Introduction : Contexte actuel
- Importance centrale du SI à l’activité de l’entreprise
- Ouverture des réseaux à l’extérieur et partenaires (Internet-partenaires-clients-fournisseurs)
- Mobilité, nomadisme : les personnels sont amenés à "transporter" une partie du SI hors de l’infrastructure de l’entreprise
1 - Importance du facteur humain et de la communication globale
=> Les campagnes de sensibilisation
* Objectifs : implication de tous les individus de l’entreprise, responsabilisation et adhésion des collaborateurs, formation des utilisateurs des outils de sécurité
* Moyens: les étapes d’une campagne de sensibilisation/formation
2 - Cartographie et pilotage des risques
Véritable "Risk management" et non plus une simple mise en place technique d’outils, la sécurité de l’information cherche à s’insérer dans les processus métiers de l’entreprise pour ne plus être ressentie comme une contrainte mais bien comme une contribution aux objectifs de l’entreprise.
=> Comment établir une cartographie des risques ? Quelle démarche adopter pour un PCA (Plan de Continuité d’Activité) ?
* Qui impliquer dans ces processus (identifier et hiérarchiser les besoins des directions fonctionnelles) ?
* Comment les faire évoluer dans une optique d’amélioration continue et progressive ?
* Quelles informations? Identification et hiérarchisation des données sensibles, des services stratégiques pour l’activité
* Investissement financier et degré de protection : Quel arbitrage? Ou placer le curseur entre l’importance de la protection, et les coûts à investir ?

* * * * *  PAUSE 10H30 - 10H45 * * * * *

 

1 – Nouveaux modèles de sécurité et nouvelles problématiques
De la logique de muraille (image du château fort en réseau fermé) vers une ouverture avec contrôle proportionnel aux ressources accédées. Comment mettre en œuvre une politique de sécurité efficace répondant aux problématiques actuelles?
* Protection de l’information
- Hébergement d'informations par un tiers : quelles précautions prendre?
- Faut-il établir des règles de gouvernance en interne (notamment les procédures de sauvegarde)? Comment tester les procédures mises en place?
* Gestion des accès
- Quelle stratégie pour identifier les points d'accès clefs ? Comment les sécuriser dans un contexte de nomadisme, de mobilité ou d'extranet ouverts à des tiers ?
- Les politiques d'authentification : comment décliner une politique de droits dans une grande entreprise ? Comment maintenir à jour les annuaires?
* Monitoring : Quels sont les outils? Quelle flexibilité ou réactivité apportent un monitoring précis? Peut-on l'externaliser? Quel est le coût?
2 – Conformité et audits de sécurité
* Comment gérer la multiplication des contraintes de « conformité » (Sox, LSF, LSQ, Obligation sur le PRA …) et qu'imposent-elles? Quel est leur impact sur l'architecture du SI et les responsabilités du DSI ?
* Conformité réglementaire ou exigence propre : faut-il aller au-delà des prescriptions légales?
- Qui le décide...et en est responsable suivant les secteurs (distribution, banque-assurance…), ou la structure de l'entreprise ?
- Pour quelles raisons : promotion de projets, instrument de gouvernance, outil d'efficacité du SI,… ou pour attirer l'attention sur une urgence? Quels sont les bénéfices et contraintes ?
* Quel est le périmètre d’un audit : Conformité, performance, sécurité …? Quelles sont les méthodes préconisées ? Quelle part de l'audit externaliser ? Quels sont les référentiels à prendre en compte ? (ISO, CoBIT, Itil…)