) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011.

Documents pareils
Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

D ITIL à D ISO 20000, une démarche complémentaire

PCI-DSS : un standard contraignant?!

Software Asset Management Savoir optimiser vos coûts licensing

La rationalisation Moderniser l organisation pour dynamiser l entreprise

Montrer que la gestion des risques en sécurité de l information est liée au métier

5 novembre Cloud, Big Data et sécurité Conseils et solutions

La Qualité de SFR Business Team

GESTION DE PROJET. - Tél : N enregistrement formation :

Module Projet Personnel Professionnel

ISO/CEI 27001:2005 ISMS -Information Security Management System

Les leviers de performance du pilotage du processus achats/fournisseurs

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

La carte d achat, c est quoi ça?

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

THEORIE ET CAS PRATIQUES

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

ITIL v3. La clé d une gestion réussie des services informatiques

Groupement ICS eau et William Terry Conseil, représenté par:

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

ITIL V3. Objectifs et principes-clés de la conception des services

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

PRÉSENTATION DE L OFFRE

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Améliorer l efficacité de votre fonction RH

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Maîtriser les mutations

Pour le Développement d une Relation Durable avec nos Clients

PGE 2 Fall Semester Purchasing Track. Course Catalogue. Politique, Stratégie & Performance des Achats p. 2

Project Management Performance Pack

L innovation technologique au quotidien dans nos bibliothèques

Vers un nouveau modèle de sécurité

DEMANDE D INFORMATION RFI (Request for information)

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Association Française pour la promotion des bonnes pratiques de sourcing escm. escm for Dummies. Gilles Deparis. Introduction au référentiel escm

ALDEA ET SYSTEMES D INFORMATION

PCI DSS un retour d experience

Panorama général des normes et outils d audit. François VERGEZ AFAI

LA CONDUITE DE L ACTION COMMERCIALE

L apport d escm dans la mise en œuvre de Centres de Services Partagés (CSP) -

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

DEVENIR ANIMATEUR CERTIFIE DE LA DEMARCHE LEAN

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

«LES PRINCIPES ET OUTILS ESSENTIELS DU CONTRÔLE DE GESTION»

Programme de formation " ITIL Foundation "

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Pensezdifféremment: la supervision unifiéeen mode SaaS

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Comment mesurer l'impact des solutions "on demand" sur la valeur du Système d Information?

Excellence. Technicité. Sagesse

REGLES GENERALES DE CERTIFICATION HACCP

Etude des possibilités de passerelles entre les CQP des Entreprises de l industrie pharmaceutique et les CQP des industries chimiques

Focus messagerie. Entreprises Serveur de messagerie Logiciel client. Particuliers

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

Révolution Lean-Supply Chain chez les pompiers. Journée inter-sdis sur le «Supply Chain Management» Albi, le 21 mai 2015

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

ACCOMPAGNEMENT VERS LE CLOUD COMPUTING BIENVENUE

Pole Formation Catalogue

ITIL V3. Transition des services : Principes et politiques

Mettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité

Nos formations clé en main


Les outils de la transition énergétique ISO 50001

IT Advisory. Notre offre de services. kpmg.fr

Mise en place d un Système de Management Environnemental sur la base de la Norme ISO SARRAMAGNAN Viviane

RAPPORT D AUDIT INTERNE

Solutions de gestion Catalyseur de performance

Quels échanges et pourquoi? Pour faire évoluer dans le temps vers quelle structure de pilotage?

3 minutes. relation client. avec Orange Consulting. pour tout savoir sur la. construisez et pilotez votre relation client

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

Foire aux questions (FAQ)

LE référentiel des métiers

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

Evolution de messagerie en Cloud SaaS privé

UE 4 Comptabilité et audit 2 Identification du candidat (prénom, nom) :

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Contexte organisationnel des ERP Séance 1 : Changements sur les tâches

Au Service de la Performance IT. Retour d expérience sur la gestion des Incidents et des Problèmes autour du SI

Des modules adaptés aux réalités des métiers de la sécurité de l information

HySIO : l infogérance hybride avec le cloud sécurisé

Auditer son environnement Telecom Un des fondements du projet TEM

MODULES ECBL DESCRIPTIF SENIOR

Les pratiques du sourcing IT en France

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

Pôle Finance Exemples de réalisations

Transcription:

Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT 27 avril 2011 Paris ) ) ) ) Ce document est la propriété de Provadys SAS et ne peut être reproduit sans son accord écrit préalable

1. Provadys 1.1 Offres de services Les Gestion des Risques regroupe à la fois les compétences de profils ayant une expertise métier et des profils ayant une expertise technique. Cette double compétence permet à Provadys en intégrant les enjeux métiers mais aussi techniques. de manière transversale sur les missions 2

1. Provadys 1.2 Positionnement sur PCI DSS Provadys est certifié QSA Company, ce qui lui permet de se positionner en tant habilitée à réaliser les audits certifiants PCI QSA Une offre de service complète en toute déontologie : Audits & contrôles QSA ASV Tests intrusifs Audits de code Accompagnement Pilotage & AMOA Plan de mise en conformité Suivi de la conformité Gestion du changement Conseil & expertise Provadys est référencé par le GIE Cartes Bancaires marché "CB" ainsi de la confidentialité totale des données recueillies pendant ces audits. provadys.com 3 CNIS Event 27 avril 2011

Structure et optimisation du coût de la conformité 1. Introduction 1.1 Objectifs de la présentation 4. Optimisation des coûts 4.1 Axes communs 4.2 Optimisation des coûts de la conformité PCI DSS 4.3 Optimisation des coûts de la conformité ISO 27001 2. PCI DSS et ISO 27001 2.1 Approche par les coûts 5. Conclusions 5.1 Messages à retenir 5.2 Questions / Réponses 3. Modèles et optimisation 3.1 Structure des coûts de la conformité PCI DSS 3.2 Structure des coûts de la conformité ISO 27001 4

Introduction Les objectifs de la présentation 5

Introduction Objectifs de la présentation coûts Des normes aux multiples points communs mais tellement différentes PCI DSS et les normes de la famille ISO 27000 sont rarement approchées à travers la dimension des coûts meilleure norme» PCI DSS ISO 27000 6

PCI DSS et ISO 27001 Une approche par les coûts 7

PCI DSS et ISO 27001 Une approche par les coûts Des points communs et des questions qui fâchent traiter le risque de divulgation massive de données Cartes Bancaires mettre en conformité» -nous à y gagner?»les investissements seront-ils compensés / dépassés par les gains?»que risque-»les risques seront-ils ramenés à un niveau acceptable? Risques Investissements Bénéfices 8

PCI DSS et ISO 27001 Une approche par les coûts Des points communs et des questions qui fâchent ISO 27001 est une norme aussi «facultative» que ISO 9001 une évidence La certification fait encore débat»a quoi bon puisque le travail est déjà fait ou sera fait de toutes façons?»a quoi bon puisque cela ne garantit pas que le SI est mieux sécurisé? La démarche de certification ISO 27001 relève le plus Gains en SSI Les questions économiques sont souvent au second plan mise en place des bonnes pratiques Pérennisation des budgets SSI Opportunités business La certification est vue comme un outil de valorisation et de génération de nouvelles opportunités Alignement avec la stratégie 9

PCI DSS et ISO 27001 Une approche par les coûts Des points communs et des questions qui fâchent En première analyse les coûts associés ne sont pas négligeables Les éventuels gains sont a priori très dépendants des activités Les investissements sont dépendants de la situation de départ de chaque entité Le marché français est très peu mature Gains Coûts ==> Pas de benchmark fiable Il persiste des zones de flou Pénalités Échéances COMBIEN??? Sur COMBIEN de temps??? 10

PCI DSS et ISO 27001 Une approche par les coûts Des points communs et des questions qui fâchent De nombreux facteurs doivent être pris en compte Périmètre Analyse de risques Mesures retenues dans le SOA Ecarts initiaux Le marché français pour ce qui est de la mise en conformité et certification ISO 27001 est beaucoup plus mature Plusieurs acteurs de référence 11

Modèles et optimisation Comparaison des modèles 12

Modèles et optimisation Structure de coûts de la conformité PCI DSS Comment appréhender le coût de la conformité PCI DSS Se mettre en conformité PCI DSS et le demeurer peut couter cher Au-delà du constat, il est souvent difficile de donner une vue complète des coûts associés à la conformité PCI DSS Plusieurs axes se dégagent Mise en conformité Maintien de la conformité Chantiers techniques Chantiers documentaires Chantiers organisationnels MCC Technique & Documentaire Prise en charge de la conformité dans les projets Evolution du SI et des processus Audits Analyse de Gap / Audit de certification / Audits récurrents / Scans ASV Pénalités / Amendes / Fraudes 13

Modèles et optimisation Structure de coûts de la conformité ISO 27001 Comment appréhender le coût de la conformité ISO 27001 Les grands axes de la structure de coût sont très similaires engagement contractuel Mise en conformité Maintien de la conformité Chantiers techniques Chantiers documentaires Chantiers organisationnels MCC Technique & Documentaire Prise en charge de la conformité dans les projets Evolution du SI et des processus Audits 14

Modèles et optimisation Définir l optimisation des coûts Amener les coûts au niveau optimal en agissant sur les différentes briques de la structure de coûts Optimiser les coûts ne signifie pas seulement les réduire Les objectifs Comprendre les coûts et identifier les leviers Rendre les coûts prévisibles Rendre les coûts mesurables Rendre possible la gouvernance Adapter les coûts aux objectifs Maximiser les ratio Bénéfices / Investissement Risques / Investissement Opportunités générées / Investissement Comprendre & Identifier les leviers Rendre les coûts prévisibles Optimiser les coûts Rendre les coûts mesurables / pilotables 15

Provadys 16

Optimisation des coûts Une approche globale Application de la structuration des coûts Réduction des risques Réduction des dépenses Limitation des dépenses prévisibles Caper les coûts non prévisibles Traquer les inconnues, réduire les incertitudes Capex, Opex, Coûts de transformation Chantiers techniques Conduite du changement Comprendre & Identifier les leviers Rendre les coûts prévisibles Rendre les coûts mesurables / pilotables Process Reengineering Mise en place des KPI (indicateurs) Tableaux de bord et outils de gouvernance Optimiser les coûts 17

Optimisation des coûts Une approche globale Ne pas séparer la mise en conformité du maintien de la conformité Du programme de mise en conformité au Système de Management de la Conformité Chaque brique du programme doit initier les processus sur lesquels reposera le maintien de la conformité Le programme de mise en conformité doit donner vie aux processus de maintien de la conformité Le programme de mise en conformité doit être vu comme un programme de transformation durable Plan Tous les investissements doivent être examinés à la lumière Act Do Check 18

Optimisation des coûts Optimisation des coûts de la conformité PCI DSS Envisager les multiples réponses possibles face au traitement des risques associés aux données Cartes Bancaires Désensibiliser les données Eliminer les utilisations non indispensables des PAN Souscrire des contrats Contractualiser les engagements et les responsabilités Externaliser Supprimer Transférer Réduire Accepter Mettre en conformité PCI DSS son périmètre Utiliser / Stocker / Manipuler des PAN 19

Optimisation des coûts Optimisation des coûts de la conformité PCI DSS Réduction du périmètre Segmentation réseau Désensibilisation des données»chiffrement»tokenisation Externalisation Monétique centralisée Transfert de responsabilités Contractualisation Transfert de risques Assurance Réduction des chantiers de mise en conformité Réduction du périmètre Externalisation Optimisations techniques Maîtrise des coûts de MCC Automatisation des tâches récurrentes Optimisation des processus Lissage du coût des audits récurrents Externalisation / Approche Service Lissage / Limitation du coûts des non-conformités Assurances / Contractualisation 20

Optimisation des coûts Optimisation des coûts de la conformité ISO 27001 Réduction du périmètre Choisir le bon périmètre pour pouvoir communiquer et valoriser la certification Choisir les bonnes mesures dans le SOA Planifier avec soin la mise en conformité Transfert de responsabilités Contractualisation Transfert de risques Réduction des chantiers de mise en conformité Réduction du périmètre Planification de la mise en conformité Maîtrise des coûts de MCC Automatisation des tâches récurrentes Assurance Optimisation des processus Lissage du coût des audits récurrents Externalisation / Approche Service 21

Conclusions 22

Conclusions Les messages Les programmes de conformité aux normes PCI DSS et ISO 27001 ont des différents Les optimisations de coût sont possibles Périmètre Objectifs Planning PCI DSS est beaucoup plus contraignante Réduire le périmètre demande des efforts Les exigences de conformité sont plus directives facteur clé de succès pour ces programmes. 23

Questions / Réponses Rendez vous à la pause 24

Gestion des Risques audit conseil accompagnement provadys.com audit conseil accompagnement provadys.com Contact : Luc DELPHA 01 46 99 93 80 PROVADYS - TEL : 01 46 99 93 80 SAS AU CAPITAL DE 100 000 EUR. RCS NANTERRE 489 089 168 SIEGE SOCIAL A BOULOGNE-BILLANCOURT, 150, RUE GALLIENI 92100

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back