Sommaire 2 Généralités 3 ISO 27001 et SMG ou le pilotage de NC2 4 Approche processus et cartographie 5 D une organisation fonctionnelle vers des processus 6 Pilotage des processus et Amélioration continue 7 Rôle des pilotes de processus 8 Management des 9 Politique sécurité et Engagement de NC2 10 Sécurité du SI : vue globale des mesures 11 2/11
Le Manuel Qualité Sécurité a pour vocation de présenter l organisation mise en place par NC2 pour assurer la sécurité des informations confiées par ses clients ainsi que la qualité des services délivrés. C est dans ce but que dès 2011, NC2 s est résolument tournée vers uns restructuration autour de l approche processus via un Système de Management Général (SMG) et la norme ISO 27001 pour l ensemble de ses offres proposées en mode SaaS (Hébergement, sauvegarde externalisée, anti-spam, etc ) De part son dimensionnement, ses activité ainsi que les besoins et attentes de ses clients, NC2 a retenu 118 des 133 mesures de sécurité préconisées dans l Annexe A de cette norme. Ces mesures sont mises en œuvre avec le support d un Plan de Management des Risques (PMR) et d une politique sécurité (PSI) qui sont revus à minima annuellement. A cette occasion, les mesures exclues sont validées par la direction et fon l objet d un compte-rendu précisant leur justification. Liste des exclusions La classification des informations (A.7.2) Gestion de la prestation de service (A.10.2 ) Service de commerce électronique (A.10.9) Limitation du temps de connexion (A.11.5.6 ) Bon fonctionnement des applications (A.12.2) Intégrité des messages (A.12.2.3) Contrôle d accès au code source du programme (A.12.4.3) Protection des données et vie privée (A.15.1.4 ) 3/11
SMG : Qu est-ce que c est et pourquoi? - L approche processus : D une organisation fonctionnelle vers des Processus Définition de PROCESSUS : Ensemble d activités transformant des éléments d entrée en éléments de sortie en générant de la valeur ajoutée. - Piloter grâce aux Processus avec : Des objectifs issus de notre politique et de nos engagements Des Pilotes de processus et des COPIL réguliers pour assurer suivi, reporting et analyse des résultats Un tableau de bord du SMG donnant une vision synthétique - Boucle d amélioration continue et Revue de Direction: S assurer de l efficacité et de la cohérence du SMG, de la mise en œuvre de la politique et des engagements S améliorer en mettant le Management des au cœur des réflexions et donc améliorer la sécurité du SI (Système d Information) Prendre des décisions stratégiques et réviser les politiques, engagements, objectifs, indicateurs lors des revues de direction ( à minima annuelles) 4/11
L'approche processus est une méthode de modélisation de l'entreprise qui permet de mieux maîtriser ses activités, détecter ses points faibles puis initier et suivre des actions d'amélioration. La Cartographie ci-dessous matérialise nos processus et leurs interactions. Chaque processus est défini avec plus de précision à travers une fiche descriptive du processus. Il y a deux aspects dans le pilotage de processus : le pilotage stratégique, qui transforme la politique en objectifs quantifiables et qui affecte les ressources afférentes. Il est systémique et son optimisation ne peut se faire qu en cohérence avec les autres processus dans une vision à long terme et dans l intérêt de NC2 et des parties intéressées. le pilotage opérationnel (support et réalisation), dont la finalité est d atteindre les objectifs fixés, avec le maximum d efficacité. Il est pragmatique et les décisions d amélioration sont prises de façon factuelle. Les résultats sont perceptibles par tous et s inscrivent dans une démarche d amélioration continue. 5/11
Définition de PROCESSUS : DIRECTEUR André FRACHON CODIR COPIL Ensemble d activités transformant des éléments d entrée en éléments de sortie en générant de la valeur ajoutée. GESTION DES RESSOURCES DIRECTEUR ADJOINT (en char ge du Commerce) David BOURIAUX COMMERCE DIRECTEUR TECHNIQUE Christian VILLAIN VEILLE TECHNO PROCESSUS PILOTE BINÔME ACTIVITE ORGANISATION & STRATEGIE COORDINATIRCE COMMERCIALE BU HEB/INFO Christine DATACENTER QUALITE & SECURITE BACK OFFICE PROJETS INFRA ASSISTANTE QUALITE Valentine COMMUNICATION & MARKETING RESPONSABLE D EXPLOITATION Jérôme AVANT VENTE SUPPORT & EXPLOITATION RESPONSABLE AVANT VENTE Romain Des processus pour piloter NC2, pour chaque processus un pilote et un binôme 6/11
Dans le soucis constant de garantir : la sécurité de notre SI, notre qualité de service ainsi que la pérennité de NC2, la direction décline la «politique générale et engagements» en objectifs et en indicateurs pour chaque processus. Se repositionner Corriger le tir Vérifier si la cible est atteinte Visualiser la cible Viser la cible et tirer Le suivi mensuel des indicateurs lors de COPIL et leur diffusion via les tableaux de bord permet de vérifier et de communiquer régulièrement sur l efficacité du SMG mis en œuvre. 7/11
Tout processus est managé par un pilote. C est le rôle du Pilote de processus de maîtriser et d améliorer les processus dont il a la charge Donner une définition claire des processus : finalité, ressources nécessaires, interactions, activités, documents et enregistrement utilisés, éléments d entrée et de sortie, etc. Définir les modalités du déploiement des processus (formation, sensibilisation, actions de communication auprès de toutes les parties intéressées, etc.). Définir et piloter les actions à mettre en œuvre suite aux réclamations, dysfonctionnements, revues de processus et de direction. Analyser la performance des processus : recueillir les informations, exploiter les données, évaluer l efficacité. Définir les actions d amélioration et les piloter, en identifiant les facteurs importants, c est à dire ceux qui ont un impact direct sur la sécurité des informations : analyser les, élaborer et suivre les plans d actions. Vérifier l efficacité des actions mises en œuvre et ajuster, si besoin, les plans d actions. Veiller à pérenniser les actions mises en œuvre dans le système documentaire : mise à jour des fiches descriptives de processus, des documents nécessaires à la maîtrise du processus ainsi que des documents d enregistrement (qui apportent la preuve que le processus est bien maîtrisé) Organiser les revues de processus et rédiger les comptes rendus. Effectuer un reporting auprès de la direction et exprimer les besoins, les points bloquants. Participer de façon active aux revues de direction. 8/11
Procédure «Gestion des Risques» (PRO-015) Eléments d entrée Etablissement du contexte PSI, Revue de Direction (PRO-006) Contexte validé? NON OUI NON Appréciation des Appréciations validées? Incidents, Failles, Gestion des Problèmes (PRO-005) OUI Management des Surveillance et revue des NON Validation de la Direction? PMR* et Synthèse des OUI Traitement des NON Traitement terminé? OUI Plans d actions et Réévaluation des Eléments de sortie Acceptation des * PMR : Plan de Management des Risques 9/11
Acteur du développement de solutions informatiques depuis 20 ans, principalement en région lyonnaise, NC2 est une SSII résolument orientée vers l hébergement, le SaaS, en un mot le Cloud. Conscient des enjeux de nos métiers, de nos activités, mais aussi des exigences (lois informatiques et liberté, normes ISO 27000 et 20000, bonnes pratiques ITIL et autres), des attentes ainsi que des interrogations de nos clients et prospects, nous avons le souci constant de nous adapter et de garder une offre personnalisée, maîtrisée techniquement et à valeur ajoutée. Dans ce but et fort de nos acquis, nous avons structuré NC2 autour d un Système de Management Général basé sur deux axes essentiels à nos yeux : La qualité de service La sécurité des données La sécurité des données est mise en œuvre en intégrant notre SI dans notre «SMG» : D une part avec une gestion des ayant une portée concrète dans la définition de nos besoins et donc de nos plans de développements, de notre organisation. D autre part, en sensibilisant progressivement tous nos acteurs à la «sécurité de notre SI», parce que notre SI est mutualisé avec nos clients, et que donc notre sécurité est l affaire de tous. Enfin et surtout avec le maintien et l enrichissement de nos mesures de sécurité, qui se veulent la transcription de nos exigences et des recommandations des normes ISO 27001 et ISO 17799 (ou ISO 27002) en terme de disponibilité, d intégrité et confidentialité de notre SI. Concernant la qualité de service, notre ambition est avant tout de satisfaire nos clients ; d être capable de répondre dans les délais annoncés à leurs demandes, en apportant un suivi de qualité et des réponses pertinentes. Tout cela bien sûr en assurant la continuité des activités et donc le MCO de nos infrastructures et services. Notre «SMG» et ses processus ont été pensés et sont pilotés pour nous permettre de tenir nos engagements, à savoir : Un taux annuel de disponibilité de notre DataCenter Principal de 99,982%. Un délai moyen de prise en charge des demandes inférieur à 1h. Une politique d investissements et de renouvellement dans le DataCenter (10% du CA annuel) allant de paire avec notre politique d achat stricte. La garantie de réversibilité des données à 100%, avec un accompagnement personnalisé. Le maintient et l amélioration de nos compétences (formations, agréments constructeurs et éditeurs). 10/11
Ubiscus Gestion des dossiers techniques Sauvegarde PRA Support tiers Sécurisation des liens de communication PRODUCTION DE SERVICES Supervision Pro-Active Astreinte MANAGEMENT DU SI Gestion des périphériques MANAGEMENT QUALITE ET SECURITE GESTION DU CLIENT Ressources informatiques Contrôle d'accès logique SMSI Gestion des supports Revues contractuelles Datacenter principal sécurisé Assurance Système incendie Maintenance tiers MANAGEMENT DE NC2 Veille Contrôle d'accès physique Sécurisation électrique Implantation du SI Gestion budgétaire de NC2 Management des RH 11/11