Gouvernance de la sécurité des systèmes d information

Documents pareils
exemple d examen ITMP.FR

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

Vector Security Consulting S.A

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

La Gouvernance IT en France : de nombreuses avancées, encore beaucoup à faire

D ITIL à D ISO 20000, une démarche complémentaire

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

JOURNÉE THÉMATIQUE SUR LES RISQUES

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Stratégie IT : au cœur des enjeux de l entreprise

Information Technology Services - Learning & Certification.

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Panorama général des normes et outils d audit. François VERGEZ AFAI

Cabinet d Expertise en Sécurité des Systèmes d Information

Club ISO Juin 2009

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

Catalogue des formations 2015

Gouvernance & Influence des Systèmes d Information. 2 Décembre 2014

THEORIE ET CAS PRATIQUES

Information Technology Services - Learning & Certification

Audits de TI : informatique en nuage et services SaaS

ELABORATION D'UN AUDIT ET DU SCHÉMA DIRECTEUR DU SYSTÈME D INFORMATION DE LA CNOPS

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Gestion de parc et qualité de service

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Améliorer l efficacité de votre fonction RH

ITIL v3. La clé d une gestion réussie des services informatiques

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

ITSM - Gestion des Services informatiques

IBM Maximo Asset Management for IT

IT Advisory. Notre offre de services. kpmg.fr

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Recommandations sur les mutualisations ISO ISO & ISO ITIL

ISO/CEI 27001:2005 ISMS -Information Security Management System

Excellence. Technicité. Sagesse

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Enquête ITIL et la performance en entreprise 2007 CONNECTING BUSINESS & TECHNOLOGY

CATALOGUE DE FORMATIONS

curité des TI : Comment accroître votre niveau de curité

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Prestations d audit et de conseil 2015

ITIL V3. Les processus de la conception des services

Introduction Fabrice Pesin, Secrétaire général adjoint de l ACP

Sécurité des Systèmes d Information

Périmètre d Intervention. Notre Offre

Gestion des autorisations / habilitations dans le SI:

Club toulousain

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

«Audit Informatique»

Se former aux processus aujourd hui? Présentation de l offre de formation Salon DEVPRO Février 2013

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

ITIL : Premiers Contacts

Cloud Computing Foundation Certification Exin

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Mot d ouverture de Mamadou Lamine N DONGO Lead Results Adviser Banque Africaine de Développement Coordonnateur de AfCoP

Formations Management des SI - Catalogue 2014

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Conférence IDC Information Management

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services

2012 / Excellence. Technicité. Sagesse

Malgré la crise, Le décisionnel en croissance en France

ITSMby Diademys. Business plan. Présentation

ISO 27001:2013 Béatrice Joucreau Julien Levrard

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Programme de formation " ITIL Foundation "

Une approche pragmatique et respectueuse

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Software Asset Management Savoir optimiser vos coûts licensing

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Chapitre 9. CobiT fédérateur

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM

fondé par Jeudi 15 février 2007 de 14 h à 18h

EDITORIAL. Développez Vos Compétences, Anticipez L Avenir! Fatima Zahra ABBADI Executive Manager

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Table des matières. Partie I CobiT et la gouvernance TI

ITIL V3 : QU EST CE QUE ÇA VA CHANGER POUR VOUS? LIVRES BLANCS SÉRIE RÉFÉRENCE EXPERT INTRODUCTION LES QUATRE APPORTS MAJEURS D ITIL V3

Evoluez au rythme de la technologie

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

IPMA 1. Le référentiel 2. Les processus de certification. Claude Marguerat, IPMA-B Congrès des 23 et 24 avril 2014

IT BUSINESS FOUNDATION (ITBF) Analyse du concept ITBF à l origine de la gouvernance des systèmes d information

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Novembre Regard sur service desk

Le management des risques de l entreprise Cadre de Référence. Synthèse

Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

«Audit Informatique»

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Les Fonctions SI et Organisation au service des Métiers. Optimiser la création de valeur pour l entreprise

SYMPOSIUM L IT Governance en actions Piloter la Performance : IT Scorecard

AUDIT CONSEIL CERT FORMATION

Gouvernance IT et Normalisation

Transcription:

Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

PRÉSENTATION DU CABINET IT6 L Essentiel de Management des Systémes d Information

Nos pôles de compétences IT6 Academy IT6 Consulting IT6 Solutions 3 www.it6.ma 3

Nos domaines de compétences 4 www.it6.ma 4

Pôle Consulting SI Audit de la sécurité des systèmes d information Audit technique, test d intrusion interne et externe ISO 2700x CEH MEHARI, Assistance à la maîtrise d ouvrage dans les projets d intégration et de choix de solutions Pôle Consulting Elaboration du schéma directeur informatique Accompagnement à la mise en place d un système de management de la sécurité de l information (SMSI) ISO 27001 Assistance à la mise en place du Help Desk, SLAs (ITIL) La mise en place d un PMO Plan de continuité d activité des organisations (PCA) 5 www.it6.ma 5

Pôle Academy Notre structure organise des formations et des séminaires dont les thèmes sont d'actualité. Ces formations et séminaires sont animés par des experts nationaux et internationaux. Tendances Management et Gouvernance Gestion de la performance Les ERP métier Audit des SI : COBIT Tableaux de bord : BSC Management de projets: PMP Gestion des services informatiques: ITIL Audit des systèmes d Information: CISA Tendances Technologies La sécurité des systèmes d information: ISO 27001 Gouvernance des systèmes d information Schémas directeurs Formation RSSI Formation techniques sur la sécurité informatique Management des services ISO 20000 6 www.it6.ma 6

Dimension Internationale Interventions à l internationale France Suisse Maroc Mauritanie Côte d ivoire Niger Gabon Togo Benin Djibouti 7 www.it6.ma 7

2003 Acadys - all rights reserved Gouvernance de la sécurité des systèmes d information

Importance des SI Citoyens CLIENTS EN INTENE Partenaires: Départements ministériels, banques, SI Organismes Parties prenantes Fournisseurs 9 9

Pensée Aujourd hui, la concurrence n est plus industrielle mais informationnelle Robert Kaplan 10

Les 5 piliers de la Gouvernance SI Aujourd hui, la gouvernance SI telle que définie par l ITGI et l ISACA se résume aux 5 problématiques suivantes : Alignement stratégique Création de Valeur Gestion du risque Mesure de performance Gestion des ressources 11

Référentiels ISO 27002 PMBoK 12

13

COBIT 5: un cadre business complet pour la gouvernance des IT HISTORIQUE Evolution du champ d application Governance pour les enterprises IT Governance IT Management Control Audit COBIT1 COBIT2 COBIT3 Val IT 2.0 (2008) Risk IT (2009) COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 14

COBIT 5 COBIT 5 a pour objectifs d aider les entreprises à optimiser la création de la valeur à travers les SI en assurant une gestion adéquate des risques liés aux SI COBIT 5 permet que les systèmes d information et les technologies qui les supportent soient gouvernés et gérés selon une démarche d amélioration continue, tout en préservant une vision globale du business et en servant les intérêts des parties prenantes internes et externes de l entreprises COBIT 5 propose des leviers et des principes génériques qui sont utiles pour toute entreprises indépendamment de sa taille, son secteur d activité, et de son système d information. 15 www.it6.ma 2012 ISACA. All rights reserved. 15

16

Les Principes COBIT 5 Répondre aux besoins des parties prenantes Séparation des activités de la gouvernance et du management Principes COBIT 5 Couvrir les besoins de l entreprise de manière globale et complète favoriser une approche globale et continue Utiliser un seul framework intégré 17

18

Gouvernance de la sécurité SI A travers COBIT 5, ISACA définit la gouvernance de la sécurité SI comme une activité qui doit assurer: La Confidentialité: tous les éléments liés au secret et seules les personnes habilitées peuvent accéder aux informations stockées, L Intégrité: tous les éléments capables de corrompre le contenu des données, La Disponibilité: tous les éléments susceptibles d'interrompre la production : pannes informatiques, électriques ou de télécommunications, 19 www.it6.ma

COBIT 5 pour la sécurité SI Orientations, guidelines et benifices Principes (Objectifs) Leviers Intégrer d autres standards 20 www.it6.ma 2012 ISACA. All rights reserved. 20

Guidelines et Orientations de COBIT 5 pour la sécurité SI Prendre en compte le contexte de l entreprise et les attentes des parties prenantes Gestion des risques Garder le risque à un niveau acceptable. Assurer la disponibilité du système et des services. Etre en conformité avec les lois et réglementations. S aligner avec d autres référentiels et standards 21 www.it6.ma 2012 ISACA. All rights reserved. 21

Bénéfices attendues à travers COBIT 5 Augmenter la satisfaction des parties prenantes vis à vis la sécurité SI Assurer la prise en compte de la sécurité SI comme préoccupation vivante de l entreprise (Stratégie, Conception, Mise en œuvre, Exploitation et Amélioration) Sensibiliser sur les risques SI et améliorer la prise de décision (annulation, réduction, transfert et acceptantce) Améliorer la prévention, la détection et la reprise Réduire l impact des incidents de sécurité SI Gérer la sécurité SI en considérant la balance coût / impact Assurer une meilleure compréhension des enjeux de la sécurité SI (Ex: Internes / Externes) 22 www.it6.ma 2012 ISACA. All rights reserved. 22

Sécurité SI: Les leviers de COBIT 5 COBIT 5 propose 5 leviers importants pour assurer une bonne gouvernance de la sécurité SI Principes (objectifs), politiques, chartres et procédures Processus Structure organisationnelle Culture, éthique et comportements Ressources humaines et compétences 23 www.it6.ma 2012 ISACA. All rights reserved. 23

Principes de la sécurité SI (ISACA, ISF et ISC2) Support er le business Défendre le business Promouvoir un comportement Responsable Se concentrer sur le business Fournir une qualité et une valeur ajoutée aux parties prenantes Adopter une méthode d analyse de risque Protéger les actifs informationnels Prendre en compte L éthique Prendre en compte la culture Etre conforme aux lois et règlementations en vigueur Mesurer la performance du processus de sécurité Evaluer les vulnérabilités actuelles et futures Une amélioration contuinue de la sécurité SI Se concentrer sur le business et applications critiques Intégrer la sécurité dans les phases de développement 24 www.it6.ma

Levier: Principes, Politiques et procédures Principes Politiques Mandatory Information Security Standards, Frameworks and Politiques spécifiques Procédures Generic Information Security Standards, Models Documentation 25 www.it6.ma

Politiques de la sécurité SI Les politiques de sécurité SI inclut: la gestion des accès Le volet RH Gestion des incidents Gestion des actifs informationnels COBIT 5 propose les champs suivant pour chaque politique: Périmètre Validité Les objectifs On peut à ce niveau combiner avec la ISO 27002 (plus précis) 26 www.it6.ma

Levier: Processus de la sécurité SI Source: COBIT 5 for Information Security, figure 7. 2012 ISACA 27 All rights reserved www.it6.ma 2012 ISACA. All rights reserved. 27

Levier: Structure organisationnelle Pour COBIT 5 l amélioration de la sécurité SI passe la mise en place d une structure organisationnelle (RSSI ) : Fait partie de l organisation et rattaché à la DG En tant que manager du processus sécurité SI, il fait appliquer les exigences en termes de sécurité, ces exigences sont traduites en documents d objectifs, politiques, règles et procédures Produit les rapports sur les incidents de sécurité Assure la mise à jour des informations de sécurité pour tous les actifs informationnels Assure les études de risque sur la sécurité SI A un rôle transverse mais n a pas forcément une autorité hiérarchique Doit être associé à la gestion des changements Le RSSI doit être supporté par un CSSI et des CLSI 28 www.it6.ma

Levier: Culture, Ethics et comportements Prise en compte de la culture et des comportements, Exemple : Le système de valeur au sein de l organisation Adhésion des utilisateurs aux règles de la sécurité SI Le niveau hiérarchique de prise en compte de la sécurité SI (Top management, responsables, utilisateurs, DSI, ) La sensibilisation des utilisateurs La capacité à intégré des bonnes pratiques (gestion de changement) Leadership au sein de l organisation La capacité d agir en cas d incidents (réactivité puis proactive) 29 www.it6.ma

Levier: Ressources humaines Pour une gestion efficace et efficient de la sécurité SI, COBIT 5 recommande de développer au sein de l entreprise les compétences suivantes: Gouvernance de la sécurité SI Gestion des risques SI Gestion opérationnelle et technique de la sécurité SI 30

31

32 www.it6.ma

Mise en oeuvre de la sécurité SI Pour COBIT 5 le mise en œuvre de la sécurité SI dépend de plusieurs facteurs liés à l environnement de l entreprise: La culture et éthique Les lois et réglementation en vigueurs L existent en termes de procédures et bonne pratiques Le niveau des compétences disponibles Business plan et les intentions stratégiques Le style de management L appétit aux risques COBIT 5 ne propose pas de démarche précise de mise en œuvre effective de la sécurité SI 33 www.it6.ma

34

Démarche de mise en œuvre: GlobaLSecuR Parties prenantes Principes, Objectifs et politique de la sécurité d information Evaluation de la sécurité physique et environnement Analyse des risques MEHARI Evaluation Technique Evaluation Organisationnelle ISO27002 Portefeuille Projets Priorisation des projets Portefeuille de projets prioritisé SecuR Indicateurs SSI 35 www.it6.ma

Dix facteurs clés de sucées 1. L audit est un très bon point de départ: il faut en profiter pour lancer le cycle PDCA 2. La politique de sécurité SI est un levier important: ne pas chercher le document mais privilégier une démarche 3. Tout ce qu'est mesurable est améliorable: il faut mettre en place des indicateurs et des tableaux de bord pour mesurer la sécurité SI 4. La gestion des risques n es pas un projet informatique: responsabiliser les métiers 5. Les tests d intrusion sont importants pour sensibiliser les parties prenantes et accélérer la mise ne œuvre du processus sécurité SI 6. Le RSSI est un élément clé: il faut «le trouver» et le rattacher au plus haut niveau 7. Les référentiels vont vous aider: mais il faut toujours contextualiser et adapter 8. Le top management est sensible aux lois et réglementations: il faut en profiter pour l impliquer 9. Ça va tellement vite: penser toujours à la formation (gouvernance, management, technique, ) et à l assistance externe 10. L ANSI est un vrai levier de réussite pour améliorer la sécurité SI dans le pays, il a un grand rôle à jouer, elle peut vous aider 36 www.it6.ma

L Essentiel de Management des Systémes d Information Merci de votre attention 37

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back