Alexandre Fernandez Toro. Alexandre@Fernandez-Toro.com



Documents pareils
Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

THEORIE ET CAS PRATIQUES

Prestations d audit et de conseil 2015

Excellence. Technicité. Sagesse

2012 / Excellence. Technicité. Sagesse

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Aligner le SI sur la stratégie de l entreprise

Club ISO Juin 2009

SMSI et normes ISO 27001

Créer un tableau de bord SSI

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

Management de la. Continuité. Implémentation ISO Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre

Brève étude de la norme ISO/IEC 27003

curité des TI : Comment accroître votre niveau de curité

Architecture SOA Un Système d'information agile au service des entreprises et administrations

L analyse de risques avec MEHARI

Cabinet d Expertise en Sécurité des Systèmes d Information

de la DSI aujourd hui

Mise en œuvre de la certification ISO 27001

COMMUNIQUE DE PRESSE CONJOINT MODELLIS & DATAVALUE CONSULTING

l E R P s a n s l i m i t e

Traitement des Données Personnelles 2012

L'infonuagique, les opportunités et les risques v.1

impacts du Cloud sur les métiers IT: quelles mutations pour la DSI?

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

5 novembre Cloud, Big Data et sécurité Conseils et solutions

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. étude marketing, expérience utilisateur, ergonomie étude concurrentielle. principes.

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Cabinet de Conseil Spécialisé dans le Cloud Computing

Association ESSONNE CADRES

Qu est-ce qu un système d Information? 1

7ème. Forum International de la Cybersécurité. 20 et 21 janvier 2015 Lille Grand Palais. Cybersécurité et Transformation Numérique

Service Cloud Recherche

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

Cette première partie pose les enjeux de la BI 2.0 et son intégration dans le SI de l entreprise. De manière progressive, notre approche situera le

LE TOUR DE FRANCE DU TELETRAVAIL EN QUELQUES CHIFFRES

Catalogue des formations 2014 #CYBERSECURITY

Les Rencontres de Performances

DSI Le pragmatisme ne tue pas l Architecture Claire Mayaux Pascal Pozzobon 23 septembre 2010

Club toulousain

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

Formations Licensing & SAM 1er semestre 2015

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Gestion de parc et qualité de service

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Quelle offre de service pour le commerce Digital? Transform to the power of digital

BI2BI. Migrer avec succès son capital décisionnel Business Objects vers Microsoft BI

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Sécurité des Systèmes d Information

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

ITIL : Premiers Contacts

Étude de cas de Unitt Portrait-robot de Federgon

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Des modules adaptés aux réalités des métiers de la sécurité de l information

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Les Fonctions SI et Organisation au service des Métiers. Optimiser la création de valeur pour l entreprise

Rencontres des décideurs informatiques de l Isère

La numérisation augmente l efficacité, la sécurité et la fiabilité des flux d informations et des processus commerciaux.

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Fiche Pratique. ADIRA Sécurité & Innovation. Sécurité & Nomadisme. adira.org

Paie - RH. Un ERP à la richesse fonctionnelle exceptionnelle

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.

Semaine de l'innovation / ESC Bretagne Brest 2010

UNE ÉVALUATION Une évaluation c est quoi, çà sert à quoi? Evaluer mon projet et son plan d action pour le faire durer

Guide du. Jeune Diplômé. We are creating Customer Value. Management Consulting Business Solutions Technology Services

Catalogue de formation LEXSI 2013

ERP SURVEY ÈRE ENQUÊTE EN FRANCE AUTOUR DE LA SATISFACTION DES UTILISATEURS D ERP ET DE PROGICIELS DE GESTION

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

NOUVEAUX USAGES IT, NOUVEAUX DÉFIS

DocForum 18 Juin Réussites d un projet Big Data Les incontournables

Soft Computing Global Compact COP mars 2015

Transformer la relation avec les DSI

ÉTAT DES LIEUX. Les questions que vous vous posez. Gardez juste l essentiel!

Séminaire Business Process Management. Lausanne le 9 mai 2007

Alphonse Carlier, Intelligence Économique et Knowledge Management, AFNOR Éditions, 2012.

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

GREENIT Découvrez le Green IT

Laboratoire Eco-PRocédés, Optimisation et Aide à la Décision (EPROAD) Institut Supérieur des sciences et Techniques de Saint-Quentin (INSSET)

La sécurité applicative

Forum CXP. Le logiciel dans tous ses états! 14 juin Paris

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

La sécurité de l'information

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

Gestion des incidents

Transcription:

Alexandre Fernandez Toro Alexandre@Fernandez-Toro.com

Comment suis-je arrivé au risque business? Par le risque SI Dans le cadre d un projet ISO 27001 ISO 27001 Mise en place d un SMSI Application des principes de l ISO 9001 à la sécurité des SI Le but est de fournir de la confiance aux parties prenantes en matière de sécurité du SI Appréciation des risques Une des toutes premières étapes imposées par la norme

Appréciation des risques Points d attention Conclusion

Foisonnement de méthodes EBIOS MEHARI ISO 27005 Nombreuses déclinaisons Méthodes maison Foisonnement de fournisseurs compétents Mon choix ISO 27005 simplifiée Réalisée en interne, sans aide externe Inconvénient : ça prend du temps Avantage : parfaite maîtrise de la démarche

L appréciation des risques n est pas une science exacte C est une modélisation Avec tous les «à peu près» liés à toute modélisation Ce ne sont pas les formules et les critères de l appréciation des risques qui vous aideront à identifier les risques C est l humain : travail conjoint entre Le RSSI Les métiers La direction générale (pour faire le lien avec le risque business)

A quoi sert une appréciation des risques? A mettre à plat les principaux risques sur le SI A vérifier qu on n a rien oublié d important A faire prendre conscience aux métiers des risques sur le SI (lien avec le risque business) à sensibiliser les métiers sur la sécurité des SI A générer un plan de traitement des risques A informer la direction sur les risques sur le SI à sensibiliser la direction sur les risques sur le SI (lien avec le risque business)

Démarche générale Définition du périmètre Inventaire des actifs d information (quelle granularité?) Valorisation des actifs d information (quels critères?) Menaces et vulnérabilités Probabilité d occurrence Calcul du niveau de risque (quelle formule?) Traitement du risque (quels critères?) Risque résiduel Etc Chacune de ces étapes pose des problèmes très concrets Il faut être très pragmatique sur chacune de ces étapes

A l issue de l appréciation des risques Identifier chaque mesure de sécurité en réduction de risque On se sert souvent de la norme ISO 27002 Regrouper ces mesures par grande famille Cela conduit à X projets de sécurité C est le plan de traitement des risques

C est ici que se fait le lien avec le risque business Il est très utile de faire valider par le CODIR Les risques résiduels Le plan de traitement des risques La DG et les directeurs découvriront les risques réels liés au SI dont ils n avaient absolument pas conscience et ils vous feront découvrir des risques sur lesquels vous seriez passé complètement à côté.

Appréciation des risques Points d attention Conclusion

Différence d échelle entre Le temps de la sécurité (donc de la gestion du risque) Le temps des projets d entreprise La gestion du risque Partie émergée de l iceberg Appréciation des risques Plan de traitement des risques Restitution au CODIR Partie immergée de l iceberg Attention à «l effet Power Point»! Projets de sécurisation puis sécurité opérationnelle

Risques business Risques SI Il y a souvent un delta entre les deux approches du risque

La DSI est malmenée par le cloud Pour survivre, l entreprise doit S adapter dès aujourd hui au contexte de demain Penser autrement Remettre profondément en question son organisation Refondre en profondeur ses processus métier (business) C est une chance pour la DSI Les nouveaux processus sont de plus en plus intégrés dans le SI Exemples : CRM, industrie, services, etc La DSI est le grand architecte de chacun de ces projets La DSI est donc la mieux placée pour aider l entreprise dans sa mutation La DSI sera de mieux en mieux placée pour gérer le risque business Risque business de plus en plus proche du risque SI

Appréciation des risques Points d attention Conclusion

L appréciation des risques est un outil très puissant de clarification, de planification et de sensibilisation à la sécurité Ce n est pas l appréciation des risques qui fera sortir le SI de la zone d humiliation C est la sécurité opérationnelle qui s ensuit

La gestion du risque business implique à la fois Un soin sur des aspects très techniques tels que La modélisation des risques La mesure du niveau de sécurité du SI Etc Une vision sur le devenir de l entreprise Par les projets de mutation, généralement portés par la DSI Toute la difficulté de la gestion du risque business réside dans ce «grand écart» Court-termisme/vision à long terme

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back