Quels plans de contrôles au niveau du RSSI?



Documents pareils
Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

HABILITATIONS dans les systèmes d information Avec la contribution de

Vers un nouveau modèle de sécurité

PRÉSENTATION DU FORUM DES COMPÉTENCES

Piloter le contrôle permanent

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Les pratiques du sourcing IT en France

Sécurité des Systèmes d Information

Etude de cas «H» Doc Stagiaire Version 2

INTRODUCTION AUX METHODES D INGENIERIE DES DONNEES DIRIGEE PAR LES MODELES

La gestion des problèmes

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

dans un contexte d infogérance J-François MAHE Gie GIPS

A. Le contrôle continu

La sécurité applicative

APM : Comment aborder la performance applicative? 28 mai 2015

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Atelier Service Desk et ITILv3. 29 mai 2008

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

CRM Assurance. Fonctionnalités clés. Vue globale de l assuré. Gestion des échanges en Multicanal

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Cabinet d Expertise en Sécurité des Systèmes d Information

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

ITIL V2. La gestion des incidents

WHITE PAPER DES ASSISES 2012

le management de la continuité d activité

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

ITIL V2 Processus : La Gestion des Configurations

France Telecom Orange

Retour d expérience : la gouvernance du réseau Aligner l infrastructure sur les besoins métiers. I p. 1 I

Circuit du médicament informatisé

IBM Tivoli Monitoring, version 6.1

OPTIMISER SON PROCESSUS DE TEST AVEC UNE APPROCHE BOITE GRISE

Entreprises Citoyennes: Sécurité et Risques Industriels. Journées Annuelles du Pétrole. Christiane Muller, Air Liquide. Les Hydrocarbures de l extrême

Standards d accès, de continuité, de qualité, d efficacité et d efficience

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

Ensemble mobilisons nos énergies

GT ITIL et processus de Production

Contrôle interne Le nouveau cadre prudentiel

Public Key Infrastructure (PKI)

LE référentiel des métiers

Teste et mesure vos réseaux et vos applicatifs en toute indépendance

LA TRIBUNE. Atelier BNP Paribas. 23 novembre 2011

LES OUTILS D ALIMENTATION DU REFERENTIEL DE DB-MAIN

Charte d audit du groupe Dexia

Baccalauréat professionnel. Maintenance des Équipements Industriels

Indicateur et tableau de bord

Mise en place du Business Activity Monitoring (BAM) pour piloter les processus logistiques grâce aux Echanges de Données Informatisés (EDI)

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

NOVA BPM. «Première solution BPM intégr. Pierre Vignéras Bull R&D

ITIL V3. Exploitation des services : Les fonctions

ZONE TERRITORIALE EMPLOI FORMATION GRAND LYON CENTRE & NORD. Bureau du CST 16 octobre 2014

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

MISE EN ŒUVRE DE BÂLE II Défis et enjeux

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

Atelier Tableau de Bord SSI

Brève étude de la norme ISO/IEC 27003

Récapitulatif: Du 30 Mars au 10 Avril Rapports de l OICV sur les plans de continuité d activité.

Le Plan de Continuité d Activité (PCA / BCP)

Programme de formation " ITIL Foundation "

Square-IT-Consulting. Présentation

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Note à Messieurs les : Objet : Lignes directrices sur les mesures de vigilance à l égard de la clientèle

Urbanisation des systèmes d information

Microsoft IT Operation Consulting

Accenture accompagne la première expérimentation cloud de l État français

JASPERSOFT : Répondre à la demande croissante face à un reporting de plus en plus complexe.

CERT! OSIRIS! Présentation du CERT OSIRIS!! Guilhem Borghesi, Magali Daujat, Marc Herrmann!

Gestion des Incidents SSI

Gestion des incidents. Honvault Mickaël Lycée Dampierre.

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Monitoring & Support

Service On Line : Gestion des Incidents

MSP Center Plus. Vue du Produit

INTRODUCTION AUX TECHNOLOGIES D INGENIERIE DES DONNEES DIRIGEE PAR LES MODELES

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Gagner en performance avec un extranet. et mener son projet extranet?

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

Organisation d une simulation sur un prototype logiciel workflow et GED. ImmoBiens. 1 - Description du projet de l entreprise

LIVRE BLANC DECIDEUR. Newtest : contribution à ITIL. Newtest et ITIL...3. Gestion des niveaux de service - Service Level Management...

AQUADEV asbl (Belgique)

Groupe Eyrolles, 2006, ISBN :

UNE AMBITION TRIPARTITE POUR L EGALITE ENTRE LES FEMMES ET LES HOMMES DANS L ENTREPRISE

AUTHENTIFICATION dans les systèmes d information Avec la contribution de

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

IT CENTRE DE VALEUR la transformation s opère jour après jour. Philippe Kaliky. Directeur Centre de Services. Espace Grande Arche Paris La Défense

PREPARATION AUX HABILITATIONS ELECTRIQUES B1, B2, BR, BC

Génie Logiciel LA QUALITE 1/5 LA QUALITE 3/5 LA QUALITE 2/5 LA QUALITE 4/5 LA QUALITE 5/5

Présentation de l offre de services

La gestion des données de référence ou comment exploiter toutes vos informations

RESPONSABLE DU DEPARTEMENT ADMINISTRATIF ET FINANCIER

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

ManageEngine Netflow Analyser

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

UDSG CLASSIFICATION DOSSIER DOCUMENTAIRE

Transcription:

19 e Colloque annuel 4 décembre 2009 Quels plans de contrôles au niveau du RSSI? Didier GRAS Responsable de la Sécurité des Systèmes d Information Groupe BNP PARIBAS didier.gras@bnpparibas.com 1

Rappels sur le dispositif global de contrôle Très tôt le CRBF 97-02 imposa l existence d un dispositif de contrôle interne Au fur et à mesure, ce dispositif de contrôle interne a été précisé Contrôles permanents, menés à tous les niveaux : >opérationnels, > management, > unités spécialisés non opérationnelles. Contrôles périodiques menés par : > l Inspection Générale, > le contrôle des contrôles. 2

Rappels sur le dispositif global de contrôle Le contrôle permanent est diffus certains de ses acteurs sont dans les directions des risques, d autres acteurs sont dans des unités spécialisées hors des directions des risques, enfin, la plupart des acteurs sont dans les métiers puisque le contrôle permanent concerne tout les collaborateurs de l entreprise. > Le technicien qui vérifie la conformité d un serveur avant sa mise en production mène une action de contrôle permanent. > Le technicien qui observe la montée des alarmes virales sur une console de supervision mène une action de contrôle permanent. 3

Ne pas oublier la finalité Évolution de la cybercriminalité KRI (Key Risk Indicator) Gestion de la dynamique Nécessité de «performance» KPI (Key Performance Indicator) Gestion de l efficacité

Une finalité importante du CP Les rapports sur l état des ressources et le fonctionnement des processus montent au mandataire social par le canal hiérarchique. Pour de multiples raisons, le canal hiérarchique peut manquer d objectivité. Le contrôle permanent est un canal parallèle offrant aux dirigeants des assurances raisonnables sur le fonctionnement de l entreprise. Cette finalité est souvent oubliée Il ne faut pas confondre «contrôler» et «consolider les contrôles faits par autrui» 5

Positionnement du RSSI Le RSSI est un acteur du contrôle permanent. Ses contrôles et les rapports associés doivent apporter l assurance raisonnable attendue. Ses contrôles vérifient que les contrôles de niveaux inférieurs > existent, > reflètent t la réalité. apportent des certitudes qui ne soient pas simplement issues de la consolidation des contrôles tôl de niveau inférieur féi : ilf faut une rupture dans l agglomération de contrôles de niveau élémentaire. 6

Démarche d implémentation (1/4) Un exemple parmi d autres Identification du contexte Détermination des objectifs de sécurité Analyse de risques Détermination des exigences de sécurité Sélection des contrôles Implémentation des contrôles Suivre et faire évoluer les contrôles APPROCHE COMBINEE ET COMPLEMENTAIRE > TOP-DOWN > BOTTOM-UP

Démarche d implémentation (2/4) Définition contrôles Approche Groupe Responsabilité : Groupe Contribution les instances IT et des Métiers Construction des livrables Implémentation Entité(s) Responsabilité : Chaque Entité Adaptation à son contexte Déploiement selon la stratégie té de l Entité IDENTIFICATION DES PROCESSUS CLES ET DES ACTIFS IDENTIFICATION DES RISQUES MAJEURS DEFINITION & PUBLICATION DES CONTRÔLES SURVEILLANCE & ANALYSES DES RESULTATS DES CONTRÔLES Une base minimale, commune à chaque Entité Eléments génériques doivant être adaptés par chaque Entité dans son organisation

Démarche d implémentation (3/4) Processus Actifs IT Chapitres 1 - Politique Applications Services Équipements 2 - Organisation - interne 3 - Organisation - externe 4 - Classification des actifs 5 - RH & sensibilisation 6 - Sécurité physique (locaux utilisateurs) 7 - Continuité ité d activité ité 8 - Gestion des habilitations 9 - Gestion des incidents de sécurité 13 - Organisation interne - Développement IT 14 - Organisation interne - Production IT

Démarche d implémentation (4/4) Définir le contexte Identifier & Analyser les risques Formaliser une politique sécurité Définir les contrôles Communiquer sur le Plan de contrôles Implémenter les contrôles dans chaque Entité Prendre les actions pour résoudre ou améliorer les points de sécurité Superviser l implémentation des contrôles Rendre compte des résultats des contrôles

Contrôles RSSI : cohérence globale Avec les responsable des contrôles permanents > dont il est l allié > dont le plan de contrôle global intègre les contrôle du RSSI responsable de risques opérationnels > qui aidera au meilleur ciblage > a des attentes vis-à-vis en matière de résultats des contrôles (en vue d une allocation judicieuse de FP) contrôle périodique le RSSI établit son plan de contrôle en pensant à la nécessité d un circuit apportant des assurances raisonnables au top management, en évitant les redondances, dans une logique d amélioration du SI et non de dénigrement. 11

merci de votre attention Contact : Forum des Compétences 15, rue Taitbout - 75009 Paris Téléphone: 01.48.01.69.69- Télécopie: 01.48.01.69.68 mél: forum@forum-des-competences.org 12

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back