Démarche projet de l Analyse de Risques à l Intégration de la Sécurité dans les Projets Enjeux et retours d expérience

Documents pareils
CRIP 17/09/14 : Thématique ITIL & Gouvernance

Périmètre d Intervention. Notre Offre

Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise.

Accenture accompagne la première expérimentation cloud de l État français

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

INDICATIONS DE CORRECTION

Au Service de la Performance IT. Retour d expérience sur la gestion des Incidents et des Problèmes autour du SI

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. offres d accompagnement stratégique stratégie e-marketing et interface. principes.

Novembre Regard sur service desk

Mise en place d un outil ITSM. Patrick EYMARD COFELY INEO

Conseil, expertise et formation. SmartView Chrysalis Sarl

c o n c e p t i o n Un savoir-faire et des experts pour concevoir des sites efficaces et durables

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

Offre Technique Tunis, Décembre Société d Ingénierie Informatique Spécialiste en Infrastructure de Pointe et des Systèmes d Information

ITIL Examen Fondation

CDC 4 DISPONIBLE : 25 NOVEMBRE 2014

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

Industrialisation du déploiement d'applications et de socles techniques

ITIL V3. Objectifs et principes-clés de la conception des services

Portail d informations et de données de marchés publics ou la commande publique augmentée

La pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle

Gouvernance IT et Normalisation

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

L offre de services, reflet de la transformation de la DSI

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. offres en conception de dispositif e-commerce relation client et interface. principes.

Partie 1 : Introduction

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

L analyse de risques avec MEHARI

IT on demand & cloud professional services

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services

Optimisez les profits de vos sites web. Intégrez la performance à votre projet de création

DSI Le pragmatisme ne tue pas l Architecture Claire Mayaux Pascal Pozzobon 23 septembre 2010

Prestations d audit et de conseil 2015

Modalités de déclinaison opérationnelle du cadre stratégique commun (élaboration des contrats de progrès) Mise à jour de Décembre 2013

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Maîtrise d ouvrage agile

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Ensemble mobilisons nos énergies

Le Cloud, pilier de la Transformation Numérique des Entreprises. Didier Krainc 10 Juillet 2015

Atelier " Gestion des Configurations et CMDB "

Lilurti ÉgQ.//ti Fr41rrnili. RbuBLlQ.UE FJtANÇAISE LE SECRETAIRE D'ETAT CHARGE DU BUDGET

Intégrateur de compétences

Information Technology Services - Learning & Certification

Des projets et des Hommes au service de l innovation EDI.

ITIL V2. La gestion des mises en production

Pensezdifféremment: la supervision unifiéeen mode SaaS

ITIL FOUNDATION 2011 & PREPARATION A LA CERTIFICATION

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Le SIG provincial. B u r e a u S y s t è m e d I n f o r m a t i o n G é o g r a p h i q u e. DSI Service des Applications Métiers. province-sud.

Synthèse. Quelle performance opérationnelle pour la sécurité de l information?

La Gouvernance IT en France : de nombreuses avancées, encore beaucoup à faire

LA PROTECTION DES DONNÉES

Compte Qualité. Maquette V1 commentée

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Offre IDALYS. Le conseil couvrant tous les aspects métiers du commerce digital. Mai 2013

Information Technology Services - Learning & Certification.

PÉRENNISER LA PERFORMANCE

E-commerce 2.0 Exploitez les nouveaux leviers de performance Frédéric CAVAZZA - Convention E-commerce - 14 Septembre 2006

C3S : besoins fonctionnels et Management UNIS : technologies de l information ACSSI : intégration de solutions

1 Présentation de France Telecom 2 Concentrons nous sur la DISU

Panorama général des normes et outils d audit. François VERGEZ AFAI

CATALOGUE FORMATIONS 2014

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Energisez votre capital humain!

Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Jean- Louis CABROLIER

Filière métier : Administrateur Virtualisation

Opportunités s de mutualisation ITIL et ISO 27001

ALDEA ET SYSTEMES D INFORMATION

Vaincre les incompréhensions ITIL 2011

MINISTERE DES FINANCES ET DE LA PRIVATISATION. Principes du système

Copropriétés en difficulté

Avancement du projet de création de l institut national de formation. Instance Nationale de Concertation 16 avril 2015

quelques chiffres clés

Guide utilisateur Module Parents

Préparation des programmes européens

Développement Offshore. Hervé Bleuer Président Co-fondateur

DOSSIER DE PRESSE. Octobre 2011

Programme de formation " ITIL Foundation "

ITIL V2. La gestion des changements

Deuxième partie : Objectifs résultats et moyens du dernier exercice clos

ESPACE COLLABORATIF. L Espace Collaboratif : votre espace de partage entre acteurs régionaux

Sécurité des Systèmes d Information

La présente note vise à expliciter de façon synthétique le contexte de lancement et le contenu du Projet ITEP coordonné et piloté par la CNSA.

Transformation vers le Cloud. Premier partenaire Cloud Builder certifié IBM, HP et VMware

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Dossier de consultation pour une mise en concurrence AGENCE DE DEVELOPPEMENT TOURISTIQUE DES

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

SERVICE CERTIFICATION DES ÉTABLISSEMENTS DE SANTÉ. Guide utilisateur Compte Qualité dans SARA

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

AGEFOS PME Nord Picardie Appel à propositions MutEco Numérique Picardie

Transcription:

16/10/2016 1 Démarche projet de l Analyse de Risques à l Intégration de la Sécurité dans les Projets Enjeux et retours d expérience 13 novembre 2014

L ISP : un enjeu de taille pour la CNAMTS 170 000 jours de Charge projets en 2014 9 Programmes pour 70 000 j 16 projets prioritaires hors programmes 40 000 j 11 domaines : charge de maintenance de 60 000 j P2 portail PS P4 Quickwins 9 AR en 1 an, 2 audits + expertises ponctuelles 10 projets entre 120 et 2200 J pour environ 10 000J Une ancienne méthodologie d analyse de risques lourde que les projets ne se sont pas appropriée : L analyse de risques constitue une charge importante pour les projets et pour les acteurs de la sécurité L utilité de la démarche n est pas perçue par les projets les mesures préconisées ne sont pas toujours mises en place La méthodologie ne permet pas un traitement de bout en bout de la sécurité Une répartition des rôles MOE et MOA perfectible Nécessité d une refonte de l Analyse de Risques vers un processus opérationnel d Intégration de la Sécurité dans les Projets de bout en bout Avec comme objectifs : Mettre en place une méthodologie d analyse de risques à l état de l art Avoir une démarche simplifiée et proportionnée aux enjeux Impliquer les projets en les accompagnant tout au long du cycle de vie projet S assurer de la mise en place des mesures de sécurité Répondre à nos obligations d homologation (RGS) Faire le lien avec l exploitation et définir un périmètre critique 16/10/2016 2

Nouvelle méthodologie, nouvel outillage 16/10/2016 3 Grâce à une évaluation du niveau de maturité du processus SSI inspirée de la méthodologie GISSIP 1 2 5 4 3 La nouvelle démarche est modulable. Chaque projet suit une feuille de route spécifique, fonction de son niveau de maturité Le nouvel outillage ISP permet de dérouler l ensemble des étapes de la méthodologie Un bandeau spécifique dédié Des boutons dédiés permettant de suivre et valider les étapes du processus Un fonctionnement par onglets (volets) présentés uniquement si le processus l exige Des guides présents immédiatement pour faciliter le renseignements des volets

Nouvelle méthodologie, nouvel outillage 16/10/2016 4 L outillage permet d aboutir plus simplement à une vision risque sur le projet L outillage permet également de s assurer de la mise en œuvre des mesures de sécurité recommandées La construction de l outil facilite la recette sécurité

Un contexte entreprise favorable à la mise en œuvre de l ISP 16/10/2016 5 Catalogue de service ITIL Dispo / PCA. Refonte de l avant projet Refonte de la recette Instauration d un CAB Catalogue de service de la DS Gestion des demandes Une nouvelle méthodo AR Outillage AR Guides de mesures standards technique et organisationnelles Volet sécurité du DA Audit de code Processus ISPISP Formation DEV Guide de Reco pour le DEV Processus ISC : Intégration de la sécurité dans les contrats Tests d intrusion Communication Homologation La démarche ISP profite des leviers et des opportunités au sein de la DSI La refonte de l avant projet La refonte de la démarche de recette Adoption des processus ITIL Evolution de la comitologie de la DSI une nouvelle dynamique au sein de la Direction Sécurité La mise en place en interne d une offre d audit L établissement d un catalogue des mesures standards L accompagnement des développeurs (guide de développement sécurisé, formations, ) L intégration de la sécurité dans les contrats d externalisation (mise en place d exigence dans les CCTP, établissement de PAS, )

Phase expérimentation : des ajustements en cours 16/10/2016 6 La CNAMTS a construit un processus ISP : entièrement adossé au cycle de vie projet, validé par le Comité d Amélioration Continue, qui permet d alimenter le volet sécurité du dossier d architecture technique qui a pour ambition de capter l ensemble des projets La Direction Sécurité est aujourd hui représentée en comité des engagements nouveaux, en comité d architecture, en comité de revue de projets et en comité d homologation Cependant la mise en œuvre est progressive dans un contexte riche et complexe Les métriques doivent être ajustées Un ensemble de catalogues (menaces, mesures techniques et organisationnelles,...) restent à finaliser Intégration en cours EBIOS 2010 et vie privée Le RACI doit être finalisé Les instances sont à cadrer également En cible nous avons l extension du périmètre aux organismes, mais il faut d abord stabiliser, éprouver et mesurer au niveau National

Merci pour votre attention 16/10/2016 7

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back