Sécurité des Systèmes d'Information

De
Publié par

Management de l’Informatique
Sécurité des Systèmes
d’Information
u méthodes, gestion de la sécurité, maîtrise du risque
Ce séminaire de référence examine l’ensemble des méthodes, des techniques et des outils de mise en œuvre pratique en matière
de sécurité de l’informatique et des télécommunications.
 La maîtrise des risques liés aux systèmes d’information : analyse des risques et audit de vulnérabilité, le plan de sécurité.
 La sécurité des réseaux : ce qu’il faut retenir.
 L’organisation des fonctions sécurité et les principaux outils de management de la sécurité, le marketing de la sécurité
dans l’entreprise.
 La continuité d’activité, les outils de gestion de crise, les plans d’action.
 Les normes et les outils de politique sécurité, la législation, les aspects contractuels, juridiques et l’assurance des risques
informatiques.
Basé sur de nombreux exemples et cas réels reflétant les situations les plus diverses – tailles, types d’organisations, domaines
d’activité et profils utilisateurs – ce séminaire, très pragmatique et directement opérationnel, dresse un état de l’art complet
du management de la sécurité informatique dans les entreprises aujourd’hui.
- Le plan d’action : comment concevoir un construire des indicateurs efficaces. Quel
1 Comment élaborer plan d’action réaliste, comment le suivre contrôle mettre en place. Le suivi pério-
et mettre en place une logique de veille et dique de la sécurité.le plan de sécurité
d’amélioration. L’analyse de risque en ...
Voir plus Voir moins
M a n a g e m e n td el ’ I n f o r m a t i q u e
Sécurité des Systèmes d’Information
uméthodes, gestion de la sécurité, maîtrise du risque
Ce séminaire de référence examine l’ensemble des méthodes, des techniques et des outils de mise en œuvre pratique en matière de sécurité de l’informatique et des télécommunications.
• La maîtrise des risques liés aux systèmes d’information : analyse des risques et audit de vulnérabilité, le plan de sécurité. • La sécurité des réseaux : ce qu’il faut retenir. • L’organisation des fonctions sécurité et les principaux outils de management de la sécurité, le marketing de la sécurité dans l’entreprise. • La continuité d’activité, les outils de gestion de crise, les plans d’action. • Les normes et les outils de politique sécurité, la législation, les aspects contractuels, juridiques et l’assurance des risques informatiques.
Basé sur de nombreux exemples et cas réels reflétant les situations les plus diverses – tailles, types d’organisations, domaines d’activité et profils utilisateurs – ce séminaire, très pragmatique et directement opérationnel, dresse un état de l’art complet du management de la sécurité informatique dans les entreprises aujourd’hui.
1 Commentélaborer le plan de sécurité Phénoménologie du sinistre informatique  Lerisque informatique, caractéristiques, typologie, types de conséquences possi bles ;les chiffres clés actuels.  Les nouvelles formes des risques informa tiques, les nouvelles pratiques de guerre économique, la sécurité informatique, les risques sur l’Internet, virus, spam, firewall, etc. La classification des risques, des causes (CAID) et des conséquences (I, P, G).  Sinistres majeurs en entreprise : les consé quences d’accidents naturels ou cas de force majeure, d’erreurs de programmation, d’exploitation, d’organisation, de mal veillance interne et externe, etc. : quelles leçons tirer de quelques cas récents, com ment bien expliquer les gammes d’impacts possibles à partir des situations réelles, comment différencier les risques majeurs des risques courants. L’analyse de risque  Politiques de sécurité : structures, forma tion, plan de sécurité, directives, classifi cation des informations, contrôles, analyse des incidents. Les méthodes (Marion, Méhari, EBIOS, etc.) : comment les mettre en œuvre de manière simple et réaliste; points forts et limites ; retours d’expérience.  Analysedes vulnérabilités : techniques d’audit, représentations graphiques ; ana lyse des menaces. Techniques d’analyse des scénarios, évaluation de l’impact, élaboration du plan : mesures ajustées, budgets, planning, suivi.
148w w w. i n s t i t u t . c a p g e m i n i . f r
 Le plan d’action : comment concevoir un plan d’action réaliste, comment le suivre et mettre en place une logique de veille et d’amélioration. L’analyse de risque en pra tique : les attentes de la DG, la position de la DSI, le rôle du RSSI et des consultants. Comment tirer profit de la dynamique de l’analyse de risque. Les points clés du pilo tage d’une analyse de risque, les pièges de la présentation.  L’analyse de risque dans le cas des grands groupes, l’induction du risque, la consoli dation multiniveau. Comment rester prag matique et mener simplement une étude sur plusieurs sites en même temps.
2 Lemanagement de la sécurité dans l’entreprise Définition des structures et des missions  Le RSSI dans l’entreprise : missions, profils, rattachement, etc. Différentes approches possibles, avantages et inconvénients. Les clés pour la survie du RSSI dans un contexte tendu. Comment porter la sécurité “juste nécessaire”. Comment faire progresser la fonction. Savoir convaincre une DG : les facteurs clés.  Lafonction sécurité : sa taille, sa distri bution. Les outils nécessaires pour bien assurer les missions.  Établir un budget de fonctionnement d’une équipe sécurité. L’engagement de moyens et l’obligation de résultat. Les points clés de l’excellence de la fonction sécurité. Les tableaux de bord de la sécurité : comment
construire des indicateurs efficaces. Quel contrôle mettre en place. Le suivi pério dique de la sécurité.  Comment rebondir sur les incidents. Que faire en cas de malveillance interne. Le départ d’un collaborateur. Comment inté grer la sécurité dès la conception des sys tèmes d’information. La communication et la formation  Lemarketing de la fonction sécurité : comment en parler, comment vendre la sécurité, comment la faire vendre. La construction des messages sécurité dans l’entreprise. L’utilisation des supports internes, les pièges à éviter.  L’élaboration d’un plan de formation pour les utilisateurs et les informaticiens. La formation des nouveaux entrants. La sen sibilisation des personnels temporaires et des stagiaires.
3 Lesbonnes pratiques, la qualité et la politique sécurité Les normes de référence et la pratique  ISO17799, ISO 2700x : bien comprendre l’objectif des normes et leur intérêt pour l’entreprise.  Comment en tirer parti sans alourdir le coût de la sécurité. Les normes et la réalité du terrain.  Comment construire et rédiger un ensem ble de procédures cohérentes et efficaces.
L’élaboration d’une politique sécurité  Définition, objectifs, contraintes ; comment faire une politique de sécurité lisible et effi cace. Arbitrage des contenus : méthode de travail, comment faire vivre la sécurité, sus citer l’adhésion.  Détermination du contenu de la politique sécurité : approche par niveaux. Le social engineering : définitions et limites. Les bénéfices d’une politique sécurité, effet de levier. Liaison avec les aspects normatifs et réglementaires. La sécurité au quotidien  Comment bien utiliser les outils de la qua lité au profit d’une politique sécurité pérenne. Mise en place des outils de signa lisation et de remontée d’anomalies. Le plan d’action qualité et sécurité : un outil pour gouverner le contrôle des risques courants.  Animation, sécurité dans les projets, com ment mettre en place une dynamique posi tive dans un contexte de crise. Comment s’appuyer sur un réseau de correspondants pour exister.  Comment évaluer la qualité et la sécurité. Comment se servir de l’évaluation comme un outil de déploiement et de renforce ment de la sécurité : retour d’expériences. Comment fortifier la position du RSSI dans l’entreprise, dans l’espace et dans le temps. Cas concrets d’une politique réussie.
4 Panorama de la sécurité La sécurité physique  Maîtrise de l’environnement des bâtiments et des infrastructures, la sécurité des instal lations.  Que faire en cas d’indisponibilité des instal lations, comment organiser le repli des activités.  Lecontrôle d’accès physique, la sécurité incendie et dégâts des eaux, la gestion des alarmes, la protection des immeubles. La sécurité de la production  Exploitationinformatique et sécurité : comment mettre et suivre l’application des procédures sécurité, comment gérer les prestations de services et les téléin terventions.  Mouvements de données : sauvegardes, archivage, miroirs, clusters. Comment faire face aux besoins de sécurité et à l’aug mentation des volumes. Comment maî triser l’inflation permanente des besoins des utilisateurs. Les attaques, la protection des applications et des données  Les attaques réseaux, Internet, infrastruc ture, attaques sur les sites et la messa gerie (spam, phishing, etc.), les virus et les tendances des attaques réseaux.  Les principales techniques de protection (sans fil, firewalls, adressage, DMZ, ser veurs proxy, solutions antivirus, etc.). Comment impliquer les utilisateurs dans l’élaboration et la mise en œuvre des modes opératoires.  Les techniques d’authentification, les mots de passe statiques et dynamiques, les accès sécurisés, les clés USB. L’objectif SSO.
Les télécoms, la sécurité sansfil, les accès aux données  Accès distants, SSL, VPN, éléments de syn thèse et de compréhension : les limites des solutions purement techniques.  La mobilité : Bluetooth, WiFi, GPRS, 3G, etc. Enjeux et risques de la communication sans fil. Bornes WiFi sauvages : les risques pour l’entreprise.  Les accès Web : chiffrement SSL et certificats. Les accès Web à la messagerie : principaux risques. Les nouvelles formes de la commu nication et les risques de la mobilité.
5 Lacontinuité et les situations d’urgence La continuité informatique  La problématique de la continuité d’acti vité. Le plan de continuité d’entreprise : la continuité des ressources. La logique des clients et des fournisseurs.  Comment organiser la mise en place des PCA dans l’entreprise; les aspects régle mentaires. Les relations PCA/PCI. L’entreprise et les situations d’urgence informatique  Les principales situations d’urgence, retours d’expérience. Comment élaborer un bon plan de secours informatique. Les limites de l’exercice, les erreurs “classiques”. Com ment aborder la question du fonctionne ment global de l’entreprise.  La gestion de l’imprévu, les méthodes de prise en charge des situations d’urgence informatique.  Comment organiser la gestion de crise : les rôles, le déclenchement, la communication. Comment organiser un bon PC de crise. La salle de crise, son fonctionnement, quels bénéfices en attendre.
6 Lesaspects normatifs et la réglementation Les normes et la politique sécurité  La politique sécurité et la corporate gover nance : comment la mettre en œuvre effi cacement. Exemples de politiques sécurité selon le secteur d’activité.  Les normalisations internationales (ISO 17799 et ISO 27001) et les normalisations spéci fiques : Loi de Sécurité Financière, Bâle II, SarbanesOxley (SOX), les nouvelles régula tions économiques. Comment tirer profit des normes en préservant simplicité et prag matisme. Les pièges de la normalisation. Les aspects légaux et réglementaires  Laproblématique du droit appliqué aux systèmes d’information : les objectifs de la protection. Le patrimoine informationnel. Les points sensibles de droit civil et de droit pénal en France.  Laprotection des personnes, les obliga tions de sécurité des données, le droit des salariés et la “cyber surveillance”. Conseils pratiques pour trouver le bon équilibre vis àvis des salariés.  Laprotection des biens immatériels, des données et des systèmes, des informations et des échanges.
DURÉE3 journées DATES46 avril 2011 911 mai 2011 2022 juin 2011 1921 septembre 2011 1012 octobre 2011 57 décembre 2011 PRIX2 280 € ht (2 726,88 € ttc) Renseignements : Véronique Groud tél. : 01 44 74 24 10 veronique.groud@capgemini.com
Les sources de responsabilités pour un RSSI  L’identification des acteurs impliqués dans les différents ordres de responsabilité (DAF, DG, DSI, RSSI, services généraux, etc.).  L’identificationdes différents ordres de responsabilité en matière de transparence et de gestion des risques, de mise en œuvre de plan de secours, de contrôle interne en liaison avec l’audit financier, d em i s ee nœ u v red ep o l i t i q u ed e contrôle éthique des comportements et de cybersurveillance.  L’émergence d’un statut particulier du RSSI au regard des règles de responsabilités civiles, pénales, fiscales, de préservation du secret, de données personnelles, et importance de la gestion des preuves et des délégations de pouvoirs.
7 Lesaspects assuranciels et le financement des risques L’assurance  Les conditions d’assurabilité : la situation actuelle, les tendances.  L’analyse des risques et la liaison sécurité assurance.  Les conditions de garanties et les exclusions.  Comment bien gérer la relation assureur/ assuré, en situation normale, sur sinistre, en situation exceptionnelle.  Étude de cas concrets de transfert de risque vers l’assurance : les limites du modèle en cas de crise importante. Les garanties et les modes de financement  Lesgaranties d’assurance matérielles et immatérielles disponibles sur le marché : TRI, ERI, PE, globale informatique, spécifique détournement, RC, bonne fin de projet, homme clé, backup, hébergement, etc.  Le financement alternatif des risques : mise en place d’une captive. La mutualisation des risques, avantages et inconvénients.
L e sS é m i n a i r e sC a p g e m i n iI n s t i t u t149
Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.