Gestion des cibles critiques

Documents pareils
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Sinistres majeurs : comment assurer la continuité d activité?

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Gestion de la sécurité par la gestion du changement

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

ISO conformité, oui. Certification?

ISO/CEI 27001:2005 ISMS -Information Security Management System

le paradoxe de l Opérateur mondial

Plan de Continuité des Activités Disneyland Resort Paris. Préparé par Karine Poirot/Paul Chatelot 26 mars 2009

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

D ITIL à D ISO 20000, une démarche complémentaire

Vers un nouveau modèle de sécurité

HySIO : l infogérance hybride avec le cloud sécurisé

Optimiser la maintenance des applications informatiques nouvelles technologies. Les 11 facteurs clés de succès qui génèrent des économies

Besoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC de BSI.

Continuité des opérations

politique de la France en matière de cybersécurité

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

LA CONTINUITÉ DES AFFAIRES

Plan de secours. Annie Butel. CLUSIF Septembre PCA ppt

THEORIE ET CAS PRATIQUES

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Site de repli et mitigation des risques opérationnels lors d'un déménagement

Compte rendu d activité

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Catalogue des formations.

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

Août 2013 Recommandations en matière de Business Continuity Management (BCM)

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Symantec CyberV Assessment Service

Plan de continuité des activités Nécessité ou utopie?

Yphise optimise en Coût Valeur Risque l informatique d entreprise

accompagner votre transformation IT vers le Cloud de confiance

Mettre en œuvre son Plan de Gestion de Crise

Résultats Semestriels Réunion d information du 3 octobre 2007

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

Le SI et ses utilisa-tueurs Perspectives sur la stratégie IT des organisations à l heure du Cloud Computing

Les conséquences de Bâle II pour la sécurité informatique

Programme de formation " ITIL Foundation "

L analyse de risques avec MEHARI

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

COMPUTING. Jeudi 23 juin CLOUD COMPUTING I PRESENTATION

le management de la continuité d activité

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

Pour une innovation productive

Le Cert-IST Déjà 10 ans!

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais)

MESURER LA VALEUR ET LE ROI D UN PROJET DE RÉSEAU SOCIAL D ENTREPRISE

Solution téléphonique globale(1) : sur votre facture téléphonique globale! Configuration minimale requise : 1 fax + 1 fixe+ 1mobile.

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Le Management Lean. Michael Ballé. Excellence Systems Group Consultants 1

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

AUDIT CONSEIL CERT FORMATION

ITIL v3. La clé d une gestion réussie des services informatiques

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Notre stratégie de développement porte ses fruits

Quelle offre de service pour le commerce Digital? Transform to the power of digital

Le Réseau Social d Entreprise (RSE)

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Le grand livre du DSI

Solution de sauvegarde pour flotte nomade

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

DEVENIR ANIMATEUR CERTIFIE DE LA DEMARCHE LEAN

INTERNATIONAL Assurance Santé & Prévoyance

La gestion des risques en établissement de santé Point de vue de la Société française de gestion des risques en établissement de santé SoFGRES

1 Présentation de France Telecom 2 Concentrons nous sur la DISU

Atelier BNP le 28 Mars 2013 Assurances, mutuelles : Les nouveaux défis de la communication multicanal

Récapitulatif: Du 30 Mars au 10 Avril Rapports de l OICV sur les plans de continuité d activité.

Information Technology Services - Learning & Certification.

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

Le Cloud Computing, levier de votre transformation digitale

La gestion des risques en entreprise de nouvelles dimensions

DOSSIER DE L INDUSTRIE RELATIF AUX NOMS DE DOMAINE VOLUME 9 - NUMÉRO 1 - mars 2012

L avenir. est au numérique

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

Sécurisation et résilience des services DNS/DHCP Gestion de l adressage IP automatisée

sommaire dga maîtrise de l information LA CYBERDéFENSE

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

PORTNET Guichet Unique Marocain du Commerce Extérieur

Jusqu où aller dans la sécurité des systèmes d information?

Lexique structuré de la continuité d activité Business continuity structured glossary

Transcription:

Gestion des cibles critiques SG/DSEC/GOUV/MIV Juin 2008 Pierre-Dominique Lansard Directeur Mission Infrastructures Vitales Direction de la Sécurité Groupe pierredominique1.lansard@orangeftgroup.com +331 4444 7330 2 Groupe France Télécom

Sommaire 1. Résilience: France Telecom est Opérateur d Infrastructures Vitales 2. Le contexte de la Gestion de Continuité d Activité 3. Critères Généraux de détermination des éléments critiques 4. Le risque de cyber-criminalité : La veille aujourd hui chez France Telecom CERT-IST Juin 2008 3 Groupe France Télécom 1. Resilience La capacité de survivre à l interruption de composants majeurs 4 Groupe France Télécom

France Telecom est Opérateur d Importance Vitale Le Cadre Décret SAIV de Février 2006 Directive Nationale de Sécurité Membre du Conseil National des OIV Les Obligations Plan de Sécurité Opérateur Gestion de la Continuité d Activité Gouvernance 5 Groupe France Télécom mesures pour assurer la résilience Le Développement en prenant les risques en compte l Architecture des Infrastructures les Services Le choix de composants robustes Les Opérations orientées Business Qualité Gestion de la Sécurité Gouvernance Les Contrats gagnants-gagnants Le niveau de Résilience des services est fournie par contrat en accord avec le niveau de prise de risque des clients 6 Groupe France Télécom

des orientations «marché» en lien avec la réglementation La sécurité est considérée comme un facteur de différentiation De puissants leviers pour la qualité (incluant la sécurité, la résilience) résultent des demandes des grands clients y compris les agences gouvernementales De nombreuses options sont possibles. Il n y a pas de solution standard Un rythme de changement sans précédent quant aux aspects offres et demandes; La sensibilisation n est pas symétrique. L émergence de standards pour les bonnes pratiques 7 Groupe France Télécom 2.Le Contexte de la Gestion de la Continuité d Activités 8 Groupe France Télécom

Une politique: La Gestion de la Continuité d Activité Un futur standard avec un grand potentiel La BS 25999 (du BSI) pour la GCA (BCM) Cinq briques majeures La Connaissance de l Organisation Les Bilans d Impact sur les Affaires (BIA) Le rétablissement des lieux de travail Le redressement après sinistre La Gestion de Crise Planifié En tant que de besoin 9 Groupe France Télécom actions: GCA, Gestion de Crise La Gestion de la Continuité d Activité Une version adaptée de la BS 25999 est en cours de déploiement dans l ensemble du Groupe France Telecom La Gestion de Crise a été jugée en 2005 trop dépendante de la technique, mal adaptée au nouveau contexte du Groupe et ne prenant pas assez en compte de nouveaux risques (pandémie, financiers, ). A l été 2006, un nouveau cadre général pour la Gestion de Crise a été défini au niveau du Groupe. La déclinaison de ce cadre général est en cours dans toutes les entités du Groupe en tenant compte des spécificités Business et des particularités locales. 10 Groupe France Télécom

actions: Le PCA Pandémie Un PCA spécifique a été mis au point en lien avec le plan National Gouvernemental permettant de prendre en compte la dimension ressources humaines, pour déclinaison en France et dans les autres pays où le Groupe est présent. Ce PCA a été validé en 2006. C est un véritable nouvevau challenge pour le Groupe 11 Groupe France Télécom actions: un système de management de la sécurité Une transformation majeure pour l ensemble du Groupe 2006 2007 2007 2008 2008 Décision de développer un outil SMS conforme avec l ISO 27 001. Plan, Do, Check, Act (PDCA) Questionnaires Globaux mis au point et premier retour des entités du Groupe. (sur les incidents de sécurité et les facteurs de sinistralité) Décision de déployer SMS pour l ensemble des entités du Groupe reprise dans la PSG. (Politique de Sécurité Globale ) Mars: Première Version du manuel SMS Début du déploiement 12 Groupe France Télécom

actions: la construction d un service Le Processus TTM (TIME TO MARKET) étapes obligatoires : Etape Action Porteur T0 Opportunité, inclue une évaluation générale du Risque Equipes Marketing T1 Définition, inclue une détermination du risque Sécurité Equipes Techniques T2 Construction T3 Déploiement T4 Exploitation Equipes Techniques Equipes Techniques Equipes Operations T5 Evaluation de la nouvelle offre Equipes Marketing Le niveau d atteinte de la Résilience doit être prouvé aux étapes T0 et T1 13 Groupe France Télécom 3.Détermination des cibles 14 Groupe France Télécom

Les cibles critiques Est «critique» un processus, un équipement, une tâche qui est: «essentiel» au sens de la GCA pour l Entreprise et/ou «vital» au sens des besoins de la Nation exprimés dans la DNS (Directive Nationale de Sécurité) Il en est de l IT comme des autres composantes 15 Groupe France Télécom La détermination des cibles critiques Fait l objet d un processus rigoureux et protégé Permet une connaissance approfondie de l ensemble du Groupe Repose sur des critères de bon sens A pour finalité de minimiser le nombre des cibles potentielles Ecarte les cibles critiques appartenant de fait à d autres acteurs de Secteur d Activités d Importance Vitale 16 Groupe France Télécom

La protection des cibles critiques s inscrit dans le Plan de Sécurité de l Opérateur fait l objet d un Plan de Protection Externe est suivie de très prêt par les services spécialisés 17 Groupe France Télécom 4. Le risque de cybercriminalité : La veille aujourd hui chez France Telecom 18 Groupe France Télécom

L activité de veille sécurité Observer en temps réel les produits et les infrastructures utilisés par le groupe Analyser les vers, virus et les vulnérabilités les composants matériels ou logiciels réseaux, systèmes, applications, produits de sécurité Informer sur les vulnérabilités potentielles pour aider à la mise en place de mesures correctives pour réussir à limiter les impacts Veille sécurité/mars 2008/Interne Groupe 19 Groupe France Télécom La mission de la veille Prévenir France Télécom des problèmes de sécurité Couvrir tous les produits et services Diffuser les informations en temps réel Aider les MOE à analyser les impacts CERT-IST JUIN 2008 20 Groupe France Télécom

Les services proposés Suivi & Diffusion des vulnérabilités Publication sous différents formats Alerte email par liste de diffusion Site web du CERT-IST Les autres services Analyse de sécurité des produits logiciels ou matériels Intégration de nouveaux produits dans la veille Veille sécurité sur les produits et services Orange Déclaration de vulnérabilités aux organismes de veille Veille sécurité/mars 2008/Interne Groupe 21 Groupe France Télécom Le processus de veille Découverte vulnérabilité Avis CERT-IST Publication CERT-IST Diffusion CERT-IST Analyse ITN SEC Rapport ITN SEC Veille sécurité/mars 2008/Interne Groupe 22 Groupe France Télécom

Veille & Gestion des correctifs Contribution de la veille Deux processus distincts à forte synergie Avis de vulnérabilités Matière première de la gestion des correctifs Criticité des vulnérabilités Délais d applications des correctifs Veille sécurité/mars 2008/Interne Groupe 23 Groupe France Télécom Veille & Gestion de crise Rôle de la veille sécurité Supporter le processus de gestion de crise Information d une attaque en cours Observer & Analyser Couvrir les risques en HNO Service de veille 7/7 du CERT-IST Veille sécurité/mars 2008/Interne Groupe 24 Groupe France Télécom

La veille en quelques chiffres Pour l année 2007 Plus de 620 vulnérabilités traitées Une vulnérabilité critique concernant la LiveBox Remontée de plusieurs vulnérabilités sur les portails Orange Remontée de plusieurs dizaines de cas de phishing ou d abus sur les portails internet Orange Non évaluées Sans objet Non critique Critique Plus d une dizaine de produits ajoutée dans la base Cert-IST Veille sécurité/mars 2008/Interne Groupe 25 Groupe France Télécom 5. Questions? 26 Groupe France Télécom

27 Groupe France Télécom

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back