Prestations d audit et de conseil 2015



Documents pareils
Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

2012 / Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Panorama général des normes et outils d audit. François VERGEZ AFAI

L analyse de risques avec MEHARI

Sécurité des Systèmes d Information

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Systèmes et réseaux d information et de communication

curité des TI : Comment accroître votre niveau de curité

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Qu est-ce qu un système d Information? 1

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Brève étude de la norme ISO/IEC 27003

Gestion des Incidents SSI

ISO conformité, oui. Certification?

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

FAIRE FACE A UN SINISTRE INFORMATIQUE

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

THEORIE ET CAS PRATIQUES

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

D ITIL à D ISO 20000, une démarche complémentaire

INDICATIONS DE CORRECTION

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Cabinet d Expertise en Sécurité des Systèmes d Information

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Des modules adaptés aux réalités des métiers de la sécurité de l information

Annexe sur la maîtrise de la qualité

Politique de Sécurité des Systèmes d Information

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Présentation à la Direction des Santé Achats de la Société Générale. Asurances, soins, biens médicaux

AVIS DE SOLLICITATION DE MANIFESTATION D INTERET AUPRES DE CONSULTANT INDIVIDUEL

PROGICIELS DE GESTION INTÉGRÉS SOLUTIONS DE REPORTING

La politique de sécurité

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

L'AUDIT DES SYSTEMES D'INFORMATION

Cadre commun de la sécurité des systèmes d information et de télécommunications

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

Menaces informatiques et Pratiques de sécurité en France Édition Paris, mercredi 25 juin 2014

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

AUDIT CONSEIL CERT FORMATION

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Les clauses «sécurité» d'un contrat SaaS

INDICATIONS DE CORRECTION

Intitulé du stage. Initiation à l'environnement industriel Jeudi 15 et vendredi 16 septembre 2011

GUIDE SUR L ASSISTANCE A LA MAÎTRISE D'OUVRAGE EN INFORMATIQUE

Développement spécifique d'un système d information

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Politique de gestion documentaire

Catalogue des formations 2014 #CYBERSECURITY

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Mise en œuvre de la certification ISO 27001

Montrer que la gestion des risques en sécurité de l information est liée au métier

Catalogue de formation LEXSI 2013

Plan de maîtrise des risques de la branche Retraite Présentation générale

Circuit du médicament informatisé

Quelques missions d Amedrys

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Référentiel Général de Sécurité

Groupement ICS eau et William Terry Conseil, représenté par:

Gestion de la continuité des activités. Mémento

Information Technology Services - Learning & Certification.

Module Projet Personnel Professionnel

la conformité LES PRINCIPES D ACTION

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

«ASSISTANT SECURITE RESEAU ET HELP DESK»

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

ISO la norme de la sécurité de l'information

Continuité de Service. Maîtrise de l Energie

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)


L Application Performance Management pourquoi et pour quoi faire?

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

Formation Logistique Transport

Transcription:

M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations d audit et de conseil 2015 Sécurité des systèmes d information Continuité d activité Protection de la vie privée Vos contacts M. Thierry RAMARD Directeur Général +33 (0) 6 17 64 90 72 thierry.ramard@ageris-group.com Mme Caroline MEOT Responsable Commerciale +33 (0) 6 46 13 00 19 caroline.meot@ageris-group.com

Le Groupe AGERIS Prestations d audit de de conseil Protection de l information et Sécurité des systèmes d information (SMSI ISO 27001) CONSEIL FORMATION LOGICIEL - Assistance à maitrise d ouvrage - Assistance à maitrise d œuvre - Audit - Coaching Protection de la Vie Privée (Informatique & Libertés) Continuité et reprise d activité (SMCA ISO 22301) - Formation «Inter-Entreprises» - Formation «Intra- Entreprise» - Sensibilisation - Transfert de compétences - Logiciel pour le RSSI - Logiciel pour le CIL - Logiciel pour le RPCA - Développement sur mesure AGERIS Priv@cy - Pôle dédié à la protection de la vie privée COGERIS MAROC SARL VIROLE CONSEIL FORMATION SARL France Luxembourg Maroc Tunisie - Sénégal Créée en 2003, AGERIS Group est une entreprise de services indépendante spécialisée dans la protection de l'information (SMSI - ISO 27001), dans la continuité d'activité (PCA / PRA) et dans la protection de la vie privée (Informatique & Libertés). 2

Les prestations AGERIS AGERIS Consulting apporte l expertise et l expérience de ses consultants pour vous accompagner dans vos démarches de gestion des risques, de protection des informations et de continuité d activité. Une offre adaptée à votre maturité en termes de sécurité Maturité technologique AGERIS auditionne et conseille sur les protections mises en œuvre au niveau des réseaux, des systèmes, des applications et des flux d informations. Les aspects techniques sont alors principalement analysés ainsi que les procédures d exploitation. Maturité décisionnelle AGERIS auditionne et conseille sur la conformité avec des normes, sur les tableaux de bord, et sur le pilotage du SMSI. Des consultants expérimentés, un gage de réussite Maturité organisationnelle AGERIS auditionne et conseille sur les procédures et les politiques de protection du SI, l organisation mise en œuvre et la sensibilisation des utilisateurs. Les consultants proposés par AGERIS Consulting accompagnent les autorités administratives, les établissements de santé et les entreprises Françaises et internationales depuis de très nombreuses années. Ils maîtrisent parfaitement le terrain et l ensemble des métiers de la sécurité de l information, quel que soit le secteur d activité.

Les prestations Enjeux et gouvernance Classification des informations et des actifs de l entreprise Toute ressource utile à la gestion des informations doit être identifiée et inventoriée. Elle doit être affectée à un responsable clairement identifié, lequel sera chargé de faire appliquer la politique de sécurité sur celle-ci. Les ressources et en particulier les informations doivent faire l objet d une classification qui attribue à chacune d entre elles les besoins et priorités de protection. RSSI dans l élaboration du schéma de classification sur les 4 axes correspondant aux besoins en termes de Disponibilité, d Intégrité, de Confidentialité et de Preuve/contrôle (DICP). Ils contribuent ensuite à la collecte des informations auprès des équipes métiers afin de classifier l ensemble des processus et des actifs de l entreprise en s appuyant sur le schéma de classification défini préalablement. Analyse des risques du système d information L évolution de la réglementation et de la gouvernance des entreprises met aujourd hui en avant la notion de maîtrise des risques. L analyse des risques du système d information permet d assurer la robustesse de l entreprise face à l imprévu, mais aussi d optimiser l efficacité économique de son dispositif de maîtrise des risques. Cette prestation consiste à aider l entreprise dans l élaboration de la cartographie des risques qui menacent son activité. La démarche proposée par les consultants d AGERIS Consulting s appuie sur les bonnes pratiques et les recommandations issues de la norme ISO 27005. Selon les besoins exprimés par le client ou son environnement réglementaire, les consultants d AGERIS Consulting peuvent mettre en œuvre les principales méthodes disponibles sur le marché telles que EBIOS (ANSSI) ou MEHARI (CLUSIF).

Les prestations Enjeux et gouvernance Assistance à la mise en œuvre de la Gouvernance de la SSI Les obligations réglementaires et juridiques, les impacts financiers ou d'image, les risques opérationnels liés à la défaillance de la gestion des informations obligent les dirigeants à réviser l'organisation et la gouvernance de la sécurité des informations. Dans ce contexte, il n'est plus raisonnable de ne confier qu'aux seuls informaticiens la responsabilité de la sécurité des informations détenues, produites ou traitées par l'entreprise. La sécurité des informations, au même titre que la gestion de toutes les ressources critiques de l'entreprise, n'est pas seulement un problème technique, c'est devenu un enjeu commercial qui doit être géré au plus haut niveau de l'organisation. s directions générales dans la mise en œuvre d une filière Sécurité et dans la définition des rôles et des responsabilités au sein des différentes entités. Définition des enjeux, des exigences et des besoins de sécurité La sécurité des systèmes d information (SSI) recouvre l ensemble des moyens techniques, organisationnels et humains qui doivent être mis en place dans le but de garantir, au juste niveau requis, la sécurité des données informatiques d un organisme et des systèmes qui assurent l élaboration, le traitement, la transmission ou le stockage de ces données. Ce besoin de sécurité doit être déterminé en fonction de la menace et des enjeux. De ce besoin de sécurité, découlent les objectifs de sécurité à satisfaire, puis les fonctions qui peuvent être mises en oeuvre pour atteindre ces objectifs, et enfin les moyens aptes à assurer les fonctions retenues. RSSI dans la définition des exigences métiers (BIA) et des besoins de sécurité. Les besoins sont exprimés selon les critères DICP et permettent à l entreprise de définir sa stratégie de protection de son patrimoine.

Les prestations PCA et PRA Définition du plan de continuité des activités (PCA) La continuité des activités est plus que jamais au cœur de la préoccupation des entreprises et des instances de réglementation. Bien au-delà de la dimension informatique à laquelle il est trop souvent confiné, un Plan de continuité des activités (PCA) est avant tout centré sur les métiers, et vise à assurer la robustesse de l entreprise face à tout type de risque opérationnel. RPCA dans la définition de son plan de continuité d activité. Les missions proposées abordent notamment la définition des besoins de continuité, la définition de la stratégie, l élaboration des plans de gestion de crise et de communication, la définition des plans d hébergement et de secours. Définition du plan de secours informatique (PSI) La continuité des activités repose sur la garantie de la disponibilité de son système informatique, et, en cas de sinistre majeur, la capacité de la DSI à mettre en place des moyens de secours assurant un rétablissement du service dans des délais les plus brefs. Il est donc indispensable de concevoir et mettre en place un Plan de Secours Informatique. DSI dans la définition de son plan de reprise d activité et de secours informatique. Les missions proposées abordent notamment la définition des besoins, la définition de la stratégie, l élaboration des plans de gestion de crise, la définition des procédures de secours et de reprise d activité.

Les prestations PCA et PRA Définition des processus de gouvernance et de gestion de la crise La gestion de crise est l'ensemble des modes d'organisation, des techniques et des moyens qui permettent à une organisation de se préparer et de faire face à la survenance d'une crise puis de tirer les enseignements de l'évènement pour améliorer les procédures et les structures dans une vision prospective. En outre, dans le cadre de la gestion de crise, une cellule de crise composée des membres exécutifs et opérationnels doit être définie et doit disposer d un plan de gestion de crise. RPCA dans la définition de la gouvernance de crise et dans les procédures de gestion associées. Les missions proposées abordent notamment la définition des rôles et des responsabilités, les instances de décisions et de pilotage de la crise, les procédures d escalade et les outils de gestion opérationnelle de la crise. Accompagnement lors des phases de tests du PRA Un plan de continuité et de reprise d activité ne peut être efficace que s il est testé régulièrement afin de vérifier notamment si les dispositifs de secours et les procédures sont suffisants. Selon les scénarios retenus, des tests unitaires, d intégration ou de grandeur nature peuvent être organisés afin de vérifier les dispositifs en impliquant les différents acteurs de l entreprise. Les tests et les observations doivent être préparés rigoureusement pour mesurer correctement l adéquation des solutions aux besoins exprimés. RPCA dans la préparation des tests, lors de leur réalisation et lors du débriefing post-tests. Les missions proposées abordent notamment la définition des protocoles de tests et des fiches d observation, les coordinations des opérations de contrôle et de suivi, la participation aux tests et au bilan des observations.

Les prestations SMSI Accompagnement au déploiement du Système de Management de la Sécurité de l information (SMSI ISO 27001) L adoption d un SMSI est une décision stratégique pour l entreprise. Les consultants d Ageris Consulting accompagnent le RSSI dans la définition et dans la mise en oeuvre du SMSI ISO 27001. La mission consiste notamment à définir les processus d amélioration continue, à définir le niveau d exigence et les besoins du SMSI et à accompagner le client dans le déploiement des processus opérationnels. Définition d une politique de sécurité de l information (PSSI) Chaque acteur de l entreprise est impliqué dans la protection du patrimoine informationnel. C est pourquoi, il est impératif de définir les lignes directrices et les directives applicables en conformité avec la stratégie définie par la direction générale. RSSI dans la définition d une politique de sécurité de l information et des procédures associées. La mission consiste notamment à définir la stratégie de protection de l information, à définir les politiques spécifiques de sécurité et les procédures, à mettre en place les processus de communication des politiques et à accompagner le RSSI dans sa démarche de sensibilisation.

Les prestations SMSI Définition du Schéma Directeur Sécurité (SDSSI) Le schéma directeur SSI (SDSSI) exprime la stratégie de l'entreprise pour concevoir, construire et planifier dans le temps la mise en oeuvre du Système de Management de la Sécurité de l'information (SMSI). Il doit désigner une cible à atteindre et les étapes permettant de conduire la trajectoire de transformation en vue de répondre aux missions et aux objectifs de l'entreprise dans des conditions optimales de sécurité. RSSI dans la définition d un schéma Directeur SSI et du plan d actions associé. La mission consiste notamment à définir les projets SSI, à définir les rôles et les responsabilités dans le déploiement, à quantifier les budgets et à définir les priorités de déploiement. Définition des tableaux de bord SSI (TBSSI) Un TDBSSI permet de disposer, aux différents niveaux décisionnels, d une vision synthétique de la situation de la sécurité, que ce soit dans ses dimensions techniques ou fonctionnelles (couverture des risques, qualité de la politique de sécurité, suivi des audits, des actions et des alertes ). Il constitue un outil de synthèse et de visualisation indispensable pour suivre toutes les actions liées à la SSI. Il contribue à contrôler que la stratégie définie dans la politique de sécurité est mise en œuvre par les niveaux de pilotage et opérationnels, et à la remontée d informations pertinentes jusqu aux décideurs. RSSI dans la définition des tableaux de bord SSI stratégiques, tactiques et opérationnels. La mission consiste notamment à définir les indicateurs répondant aux besoins, à définir les solutions de collecte et de traitement de ces indicateurs et à formaliser les tableaux de bord internes.

Les prestations techniques Intégrer la sécurité dans les projets informatiques Étant donnée leur nature complexe, changeante, fortement interconnectée et exposée à une menace qui revêt des formes multiples et variables dans le temps, il est aujourd'hui indéniable que la sécurité des systèmes d'information (SSI) doit être intégrée tout au long du cycle de vie d un projet informatique. Il apparaît nécessaire également de pouvoir moduler les actions SSI selon les enjeux réels du SI vis-à-vis de l'organisme. DSI et le RSSI dans la définition et la mise en œuvre d une démarche de prise en compte de sécurité par les chefs de projet informatique. La mission consiste notamment à définir la méthodologie et les outils et à accompagner et former les chefs de projets dans la phase d appropriation de la démarche. Assistance à la définition d une architecture de sécurité et au choix de solutions La sécurité des réseaux informatiques est un sujet essentiel pour favoriser le développement des échanges dans tous les domaines. D'un point de vue technique, la sécurité recouvre à la fois l'accès aux informations sur les postes de travail, sur les serveurs ainsi que le réseau de transport des données. Sécuriser son réseau informatique signifie également connaître son matériel et se préoccuper de sa gestion (achat, entretien, renouvellement). RSSI et les architectes réseaux et systèmes dans la définition des architectures techniques de sécurité. La mission consiste notamment à définir les topologies et les solutions répondant aux besoins de sécurité, à formaliser les cahiers des charges techniques et à sélectionner les maitres d oeuvre informatiques.

Les prestations techniques Assistance aux choix et à la mise en œuvre d une architecture de gestion des identités et des accès (IAM) La gestion des identités consiste à gérer le cycle de vie des personnes (embauche, promotion, mutation, départ...) au sein de la société avec tous les impacts sur le SI (création de Comptes utilisateurs, attribution de Profils utilisateurs, mise en oeuvre du contrôle d'accès...). Cette gestion des identités doit pouvoir être faite d'un point de vue fonctionnel par des non-informaticiens (exemple : Ressources Humaines, MOA, l utilisateur luimême) et d'un point de vue technique par des informaticiens (exemple : administrateur, MOE). RSSI dans la définition et le choix de solutions de gestion des identités et des accès. La mission consiste notamment à définir les besoins, à définir l architecture cible et les solutions techniques, à formaliser les cahiers des charges techniques, les procédures utilisateurs et à sélectionner les maitres d oeuvre informatiques. Assistance à la rédaction des cahiers des charges et au choix de solutions techniques L assistant à maîtrise d ouvrage (AMOA ou AMO) a pour mission d aider le maître d'ouvrage à définir, piloter et exploiter le projet réalisé par le maître d'œuvre. L assistant a un rôle de conseil et de proposition, le décideur restant le maître d'ouvrage. Il facilite la coordination de projet et permet au maître d ouvrage de remplir pleinement ses obligations au titre de la gestion du projet. RSSI dans la rédaction des cahiers des charges et le choix des prestataires. La mission consiste notamment à formaliser les spécifications techniques du cahier des charges, préparer les dossiers d évaluation et participer aux travaux de sélection du prestataire et des solutions.

Les prestations d audits Audit de la sécurité des systèmes d information Pour procéder à ces contrôles réguliers, un certain nombre de méthodes existent, parfois similaires, parfois opposées, mais toujours complémentaires dans leur approche. L'audit de sécurité d'un système d'information (SI) est une vue à un instant T de tout ou partie du SI, permettant de comparer l'état du SI à un référentiel. L'audit répertorie les points forts, et surtout les points faibles (vulnérabilités) de tout ou partie du système. RSSI dans son processus de contrôle permanent en réalisant les audits techniques et organisationnels. Les thèmes abordés sont notamment relatifs aux dispositifs techniques déployés, à la gouvernance et à la gestion de la SSI et aux procédures de maintien en condition opérationnelle. Audit du plan de reprise d activité et du plan de secours Le maintien en condition opérationnelle du plan de continuité d activité implique des phases de contrôles permanents et d audits. Ces audits, réalisés en complément des tests, permettent de mettre en évidence les éventuelles faiblesses des dispositifs opérationnels et de définir les axes d amélioration. RPCA dans l audit du Plan de Reprise d Activité et des procédures associées. Les thèmes abordés sont notamment relatifs aux dispositifs techniques déployés, à la gouvernance de maintien opérationnel et de crise, aux procédures de maintien en condition opérationnelle.

Les prestations d audit Audit à blanc ISO 27001 (préparation à la certification) La certification n est pas un but en soi, c est-à-dire que l organisme qui décide de mettre en place un SMSI en suivant les exigences de l ISO 27001, n a pas pour obligation de se faire certifier. Cependant, c est l aboutissement logique de l implémentation d un SMSI puisque les parties prenantes n ont confiance qu en un système certifié par un organisme indépendant. RSSI dans son processus de contrôle permanent en réalisant les audits du SMSI ISO 27001. Les thèmes abordés sont notamment relatifs aux dispositifs techniques déployés, à la gouvernance et à la gestion de la SSI, aux processus et aux procédures de maintien en condition opérationnelle, au respect des recommandations formulées dans les normes ISO 27001 et ISO 27002. Audit «informatique & libertés» Compte tenu du nombre important de traitements de données à caractère personnel au sein d'un établissement, il est essentiel d'établir un état des lieux exhaustif de ces traitements. A cet effet, il convient d'appliquer une méthodologie d'audit "Informatique & Libertés" permettant d'investiguer et d'établir cet état des lieux, d'identifier les éventuels manquements à la Loi Informatique et Libertés et aux normes de la Cnil, et enfin de déterminer des mesures correctives pragmatiques d'ordre juridique, technique et organisationnel. Correspondant à la protection des données dans sa démarche de contrôle permanent en auditant les dispositifs prévus pour respecter la loi Informatique & libertés. Les thèmes abordés sont relatifs au respect des dispositifs légaux prévus pas la loi notamment en matière de déclaration, de transparence, d information, de protection des données à caractère personnel.

Les prestations Coaching et accompagnement Accompagnement du Correspondant Informatique & Libertés (CIL) Depuis sa création en 2005, de plus en plus d organismes ont fait le choix de désigner un correspondant informatique et libertés (CIL). Cette décision s'inscrit généralement dans le cadre d'une stratégie de groupe. Le CIL assure la sécurité juridique face aux enjeux liés aux technologies de l'information, et protège les droits des employés, des clients, et des entreprises ellesmêmes. Correspondant à la protection des données dans sa démarche de mise en conformité aux obligations légales en vigueur. Les thèmes abordés sont notamment relatifs à la politique de protection à mettre en œuvre, à la gouvernance en matière de protection des données et aux procédures de déclarations et de mise en conformité. Accompagnement du Responsable de la Sécurité des Systèmes d Information (RSSI) Les fiches de définition de poste du Cigref identifient les grandes missions suivantes pour la fonction de RRSI : définition de la politique de sécurité et construction du référentiel normatif de l'organisation vis à vis de la sécurité informatique, en accord avec les objectifs de la direction générale et les contraintes de mise en place ou les risques identifiés. Ces missions conduisent donc à donner au RSSI des rôles de conseil, d assistance, d information, de formation et d alerte. Il s'agit de rôles demandant à la fois des capacités d'intervention variées et des compétences multi-disciplinaires, ce qui rend la fonction assez difficile à remplir dans son ensemble. Dans la mesure du possible, ces missions doivent être accomplies dans une structure indépendante de la direction informatique. RSSI dans sa démarche d appropriation de son métier et dans la mise en oeuvre de sa politique de sécurité.

Accompagnement du Responsable de la Continuité d activité (RPCA) Le Responsable PCA est le coordinateur PCA au niveau de l entreprise. Le titre de responsable suppose une délégation de responsabilité à minima pour la définition et la mise en œuvre des plans de continuité d'activité. Il coordonne éventuellement un réseau de correspondants ou de relais afin d assurer la cohérence des plans des entités. Il répare, propose pour validation et s assure de la mise en œuvre des plans d actions dans le domaine PCA. Ces plans d actions sont constitués sur la base des plans d actions élaborés par les métiers et les activités de support (maîtrise d œuvre informatique, ressources humaines, communication, logistique et sécurité). RPCA dans sa démarche d appropriation de son métier et dans la mise en oeuvre de son plan de continuité d activité. Sensibilisation à la Sécurité des Systèmes d Information à destination des décideurs ou des utilisateurs La protection du patrimoine informationnel d une entreprise passe plus que jamais par une vigilance accrue des utilisateurs du système d information qui, conscients des enjeux, ont adopté un certain nombre de bonnes pratiques. Cette mission vise à expliquer aux utilisateurs des SI les bonnes pratiques à adopter quant à l usage des moyens de communications qui sont mis à leur disposition. RSSI dans la définition et la mise en œuvre de son programme de sensibilisation. La mission consiste notamment à formaliser les supports de sensibilisation, animer les premières sessions et accompagner dans la mise en œuvre des solutions de suivi et de pilotage.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back