Gestion Opérationnelle Sécurité. Thierry MANCIOT SFR GT Sécurité CRIP

Documents pareils
ISO conformité, oui. Certification?

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

HSE MONITOR GESTION DU SYSTÈME DE MANAGEMENT. 8 modules de management intégrés.

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

DOMAINES CLÉS COUVERTS PAR LE PROGRAMME

GT ITIL et processus de Production

Vers un nouveau modèle de sécurité

dans un contexte d infogérance J-François MAHE Gie GIPS

Réunion d information Marchés publics des Hauts-de-Seine

5 novembre Cloud, Big Data et sécurité Conseils et solutions

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

Comprendre ITIL 2011

La rationalisation Moderniser l organisation pour dynamiser l entreprise

AUDIT CONSEIL CERT FORMATION

Manager de Transition / Directeur de Projet Production Exploitation Infrastructures

Mise en place du Business Activity Monitoring (BAM) pour piloter les processus logistiques grâce aux Echanges de Données Informatisés (EDI)

Le Réseau Social d Entreprise (RSE)

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

l entreprise mobile entre vos mains

France Telecom Orange

Montrer que la gestion des risques en sécurité de l information est liée au métier

Enjeux & perspectives du Cloud en :

FazaANGEL supervision pro-active

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

CRM Assurance. Fonctionnalités clés. Vue globale de l assuré. Gestion des échanges en Multicanal

Découverte et investigation des menaces avancées PRÉSENTATION

Atelier Tableau de Bord SSI

Data Breach / Violation de données

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Qualité retour d expérience. Christophe Petit Responsable du pôle qualité de la DSI christophe.petit@ac-lille.fr

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques,

Piloter le contrôle permanent

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Une couverture équilibrée de vos exigences métiers

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Mise en place d un outil ITSM. Patrick EYMARD COFELY INEO

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

3, rue Barge Paris LM (43 ANS)

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Atlas départemental de la couverture 2G et 3G en France métropolitaine : Bas-Rhin (67)

LE référentiel des métiers

Groupe Stockage & Sauvegarde. François Dessables

de la DSI aujourd hui

Vector Security Consulting S.A

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Module Projet Personnel Professionnel

Prestations d audit et de conseil 2015

Être plus performant dans les métiers de l Infrastructure et de la Production informatique

La fraude en entreprise

A. Le contrôle continu

Les activités numériques

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Gestion de parc et qualité de service

Nos formations clé en main

- Biométrique par badge code - Visualisation en directe - Positionnement sur des alarmes - Image haute résolution de jour comme de nuit

répondre aux défis de l ingénierie logicielle déploiement et mise en œuvre opérationnelle : l'industrialisation au service de la compétitivité

Université du Sud-Toulon Var IUT Toulon Var PROGRAMME DE LA FORMATION. Licence Professionnelle Management des Organisations

Pilot4IT Tableaux de Bord Agréger et consolider l ensemble de vos indicateurs dans un même portail.

Améliorer l efficacité de votre fonction RH

La sécurité des systèmes d information

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Direction Innovation & Outils Generali. Témoignage Production du 27 novembre 2012

solution technologique globale qui couvre en

18 SEPTEMBRE E-réputation : une image positive pour une stratégie de conquête!

Yphise accompagne les décideurs et managers dans leurs réflexions, décisions et actions

Auditabilité des SI et Sécurité

Pilot4IT Monitoring : Mesurez la qualité et la performance perçue de vos applications.

Gestion de la relation client

Conférence e-business jeudi 22 mars Edouard Pihet - Associé. Francis Lelong - Associé

CONSULTANT EN MOA ET ORGANISATION ASSURANCE Compétences : Audit stratégique/organisationnel / Assurance (Prévoyance / Santé / IARD)

Mettre en œuvre son Plan de Gestion de Crise

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Créer un tableau de bord SSI

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Infrastructure Management

Agenda numérique - Partie V. Juillet 2015

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

L anonymisation de données en masse chez Bouygues Telecom

Modèles économiques du SI

La Qualité de SFR Business Team

Jean- Louis CABROLIER

Présentation des Services. STEPHYA Datacenter Global Services

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

La gouvernance au cœur de la Transformation des systèmes d information Renault

Conseil et Ingénierie des Systèmes d Information d Entreprise

La réputation des entreprises se joue-t-elle sur les réseaux sociaux?

IT on demand & cloud professional services

Ensemble mobilisons nos énergies

CRIP 17/09/14 : Thématique ITIL & Gouvernance

La relation DSI Utilisateur dans un contexte d infogérance

Des modules adaptés aux réalités des métiers de la sécurité de l information

Gestion de la sécurité par la gestion du changement

Transcription:

Gestion Opérationnelle Sécurité Thierry MANCIOT SFR GT Sécurité CRIP

Le GT Sécurité CRIP 124 membres inscrits Démarrage au mois de Mars 2012 Une quinzaine de membres actifs MACIF, Generali, Bouygues Telecom, Orange, SFR, Renault, Groupama, PSA, DISIC, Lafarge, CNP Assurances, Météo France, Matmut, DGAC Partage de retours d expérience sur des thématiques sécurité ciblées Approche opérationnelle et pragmatique Publication d une newsletter

GOS : De quoi parle-t-on? Administration des briques sécurité Administration des outils de surveillance et contrôle Veille sécurité opérationnelle incluant la réputation Internet Gestion d éléments de sécurité (certificats, secrets, ) Gestion des vulnérabilités et correctifs de sécurité Administration Surveillance / détection Détection / Surveillance des événements de sécurité Audits / tests d intrusion Contrôle de conformité à la politique sécurité Contrôle Gestion incidents Traitement des incidents sécurité Gestion crise sécurité Analyses post mortem Organisation pilotage transverse Processus sécurité opérationnels Reportings / Tableaux de bord

GOS : quelles évolutions? Les domaines liés à la surveillance / détection et gestion des incidents prennent de l ampleur La GOS adresse de plus en plus les couches applicatives Les maillages fraude et sécurité se créent Les compétences évoluent vers plus d expertise notamment dans la détection

Contexte réglementaire Paquet Telecom transposition dans le droit français S applique aux opérateurs de communication électronique Ordonnance relative aux communications électroniques adoptée le 24 aout 2011 et décret 2012-436 du 30 mars 2012 Notification en cas de vol de données à caractère personnel Obligation d avertir sans délai la CNIL La CNIL peut mettre en demeure le fournisseur d informer l intéressé Obligation de tenir à jour un registre des violations de données personnelles Décret 2012-488 du 13 avril 2012 Obligation de notifier les failles de sécurité sans délai à l autorité publique Projet de règlement européen sur la protection des données personnelles 25 janvier 2012: publication du projet de Règlement Règlement applicable à tout fournisseur qui traite les données d un utilisateur UE Obligation pour toutes les entreprises > 250 employés d avoir un CIL Notification des violations de données personnelles à l autorité nationale Projet de règlement européen NIS (Network and Information Security) 07 Février 2013 : publication du projet de Règlement Obligation de notifier à l autorité nationale les failles de sécurité touchant les infrastructures critiques

Principales problématiques Quels sont les modèles de mise en œuvre des processus opérationnels sécurité (ITIL vs spécifique)? Comment évaluer et communiquer sur les risques sécurité liés aux incidents? Comment mobiliser les équipes opérationnelles en réaction aux incidents de sécurité? Comment valoriser / mesurer l efficacité des dispositifs opérationnels de sécurité? Comment étendre les canaux de détection et d alerte?

Incident sécurité et ambivalence Confidentialité Mobilisation Une approche standard qui requiert certaines spécificités S appuyer sur les dispositifs standards de gestion des incidents Organisation, process ITIL, schéma d escalades, outils de ticketing, Intégrer le détail des incidents dans un référentiel à accès restreint Traiter de manière spécifique certains types d incidents (fraude, RH, obligations légales, ) Créer son propre réseau de confiance Mettre en place les dispositifs de communication vis-à-vis des instances de réglementation Anticiper les arrêts volontaires de services dans les plans de réaction Gérer dans le temps la durée d un incident / crise sécurité

Process incident sécurité Détection Pré-qualification Alerte Qualification / Traitement de l incident Equipes de production Fiche d aide à la qualification Process incident production Acteurs internes Equipes sécurité Services clients Matrice IG Si impact sécurité Process incident sécurité Crise Dispositifs de surveillance et contrôle SOC Matrice impact métiers Métiers

Modèle d aide à la qualification Fiche d aide à la qualification Matrice IG Matrice impact métiers Aide à qualifier l événement observé en incident de sécurité Aide à identifier les points de contacts Indique les premiers réflexes Diffusée sur l intranet + campagne de sensibilisation Basée sur : Catégories d incidents Sensibilité des actifs Ampleur Echelle d IG sécurité équivalente à l échelle IG de production : Mobilisation des équipes de production Schémas d escalades déjà en place Basée sur : Catégories d impacts métiers Niveau d impact métier Permet de mieux communiquer avec les entités métiers pendant l incident et post incident Evolution de l IG dans le temps Notion de «confiance» dans la qualification des incidents sécurité Notion de «récurrence» des incidents

Démarche d amélioration continue Systématiser les REX sur les incidents sécurité majeurs afin de : Améliorer la détection et la qualification Expliquer/Communiquer sur le niveau de gravité de l incident Définir les plans d actions de prévention dans le cadre de la gestion des problèmes sécurité Réaliser périodiquement des exercices de crise sur différents types de scénarios: Le plus probable Celui avec fort impact technique Le plus transverse (impactant le plus de directions techniques et métiers) Celui qui est couplé avec un exercice de PRA

Conclusion et perspectives Accompagner l évolution de la Gestion Opérationnelle Sécurité Industrialiser les dispositifs opérationnels de sécurité Renforcer l expertise sécurité dans les domaines de la surveillance Accompagner le changement, communiquer Ne pas négliger les phases de Build pour être efficace dans le Run Perspectives 2013 du GT Sécurité CRIP : Sécurité dans les projets Organisation et acteurs Classification des besoins de sécurité par types de projets Gestion de la donnée sensible dans le cycle projet Contrôles et validations sécurité dans le projet

Merci de votre attention Questions?

Matrice IG sécurité Catégories d incidents : Accès, modification, collecte non autorisés de données Divulgation d information Intrusion / prise de contrôle Comportements anormaux (usages frauduleux, usages abusifs, comportements déviants, ) Présence de fichiers malveillants (malware) Dysfonctionnements (déni de service par ex, indisponibilité de service non expliquée) Vulnérabilités critiques Actifs : Sensibilité du service / application Sensibilité de la donnée Ampleur : Nombre d actifs impactés par l incident Niveau de contagion

Matrice impacts métier Catégories d impacts : Perte financière Réputation / Image de marque Réglementation / Juridique Insatisfaction clients Disponibilité des services

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back