population : utilisateurs, acteurs du SI, direction, métiers Site : tous les sites Réunica ISO 27002 Orientation conformité Incidents de sécurité Conformité Plan de Continuité de l Activité Développement. et maintenance Politique 5 4 3 2 1 0 Organisation Actifs Ressources humaines Sécurité Physique Adaptation au périmètre 2007 Périmètre : Systalians Population : acteurs du SI naturellement plus sensibilisés Sites : Courbevoie et Esvres meilleure sécurité physique Accès Communication et exploitation 17

Diagnostic ISO 27002 Des pratiques sécurité en forte évolution depuis 2004 14 -PCA 13 -Incidents de sécurité 15 -Conformité 12 -Dev. et maintenan. 11 -Accès 0-Inexistant 5 -Politique 5 4 3 2 1 0 Echelle 6 -Organisation 7 -Biens 8 -RH 9 -Sec. Phy. 10 -Comm. et exploit. 1-Pratique existante mais non alignée, effort important 2-Pratique existante mais non alignée 2004 2007 14 -PCA 13 -Incidents de sécurité 15 -Conformité 5 -Politique 5 4 3 2 1 0 6 -Organisation 7 -Actifs 8 -RH 2007 2004 3-Pratique alignée mais non mise en œuvre 4-Pratique mise en œuvre et demande un ajustement 5-Pratique existante, alignée, contrôlée et boucle de progrès 12 -Dev. et maint. 11 -Accès 9 -Sec. Phy. 10 -Comm. et exploit. Des Des bonnes pratiques à sélectionner et et à appliquer en en fonction de l analyse de risques 18 fonction de l analyse de risques

Situation : un SMSI récent, aligné sur les bonnes pratiques ISO 9001 SMSI Echelle 5 0-Inexistant 4 1-Pratique existante mais non alignée, effort important 2-Pratique existante mais non alignée Amélioration du SMSI 3 2 1 Responsabilité du management 3-Pratique alignée mais non mise en œuvre 0 4-Pratique alignée, mise en œuvre et demandant un ajustement 5-Pratique existante, alignée, contrôlée et boucle de progrès Révision du SMSI Audit interne du SMSI Un Un alignement obligatoire du du système de de management par par rapport à la la norme ISO ISO 27001 19

L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 20

Plan projet Iso 27001 Un SMSI à construire progressivement Construire le SMSI Réaliser un cycle (Plan Do Check Act) Certifier Initialisation du SMSI Inventaire, classification et analyse de risques Implémentation et exploitation du SMSI Mesure de l efficacité et contrôle du SMSI Certification T4 2007 T1 2008 T2 2008 T3 2008 T4 2008 T1 2009 21

Plan projet Iso 27002 De nombreux projets à intégrer dans l existant Construire le SMSI Réaliser un cycle Certifier Gestion des identités et des habilitations PCA Gestion des accès externes au SI Sécurisation des flux Internet et de la messagerie Formalisation et documentation Sécurité physique Gestion des correctifs de sécurité T4 2007 T1 2008 T2 2008 T3 2008 T4 2008 T1 2009 22

L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 23

Globalement, comment se situe le GIE SYSTALIANS du point de vue des exigences des référentiels de sécurité? Iso 27001 : norme pour la mise en place d un Système de Management de la Sécurité de l Information (SMSI) Iso 27002 : un ensemble de bonnes pratiques à sélectionner et à appliquer en fonction de l analyse de risques SMSI 5 4 3 Objectif SYSTALIANS Objectif SYSTALIANS en cours de définition en fonction de l analyse des risques Conformité Politique 5 4 Organisation 2007 2004 Amélioration du SMSI 2 1 0 Responsabilité du management Plan de Continuité de l Activité 3 2 1 Actifs Incidents de sécurité 0 Ressources humaines Révision du SMSI Audit interne du SMSI Développement. et maintenance Accès Sécurité Physique Communication et exploitation 24

Points clés pour obtenir la certification Réaliser un diagnostic : mesurer la conformité, identifier les manques Outiller la démarche et prendre en compte la difficulté d évaluation par rapport à l ISO 27002 Définir le périmètre : ni trop ambitieux, ni pas assez, aligné sur celui de l ISO 9001 Construire sur l existant Construire un SMSI s insérant dans la structure de l organisation Démarche qualité : gestion des documents et des enregistrements Analyse de risques : réutiliser la démarche de l analyse de risques COBIT existante Processus : s insérer avec ITIL Avoir l appui du management au plus haut niveau et valoriser Prévoir dès la construction les efforts de maintien dans le temps Alignement continu du SMSI : revue annuelle et suivi des risques Mesure de l efficacité : contrôle et indicateurs Maintenir et exploiter le domaine sécurité des infrastructures 25

Un point clé pour maintenir la certification Réaliser un un cycle complet avant d envisager la la certification Une Une décision importante pour pour ne ne pas pasprendre de de risque risque sur sur le le maintien du du certificat Et Et qui qui n est n est pas pas bloquant pour pour l avancement des des projets Construire le SMSI Plan Do Check Act Réaliser un cycle Certifier Nouveau cycle P r o j e t P r o j e t P r o j e t P r o j e t L implication de de tous et et à tous les les niveaux est est un un pré-requis à la la réussite de de la la certification 26

Les apports déjà ressentis La capacité de se mobiliser sur un projet dans un objectif de planning déterminé, et d accélérer ainsi la démarche de Sécurité Suivi simplifié de la démarche Iso 27001 Insertion dans la démarche qualité Réalisation d un outillage Lors du diagnostic Adaptation lors de la conception du SOA En cours : Définition de la méthodologie d analyse de risques Menant à la conception du SOA Sélection des équipes d audit sécurité interne 27

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back