Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
Cours qui met l'accent sur l'importance des systèmes d'informations dans les entreprises pour une gestion efficace et efficiente et montre comment les intégrer dans le système de management des entreprises en insistant sur les deux volets technique et managérial.
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
La PSSI reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité des systèmes d’information (SSI).
Quelques explications sur sa mise en oeuvre.
Principes fondamentaux de la gouvernance, déclinée jusqu'à la gouvernance SI. Origine, définition, fondations, objectifs, acteurs, compétences, outils.
La mission consiste à effectuer un audit de conformité pour le site web de la commune de
Bab Ezzouar hébergé au niveau de la salle de conférence de l’USTHB.
Le principal objectif de cet audit est de déterminer les éventuelles non-conformités par
rapport à la norme ISO 27001 en évaluant l’existence et l’efficacité du système de
management de la sécurité de l’information et en déterminant la maturité des mesures et
contrôles de sécurité mis en place
[Gestion des risques et conformite] gerer les risques operationnelsonepoint x weave
Les risques opérationnels doivent être considérés au-delà du simple spectre réglementaire, il s’agit également :
de piloter les processus au travers de l’appréciation des dysfonctionnements avérés ou potentiels,
de mesurer la qualité délivrée via la collecte d’indicateurs tels que les incidents.
Il est également opportun de capitaliser sur « l’outil » cartographie des risques opérationnels pour intégrer d’autres dimensions du risque tels que les risques de non-conformité, juridiques, blanchiment, … afin de créer un cockpit global de gestion.
Cette vision d’ensemble s’appuie sur l’appréciation des experts métiers et s’alimente à partir des « signaux » issus des processus : les incidents mais également les résultats de contrôle, les audits internes et externes, les réclamations clients … afin de migrer de la détection à la prévention des risques.
Evaluate your CISA preparation. Attempt below 150 questions which are designed as per CISA exam pattern considering domain wise weightage.
http://datainfosec.blogspot.in/2016/04/cisa-mock-test-question-paper-1.html
Cours qui met l'accent sur l'importance des systèmes d'informations dans les entreprises pour une gestion efficace et efficiente et montre comment les intégrer dans le système de management des entreprises en insistant sur les deux volets technique et managérial.
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
La PSSI reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité des systèmes d’information (SSI).
Quelques explications sur sa mise en oeuvre.
Principes fondamentaux de la gouvernance, déclinée jusqu'à la gouvernance SI. Origine, définition, fondations, objectifs, acteurs, compétences, outils.
La mission consiste à effectuer un audit de conformité pour le site web de la commune de
Bab Ezzouar hébergé au niveau de la salle de conférence de l’USTHB.
Le principal objectif de cet audit est de déterminer les éventuelles non-conformités par
rapport à la norme ISO 27001 en évaluant l’existence et l’efficacité du système de
management de la sécurité de l’information et en déterminant la maturité des mesures et
contrôles de sécurité mis en place
[Gestion des risques et conformite] gerer les risques operationnelsonepoint x weave
Les risques opérationnels doivent être considérés au-delà du simple spectre réglementaire, il s’agit également :
de piloter les processus au travers de l’appréciation des dysfonctionnements avérés ou potentiels,
de mesurer la qualité délivrée via la collecte d’indicateurs tels que les incidents.
Il est également opportun de capitaliser sur « l’outil » cartographie des risques opérationnels pour intégrer d’autres dimensions du risque tels que les risques de non-conformité, juridiques, blanchiment, … afin de créer un cockpit global de gestion.
Cette vision d’ensemble s’appuie sur l’appréciation des experts métiers et s’alimente à partir des « signaux » issus des processus : les incidents mais également les résultats de contrôle, les audits internes et externes, les réclamations clients … afin de migrer de la détection à la prévention des risques.
Evaluate your CISA preparation. Attempt below 150 questions which are designed as per CISA exam pattern considering domain wise weightage.
http://datainfosec.blogspot.in/2016/04/cisa-mock-test-question-paper-1.html
Alphorm.com support Formation OneNote 2016 Prise de notes professionnellesAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-microsoft-onenote-2016
Microsoft Office OneNote est un programme de prise de notes, qui permet de centraliser pratiquement tous les types d’informations. Contrairement aux systèmes papier, aux traitements de texte, aux messageries et aux programmes d’amélioration de la productivité, Microsoft OneNote propose un moyen souple de rassembler et d’organiser : du texte, des images, des notes manuscrites numérisées puis des enregistrements audio et vidéo dans un bloc-notes numérique. Son interface, proche des autres applications Microsoft Office vous facilitera sa prise en main.
Pendant cette formation OneNote 2016, Vincent ISOZ vous apprendra à comprendre et à maîtriser les différents concepts de l'utilisation de OneNote 2016 avec ou sans OneDrive.
Durant cette formation OneNote 2016 vous apprendrez toutes les finesses de OneNote 2016 dans une formation complète avec un niveau de détails unique à ce jour afin d'utiliser d'une manière efficace les fonctionnalités du logiciel OneNote 2016 et certaines actions cachées.
Avec cette formation OneNote 2016, vous apprendrez également à installer des add-in qui seront très utiles à l'étudiant ou au manager et ingénieur chevronné.
Tous les concepts abordés pendant cette formation OneNote 2016 sont illustrés par des exemples concrets avec plus d'une dizaine d'années de retour d'expérience pour vous permettre une meilleure utilisation. Et toutes les ressources utilisées par votre formateur sont téléchargeables sur votre espace utilisateur.
Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigati...Alphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-les-sciences-forensiques-l-investigation-numerique
Le nombre d'attaques explosent depuis quelques années, l'investigation réseau est un besoin grandissant au sein des entreprises et pour les analystes inforensiques afin d'identifier la source de l'intrusion et les canaux cachés mis en place par les attaquants pour exfiltrer des informations sensibles.
En effet, l’investigation numérique dérive du terme anglais Computer forensics c'est-à-dire l’utilisation de techniques spécialisées dans la collecte, l’identification, la description, la sécurisation, l’extraction, l’authentification, l’analyse, l’interprétation et l’explication de l’information numérique.
Votre MVP Hamza KONDAH vous a préparé cette formation sur les sciences forensiques pour l’investigation numérique qui présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques complètes.
La formation sur les sciences forensiques pour l’investigation numérique vous donnera les qualifications nécessaires pour identifier les traces laissées lors de l’intrusion d’un système informatique par un tiers ainsi que d’effectuer de l’investigation sur des supports numériques.
Avec cette formation sur les sciences forensiques pour l’investigation numérique, vous allez apprendre à collecter correctement les preuves nécessaires à des poursuites judiciaires mais aussi d’acquérir de l’expérience sur les différentes techniques d’investigation et l’acquisition de preuve virtuelle, dans la gestion et l’analyse de façon légale.
Illustrée par de nombreuses démonstrations, cette formation sur les sciences forensiques pour l’investigation numérique est interactive et permet de découvrir la marche à suivre et tous les outils nécessaires pour être prêt à étudier efficacement toute situation : intrusion, fuite d'information, actions malveillantes d'un employé curieux.
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-expert-reseaux-sans-fils
Suite à sa formation Hacking et Sécurité, l'essentiel et sa formation Hacking & Sécurité, Avancé, votre MPV Hamza KONDAH vous prépare cette formation Hacking & Sécurité, de niveau Expert en commençant par le module traitant la sécurité des réseaux sans fils.
Cette première formation Hacking et Sécurité WiFi, englobe une analyse et compréhension des attaques ainsi qu’une structuration des connaissances avant de passer aux attaques qui sont axées pratiques à 100 %, et vise à vous donner la capacité d’effectuer des tests de pénétration sur les réseaux sans fils.
A la suite de cette formation Hacking et Sécurité WiFi, vous serez capable de prévoir une surface d’attaque, suivre et structurer une méthodologie d’attaque des réseaux sans fils, attaquer les réseaux sans fils de différentes manières et enfin pouvoir sécuriser vos réseaux wifi et effectuer du reporting pour ainsi faire une bonne remonté de l’information.
Après cette formation Hacking et Sécurité WiFi, suivra la Hacking et Sécurité Metasploit qui est déjà en cours de réalisation.
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-expert-vulnerabilites-web
Suite à la série riche des formations sur le hacking et la sécurité, la formation Hacking et Sécurité, l'essentiel, la formation Hacking & Sécurité, Avancé, la formation Hacking et Sécurité Expert - Réseaux sans fils, et la formation Hacking et Sécurité Expert, Metasploit, votre MVP Hamza KONDAH vient vous enrichir le catalogue avec sa nouvelle formation Hacking et Sécurité Expert, Vulnérabilités Web.
Depuis quelques temps maintenant la sécurité réseau est bien prise en compte avec la mise en place de pare-feux, le durcissement de la sécurité des systèmes d'exploitation tend à se généraliser ainsi que celui des grosses applications. Mais qu'en est-il des vulnérabilités au sein des applications Web qui sont un vecteur majeur du cybercrime?
Cette formation Hacking et Sécurité sur les Vulnérabilités Web englobe une analyse et compréhension des différents éléments axés applications web pour une exploitation efficace ainsi qu’une structuration des connaissances avant de passer aux attaques qui sont axées pratiques à 100 %.
Cette formation Hacking et Sécurité sur les Vulnérabilités Web vise à vous donner la capacité d’effectuer des tests de pénétration sur des applications web en exploitant au maximum les différents outils qui s’offrent au niveau de Kali Linux.
A la suite de cette formation Hacking et Sécurité sur les Vulnérabilités Web, vous serez capable de bien comprendre les vulnérabilités web les plus critiques, les exploiter mais aussi les sécuriser. On aura aussi l’opportunité d’attaquer sous différents vecteurs, en exploitant par exemple le Client Side ou encore le server side par apport à la plateforme Web.
Après cette formation Hacking et Sécurité sur les Vulnérabilités Web, suivra la formation Hacking et Sécurité sur les Vulnérabilités Réseaux qui est déjà en cours de réalisation.
Alphorm.com Formation Excel 2016 Expert I - partie 1Alphorm
Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-excel-2016-niveau-expert
Pendant la formation Excel 2016, vous découvrirez les fonctionnalités avancées pour faciliter l’analyse de vos données.
Avec cette formation Excel 2016, vous progresserez vers la mise en oeuvre des formules complexes avec des formules conditionnelles imbriquées et l’utilisation des lignes de statistiques ainsi que des zones nommées. Pour aider à la saisie, vous saurez créer des listes déroulantes de données et valider la conformité de la saisie.
Enfin, la puissance des tableaux de données vous permettra de gérer vos données plus facilement à l’aide de fonctionnalités de calculs et de présentation déjà présentes dans ces tableaux tout au long de cette cette formation Excel 2016.
Pour faciliter votre progression avec cette formation Excel 2016, un projet fil rouge vous permettra de mettre en oeuvre les notions étudiées de façon opérationnelle.
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-expert-vulnerabilites-reseaux
Cette formation Hacking et Sécurité sur les Vulnérabilités Réseaux est une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion sur des réseaux informatiques d’une manière assez complète.
Pendant cette formation Hacking et Sécurité sur les Vulnérabilités Réseaux, nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en mettant l’accent sur les vulnérabilités et exploitations les plus critiques.
Vous pourrez, au terme de cette formation Hacking et Sécurité sur les Vulnérabilités Réseaux, réaliser des audits de sécurité (test de pénétration) au sein de votre infrastructure réseau, que ça soit en milieu entreprise ou personnel.
Il s’agit d’une formation complète sur les Vulnérabilités Réseaux, sur les différents volets à appréhender au terme d’un pentest d’un réseau informatique en allant vers le routeur, tout en passant par une infrastructure VOIP, sans oublier les techniques post exploitation. Mais aussi si vous souhaitez avoir une approche offensive pour des fins de sécurisation de vos réseaux, ainsi que toute personne souhaitant acquérir les connaissances techniques d’attaques, afin de pouvoir appréhender la meilleure des stratégies : Savoir attaquer pour mieux se défendre …
Pendant cette formation Hacking et Sécurité sur les Vulnérabilités Réseaux, une approche vis-à-vis l’utilisation du langage python orienté pentest a été traitée, nous verrons par la suite un module spécialisé dans python et sécurité.
La présentation des techniques d’attaques et vulnérabilités sont axées pratiques au sein d’un lab de test de pénétration, tout au long cette formation Hacking et Sécurité sur les Vulnérabilités Réseaux.
Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-certified-ethical-hacker-v9-3-4-reussir-ceh-v9
Faisant suite à la deuxième formation CEH, votre MVP Hamza KONDAH vous a préparé la deuxième partie afin d’approfondir vos connaissances au monde en matière de piratage éthique.
Avec cette formation CEH vous allez découvrir plus de 270 attaques techniques et plus de 140 labs, avec un accès à plus de 2200 outils de piratages.
Dans cette formation CEH, vous allez comprendre le concept des trojan, Metasploit, des virus, et de Ver.
Pendant cette formation CEH, Hamza vous apprendra les techniques de Session Hijacking ainsi que ceux de hacking de serveurs et applications web, sans oublier les contremesures contre ce genre d’attaques.
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-avance
Cette formation Hacking & Sécurité, Avancé est une approche avancée des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion dans des réseaux et des applications. C’est la suite de la première formation l’essentiel du Hacking & Sécurité.
Durant cette formation Hacking & Sécurité, Avancé nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en se tardant sur les vulnérabilités les plus critiques : Social engineering, Dénis de service, le Fuzzing, les Botnets, Attaques Server-Side, Le Brute Force, Le cracking de mot de passe, Attaques Client-Side, MiTM Proxy, Elévation de privilège, Attaques Web, Attaques sur les réseaux sans fils, Bypassing HSSI, Bypassing MAC adress Authentication, Attaque WEP, Attaque WPA et WPA2, Clonage de points d'accès, L'attaque DoS.
A la fin de cette formation Hacking & Sécurité, Avancé vous serez capable de réaliser des audits de sécurité (test de pénétration) avancés au sein d’une infrastructure, tester la sécurité des réseaux sans fils ainsi que préparer un rapport sur vos activités avec des outils professionnels dédiés.
Comme dans la formation l’essentiel du Hacking & Sécurité cette formation Hacking & Sécurité, Avancé sera axée sur un lab détaillé et complet pour mettre toutes les techniques en pratiques.
Aussi vous pouvez télécharger pleines de ressources et outils en annexe de cette formation.
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-certified-ethical-hacker-v9-2-4-reussir-ceh-v9
Faisant suite à la première formation CEH, votre MVP Hamza KONDAH vous a préparé la deuxième partie afin d’approfondir vos connaissances au monde en matière de piratage éthique.
Avec cette formation CEH vous allez découvrir plus de 270 attaques techniques et plus de 140 labs, avec un accès à plus de 2200 outils de piratages.
Dans cette formation CEH, vous allez comprendre le concept des trojan, Metasploit, des virus, et de Ver.
Pendant cette formation CEH, Hamza vous apprendra le sniffing et le Social Engineering.
Et aussi les contremesures avec DoS/DDoS.
Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-cisco-ccna-icnd2-examen-200-101
La formation Cisco ICND2 apporte des connaissances et compétences nouvelles de celles que vous auriez pu découvrir lors de la formation Cisco ICND1. Les deux formations Cisco ICND1 et ICND2 vous préparent à la certification CCNA.
En effet, cette deuxième partie élargit les domaines de savoir-faire quant à l'élaboration d'un réseau d'entreprise de taille importante.
Au niveau du LAN, les participants sauront mettre en œuvre un réseau commuté utilisant des VLANs, pourront utiliser au mieux l'adressage IP par les techniques VLSM.
Les technologies WAN et la sécurité sont aussi largement évoquées lors de cette formation Cisco ICND2, notamment avec les protocoles PPP, Frame-Relay, le NAT, les listes de contrôle d'accès (ACL)...
A l'issue de la formation Cisco ICND2, les participants ont toutes les clés en main pour se préparer efficacement au passage de l'examen ICND2 et devenir ainsi être certifié Cisco CCNA.
Vous pouvez télécharger toutes les ressources Cisco Packet tracer et GNS3 liées à cette formations.
Les incidents coûtent de plus en plus chers à traiter. Les organisations répondent souvent à cela par une augmentation des solutions technologiques (Cloud, Big Data, externalisation, outil de balayage, etc.) sans forcement mettre l’emphase sur le volet processus et le volet humain. Le résultat, on le connaît : beaucoup de technologies avec peu de résultat en cas d’incident, délai de traitement des incidents défoncés (SLA), etc.
Le but cette présentation est de comprendre le processus de gestion des incidents selon COBIT5 de l’ISACA. La présentation consistera à regarder la gestion des incidents de long en large (vision 365º) – volet conceptuel et volet opérationnel.
Vous trouverez la formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-le-langage-sql
Cette formation vous apprendra à comprendre et à maîtriser le langage SQL en environnement SGBDR.
Durant cette formation vous apprendrez à extraire, insérer, modifier et supprimer des données. Construire et comprendre des requêtes simples et complexes.
Cette formation permettra également aux administrateurs et développeurs de bases de données d'exploiter les informations de l'entreprise et de créer des objets, quel que soit le SGBDR qui les héberge.
A la fin de cette formation, le langage SQL n'aura plus de secrets pour vous !
Mr AGUEDAL Yazid, l’Administrateur de Base de Données , a animé une conférence au cours de la journée ALGERIA JAVA DAY du Samedi 2 février passé portant sur Le Métier de DBA. Ce dernier l’a défini et a mis en évidence les interactions qu’il a avec les autres équipes IT de l’entreprise(responsable sécurité informatique, administrateur système, administrateur réseau,…) ainsi que les différentes tâches d’un administrateur de base de données telles : la garantie de la disponibilité et de la qualité des donnée, l’étude de l’ensemble des incidents survenus afin de comprendre leurs gravité et leur origine et la mise en place de programmes de sauvegarde et des règles de sécurité des données. Il a aussi parlé des qualités requises pour devenir un DBA : adaptabilité, curiosité technique, réactivité, rigueur et sens de la méthode et de précision, bonne appréhension du risque et bonne résistance à la répétition des tâches, et enfin très important le Stress management. Le DBA a également cité les organismes qui sollicite le plus cette fonction(le secteur bancaire, la télécom, la vente à distance, groupe industriels privés…). Pour finir il a présenté le nouveau portail ouvert à tous les acteurs de la technologie Oracle 100% algérien dont voici le lien : http://www.oraclealgerie.com.
Le conférencier a insisté sur l’importance de la fonction DBA dans l’entreprise et les différents risques encourus en cas de pannes du système.
Devenez le chef d'orchestre de vos infrastructures, de vos applications jusqu'à vos processus Métiers. C'est au travers de démonstrations et de cas concrets d'implémentation que nous illustrerons cette proposition de valeur.
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...Technologia Formation
Procéder avec une orientation axée vers les résultats prioritaires.
On dit souvent que le « cœur » d’un département TI est son personnel… mais nous pouvons également dire qu’une partie de son « cerveau » se retrouve dans la CMDB.
Dans ce webinaire, Jean-Claude Beaudry, ITIL® Master, DevOps/DevSecOps/SRE Practitioner, PRINCE2®/PRINCE2® Agile Practitioner vous guidera à travers les étapes clés pour concevoir, implémenter et maintenir une CMDB (base de données de gestion des configurations) efficace, permettant à votre département TI de prendre des décisions éclairées, d'agir efficacement et d'automatiser les processus essentiels.
Pour voir le webinaire : https://www.technologia.com/webinaires/concevoir-et-mettre-en-place-une-cmdb-comment-reussir
Présentation faite dans le cadre du début du projet d'automatisation du SI de la Mairie de Noumea.
Elle avait pour but d'expliquer au DSI l'intérêt d'un tel changement.
Migration des réseaux d agence : les apports de Windows Server 2012 R2Microsoft
Dans cette session, vous découvrirez comment Windows Server 2012 et 2012 R2 couplé à System Center 2012 R2 vous permet de gérer en central vos environnements d’agence. Nous aborderons en particulier les sujets de la virtualisation, orchestration, supervision, gestion de configuration, sauvegarde et le traitement des impressions en agence.
Speakers : Nicolas Escalas (Alfun), Jean-Marie Savin (Microsoft)
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’ITMicrosoft Technet France
Le Datacenter d’aujourd’hui évolue jour après jour et les taches d’administration et de maintenance constituent un réel challenge. Tâches répétitives ? Process trop complexes et sources d’erreur ? Difficulté à synchroniser plusieurs compétences sur une même activité ? Utilisateur mécontent ? Temps de réponse trop long ? Ceci n’est qu’une partie de ce que l’on peut vivre au quotidien. Cette session a pour but de vous montrer comment l’automatisation répond à la plupart de vos questions. Riches en démonstrations et en retours d’expériences, vous comprendrez comment Orchestrator peut vous faire gagner du temps et vous simplifier l’IT.
Newsletter SPW Agriculture en province du Luxembourg du 03-06-24BenotGeorges3
Les informations et évènements agricoles en province du Luxembourg et en Wallonie susceptibles de vous intéresser et diffusés par le SPW Agriculture, Direction de la Recherche et du Développement, Service extérieur de Libramont.
https://agriculture.wallonie.be/home/recherche-developpement/acteurs-du-developpement-et-de-la-vulgarisation/les-services-exterieurs-de-la-direction-de-la-recherche-et-du-developpement/newsletters-des-services-exterieurs-de-la-vulgarisation/newsletters-du-se-de-libramont.html
Bonne lecture et bienvenue aux activités proposées.
#Agriculture #Wallonie #Newsletter #Recherche #Développement #Vulgarisation #Evènement #Information #Formation #Innovation #Législation #PAC #SPW #ServicepublicdeWallonie
Formation M2i - Prise de parole face caméra : performer en distancielM2i Formation
Le travail en distanciel est de plus en plus incontournable et s'installe durablement dans la société, mais bien souvent, les collaborateurs d'une même entreprise n'ont pas toutes les aptitudes permettant d'être efficaces et impactants avec cette nouvelle façon de travailler : le télétravail !
Cette formation flash vous montrera qu'il est important de se professionnaliser et de faire du distanciel un agréable moment de travail.
Pour approfondir ces sujets et aller plus loin, vous pourrez vous inscrire à notre formation Prise de parole face caméra : performer en distanciel.
Formation offerte animée à distance par notre expert Camel Termellil
Newsletter SPW Agriculture en province du Luxembourg du 17-05-24BenotGeorges3
Les informations et évènements agricoles en province du Luxembourg et en Wallonie susceptibles de vous intéresser et diffusés par le SPW Agriculture, Direction de la Recherche et du Développement, Service extérieur de Libramont.
https://agriculture.wallonie.be/home/recherche-developpement/acteurs-du-developpement-et-de-la-vulgarisation/les-services-exterieurs-de-la-direction-de-la-recherche-et-du-developpement/newsletters-des-services-exterieurs-de-la-vulgarisation/newsletters-du-se-de-libramont.html
M2i Webinar - « Participation Financière Obligatoire » et CPF : une opportuni...M2i Formation
Suite à l'entrée en vigueur de la « Participation Financière Obligatoire » le 2 mai dernier, les règles du jeu ont changé !
Pour les entreprises, cette révolution du dispositif est l'occasion de revoir sa stratégie de formation pour co-construire avec ses salariés un plan de formation alliant performance de l'organisation et engagement des équipes.
Au cours de ce webinar de 20 minutes, co-animé avec la Caisse des Dépôts et Consignations, découvrez tous les détails actualisés sur les dotations et les exonérations, les meilleures pratiques, et comment maximiser les avantages pour les entreprises et leurs salariés.
Au programme :
- Principe et détails de la « Participation Financière Obligatoire » entrée en vigueur
- La dotation : une opportunité à saisir pour co-construire sa stratégie de formation
- Mise en pratique : comment doter ?
- Quelles incidences pour les titulaires ?
Webinar exclusif animé à distance en coanimation avec la CDC
2. Objectifs
A la fin de cette leçon ,vous serez capable de :
Évaluer les pratiques de gestion de niveau de services pour s’assurer que
les niveaux de services des fournisseurs internes et externes sont définis et
gérés.
Evaluer la gestion des opération des SI pour s’assurer que les fonctions de
support des TI sont alignées aux besoins de l’entreprise.
Evaluer les pratiques d’administration des données pour s’assurer de
l’intégrité et de l’optimisation des bases de données de l’organisation.
Evaluer les pratiques de gestion des changement, de gestion de la
configuration et de gestion des versions pour fournir l’assurance que les
changement apportés à l’environnement de production de l’organisation
sont bien contrôlés et documentés.
Evaluer les pratiques de gestion des problèmes et de gestion des incidents
pour fournir l’assurance que les incidents et problèmes sont enregistrés,
analysés et résolus en temps opportun.
3. Opérations des SI
Gestion des opérations des SI
Attribution des ressources : S’assurer que les
ressources nécessaires sont disponibles pour
effectuer les activités prévues par les fonctions
des SI.
Normes et procédures : Etablir les normes et les
procédures nécessaires pour toutes les opérations
et conformité avec les stratégies et les politiques
globales de l’entreprise.
Contrôle des processus : Surveiller et mesurer
l’efficience des processus d’opération des SI pour
que ces processus soient améliorés dans le
temps
4. Opérations des SI
Gestion des services des TI
Bureau de service
Gestion des incidents
Gestion des problèmes
Gestion de la configuration
Gestion des changements
Gestion des versions
Gestion des niveaux de service
Gestion financière des TI
Gestion des capacités
Gestion de la continuité des services de TI
Gestion de la disponibilité
5. Opérations des SI
Vérification du niveau de service
Rapport d’exception : rapport automatisé énumérant toutes
les applications ne s’étant pas terminé avec succès ou
n’ayant pas fonctionné convenablement.
Journaux de système et d’application : journaux générés
par divers systèmes et applications fournissant des
informations concernant les activités effectuées et les
évènements anormaux.
Rapport sur les problèmes de l’opérateur : rapport manuel
utilisé par les opérateurs pour consigner les problèmes liés
aux opérations informatiques et leurs solutions.
Horaires de travail des opérateurs : horaires habituellement
définis par le groupe de gestion des SI pour aider à planifier
les ressources humaines.
6. Opérations des SI
Infrastructure des opérations
L’exécution et la surveillance des tâches prévues
La sauvegarde de copies de secours en temps opportun
La surveillance des intrusions non autorisées et de
l’utilisation des données sensibles
La surveillance et la vérification de l’étendue de la
conformité aux procédures d’opération des TI, telles
qu’établies par la gestion des SI de l’entreprise.
La participation au test des plan de reprise après sinistre
La surveillance de la performance, de la capacité, de la
disponibilité et de l’échec des ressources
informationnelles;
La gestion du dépannage et des incidents
7. Opérations des SI
Surveillance de l’utilisation des ressources
Gestion des incidents : Améliore la continuité des
services grâce à la réduction ou l’élimination des
nuisances causées par les perturbations des services
des TI. Les étapes sont la détection, la classification,
l’assignation aux spécialistes, la résolution et la
fermeture des dossiers d’incidents.
Gestion des problèmes : Vise à résoudre les problèmes
par l’enquête et l’analyse en profondeur d’un incident
majeur ou de plusieurs incidents de nature similaire afin
d’en identifier la cause principale. L’une des méthodes
d’analyse est le développement d’un diagramme
Ishikawa grâce à des séances de brainstorming par les
parties concernées.
8. Opérations des SI
Centre d’assistance
Documenter les incidents des utilisateurs et
débuter le processus de résolution de problème
Prioriser les problèmes et les faire suivre au
personnel des TI adéquat, ou les transmettre à la
gestion des TI au besoin
Effectuer un suivi des incidents non résolus
Conclure les incidents résolus, en notant
l’autorisation de clore l’incident obtenue auprès de
l’utilisateur
9. Opérations des SI
Processus de gestion des modifications
La documentation des systèmes, opérations et programmes est
complète, à jour et en conformité avec les normes établies;
Les instructions de préparation de travaux, d’ordonnancement et
d’opération ont été établies;
Les résultats de test des systèmes et des programmes ont été
examinés et approuvés par le service de gestion des utilisateurs et les
responsables du projet;
La conversion des fichiers de données, lorsque cela s’avère nécessaire,
a été effectuée de façon rigoureuse et complète, comme en fait foi
l’examen et l’approbation par le service de gestion des utilisateurs;
Tous les aspects de la livraison des travaux ont été testés, examinés et
approuvés par le personnel de contrôle et des opérations;
Les risques d’impacts négatifs sur les opérations de l’entreprise sont
examinés et un plan de retour en arrière est mis en place afin d’annuler
les modifications si cela s’avère nécessaire
10. Opérations des SI
Gestion des versions
Versions majeures : Contient habituellement un
changement important ou un ajout de nouvelles
fonctionnalité et surpasse habituellement toutes
les mises à niveau mineures précédentes.
Versions mineures : Mises à niveaux comportant
habituellement de petites améliorations et
corrections et surpasse habituellement toutes les
versions d’urgence précédentes.
Versions d’urgence (patch) : Contient
habituellement la correction d’un petit nombre de
problèmes connus afin de prévenir une
interruption des fonctions critiques de l’entreprise.
11. Opérations des SI
Planification de versions
L’obtention d’un consensus sur le contenu de la
versions;
L’entente sur la stratégie de sortie
La production d’un échéancier de haut niveau pour la
version
La planification des niveaux de ressources
L’entente sur les rôles et responsabilités de chacun
La production des plans de retrait
Le développement d’un plan de qualité pour la version
L’acceptation de la planification par les groupes de
soutien et le client
12. Opérations des SI
Assurance de la qualité
Le personnel d’assurance de la qualité vérifie que
les modifications au systèmes sont autorisées,
testées et implantées de façon contrôlée avant
d’être introduite dans l’environnement de
production.
A l’aide de logiciel de bibliothèque, le personnel
d’assurance qualité supervise également la
maintenance appropriée des versions du
programme et du code source pour en vérifier
l’intégrité.
13. Opérations des SI
Gestion de la sécurité de l’information
Evaluation des risques portant sur les actifs
informationnels;
Analyse des répercussions sur les opérations
(BIA);
Mise en place des politiques, procédures et
normes liées à la sécurité de l’information;
Evaluation régulière de la sécurité
Mise en place d’un processus de gestion des
vulnérabilités.
14. Opérations des SI
Nettoyage des supports de données
Identifier les types de supports utilisés pour le
stockage de l’information
Cibler les techniques de nettoyage pour les
supports approuvés en fonction du niveau de
sensibilité de l’information et des exigences de
protection.
15. Structure matérielle des SI
Composantes et architectures
Composantes de traitement : L’unité centrale de
traitement est la composante centrale d’un
ordinateur et est composé d’une unité
arithmétique et logique, d’une unité de contrôle
et d’une mémoire interne.
Composantes d’entée-sortie : servent à
transmettre les instructions ou informations à
l’ordinateur ainsi qu’à afficher ou enregistrer les
sorties générées par l’ordinateur.
16. Structure matérielle des SI
Type d’ordinateurs
Superordinateurs
Ordinateurs centraux
Serveurs haut de gamme et milieu de gamme
Ordinateurs personnels
Ordinateurs clients légers
Ordinateurs bloc-notes ou portatifs
Téléphones intelligents et ANP
17. Structure matérielle des SI
Dispositifs dorsaux communs pour les entreprises
Serveur d’impression
Serveur de fichiers
Serveur d’application
Serveur Web
Serveur mandataires (Proxy)
Serveur de base de données
Serveur monofonctionnels
Coupe-feu
Système de détection d’intrusion
Système de prévention d’intrusion
Commutateurs
Routeurs
Réseau privé virtuel
Equilibreur de charges
18. Structure matérielle des SI
Bus USB
Norme de bus série pour relier des appareils à un hôte.
Conçue pour permettre le branchement de plusieurs
périphériques à une interface de connexion unique et
pour améliorer les capacités de branchement à chaud;
Permet d’alimenter en énergie des appareils à faible
consommation d’énergie sans recourir à une source de
courant externe;
Permet d’utiliser de nombreux appareils sans devoir
installer de pilotes propres au fabricant pour chacun
d’eux.
19. Structure matérielle des SI
Bus USB - Risques
Virus et autres logiciels malveillants
Vol de données
Perte de données et du support
Corruption des données
Perte de confidentialité
20. Structure matérielle des SI
Bus USB – Contrôle de sécurité
Chiffrement
Contrôle granulaire
Eduquer le personnel de sécurité
Faire respecter la politique de verrouillage des
ordinateurs
Mettre à jour la politique antivirus
Utiliser uniquement des appareils sécurisés
Inscrire vos coordonnées
21. Structure matérielle des SI
Identification par radiofréquence
RFID se sert des ondes radio pour identifier des objets
étiquetés dans un rayon limité.
L’étiquette consiste en une puce et une antenne.
La puce emmagasine l’information ainsi qu’une
identification du produit.
L’antenne constitue l’autre partie de l’étiquette, laquelle
transmet l’information au lecteur RFID
Plusieurs applications :
Gestion des actifs
Suivi
Vérification de l’authenticité
Correspondance
Contrôle des processus
Contrôle d’accès
Gestion de la chaîne d’approvisionnement
22. Structure matérielle des SI
RFID – Risques
Risque pour les processus d’entreprise
Risque pour les renseignements d’entreprise
Risque pour la confidentialité
Risque pour l’externalité
23. Structure matérielle des SI
RFID - Contrôle de sécurité
Administratif : Supervision de la sécurité du système
RFID;
Opérationnel : Actions effectuées quotidiennement par
les administrateurs et utilisateurs du système;
Technique : Recours à la technologie pour surveiller et
restreindre les actions pouvant être effectuées au sein
du système.
24. Structure matérielle des SI
Programme de maintenance du matériel
Renseignements fiables relatifs à l’entreprise de
service pour chaque matériel qui requiert un
entretien
Programme formel d’entretien approuvé par la
direction;
Coûts d’entretien
Historique des entretiens effectués (planifiés,
non planifiés, effectués et exceptionnels)
25. Structure matérielle des SI
Procédures de surveillance du matériel
Rapports de disponibilité : Indiquent les périodes
durant lesquelles l’ordinateur fonctionne et qu’il est à
la disposition des utilisateurs ou d’autres processus.
Rapports d’erreur du matériel : Montrent les
défaillances de l’UCT, des E/S, de l’alimentation et du
stockage.
Rapports d’utilisation : Informent sur l’utilisation de
la machine et de ses périphériques.
Rapports de gestion des actifs : Font état de
l’inventaire des équipements branchés au réseau
comme les PC, serveurs, routeurs et autres appareils.
26. Structure matérielle des SI
Gestion de la capacité
Planification et suivi des ressources informatiques et de
réseau pour garantir que les ressources disponibles sont
utilisées de façon efficace.
Tient compte des prévisions dictées par les expériences
antérieures tout en prenant en considération la
croissance de l’entreprise et les agrandissements futurs.
Les renseignements suivants sont essentiels :
L’utilisation de l’UCT
L’utilisation de la capacité de stockage de l’ordinateur
L’utilisation des télécommunications, du réseau local et de la largeur de bande
du réseau étendu
L’utilisation des canaux d’E/S
Le nombre d’utilisateurs
Les nouvelles technologies disponibles
Les nouvelles applications disponibles
Les SLA
27. Architecture et logiciels des SI
Système d’exploitation
Traitement des interruptions
Création et destruction de processus
Commutation de l’état de processus
Répartition
Synchronisation du processus
Communication interprocessus
Soutien des processus d’E/S
Allocation de la mémoire
28. Architecture et logiciels des SI
Système de gestion de base de données
L’indépendance des données pour les systèmes d’applications
La facilité de support et la flexibilité à satisfaire les exigences
relatives aux modifications des données
L’efficience du traitement des transactions
La réduction de la redondance des données
La capacité d’optimiser la cohérence des données
La capacité de minimiser les coûts de maintenance grâce au
partage des données
L’occasion de mettre en œuvre les normes liées aux données ou
à la programmation
L’occasion de mettre en œuvre la sécurité des données
La disponibilité des vérifications de l’intégrité des données
stockées
La facilitation de l’accès ponctuel des utilisateurs aux données
29. Architecture et logiciels des SI
Système de gestion de base de données
Dictionnaire des données
Modèle de base :
Hiérarchique
Réseau
Relationnelle
Contrôles de la base de données
Etablissement de mise en œuvre de normes
Etablissement et implantation de procédures de sauvegarde et
de récupération
Etablissement des niveaux de contrôles d’accès
Etablissement de contrôles afin de garantir l’exactitude,
l’exhaustivité et la cohérence des données
Utilisation de points de contrôle de base de données
…
30. Architecture et logiciels des SI
Programmes utilitaires
Cinq domaines fonctionnels :
La compréhension des systèmes d’applications
L’évaluation de la qualité des données
Les tests de programmes
L’assistance à la conception rapide de programmes
L’amélioration de l’efficience opérationnelle
Utilitaires sur PC
Vérification, nettoyage et défragmentation de disques
Définition de normes du système de fichiers
Initialisation des volumes de données
Sauvegarde et restauration des images du système
Reconstruction ou restauration des fichiers effacés
Test des unités et périphériques du systèmes
…
31. Architecture et logiciels des SI
Licences de logiciels
Centralisation du contrôle et de l’installation des logiciels
Restriction des disques durs et ports USB sur les PC
Installation de logiciels de comptage sur le réseau local
Utilisation des licences Site (fonction du nombre
d’utilisateur plutôt que d’un utilisateur ou d’une machine
en particulier)
Utilisation de licences d’utilisation concurrente (fonction
du nombre d’utilisateur accédant au logiciel au même
moment)
Examen régulier des PC utilisateurs
32. Infrastructure du réseau des SI
Type de réseau
Réseaux personnels (PAN)
Réseau locaux (LAN)
Réseaux étendus (WAN)
Réseaux métropolitains (MAN)
Réseaux de stockage (SAN)
33. Infrastructure du réseau des SI
Services réseau
Système de fichiers réseau
Services de courriel
Services d’impression
Services d’accès à distance
Services d’annuaire
Gestion du réseau
Protocole DHCP
Système de nom de domaine (DNS)
34. Infrastructure du réseau des SI
Architecture du modèle de référence OSI
Couche d’application
Couche de présentation
Couche de session
Couche de transport
Couche réseau
Couche de liaison de
données
Couche physique
35. Infrastructure du réseau des SI
Média de transmission
Cuivre Utilisé pour de courtes Bon marché Facile à mettre sous écoute
distances (< 60 mètres) Simple à installer Facile à raccorder
Soutien la voix et les données Facile à se procurer Diaphonie
Simple à modifier Perturbation
Bruit
Câble coaxial Soutient les données et les Facile à installer épais
vidéos Simple Cher
Facile à se procurer Ne soutien pas beaucoup de LAN
Sensible à distance
Difficile à modifier
Fibre optique Utilisé pour les longues distances Grande capacité de bande Cher
Soutient les données vocales, les passante Difficile à raccorder
images et les vidéos Sécuritaire Difficile à modifier
Difficile à mettre sous écoute
Pas de diaphonie
Plus petit et léger que le cuivre
Systèmes de Utilisé pour de courtes distances Bon marché Facile à mettre sous écoute
radio Perturbation
communication Bruit
Réseaux Ligne de vision d’onde porteuse Bon marché Facile à mettre sous écoute
hertziens pour les signaux de données Simple à installer Perturbation
Disponible Bruit
Faisceaux Utilise les transporteurs pour Grande bande passante et Facile à mettre sous écoute
hertziens par envoyer l’information différentes fréquences Perturbation
satellite Bruit
36. Infrastructure du réseau des SI
Composantes du LAN
Répéteurs
Concentrateurs
Ponts
Commutateur de couche liaison de données
Routeurs
Passerelles
38. Plan de reprise après sinistre
RPO et RTO
L’OPR quantifie de façon efficace la quantité tolérable de
données perdues en cas d’interruption.
L’OTR est déterminé en fonction de la période d’arrêt
acceptable en cas d’interruption des opérations.
Interruption
Recovery Point Objective Recovery Time Objective
1 1 1 1 1 1
Week Day Hour Hour Day Week
39. Plan de reprise après sinistre
Stratégie de reprise
Centre de secours immédiat
Centre de secours intermédiaire
Salle blanche (ou vide)
Centre de traitement informatique redondant
Centre mobile
Accord de réciprocité avec d’autres
organisations
40. Plan de reprise après sinistre
Méthodes de reprise
Applications
Grappe active-passive
Grappe active-active
Données
RAID
Réseaux de télécommunication
Redondance
Réacheminement
Acheminement divers
Diversité du réseau sur les longues distances
Protection des circuits du dernier kilomètre
Restauration de la voix
41. Plan de reprise après sinistre
Elaboration des plans de reprise
Les procédures de déclaration d’un sinistre
Les critères d’activation du plan
Les liens avec les plans d’ensemble
Les personnes responsables de chaque fonction du plan
Les équipes de reprise et leurs responsabilités
Les listes de coordonnées et de communication
Les scénarios de reprise
Le processus de reprise global
Les procédures de reprise de chaque système
Les coordonnées des fournisseurs importants
La liste des ressources requises pour la reprise
42. Plan de reprise après sinistre
Sauvegarde et restauration
Quoi ?
Définir les données à sauvegarder
Comment ?
Quel type de sauvegarde réaliser
Quand ?
Établir la périodicité
Où ?
Déterminer le support à utiliser
43. Plan de reprise après sinistre
Sauvegarde et restauration
Sauvegarde complète :
Sauve l’ensemble des fichiers du disque dur, en un seul bloc.
Souvent de très longue durée
Oblige un temps de non utilisation du serveur
Récupération très longue, surtout s’il faut chercher un seul fichier
Sauvegarde incrémentale :
Sauve seulement les fichiers modifiés depuis la dernière opération de
sauvegarde, quelque soit son type.
La récupération des fichiers implique une série de restaurations en
remontant dans le temps jusqu’à sauvegarde complète du dossier.
Sauvegarde différentielle :
Sauve tous les fichiers modifiés depuis la précédente sauvegarde
complète, indépendamment de leur modification.
Le temps de sauvegarde peut être long et augmente à chaque
sauvegarde.
44. Plan de reprise après sinistre
Sauvegarde et restauration
Prévoir un planning de sauvegarde, en fonction :
des données : OS, annuaires, données utilisateurs…
des disponibilités de la PR.
Exemple de planning :
En semaine 3, on utilise les bandes de la semaine 1 et
en semaine 4, celles de la semaine 2
L M M J V S D L M M J V S D
Type Diff. Diff. Diff. Diff. Diff. Compl. Diff. Diff. Diff. Diff. Diff. Compl.
Bandes L1 M1 M1 J1 V1 COMP1 L2 M2 M2 J2 V2 COMP2
45. Plan de reprise après sinistre
Sauvegarde et restauration
Les bandes
Les cartouches DAT, 4 & 8 mm, de 2GB à 1.3
TB compressé
Les cartouches DLT et SuperDLT, de 15 GB à
2,4TB compressé.
Les disques durs
NAS (Network Attached Storage)
SAN (Storage Attached Network)
• Les sauvegardes se font sur des disques durs
implantés dans un serveur spécifique dédié.
• L’administration se fait par interface web.
46. Remerciements
Pour IBT ( Institute of Business and Technology)
BP: 15441 Douala - Cameroun
Par Arsène Edmond NGATO, CISA, CISM,
PMP, OCP 10g/11g
Téléphone- 99183886
Email- arsenengato@yahoo.fr
Sources : Manuel de préparation CISA 2012,
Divers articles téléchargés sur Internet.
47. Question type examen
Lequel des énoncés suivants constitue la MEILLEURE
méthode pour déterminer le niveau de performance
offert par d’autres installations similaires de traitement
des données ?
A. La satisfaction de l’utilisateur
B. L’atteinte des objectifs
C. L’analyse comparative
D. La planification de la capacité et de la croissance
48. Question type examen
Pour les systèmes critiques de mission ayant une faible
tolérance à l‘interruption et un coût de rétablissement
élevé, l’auditeur des SI devrait, en principe,
recommander l’utilisation de laquelle des options de
reprise suivante?
A. Un centre mobile
B. Un centre de secours intermédiaire
C. Une salle blanche
D. Un centre de secours immédiat
49. Question type examen
Un département des TI universitaire et un bureau des services
financiers ont conclu un accord de niveau de service (SLA) selon
lequel la disponibilité doit dépasser 98% chaque mois. Le bureau
des services financiers a analysé la disponibilité et a noté qu’elle
dépassait 98% pour chacun des 12 derniers mois, mais que la
moyenne était de seulement 93% lors de la fermeture de fin de
mois. Laquelle des options suivantes constitue l’action la PLUS
appropriée que le bureau des services financiers doit
entreprendre ?
A. Renégocier l’accord
B. Informer le département des TI que l’accord ne répond pas aux
exigences relatives à la disponibilité
C. Acquérir de nouvelles ressources informatiques
D. Rationaliser le processus de fermeture de fin de mois.
50. Question type examen
Laquelle des méthodes suivantes est la PLUS efficace
pour qu’un auditeur des SI puisse tester le processus de
gestion des modifications apportées aux programmes ?
A. Le traçage de l’information générée par le système vers
la documentation de la gestion des modifications
B. L’examen de la documentation de gestion des
modifications pour vérifier l’exactitude
C. Le traçage de la documentation de la gestion des
modifications vers une piste d’audit générée par le
système
D. L’examen de la documentation de gestion des
modifications pour vérifier l’intégrité.
51. Question type examen
L’objectif principal de la planification de la capacité est
de s’assurer que :
A. Les ressources disponibles sont pleinement utilisées
B. De nouvelles ressources dévouées aux nouvelles
applications seront ajoutées au moment opportun
C. Les ressources disponibles sont utilisées de façon
efficace et efficiente
D. Le pourcentage d’utilisation des ressources ne passe
pas sous la barre de 85%.
52. Question type examen
L’avantage PRINCIPAL de la normalisation de la base
de données est :
A. La minimisation, dans les tables, de la redondance de
l’information requise pour satisfaire les besoins des
utilisateurs
B. La capacité de répondre à plus de requêtes
C. L’optimisation de l’intégrité de la base de données en
fournissant de l’information dans plus d’une table
D. La minimisation du temps de réponse grâce au
traitement plus rapide de l’information
53. Question type examen
Lequel des points suivants permettrait à une entreprise
d’étendre son intranet à ses partenaires commerciaux à
l’aide d’Internet ?
A. Réseau privé virtuel
B. Client-serveur
C. Accès par ligne commuté
D. Fournisseur de services de réseau
54. Question type examen
La classification d’une application logicielle en fonction
de sa criticité dans le cadre d’un plan de continuité des
opérations de SI est déterminée par :
A. La nature de l’entreprise et la valeur de l’application pour
l’entreprise
B. Le coût de remplacement de l’application
C. Le soutien offert par le fournisseur relativement à
l’application
D. Les menaces et vulnérabilités associées à l’application.
55. Question type examen
Lors de la réalisation d’un audit concernant la sécurité
de la base de données client-serveur, l’auditeur du
secteur des SI doit être SURTOUT informé de la
disponibilité des éléments suivants :
A. Les installations du système
B. Les générateurs de programmes d’applications
C. La documentation traitant de la sécurité des systèmes
D. L’accès aux procédures stockées
56. Question type examen
Lors de la revue du réseau utilisé pour les
communications Internet, un auditeur du secteur des SI
doit D’ABORD vérifier :
A. La validation des occurrences de modification des mots
de passe
B. L’architecture de l’application client-serveur
C. L’architecture réseau et la conception
D. La protection des coupe-feux et les serveurs
mandataires
57. Question type examen
Un auditeur des SI doit être impliqué dans :
A. L’observation des test de plan de reprise après sinistre
B. Le développement du plan de reprise après sinistre
C. Le maintien du plan de reprise après sinistre
D. L’examen des exigences de reprise après sinistre
relatives aux contrats avec les fournisseurs
58. Question type examen
La période nécessaire au rétablissement des fonctions
de traitement de l’information repose sur :
A. La criticité des processus touchés
B. La qualité des données traitées
C. La nature du sinistre
D. Les applications centrales
Notes de l'éditeur
Les pratiques d’exploitation, d’entretien et de soutien des SI sont importantes pour garantir aux utilisateurs et aux gestionnaires que les services escomptés seront rendus. Les attentes relatives aux niveau de service découlent des objectifs d’affaires de l’organisation. La prestation des services TI comprend les activités des SI, les services des TI ainsi que la gestion des SI et des groupes responsables de leur soutien. L’objectif de ce domaine est de garantir que le candidat au titre de CISA comprend et peut fournir l’assurance que les processus d’exploitation, d’entretien et de soutien des SI respecteront les objectifs stratégiques de l’organisation. Ce domaine représente 23 % des questions de l’examen CISA (soit environ 46 questions).
Les opérations des SI comprennent le soutien quotidien de l’environnement matériel et logiciel des SI d’une organisation. Cette fonction est particulièrement importante lorsque des tâches informatiques volumineuses et centralisées sont effectuées régulièrement à des fins commerciales, pour réaliser des travaux ou pour effectuer des mises à jour. Le groupe de gestion des opérations des SI à la responsabilité de toutes les opérations du service des SI. Les fonctions de gestion des opérations sont les suivantes :
La gestion des services des TI est un concept qui regroupe les processus et les procédures qui assurent la prestation efficiente et efficace des services des TI à l’entreprise. La gestion des services des TI se concentre sur les initiatives de l’entreprise et couvre la gestion de l’infrastructure des applications des TI qui soutiennent et offrent ces services. Cela inclut le perfectionnement des services de TI pour répondre aux besoins changeants de l’entreprise ainsi que l’évaluation et la démonstration des améliorations à la qualité des services de TI offerts, en même temps qu’une réduction du coût du service à long terme.
Les caractéristiques des services de TI servent à définir l’accord sur les niveaux de service. Les caractéristiques à considérer lors de la prestation de ces services incluent l’exactitude, l’exhaustivité, la ponctualité et la sécurité. Plusieurs outils sont disponibles pour surveiller l’efficience et l’efficacité des services fournis par le personnel des SI. Ces outils comprennent :
Les opérations de TI constituent des processus et des activités qui soutiennent et gèrent l’ensemble de l’infrastructure, des systèmes, des applications et des données en TI, en mettant l’accent sur les activités au quotidien. Le personnel des opérations de TI s’occupent du fonctionnement exact et rigoureux du réseau, des systèmes et des applications, ainsi que de la prestation de services de TI de qualité aux utilisateurs professionnels et aux clients. Les tâches du personnel des opérations de TI comprennent :
Les ressources informatiques, comme tout autre actif organisationnel, doivent être utilisées de telle sorte que l’organisation entière en tire profit. Il s’agit entre autres de donner l’information au personnel autorisé au moment et à l’endroit requis, et à un coût identifiable et vérifiable. Les ressources informatiques comprennent le matériel, les logiciels, les télécommunications, les réseaux, les applications et les données. La gestion des problèmes et la gestion des incidents sont liées, mais utilisent différentes méthodes et ont différents objectifs. L’objectif de la gestion des problèmes consiste à réduire le nombre et la sévérité des incidents, tandis que l’objectif de la gestion des incidents consiste à retourner le processus affecté à sa condition normale aussi rapidement que possible afin de minimiser l’impact sur l’entreprise.
La fonction de soutien technique a pour responsabilité de fournir une expertise des systèmes de production afin de déterminer les changements ou les développements à apporter aux systèmes, et d’aider à résoudre les problèmes. De plus, le soutien technique doit informer la direction sur les technologies disponibles dont pourrait tirer parti l’ensemble des opérations. L’objectif principal du centre d’assistance est d’apporter un appui à l’utilisateur. Le personnel du centre d’assistance doit veiller à ce que tous les incidents liés au matériel ou aux logiciels soient bien documentés et traités en fonction des priorités établies par la direction. Les fonction de base sont les suivantes :
La procédure de contrôle des modifications fait partie de la fonction plus générale des modifications et sont établies par le service de gestion des SI afin de contrôler le mouvement des applications depuis l’environnement de test, où s’effectue le développement et la maintenance, vers l’environnement de production. La gestion des changements sert également lors des changements de matériel, de la mise à niveau vers les dernières versions des applications prêtes à être utilisées et de la configuration des divers périphériques réseau (coupe-feux, routeurs, commutateurs). Les procédures associées à ce processus de migration permettent de garantir que :
La gestion des nouvelles versions d’un logiciel est le processus par lequel un logiciel est mis à la disposition des utilisateurs. Le terme « version » est utilisé pour décrire un ensemble de changements autorisés. La version comprend habituellement plusieurs corrections de problèmes et amélioration au service. 1- Le fait de regrouper plusieurs changements facilite l’exécution de tests plus complets ainsi que la formation utilisateur prévue. 2- Les versions mineures sont généralement utilisées pour régler les petit problèmes de fiabilité ou de fonctionnalité qui ne peuvent attendre la prochaine version majeure. 3- En fonction de l’urgence de la version, des activités limitées de test et de gestion de version sont effectuées avant l’implantation. De tels changement doivent être évités autant que possible, car ils augmentent le risque d’introduction d’erreurs.
L’organisation doit décider de l’approche la plus appropriée, en fonction de la taille et de la nature des systèmes, du nombre et de la fréquence des versions requises, ainsi que de tout besoin spécial des utilisateurs, par exemple, si une mise en place par phases est requise sur une période de temps plus longue. Toutes les versions doivent posséder un identificateur unique pouvant être utilisé par le service en charge de la gestion de la configuration. La planification des versions implique :
La gestion de la sécurité de l’information assure l’opération continue des TI et la sécurité des processus et des données de l’entreprise. Les processus de sécurité de l’information doivent être intégrées à tous les processus d’opération des TI et comprend : Complément au chapitre 5.
Un programme efficace de nettoyage des supports de données définit les moyens de contrôle, les techniques et les procédés nécessaire pour préserver la confidentialité de l’information sensible stockée sur les supports de données qui seront réutilisés, déplacés ou jetés. En général, le nettoyage comprend l’expurgation de l’information enregistrée sur les supports de données afin d’offrir une assurance raisonnable que le contenu restant ne pourra pas être récupéré ou restauré.
Cette section constitue une introduction aux plateformes matérielles qui composent les systèmes d’information dans les entreprises d’aujourd’hui et les facteurs clés de l’audit comme la gestion de la capacité, la surveillance du système, la maintenance du matérielle et les étapes normales dans l’acquisition de nouveaux matériels. Les composantes matérielles d’un SI comprennent différentes composantes interdépendantes qui exécutent des fonctions précises et qui peuvent être classées comme composantes de traitement ou d’E/S. 1- La carte-mère, la mémoire vive (RAM) et la mémoire morte (ROM) sont aussi des composantes clés d’un ordinateur. 2- Certaines composantes, comme le clavier et la souris ,sont des dispositifs d’entrée seulement, tandis que d’autres, comme l’écran tactile, servent à l’entrée et à la sortie. Les imprimantes sont des dispositifs de sortie seulement.
Plusieurs critères, basés sur la puissance de traitement, la taille et l’architecture, peuvent servir à classer les ordinateurs. 1- Ordinateurs de très grande taille et onéreux qui possèdent la plus grande rapidité de traitement pour exécuter des tâches spécialisées ou pour être utilisés dans des domaines qui exigent une importante puissance de traitement comme l’exécution de calcul mathématiques ou logiques complexes. 2- Ordinateurs de grandes tailles destinés à l’exécution de tâches générales et qui sont conçus pour partager leur puissance de traitement et leurs installations avec des milliers d’utilisateurs internes ou externes. 3- Systèmes multitraitement capables de supporter simultanément des milliers d’utilisateurs. 4- Petits systèmes informatisés, appelés PC ou poste de travail, qui sont conçus pour les utilisateurs individuels, dont le prix est relativement bas et qui emploie la technologie des microprocesseurs qui consiste à intégrer toute l’UCT sur une puce. 5- Ordinateurs personnels dont les caractéristiques matérielles sont habituellement minimales (ex poste de travail sans disque), car la majeure partie du traitement se fait à l’échelle du serveur et par le biais d’un logiciel, comme MS Terminal Services ou Citrix Presentation Server, afin d’accéder à une série d’application. 6- Ordinateurs personnels de poids léger, facile à transporter et alimentés par une connexion ordinaire. 7- Terminaux de poche qui permettent à l’utilisateur de se servir d’un petit appareil informatique de la taille d’une calculatrice comme agenda électronique et organisateur personnel.
1- Les serveurs d’impression permettent aux entreprises de grouper les ressources d’impression afin de réaliser des économies. 2- Ils procurent à l’ensemble de l’organisation l’accès aux fichiers et aux programmes. Des référentiels de documents peuvent être centralisés dans quelques emplacements au sein de l’entreprise et contrôlés par le biais d’une matrice de contrôle d’accès. 3- Abrite les programmes logiciels qui fournissent aux ordinateurs clients l’accès aux applications, y compris le traitement de la logique de gestion et de communication avec la base de données de l’application. 4- Par l’entremise des pages Web, ils fournissent de l’information de des services aux clients externes et aux employés en interne. 5- Ils procurent un lien intermédiaire entre les utilisateurs et les ressources. Contrairement à l’accès direct, les serveurs mandataires accèderont aux services au nom d’un utilisateur. 6- Ils emmagasinent les données brutes et ils servent de référentiel. Se concentre sur le stockage de l’information plutôt que sur sa présentation. 7- Ils fournissent un service spécifique et sont normalement incapables de faire fonctionner d’autres services. Ils sont beaucoup plus petits, beaucoup plus rapides et très efficaces.
Ie « prêt à l’utilisation » ou encore « plug and play » : un appareil peut être branché et débranché sans qu’on doivent redémarrer l’ordinateur ni éteindre l’appareil.
1- des utilisateurs peuvent apporter des documents infectés de la maison au travail, ou encore ouvrir un document d’entreprise sur leur ordinateur personnel infecté, mettre à jour le document et le transmettre à un serveur de fichier d’entreprise. 2- tout ordinateur non verrouillé laissé sans surveillance et muni d’un port USB devient vulnérable aux activités criminelles. 3- La plupart des clé USB n’ont pas de dispositif de sécurité. Si vous perdez votre clé USB en vous rendant au travail, quiconque la trouve pourrait accéder aux données qu’elle contient. 4- A cause de sa petite taille pratique et de sa grande capacité logique, la clé USB peut accueillir un grand volume de données. Certains renseignements qu’elles contiennent sont confidentiels et les données risques d’être perdues si la clé est égarée.
1- Rend les données sur une clé USB inutile sans clé de chiffrement requise. Il s’agit généralement d’un mot de passe fort, mais il peut aussi s’agir d’une caractéristique biométrique comme l’empreinte digitale du pouce. 2- Il existe des produits permettant une gestion centralisée des ports 3- Le personnel responsable de la sécurité physique doit savoir à quoi ressemble ces appareils, comment ils fonctionnent et quel risque ils représentent. 4- Dans un environnement à risque élevé, l’intervalle de verrouillage automatique des postes de travail doit être de cinq minutes ou moins 5- Configurer le logiciel antivirus pour balayer toutes les clés branchées et supports amovibles, et les utilisateurs doivent prendre l’habitude des faire un nettoyage antiviral avant de les ouvrir. 6- Assurez vous de n’acheter que les appareils munis des dispositifs de sécurité pour les utilisateurs ayant accès à des données sensibles. 7- Dans l’éventualité où vous la perdiez ou égariez votre clé USB, l’inclusion d’un petit fichier texte lisible contenant vos coordonnées pourrait vous aider à la récupérer. Il serait prudent de ne pas y inclure le nom de votre entreprise et de simplement faire référence à un numéro de téléphone et boîte postale. Il serait également prudent d’inclure une mise en garde juridique identifiant clairement l’information contenue sur la clé comme étant confidentielle et protégée par la loi.
1- Les systèmes de gestion des actifs qui emploient la technologie RFID offrent des avantages considérables par rapport aux systèmes papier ou à code à barres, y compris la possibilité de lire l’identificateur de plusieurs articles presque simultanément sans suivi optique ni contact physique. 2- Les systèmes de gestion des actifs à RFID servent à déterminer l’emplacement d’un article ou, plus exactement, l’emplacement du dernier lecteur ayant détecté la présence de l’étiquette associée à l’article. 3- L’étiquette sert de preuve de la source pour l’article sur lequel elle est apposée. 4- 5- 6- Le système utilise la RFID pour vérifier automatiquement si un individu est autorisé à accéder à des installations physiques ou accéder logiquement à un système de TI.
1- Une attaque directe sur les composants du système RFID pourrait nuire aux processus d’entreprise que le système RFID a été conçu pour faciliter 2- Un adversaire ou concurrent pourrait obtenir un accès non autorisé à de l’information produite par RFID et s’en servir contre l’organisation se servant du système RFID. 3- Les droits et les attentes quant à la confidentialité individuelle pourrait être compromis si le système RFID utilise de l’information jugée personnellement identifiables à des fins autres que celles voulues ou comprises à l’origine. 4- La technologie RFID pourrait présenter un risque pour les systèmes, actifs et individus non reliés à la RFID car les communications par RFID sont invisibles pour les opérateurs et les utilisateurs.
1- Par exemple mettre à jour les politiques existantes pour aborder l’implantation de la RFID 2- Par exemple, les systèmes RFID ont besoin de contrôles opérationnels qui assurent la sécurité physique des systèmes et leur utilisation adéquate. 3- Par exemple des contrôles techniques sont nécessaires pour s’assurer de la protection des données contenues sur les étiquettes, l’autodestruction des étiquettes et la protection des communications sans fil.
Pour assurer le bon fonctionnement, le matériel doit être nettoyé et entretenu régulièrement. Les exigences d’entretien varient selon la complexité des charges de travail et leur rendement. Dans tous les cas, le programme d’entretien doit correspondre étroitement aux spécifications du fournisseur. L’entretien est également important pour le matériel de régulation de l’environnement qui contrôle la température et l’humidité, la protection contre les incendies et l’alimentation électrique. Le programme d’entretien du matériel est conçu pour documenter le rendement de cet entretien et comprend habituellement l’information suivante :
Les procédures et des rapports relatifs à la surveillance efficace et efficiente de l’utilisation du matériel sont les suivantes :
Le système d’exploitation renferme des programmes qui interfacent entre l’utilisateur, le processeur et les logiciels d’application. Il fournit les principaux moyens de gérer le partage et l’utilisation des ressources comme les processus, la mémoire réelle (ex. mémoire vive), la mémoire auxiliaire (ex. mémoire à disque) et les appareils d’E/S. Les principales fonctions liées aux processus de base des SE sont :
Un SGBD aide à organiser, à contrôler et à utiliser les données requises par les programmes d’application. Offre la possibilité de créer et de maintenir une base de données bien organisée. La réduction de la redondance des données, la diminution du temps d’accès et la sécurisation des données sensibles représentent certaines des fonctions principales du SGBD. Les avantages d’un SGBD sont les suivants :
1- Le SGBD comprend un dictionnaire de données qui détermine les champs, leurs caractéristiques et leur utilisation. Les DD actifs requièrent des entrées pour tous les éléments de données et ils secondent l’application dans le traitement des éléments de données comme la validation des caractéristiques ou des formats d’impression. Les DD passifs sont uniquement un référentiel d’information qui peut être visualisé ou imprimé. 2- Dans le modèle hiérarchique, il existe une hiérarchie parent-enfant entre segments de données. Les relations sont des mappages de type 1:N (un à plusieurs) et des duplications sont nécessaires pour exprimer les relations vers de multiples parents. - Dans le modèle réseau, la structure de la base de données est un ensemble composé d’un type d’enregistrement maître, d’un type d’enregistrement membre et d’un nom. Les relations 1:1, 1:N et N:N sont permises mais la complexité finale représente un handicap majeur à son adoption. - Dans le modèle relationnel, les données et les relations sont organisées en tables. Une table est un ensemble de rangées, aussi connues sous le nom de n-uplet. Certains champs sont désignés comme champs principaux et facilitent ainsi la recherche de valeurs précises à travers le mécanisme d’indexation. 3- Il est primordial que l’intégrité et la disponibilité de la base de données soient maintenus. Ceci est assuré grâce aux contrôles suivants :
Les programmes utilitaires sont des logiciels de base utilisés pour effectuer la maintenance et des routines fréquemment sollicitées lors des opérations de traitement courantes. Ils peuvent être classés selon l’utilisation en cinq domaines fonctionnels : 1- Générateurs de diagrammes, programme d’analyse du profil de transactions, programme d’analyse du chemin d’exécution et dictionnaire de données 2- Utilitaire de manipulation de données, utilitaire de vidage de mémoire, utilitaire de comparaison de données et fonction d’interrogation 3- Générateur de données de test, installation de débogage en ligne, analyseur de sortie et simulateur de réseau 4- Utilitaire de visualisation, copie de bibliothèque, éditeur de texte, fonction de programmation en ligne et générateur de code 5- Appareils de surveillance de l’UCT et de l’utilisation de la mémoire, programmes d’analyse des lignes de communication
Les logiciels sont régis par des lois relatives aux droits d’auteurs qui doivent être respectées afin d’éviter à une entreprise d’avoir à payer des pénalités liées aux violations de droit d’auteur et d’éviter l’embarras public d’être identifiée comme une entreprise qui utilise des copies de logiciels illégales. Les options disponibles pour empêcher les violations des licences des logiciels comprennent :
Les réseaux des SI ont été conçus pour répondre au besoin de partager les ressources d’information qui se trouvent sur différents appareils informatiques et qui ont permis aux entreprises d’améliorer leur procédés d’affaires et de réaliser d’importants gains de productivité. Les types de réseaux communs à toutes les entreprises se définissent comme suit : 1- Généralement, il s’agit d’un réseau micro-ordinateur utilisé pour les communications entre appareils informatique (téléphones, ANP, imprimantes, appareils photos, …) utilisés par une personne. La portée se trouve à l’intérieur d’un rayon de 33 pieds (environ 10 mètres). 2- Réseaux d’ordinateurs couvrant une zone limitée comme une maison, un bureau ou un campus. La portée est réduite mais les débits sont élevés. Les technologies couramment utilisées sont l’Ethernet et le Wi-Fi. Ce sont des réseaux d’interconnexion de LAN. 3- Réseaux d’ordinateurs couvrant une vaste zone comme une ville, une région, un pays ou un lien international. Ex. Internet. 4- WAN limités à une ville ou à une région. Les débits sont plus élevé que dans les WAN. 5- Adaptation du LAN pour la connexion d’appareils de mémoire aux serveurs et aux appareils informatiques. Les SAN centralisent le processus de stockage et d’administration des données.
Les services réseaux sont des caractéristiques fonctionnelles rendues possibles grâce aux applications du système d’exploitation. Ils permettent l’utilisation ordonnées des ressources sur le réseau. Les services d’application réseau utilisées couramment dans les environnements en réseau des entreprises sont les suivants : 1- Permet aux utilisateurs de partager des fichiers et autres ressources par réseau. 2- Fournissent la capacité d’envoyer un message non structuré à un autre individu ou à un groupe de personnes. 3- Fournissent la capacité de gérer et d’exécuter des services de demandes d’impression à partir d’autres appareils du réseau en passant par un serveur d’impression. 4- Fournissent les capacités d’accès à un hôte distant 5- Stockent l’information des ressources variées sur le réseau et aide les appareils de réseau à trouver des services. 6- Fournit un ensemble de fonctions pour contrôler et entretenir le réseau. 7- Protocole utilisé par les ordinateur clients en réseau pour obtenir les adresses IP et d’autres paramètres comme la passerelle par défaut, les masques de sous-réseau et les adresses IP des DNS d’un serveur DHCP. 8- Traduit les noms des nœuds de réseau en adresse réseau IP.
Le but des normes d’architecture réseau est de faciliter ce processus en fournissant un modèle de référence que les organisations peuvent utiliser pour développer les procédés de communication de réseau. La norme de performance de ce processus, le modèle de référence d’interconnexion de systèmes ouverts (OSI), a été développée par ISO en 1994. L’OSI se veut une preuve d’un modèle de concept composé de sept couches, chacune spécifiant les tâches ou les fonctions particulières spécialisées. Chaque couche est autonome et relativement indépendante des autres couches en ce qui concerne sa fonction particulière. Les fonctions des couches spécifiques du modèle OSI se définissent comme suit. 1- Fournit une interface standard pour les applications qui doivent communiquer avec les appareils du réseau (ex. imprimer des fichiers sur une imprimante connectée à un réseau, envoyer un courriel ou stocker les données sur un fichier serveur) 2- Transforme les données pour fournir une interface standard pour la couche d’application et fournit les services de communication communs comme le chiffrement, la compression de texte et le reformatage (ex. conversion du code d’échange décimal codé binaire étendu EBCDIC en code ASCII) 3- Contrôle les dialogues entre les ordinateurs, établit, gère et termine les sessions entre la couche d’application locale et distante. 4- Fournit un transfert de données fiable et transparent entre les extrémités 5- Crée un circuit virtuel entre la couche transport sur l’appareil local et la couche transport sur l’appareil distant. C’est la couche qui comprend les adresses IP et qui s’occupe du routage et du réacheminement. 6- Prévoit le transfert des données à travers une liaison physique. Elle reçoit les paquets de données de la couche réseau, les encapsule en trames et les envoie en train de bits à la couche physique. 7- Fournit l’équipement qui émet et reçoit le train de bits en tant que signaux électrique, optiques ou radio sur le medium ou le transporteur approprié.
1- Appareil de couche physique qui augmente la portée d’un réseau, ou qui connecte deux segments de réseau séparés ensemble. 2- Appareil de couche physique qui sert de centre d’un réseau possédant une topologie en étoile ou un concentrateur réseau. 3- Appareil de couche liaison de données qui sert à connecter des LAN ou à créer deux segments de réseau séparés de LAN ou de WAN à partir d’un seul segment pour réduire les domaines de collision. 4- Appareil de couche liaison de données qui peuvent diviser et interconnecter les segments réseaux et aident à réduire les domaines de collision dans les réseaux Ethernet. 5- Semblables aux ponts et aux commutateurs puisqu’ils relient deux ou plusieurs segments de réseau physique séparés. Les segments de réseau qui sont reliés par le routeur restent toutefois séparés logiquement et peuvent fonctionner comme des réseaux indépendants. 6- Agit comme un convertisseur de protocoles. Géméralement, ils connectent et convertissent entre les LAN et l’ordinateur central, ou entre les LAN et Internet, au niveau de la couche d’application du modèle OSI.
Voir page 324 à 329 du Manuel de Préparation CISA 2012.
Le PRS, qui appuie les activités d’entreprise et la fourniture des services de TI, est un élément de contrôle interne établi pour gérer la disponibilité et restaurer les processus et services de TI critiques en cas de perturbation. L’objectif de ce processus continu de planification est d’assurer que des contrôles rentables sont en place pour prévenir les perturbations potentielles aux TI et restaurer les capacités de TI de l’organisation en cas de perturbation. La première activité du PRS est la fixation des objectifs de reprise que sont le RPO et le RTO. Ces deux concepts sont basés sur des paramètres de temps. Plus les exigences relatives au temps sont faibles, ie. si l’OPR en en minutes, alors la duplication en temps réel ou le miroitage des données devront être mis en place comme stratégie de reprise. Si l’OTR en en minutes, la combinaison d’un centre de secours immédiat, de serveurs dédiés de rechange et de la mise en grappe doit âtre utilisée.
Une stratégie de reprise des opérations détermine la meilleur façon de rétablir un système en cas d’interruption ou de sinistre et offre un soutien sur la base duquel les procédures de reprise détaillées peuvent être développées. Différentes stratégies doivent être élaborées, et toutes les solutions de rechange doivent être présentées à la direction générale. La direction générale doit sélectionner les stratégies les plus appropriées à partir des choix présentés et doit en accepter les risques inhérents. Le choix d’une stratégie de reprise des opérations repose sur les éléments suivants : La criticité du processus de gestion et les applications soutenant les processus, les coûts, le temps requis pour le rétablissement, la sécurité. 1- Installations offrant de l’espace et une infrastructure de base ainsi que tout le matériel de TI et de communications nécessaire pour soutenir les applications critiques, en plus des meubles et de l’équipement nécessaire pour le personnel. 2- Installations offrant de l’espace et une infrastructure de base, et certains ou tous les équipements de TI et de communication nécessaires y sont installés. 3- Installations offrant de l’espace et une infrastructure de base adéquate pour soutenir la reprise des opérations, mais pas de l’équipement TU ou de communications, de programmes, de données ou de soutien administratif. 4- Site entièrement redondants où les données du site de production sont reproduites en temps réel. 5- Installations de traitement modulaires montées sur des véhicules transportables, prêtes à être livrées et montées à un emplacement qui peut être spécifié lors de l’activation. 6- Ententes entre des entreprises distinctes, mais semblables, qui consentent à partager temporairement leurs installations de TI dans l’éventualité où l’une d’entre elles perdrait ses capacités de traitement.
Partie du PCO, après un BIA et une évaluation des risques (ou autre méthode de détermination des risques et de l’efficacité des contrôles d’atténuation), la stratégie de reprise après sinistre est élaborée. L’implantation de cette stratégie nécessite que des changements soient apportés aux systèmes de TI, réseaux, sites de traitement des TI, structures organisationnelles (dénombrement des objectifs, rôles, postes), processus et procédures de TI. Le PRS de TI est un ensemble bien structuré de processus et de procédures visant à rendre les efforts de réponse et de reprise en cas de sinistre rapides, rentables et efficaces, afin de réaliser une synergie entre les équipes de reprise. Le plan doit être documenté et écrit dans un langage simple et facile à comprendre pour tous. Le PRS comprend typiquement : 1- Procédures de recours à la hiérarchie 2- ie dans quelles circonstances le sinistre est déclaré, quand le PRS de TI est appliqué, quels scénarios sont couverts par le plan 3- ex. Plan d’intervention d’urgence, plan de gestion de crise ou PCO de différents secteurs d’activité 4- 5- 6- Coordonnées des membres de l’équipe de reprise, des gestionnaires de la reprise, des parties prenantes, etc… 7- Perte de connectivité réseau, Perte d’un système de TI clé, Perte du site de traitement (salle serveur), Perte de données critiques, Perte d’un bureau, etc. 8- Où et quand la reprise doit avoir lieu (même site ou site de secours), ce qui doit être récupéré (système de TI, réseaux, etc.), l’ordre de reprise)
Pour garantir que les activités essentielles d’une organisation ne seront pas interrompues dans l’éventualité d’un sinistre, des supports de stockage secondaires sont utilisés pour sauvegarder les fichiers d’applications logicielles et les données associées aux fins de secours. La politique de sauvegarde doit contenir les points suivants :
Il existe trois grand méthodes de sauvegarde. Chacune a ses avantages et ses inconvénients. Les méthodes sont généralement combinées afin de se compléter.
Les supports de sauvegarde amovibles et fixes.
C : L’analyse comparative offre un moyen de déterminer le degré de rendement d’envirronements comportant des équipement pour le traitement d’informations similaires. La satisfaction de l’utilisateur est la façon d’assurer que les opérations de traitements de l’information répondent aux besoin des utilisateurs. L’atteinte des objectifs permet l’évaluation de l’efficacité au moment de comparer le rendement aux buts prédéfinis. La planification de la croissance et de la capacité s’avère essentielles, étant donné l’importance des technologies de l’information au sein des entreprises et l’évolution constante de la technologie.
D : Les centres de secours immédiats sont entièrement configurés et fonctionnels en quelques heures. Les sites mobiles sont des remorques spécialement conçues pour être transportées rapidement à l’emplacement d’une entreprise ou à un autre site afin de fournir une installation de traitement des informations prête et fonctionnelle. Les centres des secours intermédiaires sont particulièrement configurés avec généralement des connexions réseau et un équipement périphérique sélectionné, tels que des lecteurs de disques et autres contrôleurs, mais sans l’ordinateur principal. Les salles blanches ne fournissent que l’environnement de base pour exploiter l’IPF. Les salles blanches sont prêtes à recevoir l’équipement, mais n’offrent aucun élément destiné à répondre à un besoin avant le fait.
A : Le FSO a conclu un accord selon un SLA considéré non approprié. Afin de répondre aux besoins de l’entreprise, le FSO doit renégocier le plus rapidement possible? Il est évident que les TI répondent aux normes de disponibilité mises en place. L’acquisition de ressources informatiques supplémentaire pourrait être inutile ou entraîner des frais excessifs. La simplification des procédures de clôture de fin de mois n’est pas nécessairement possible ou n’a pas d’incidence sur la disponibilité.
A : Lors des tests réalisés pour la gestion des changements, l’auditeur des SI doit toujours débuter avec de l’information crée par le système, qui inclut la date et l’heure de la dernière mise à jour du module, et de là effectuer un suivi de la documentation ayant autorisé les modifications. Effectuer le repérage en sens opposé pose le risque de ne pas détecter les modifications n’ayant pas été documentées. De la même manière, se concentrer exclusivement sur l’exactitude ou l’exhaustivité de la documentation étudiée ne garantit pas que toutes les modifications ont été documentées.
C : La gestion de la capacité est la planification et le suivi des ressources informatiques pour garantir que les ressources sont disponibles et utilisées efficacement. Cela ne signifie pas que toutes les ressources doivent être utilisées à leur pleine capacité. L’utilisation à pleine capacité (100%) montre que les gestionnaire doivent considérer l’ajout de capacité. Les nouvelles applications ne nécessiteront pas toujours de nouvelles ressources, puisque la capacité existante peut suffire. L’utilisation doit habituellement tourner autour de 85 à 95%; néanmoins, des baisses occasionnelles demeurent acceptables.
A : La normalisation consiste en l’élimination des données redondantes. L’objectif est donc de réduire la quantité d’information en supprimant les données répétitives dans les tables de manière à traiter les demandes des utilisateurs plus rapidement et à conserver l’intégrité des données. L’optimisation de la quantité d’information va à l’encontre des règles de la normalisation. Si un enregistrement spécifique apparaît dans plusieurs tables, l’objectif d’intégrité des données peut ne pas être respecté si cette table est mise à jour et que les autres ne le sont pas. Les règles de la normalisation préconisent l’emmagasinage des données dans une seule table pour favoriser le traitement accéléré de l’information.
A : La technologie VPN permet aux partenaires externes de participer de manière sécuritaires à l’intranet en utilisant les réseaux publics ou un réseau privé partagé.
A : La classification de criticité est déterminée par le rôle du système d’application dans l’appui à la stratégie de l’organisation.
A : Les programmes utilitaires peuvent permettre des modifications non autorisées aux données dans la base de données client-serveur.
C : La première étape de l’audit d’un réseau consiste à comprendre l’architecture et la conception du réseau.
A : L’auditeur des SI doit toujours être présent lors des test des plans de reprise après sinistre afin de vérifier si les procédures de reprise permettent d’atteindre les objectifs de rétablissement, de s’assurer que les procédures de reprise sont efficaces et efficientes et pour présenter un rapport sur les résultats au besoin.
A : La criticité des processus touchés par le sinistre sert de base pour déterminer le délai de rétablissement.