SlideShare une entreprise Scribd logo

Sécurité de l’information et gouvernance

PECB
PECB

This presentation has been delivered by Jean-Yves Oberlé at the PECB Insights Conference 2018 in Paris

Formation
1  sur  20
Sécurité de l’information et Gouvernance Jean-Yves Oberlé Sarapis France
2 Sommaire a. Contexte b. Conformité c. Gouvernance d. Alignement stratégique e. Maitrise des risques f. Un nouveau paradigme g. La notion de système h. Un système de sécurité de l’information i. Une méthodologie j. Principes k. Une pratique expérimentée l. Les 3 étapes de la méthode m. Le scénario de risque Métier n. L’automatisation o. L’outil
3 Contexte  Transformation numérique et sécurité de l’information  La sécurité de l’information, des données et des procédés est au cœur de la transformation numérique, imposée par les nouveaux usages • nouvelles menaces • cybercriminalité  pour générer la confiance numérique indispensable • clients • partenaires
4 Conformité  La sécurité de l’information est le point focal de nombreuses lois, réglementations, normes  Règlement Général sur la Protection des Données (RGPD)  Loi de Programmation Militaire (LPM)  Hébergement des Données de Santé (HDS)  Système de Management (ISO 27001)  …
5 Gouvernance  La sécurité des données, de l’information, des procédés n’est pas l’affaire des seuls spécialistes de la sécurité  La sécurité concerne toutes les fonctions de l’entreprise avec des responsabilités spécifiques  Une gouvernance pour  un alignement stratégique du processus sécurité  une gestion de la sécurité par les risques Métier  une communication structurée  un pilotage articulant des objectifs métiers aux indicateurs opérationnels sécurité
6 Alignement stratégique  L’alignement stratégique visé passe par une gouvernance qui a pour finalité de permettre aux « métiers » de développer leurs activités tout en ciblant la:  maitrise des risques  conformité aux lois et règlementations  performance et la création de valeur portées par des systèmes robustes et pérennes
7 Maitrise des risques  Les standards et méthodes traitent de la sécurité essentiellement sous l’angle des vulnérabilités techniques, fonctionnelles et organisationnelles  Ils n’expliquent pas comment adresser le risque dit « stratégique », ni comment articuler stratégie et risques « métiers »  Ce sont des méthodologies d’experts à destination de spécialistes  Leur positionnement (vision) est univoque, dirigée des systèmes d’information vers les métiers  Leur approche est analytique et vise :  l’exhaustivité  référentiel fermé  la mesure exacte  complication  la précision  détail
8 Un nouveau paradigme  La problématique observée nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes ses composantes  Concevoir un nouveau modèle avec une méthodologie systémique vs analytique, pour résoudre une problématique complexe  Les objets et situations complexes ont en commun : • le flou et l’imprécision – difficulté à établir les dimensions et les frontières de l’objet étudié VS objet ou situation compliqué • l’aléa et l’instabilité – le temps joue un rôle fondamental dans l’évolution de la complexité • l’ambiguïté – situation complexe de logique antagoniste • l’incertitude et l’imprévisibilité
9 La notion de système  Le système est un ensemble d’éléments en interaction dynamique, organisés en fonction d’un but
10 Un système de sécurité de l’information  Une approche orientée Métier (vision des métiers vers les actifs informationnels) pour :  privilégier la protection spécifique des ressources essentielles tout en assurant une sécurité standard (état de l’art) à l’ensemble des actifs informationnels  estimer la dangerosité et la réalité des menaces  produire un dispositif de sécurité agile et adaptable en fonction des menaces, de l’évolution des architectures techniques, du contexte légal et concurrentiel  un pilotage proactif par l’articulation d’objectifs de sécurité Métier et d’indicateurs sécurité opérationnels
11 Une méthodologie  Une méthodologie de gestion de la sécurité de l’information, dont l’application simple permet de :  modéliser un dispositif de sécurité parfaitement adapté à la spécificité et aux besoins de l’entreprise  constituer un vecteur de communication entre les parties prenantes du système de management  favoriser des transferts de savoir-faire pratiques d’experts vers des praticiens non spécialistes  mobiliser l’ensemble des collaborateurs de l’organisation par des approches pragmatique et faciles à mettre en œuvre  communiquer de façon « multidirectionnelle » (transverse et verticale) afin de permettre les contrôles de conformité et de performance  optimiser les ressources et savoir-faire engagés, en structurant et outillant la méthodologie appliquée (logiciel, IA)  minimiser l’effet dilution, déperdition des moyens engagés par la rapidité de mise en œuvre
12 Principes  Selon l’ENISA il convient de pratiquer des approches  Simples  Communicantes  Outillées  Selon le Gartner il convient de centrer les approches sur  Les services essentiels  La dangerosité des menaces  La réalité des risques
13 Une pratique expérimentée  Une déclinaison en un processus d’amélioration continue  Une approche systémique pour articuler  Contrôle de performance  Contrôle de conformité  Communication, gouvernance  SARAPIS
14 Les 3 étapes de la méthode  Analyse de risques  compréhension du contexte et définition du périmètre  recensement des processus stratégiques Métier  articulation des ressources spécifiques aux processus stratégiques  identification des menaces qui visent ces ressources  audit de vulnérabilité  construction de scénarios de risques Métier qui font interagir menaces et vulnérabilités en regard des processus stratégiques
15 Les 3 étapes de la méthode  Traitement des risques  définition de la stratégie de traitement des risques Métier  sélection de mesures de sécurité  plans de traitement  élaboration des procédures de sécurité
16 Les 3 étapes de la méthode  Pilotage  définition d’indicateurs en regard des objectifs de sécurité Métier et opérationnels  constitution de tableaux de bord par niveaux : stratégique, opérationnel et technique  élaboration du processus de reporting
17 Le scénario de risque Métier  Le scénario de risque, pierre angulaire de la démarche, doit être constitué par métier avec la contribution du manager ou « fonctionnel » Métier  Cette approche a pour effet :  d’établir des objectifs et des indicateurs Métier pour un pilotage proactif de la sécurité  de faire «parler» l’organisation avec un même «protocole» d’échange  d’impliquer et de mobiliser toutes les parties prenantes du système de management de la sécurité de l’information
18 L’automatisation  Un logiciel spécifique possède les avantages suivants :  il est spécifique à la méthode appliquée et permet son « industrialisation » pour produire des résultats comparables et reproductibles  par son usage aisé et intuitif, il facilite son exploitation par des « non – spécialistes » du domaine  il permet de diminuer les coûts de mise en œuvre par gain de temps et limitation des ressources humaines à engager  il constitue un vecteur de communication entre toutes les parties prenantes du système de management de la sécurité de l’information
19 L’outil  Un logiciel spécifique pour constituer les scénarios de risque Métier, chacun, pierre angulaire :  de l’analyse de risques  du dispositif de pilotage intégré qui associe objectifs métier et objectifs de sécurité opérationnelle  Un logiciel pour mettre en œuvre un processus de gestion de la sécurité de l’information, sur la base des scénarios :  Automatisation et industrialisation • Rapports et historisation • Plans d’actions • Classification des actifs essentiels  Sa vocation  déléguer la gestion du risque aux managers Métier et les opérations sécurité aux responsables fonctionnels et ingénieurs  constituer un vecteur de communication et de gouvernance sur la base de tableaux de bord • stratégique pour la Direction et les managers Métier • opérationnel pour le RSSI • technique pour les équipes en charge de la gestion de la sécurité
20

Recommandé

ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 

Recommandé

ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
Etude sur le Big Data
Etude sur le Big DataEtude sur le Big Data
Etude sur le Big DataNexialog Consulting
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
La gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec MultiforceLa gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec MultiforceClaude Gagnon, Expert processus & ITIL
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
Ebios
EbiosEbios
Ebioskilojolid
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualiteLe Moulin Digital
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449M'hammed Hamdaoui
 

Contenu connexe

Tendances

La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 

Tendances (20)

La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 
Etude sur le Big Data
Etude sur le Big DataEtude sur le Big Data
Etude sur le Big Data
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
La gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec MultiforceLa gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec Multiforce
 
Ebios
EbiosEbios
Ebios
 
Ebios
EbiosEbios
Ebios
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 

Similaire à Sécurité de l’information et gouvernance

Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449M'hammed Hamdaoui
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Big data fiche data science 15 09 14
Big data fiche data science 15 09 14Big data fiche data science 15 09 14
Big data fiche data science 15 09 14Kezhan SHI
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
E lm22 programme tutoriels
E lm22 programme tutorielsE lm22 programme tutoriels
E lm22 programme tutorielsChloé Philibert
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1MustaphaChaoui1
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptNourAkka1
 
Steria et la Sécurité
Steria et la SécuritéSteria et la Sécurité
Steria et la SécuritéSteria_France
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...IBM France PME-ETI
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 

Similaire à Sécurité de l’information et gouvernance (20)

Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualite
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Mehari
MehariMehari
Mehari
 
Big data fiche data science 15 09 14
Big data fiche data science 15 09 14Big data fiche data science 15 09 14
Big data fiche data science 15 09 14
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
PrésentationSCRM
PrésentationSCRMPrésentationSCRM
PrésentationSCRM
 
E lm22 programme tutoriels
E lm22 programme tutorielsE lm22 programme tutoriels
E lm22 programme tutoriels
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
Steria et la Sécurité
Steria et la SécuritéSteria et la Sécurité
Steria et la Sécurité
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Clusif marion
Clusif marionClusif marion
Clusif marion
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 

Plus de PECB

DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityPECB
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernancePECB
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...PECB
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...PECB
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyPECB
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...PECB
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationPECB
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsPECB
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?PECB
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...PECB
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...PECB
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...PECB
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA PECB
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?PECB
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptxPECB
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxPECB
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023PECB
 
ISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management systemISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management systemPECB
 

Plus de PECB (20)

DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
 
ISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management systemISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management system
 

Dernier

Saint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxSaint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxMartin M Flynn
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETMedBechir
 
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIEBONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIEgharebikram98
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertChristianMbip
 
Présentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxPrésentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxrababouerdighi
 
Evaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxEvaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxAsmaa105193
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptxSAID MASHATE
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Txaruka
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipM2i Formation
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxTxaruka
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.Franck Apolis
 
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeLe Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeXL Groupe
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETMedBechir
 

Dernier (14)

Saint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxSaint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptx
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
 
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIEBONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expert
 
Présentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxPrésentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptx
 
Pâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie PelletierPâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie Pelletier
 
Evaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxEvaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. Marocpptx
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadership
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptx
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.
 
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeLe Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directe
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSET
 

Sécurité de l’information et gouvernance

  • 1. Sécurité de l’information et Gouvernance Jean-Yves Oberlé Sarapis France
  • 2. 2 Sommaire a. Contexte b. Conformité c. Gouvernance d. Alignement stratégique e. Maitrise des risques f. Un nouveau paradigme g. La notion de système h. Un système de sécurité de l’information i. Une méthodologie j. Principes k. Une pratique expérimentée l. Les 3 étapes de la méthode m. Le scénario de risque Métier n. L’automatisation o. L’outil
  • 3. 3 Contexte  Transformation numérique et sécurité de l’information  La sécurité de l’information, des données et des procédés est au cœur de la transformation numérique, imposée par les nouveaux usages • nouvelles menaces • cybercriminalité  pour générer la confiance numérique indispensable • clients • partenaires
  • 4. 4 Conformité  La sécurité de l’information est le point focal de nombreuses lois, réglementations, normes  Règlement Général sur la Protection des Données (RGPD)  Loi de Programmation Militaire (LPM)  Hébergement des Données de Santé (HDS)  Système de Management (ISO 27001)  …
  • 5. 5 Gouvernance  La sécurité des données, de l’information, des procédés n’est pas l’affaire des seuls spécialistes de la sécurité  La sécurité concerne toutes les fonctions de l’entreprise avec des responsabilités spécifiques  Une gouvernance pour  un alignement stratégique du processus sécurité  une gestion de la sécurité par les risques Métier  une communication structurée  un pilotage articulant des objectifs métiers aux indicateurs opérationnels sécurité
  • 6. 6 Alignement stratégique  L’alignement stratégique visé passe par une gouvernance qui a pour finalité de permettre aux « métiers » de développer leurs activités tout en ciblant la:  maitrise des risques  conformité aux lois et règlementations  performance et la création de valeur portées par des systèmes robustes et pérennes
  • 7. 7 Maitrise des risques  Les standards et méthodes traitent de la sécurité essentiellement sous l’angle des vulnérabilités techniques, fonctionnelles et organisationnelles  Ils n’expliquent pas comment adresser le risque dit « stratégique », ni comment articuler stratégie et risques « métiers »  Ce sont des méthodologies d’experts à destination de spécialistes  Leur positionnement (vision) est univoque, dirigée des systèmes d’information vers les métiers  Leur approche est analytique et vise :  l’exhaustivité  référentiel fermé  la mesure exacte  complication  la précision  détail
  • 8. 8 Un nouveau paradigme  La problématique observée nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes ses composantes  Concevoir un nouveau modèle avec une méthodologie systémique vs analytique, pour résoudre une problématique complexe  Les objets et situations complexes ont en commun : • le flou et l’imprécision – difficulté à établir les dimensions et les frontières de l’objet étudié VS objet ou situation compliqué • l’aléa et l’instabilité – le temps joue un rôle fondamental dans l’évolution de la complexité • l’ambiguïté – situation complexe de logique antagoniste • l’incertitude et l’imprévisibilité
  • 9. 9 La notion de système  Le système est un ensemble d’éléments en interaction dynamique, organisés en fonction d’un but
  • 10. 10 Un système de sécurité de l’information  Une approche orientée Métier (vision des métiers vers les actifs informationnels) pour :  privilégier la protection spécifique des ressources essentielles tout en assurant une sécurité standard (état de l’art) à l’ensemble des actifs informationnels  estimer la dangerosité et la réalité des menaces  produire un dispositif de sécurité agile et adaptable en fonction des menaces, de l’évolution des architectures techniques, du contexte légal et concurrentiel  un pilotage proactif par l’articulation d’objectifs de sécurité Métier et d’indicateurs sécurité opérationnels
  • 11. 11 Une méthodologie  Une méthodologie de gestion de la sécurité de l’information, dont l’application simple permet de :  modéliser un dispositif de sécurité parfaitement adapté à la spécificité et aux besoins de l’entreprise  constituer un vecteur de communication entre les parties prenantes du système de management  favoriser des transferts de savoir-faire pratiques d’experts vers des praticiens non spécialistes  mobiliser l’ensemble des collaborateurs de l’organisation par des approches pragmatique et faciles à mettre en œuvre  communiquer de façon « multidirectionnelle » (transverse et verticale) afin de permettre les contrôles de conformité et de performance  optimiser les ressources et savoir-faire engagés, en structurant et outillant la méthodologie appliquée (logiciel, IA)  minimiser l’effet dilution, déperdition des moyens engagés par la rapidité de mise en œuvre
  • 12. 12 Principes  Selon l’ENISA il convient de pratiquer des approches  Simples  Communicantes  Outillées  Selon le Gartner il convient de centrer les approches sur  Les services essentiels  La dangerosité des menaces  La réalité des risques
  • 13. 13 Une pratique expérimentée  Une déclinaison en un processus d’amélioration continue  Une approche systémique pour articuler  Contrôle de performance  Contrôle de conformité  Communication, gouvernance  SARAPIS
  • 14. 14 Les 3 étapes de la méthode  Analyse de risques  compréhension du contexte et définition du périmètre  recensement des processus stratégiques Métier  articulation des ressources spécifiques aux processus stratégiques  identification des menaces qui visent ces ressources  audit de vulnérabilité  construction de scénarios de risques Métier qui font interagir menaces et vulnérabilités en regard des processus stratégiques
  • 15. 15 Les 3 étapes de la méthode  Traitement des risques  définition de la stratégie de traitement des risques Métier  sélection de mesures de sécurité  plans de traitement  élaboration des procédures de sécurité
  • 16. 16 Les 3 étapes de la méthode  Pilotage  définition d’indicateurs en regard des objectifs de sécurité Métier et opérationnels  constitution de tableaux de bord par niveaux : stratégique, opérationnel et technique  élaboration du processus de reporting
  • 17. 17 Le scénario de risque Métier  Le scénario de risque, pierre angulaire de la démarche, doit être constitué par métier avec la contribution du manager ou « fonctionnel » Métier  Cette approche a pour effet :  d’établir des objectifs et des indicateurs Métier pour un pilotage proactif de la sécurité  de faire «parler» l’organisation avec un même «protocole» d’échange  d’impliquer et de mobiliser toutes les parties prenantes du système de management de la sécurité de l’information
  • 18. 18 L’automatisation  Un logiciel spécifique possède les avantages suivants :  il est spécifique à la méthode appliquée et permet son « industrialisation » pour produire des résultats comparables et reproductibles  par son usage aisé et intuitif, il facilite son exploitation par des « non – spécialistes » du domaine  il permet de diminuer les coûts de mise en œuvre par gain de temps et limitation des ressources humaines à engager  il constitue un vecteur de communication entre toutes les parties prenantes du système de management de la sécurité de l’information
  • 19. 19 L’outil  Un logiciel spécifique pour constituer les scénarios de risque Métier, chacun, pierre angulaire :  de l’analyse de risques  du dispositif de pilotage intégré qui associe objectifs métier et objectifs de sécurité opérationnelle  Un logiciel pour mettre en œuvre un processus de gestion de la sécurité de l’information, sur la base des scénarios :  Automatisation et industrialisation • Rapports et historisation • Plans d’actions • Classification des actifs essentiels  Sa vocation  déléguer la gestion du risque aux managers Métier et les opérations sécurité aux responsables fonctionnels et ingénieurs  constituer un vecteur de communication et de gouvernance sur la base de tableaux de bord • stratégique pour la Direction et les managers Métier • opérationnel pour le RSSI • technique pour les équipes en charge de la gestion de la sécurité
  • 20. 20