Certification ISO des prestations d'audit de sécurité des SI

Documents pareils
Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

Vers un nouveau modèle de sécurité

METIERS DE L INFORMATIQUE

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

5 novembre Cloud, Big Data et sécurité Conseils et solutions

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

ISO conformité, oui. Certification?

AUDIT CONSEIL CERT FORMATION

Sécurité des Systèmes d Information

Attaques ciblées : quelles évolutions dans la gestion de la crise?

LE PROJET QUALITE-GESTION DES RISQUES- DEVELOPPEMENT DURABLE

Mise en place d une démarche qualité dans un système d information

ISO/CEI 27001:2005 ISMS -Information Security Management System

24 novembre Présentation des résultats semestriels au 30/09/10

Excellence. Technicité. Sagesse

D ITIL à D ISO 20000, une démarche complémentaire

Nouveau usages, nouvelle gestion des identités?

TITRE DE LA PRÉSENTATION > TITRE DE LA PARTIE PROJET D ORGANISATION ADMINISTRATIVE ET TECHNIQUE CIBLE

exemple d examen ITMP.FR

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

SPECIALISATIONS DU MASTER GRANDE ECOLE

L approche processus c est quoi?

Prestations d audit et de conseil 2015

La Qualité de SFR Business Team

CATALOGUE DE FORMATIONS

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

Club toulousain

THEORIE ET CAS PRATIQUES

Gestion de parc et qualité de service

Manuel de management intégré

DIRECTION DES ACHATS RESPONSABILITÉ SOCIALE ET ENVIRONNEMENTALE. Ensemble, agissons pour des achats responsables

Conseil en Technologie et Systèmes d Information

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

PASSI Un label d exigence et de confiance?

2012 / Excellence. Technicité. Sagesse

Système de Management par la Qualité

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Les pratiques du sourcing IT en France

Mise en œuvre de la certification ISO 27001

PRESENTATION 2009 L'ingénierie Documentaire

Systèmes et réseaux d information et de communication

Brève étude de la norme ISO/IEC 27003

Groupement ICS eau et William Terry Conseil, représenté par:

L Assurance Qualité DOSSIER L ASSURANCE QUALITE

La sécurité applicative

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Présentation des guides d audit et du processus d audit d un réseau académique de formation continue

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques,

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

Engagement par approche.

Offre Technique Tunis, Décembre Société d Ingénierie Informatique Spécialiste en Infrastructure de Pointe et des Systèmes d Information

*Référent technologique ICS * IBM Premier Partner * 35 collaborateurs certifiés * Équipe commerciale qualifiée * Méthodologie éprouvée

IT CENTRE DE VALEUR la transformation s opère jour après jour. Philippe Kaliky. Directeur Centre de Services. Espace Grande Arche Paris La Défense

Piloter le contrôle permanent

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Management des risques

Rapport d'audit étape 2

Catalogue de formation LEXSI 2013

ALDEA ET SYSTEMES D INFORMATION

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Mettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Charte de l Evaluation des Formations par les étudiants

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Fiche conseil n 16 Audit

Vector Security Consulting S.A

8) Certification ISO : une démarche utile et efficace

PROGRAMME DE FORMATION

Des modules adaptés aux réalités des métiers de la sécurité de l information

SERVICES TECHNIQUES CENTRE HOSPITALIER. d AURILLAC. 1er congrès de l AFGRIS

Copyright Agirc-Arrco Mars QUESTIONS pour comprendre le Système d Information Retraite Complémentaire (SI-RC)

Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

Evelyne DUCROT. Spécialiste de l accompagnement du changement et des relations humaines

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

n spécial Assises de la Sécurité 2009

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

FINANCE, COMPTABILITE Inter entreprises petits groupes (6 stagiaires maximum par session)

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

LES 11 COMPÉTENCES CLÉ DU COACH SELON LE RÉFÉRENTIEL ICF OBJECTIFS CERTIFICATION PRINCIPES ET ORIENTATIONS

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

L application doit être validée et l infrastructure informatique doit être qualifiée.

Des projets et des Hommes au service de l innovation EDI.

Les clauses «sécurité» d'un contrat SaaS

BI2BI. Migrer avec succès son capital décisionnel Business Objects vers Microsoft BI

POUR DIFFUSION AUX AGENTS. CONSEILLER EN HYGIENE ET PROPRETE (h/f) B- TECHNICIEN TERRITORIAL C- AGENT DE MAITRISE C- ADJOINT TECHNIQUE BOBIGNY

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

MANUEL QUALITE HYGIENE SECURITE ET ENVIRONNEMENT

NF habitat & nf habitat hqe TM

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Direction de l Entreprise - OUTILS DE PILOTAGE DE L ENTREPRISE (OPE) «Gestion de la P.M.E, gérer un Centre de Profit»

La Lettre Sécurité. Dossier

Transcription:

20 septembre 2012 Certification ISO 27001 des prestations d'audit de sécurité des SI Retour d'expérience - Extension du périmètre du SMSI

Un SMSI certifié depuis 4 ans Le 18 septembre 2008 : Solucom annonçait la certification ISO 27001 De ses prestations d audit de sécurité des systèmes d information Réalisées depuis le site de la Paris La Défense En septembre 2011 : cette certification a été renouvelée après 3 ans d amélioration continue En septembre 2012 : l extension de notre périmètre a été reconnue Ajout du site de l agence de Nantes SOLUCOM Certificat LSTI / SMSI / 128 2

Agenda 1. Enjeux de la certification de nos prestations 2. Retour sur un SMSI de 4 ans 3. Bilan et perspective 3

Les audits de sécurité : des missions nombreuses et sensibles Cabinet Solucom Conseil en système d Information et management près de 1100 collaborateurs Practice Sécurité & Risk Management Toutes les prestations liées à la sécurité de l information et la gestion des risques 175 consultants Prestations d audit de sécurité des SI Plus de 150 opérations d audits par an Des audits organisationnels aux tests d intrusion Une vingtaine de consultants dédiés à l audit Affectation des ressources suivant les expertises et compétences Appui d autres consultants du Cabinet Des missions «sensibles» pour nos clients Avant tout sur la confidentialité et l intégrité des traces collectées et des conclusions Dans une moindre mesure, en termes de disponibilité 4

Pourquoi certifier une activité de Solucom? Différencier nos prestations dans le domaine de l audit Prouver à nos clients que nous accordons une importance forte à la sécurité des informations qu ils nous confient Mais aussi pour renforcer notre offre de management des risques, en particulier sur le volet accompagnement aux projets ISO 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 5

Agenda 1. Enjeux de la certification de nos prestations 2. Retour sur un SMSI de 4 ans 3. Bilan et perspective 6

Le SMSI Audit Solucom : 4 ans de vie active Avr. 08 Sept. 08 Sept. 09 Sept. 10 Sept. 11 Sept. 12 Construction Consolidation Adoption Renouvellement Extension Périmètre initial : Siège Paris-La Défense Construction d un SMSI stable et pertinent sur la base des mesures existantes et adaptées Interactions fortes avec le Cabinet, impliquant la prise en compte des évolutions organisationnelles et métiers Adhésion de l ensemble des acteurs contribuant au SMSI permettant l identification permanente d axes d amélioration Extension du périmètre : Agence de Nantes Identification et cadrage du besoin métier Réalisation de l analyse de risques complémentaire Mise en place de mesures équivalentes Création d un correspondant SMSI : relais de proximité au sein de l équipe Nantes «Pool Audit» Identification d un responsable métier, travail collaboratif Simplification des processus de gestion (affectations notamment) Évolution et amélioration des outils internes Audit de certification Audit de surveillance 1 Audit de surveillance 2 Audit de renouvellement Audit de surveillance - extension 7

Le périmètre de la certification : des interfaces fortement encadrées Comité de Direction de la Practice Sécurité & Risk Management Management en charge du pilotage des business lines Direction commerciale Affectations Périmètre du SMSI Offre Audit SI Audit Responsable de l Offre Audit Équipe SMSI Locaux (incluant la salle dédiée) Auditeurs et auditeurs stagiaires entrants et sortants du périmètre «Offre Audit» = Ensemble des prestations d audits de sécurité des SI réalisées par le Cabinet Solucom. Il s agit de missions de type : Audit organisationnel Audit technique Test d intrusion Informatique interne Conventions de services Services Généraux et RH du Cabinet Solucom Gestion de la connaissance Prestations d audit de sécurité SI réalisées Protocoles d audit Clients 8

Des processus mis en œuvre de façon pérenne Gérer le SMSI Gérer le SI Audit Gérer les missions d audits Piloter le SMSI Contrôler et gérer les indicateurs Gérer les changements Gérer les entrées/sorties du périmètre Conduire l analyse de risque Gérer les incidents Maintenir le SI en condition opérationnelle Conduire une mission d audit Réaliser la veille sécurité Gérer les non-conformités, les actions préventives et correctives Gérer les habilitations Sensibiliser à la sécurité Les processus essentiels du SMSI Les processus SI et métiers spécifiques 9

Une analyse de risques qui a su vivre avec le temps 2008 2009-2010 2011 2012 2013 et + Première itération Prise de recul, granularité plus fine afin de préciser les mesures et les contrôles associés Évolution de la méthodologie Intégration des actifs nantais et des risques associés Optimisation de la cartographie : diminution du nombre de risques et amélioration de leur regroupement afin d en faciliter la gestion 10

Des mesures de sécurité pour garantir la sécurité de l information Adaptation et pérennisation de pratiques existantes Gestion fine des habilitations Chiffrement des données Protection physique des locaux Infrastructure dédiée au stockage du papier Maintien en condition de la sécurité du SI Mais également la mise en œuvre de nouvelles pratiques «PDCA» Revue formelle avec le management Sensibilisation à la sécurité de l information Tableau de bord dédié, avec indicateurs d activité et d efficacité Focus particulier sur le contrôle : Déclaration d applicabilité : 115 mesures sélectionnées Audit externe annuel Exclusion en particulier des thématiques sur le développement et le commerce électronique Audit interne (technique et conformité) Autocontrôle par le responsable du SMSI 4 à 5 par an mensuel 11

Zoom sur le processus d entrée dans le périmètre Début d une nouvelle mission d audit Affectation sur une mission Message électronique Des processus équivalents pour la fin des missions Effacement sécurisé des données Sensibilisation Destruction des documents Et pour la sortie du périmètre Charte signée? Oui Création de l espace de travail sécurisé Non Charte de l Auditeur signée Automatique au bout d un an sans activité d audit En cas de mobilité ou de départ de la société Déroulement de la mission Tableau de suivi des Missions/Auditeurs Fin du processus 12

Agenda 1. Enjeux de la certification de nos prestations 2. Retour sur un SMSI de 4 ans 3. Bilan et perspective 13

Une organisation dédiée au maintien et à l amélioration du SMSI Management de la practice Sécurité et Risk Management L équipe SMSI Responsable de l Offre Audit Responsable du SMSI (+ Adjoint) Correspondants du SMSI Responsable SI Audit (+ Adjoint) Auditeurs internes Charges récurrentes : 70 j.h/an (+50%) Suivi du périmètre (gestion des entrées / sorties), mesure de l efficacité du SMSI, suivi des audits internes et réalisation des revues annuelles Portées par le responsable du SMSI, son adjoint et le responsable du SI Audit Réalisation des audits internes : 15 j.h/an Par les auditeurs internes nommés en fonction des types d audits Projets du plan de traitement des risques et amélioration des processus : 55 j.h/an Contributeurs du SMSI 14

4 ans plus tard, un succès reconnu Un SMSI pérenne et adopté Des consultants impliqués au quotidien dans la vie du SMSI et son maintien Une transmission des bonnes pratiques à l ensemble du Cabinet Dynamique forte à l échelle et de l activité et du Cabinet Une volonté d amélioration continue Prise en compte des nouveaux besoins métiers Optimisation des processus existants Renforcement des mesures de sécurité Et d autres évolutions à venir Une intégration de Nantes réussie Un correspondant SMSI motivé Le support permanent du management local Pérennisation des processus et des mesures du SMSI historique Un succès visible Forte activité commerciale sur les audits et l ISO 27001 Des clients valorisant nos prestations grâce à la certification 15

www.solucom.fr Contact Gérôme BILLOIS Manager Tel : +33 (0)1 49 03 27 45 Mobile : +33 (0)6 10 99 00 60 Mail : gerome.billois@solucom.fr Florence LE GOFF Consultante Sécurité & Risk Management Tel : +33 (0)1 49 03 27 69 Mobile : +33 (0)6 99 33 69 42 Mail : florence.legoff@solucom.fr

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back