Maîtrise des risques



Documents pareils
Prestations d audit et de conseil 2015

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

curité des TI : Comment accroître votre niveau de curité

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Management de la sécurité des technologies de l information

Vers un nouveau modèle de sécurité

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

ISO conformité, oui. Certification?

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

«Du développement des centres d appels à l émergence du BPO au Maroc»

Gestion de parc et qualité de service

Brève étude de la norme ISO/IEC 27003

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Cahier des Clauses Techniques Particulières

THEORIE ET CAS PRATIQUES

Dématérialiser les échanges avec les entreprises et les collectivités

Jean- Louis CABROLIER

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Montrer que la gestion des risques en sécurité de l information est liée au métier

Politique de sécurité de l information

CHARTE INFORMATIQUE LGL

LA QUALITE, L ASSURANCE DE LA QUALITE ET LA CERTIFICATION ISO 9001

AUDIT CONSEIL CERT FORMATION

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

I partie : diagnostic et proposition de solutions

politique de la France en matière de cybersécurité

ISO la norme de la sécurité de l'information

Axes de travail et plan d action 2015

Compte Rendu Club Utilisateurs. Marseille 08/10/2014 GINTAO CU 2. Page 1 de 9

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Systèmes et réseaux d information et de communication

APPEL A CANDIDATURES

Prévention et gestion des risques hospitaliers et politique nationale

Université de Lausanne

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

EP LOIRE Plateau collaboratif d échange. Intranet / Internet. du plan Loire grandeur nature Note de cadrage

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

Outsourcing : la sauvegarde en ligne des données de l entreprise.

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

Systèmes de Management Intégré (SMI) Instrumentation, Contrôle et Management des Systèmes

Les Cahiers QSE I) LES ENJEUX D UN SYSTÈME DE MANAGEMENT INTÉGRÉ QUALITÉ - SÉCURITÉ ENVIRONNEMENT. 1) Introduction ) Contexte...

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques,

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

HACCP Évolutions réglementaires et normatives

Cloud computing. Des risques et des solutions CONFÉRENCE EUROCLOUD, 26 FÉVRIER 2013 CYRIL PIERRE-BEAUSSE

Contractualiser la sécurité du cloud computing

Gestion de la continuité des activités. Mémento

REFERENTIEL DE CERTIFICATION

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

Signature électronique. Romain Kolb 31/10/2008

Le règlement REACH. Transparence des entreprises au sujet de leur mise en conformité

POLITIQUE DE GESTION DES DOCUMENTS ET DES ARCHIVES DE TÉLÉ-QUÉBEC

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Organisation de la Cyberse curite. E ric Jaeger, ANSSI/SDE/CFSSI Journe e SPECIF-Campus du 7 novembre 2014, CNAM, Paris

Mettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Stratégie nationale en matière de cyber sécurité

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

Copyright Agirc-Arrco Mars QUESTIONS pour comprendre le Système d Information Retraite Complémentaire (SI-RC)

DIRECTION DES ACHATS RESPONSABILITÉ SOCIALE ET ENVIRONNEMENTALE. Ensemble, agissons pour des achats responsables


Document complémentaire au PPN du DUT Gestion logistique et transport

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Mise en œuvre de la certification ISO 27001

Améliorer l efficacité de votre fonction RH

Secrétariat permanent de la Plateforme 7 mai 2014 Martin Boekstiegel

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

ISO La nouvelle norme internationale de Responsabilité Sociétale. -Juin En partenariat avec

Sécurité des Systèmes d Information

FAIRE FACE A UN SINISTRE INFORMATIQUE

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

CLUB PREVENTEURS. NOVOTEL 125, avenue de Palavas MONTPELLIER 15 MAI 2014

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Sujet de thèse CIFRE RESULIS / LGI2P

Cahier des charges APPEL À PROJETS 2015 ACTIONS DE SOUTIEN À DESTINATION DE PERSONNES DÉFICIENTES AUDITIVES

ISO/CEI 27001:2005 ISMS -Information Security Management System

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Atelier B 06. Les nouveaux risques de la cybercriminalité

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Sécurité de l information

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 31 du 9 juillet PARTIE PERMANENTE Administration Centrale. Texte 3

ISO 27001:2013 Béatrice Joucreau Julien Levrard

M E G A C O N S U L T I N G

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

MARCHE DE PRESTATIONS INTELLECTUELLES. Marché n CAHIER DES CHARGES

ÉVALUATION ET PRÉVENTION DES RISQUES PROFESSIONNELS (EPRP) ET PLURIDISCIPLINARITÉ.

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Architecture d'entreprise : Guide Pratique de l'architecture Logique

Transcription:

Maîtrise des risques Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction des opérations Bureau Conseil conseil.dcssi@sgdn.pm.gouv.fr

Besoins et conformité La nécessité de cerner les besoins de l organisme Ses enjeux Ses objectifs «métier» La valeur de son patrimoine informationnel en conformité avec la réglementation applicable CNIL Secret professionnel Propriété intellectuelle Classifié de défense Réglementation sectorielle et en s appuyant sur les normes internationales Lignes directrices de l OCDE ISO 27001, ISO 17799, ISO 15408 (critères communs) Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 2

Mise en perspective avec les objectifs de l organisme Protéger l organisme Préserver et valoriser l image de marque Prévenir des pertes financières Garantir la continuité des activités Améliorer la sécurité de l information Protéger contre les attaques informatiques Assurer le respect des lois et règlements en maîtrisant les risques Adopter une vision globale Fournir les éléments nécessaires à la prise de décision (consensus, négociation, arbitrage, validation) Faciliter la communication (implication, sensibilisation ) Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 3

Les apports d une démarche structurée Mutualiser et pérenniser Standardiser des pratiques réutilisables et objectives Instaurer un vocabulaire et un socle commun Utiliser des raisonnements simples, souples et cohérents Favoriser la communication entre les équipes pour créer de la valeur ajoutée Des résultats visibles rapidement (mise en place de mesures adaptées, augmentation de la culture de sécurité) La garantie d un niveau de service et de confiance Maîtriser les dépenses et justifier les investissements de sécurité Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 4

Coût de la démarche Une approche modulaire selon les enjeux et le sujet étudié En survol ou détaillée Globale ou focalisée Premiers pas ou capitalisation d expériences pour des résultats adaptés Une note de stratégie de sécurité (exemple : 4-8 h.j) Une politique de sécurité (exemple : 20-50 h.j) Un cahier des charges (exemple : 10-20 h.j) Un plan d action, un référentiel d audit, des tableaux de bord (les charges dépendent de nombreux facteurs tels que le périmètre étudié, sa complexité, le nombre de personnes impliquées ) Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 5

Annexes EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) La méthode de gestion des risques Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 6

Les utilisateurs de la méthode Exemples de prestataires (par ordre alphabétique) ALCATEL CIT, ALGORIEL, AQL, DICTAO, EADS, FIDENS, MISIS, ON-X / EDELWEB, OPPIDA, ORASYS, TEAMLOG, TELINDUS / CF6, XP-CONSEIL Exemples d organismes utilisateurs ou clients Ministères (systématiquement dans certains, encouragé partout ailleurs) L ensemble des ministères et industriels dès lors qu un système traite des informations classifiées de défense Aéroports de Paris (ADP) Agences sanitaires Caisse nationale d assurance maladie (CNAM) Centre national d'études spatiales (CNES) Commissariat à l'énergie atomique (CEA) Conseil de l Union européenne France Télécom GIE cartes bancaires Michelin Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 7

Les apports de chaque étape BESOINS CONTEXTE OBJECTIFS DE SECURITE EXIGENCES DE SECURITE MENACES Étude du contexte Vision globale et explicite du système étudié, des enjeux, des contraintes et référentiels applicables Expression des besoins Positionnement des éléments à protéger (patrimoine informationnel) en terme de disponibilité, intégrité, confidentialité et mise en évidence des impacts en cas de sinistre Étude des menaces Recensement des scénarios pouvant porter atteinte aux composants (techniques ou non) du SI Identification des objectifs de sécurité Mise en évidence des risques réels et expression de la volonté de les traiter en cohérence avec le contexte particulier de l organisme Détermination des exigences de sécurité Spécification des mesures concrètes à mettre en œuvre pour traiter les risques sur la base d une négociation argumentée Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 8

Les résultats de la méthode EBIOS Schéma directeur Note Note de de stratégie Politique de de sécurité Cahier des des charges Plan Plan d action Tableaux de de bord bord Référentiel d audit Négociation & arbitrage Responsabiliser les les acteurs Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 9

L outillage et les services Les guides La méthode et ses bases de connaissances (5 sections), ses meilleures pratiques expliquant comment utiliser EBIOS selon le contexte Des plaquettes et un mémento synthétiques Le logiciel libre Gratuit, disponible sur demande ou en téléchargement Plus de 2000 cédéroms envoyés dans 50 pays Les traductions L ensemble du référentiel est disponible gratuitement en français, en anglais, en allemand et en espagnol Les compétences Les formations au CFSSI pour les agents de l administration (formation de 2 jours, formation de formateurs de 5 jours, formations ad-hoc) La formation en ligne sur la gestion des risques (en cours) La labellisation de personnes (en cours d élaboration) Le Club EBIOS 75 experts du secteur public et du secteur privé, français et étrangers Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back