Capgemini Institut 0144742410
193 rue de Bercy 75012 Paris
Sécurité des Systèmes d’Information en 2014 Paris
Sécurité des Systèmes d’Information en 2014 Paris
Sécurité des Systèmes d’Information en 2014 Paris
DURéE
3 jours
DATES
15-17 septembre 2014
13-15 octobre 2014
1-3 décembre 2014
LIEU
Paris
PRIX
2 540 € ht (3 048 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    Sécurité des Systèmes d’Information
    en 2014

    > méthodes, outils, best practices de pilotage de la sécurité




    Ce séminaire de référence examine l’ensemble des méthodes, des techniques et des outils de mise en œuvre pratique en matière de sécurité de l’informatique et des télécommunications.

    • La maîtrise des risques liés aux systèmes d’information : analyse des risques et audit de vulnérabilité, le plan de sécurité.
    • La politique sécurité (PSSI), le panorama des techniques et bonnes pratiques de sécurité. Cloud, BYOD, mobilité, etc : quels nouveaux risques, quelles parades ?
    • L’organisation des fonctions sécurité et les principaux outils de management de la sécurité, le marketing de la sécurité dans l’entreprise.
    • La continuité d’activité, les outils de gestion de crise, les plans d’action.
    • Les normes et les outils de politique sécurité, la législation, les aspects contractuels, juridiques et l’assurance des risques informatiques.

    Basé sur de nombreux exemples et cas réels reflétant les situations les plus diverses – tailles, types d’organisations, domaines d’activité et profils utilisateurs – et illustré par de nombreux exercices en séance, ce séminaire, très pragmatique et directement opérationnel, dresse un état de l’art complet du management de la sécurité informatique dans les entreprises aujourd’hui.

    Comment construire un plan sécurité


    • Phénoménologie du sinistre informatique
      • Le risque informatique, caractéristiques, typologie, types de conséquences possibles ; les chiffres clés actuels.
      • Les nouvelles formes des risques informatiques, les nouvelles pratiques de guerre économique, la sécurité informatique, les risques sur l’Internet. La classification des risques, des causes (CAID) et des conséquences (I, P, G). Sinistres majeurs en entreprise : les conséquences d’accidents naturels ou cas de force majeure, d’erreurs de programmation, d’exploitation, d’organisation, de malveillance interne et externe, etc. Quelles leçons tirer de quelques cas récents.
      • Construire une réponse, établir les priorités : comment convaincre et lancer une analyse des risques.
    • L’analyse de risque
      • Panorama des méthodes (Méhari, EBIOS, ISO 27005, etc.) : comment les mettre en œuvre de manière simple et réaliste ; points forts et limites ; retours d’expérience.
      • Analyse des vulnérabilités : techniques d’audit, représentations graphiques ; analyse des menaces. Techniques d’analyse des scénarios, évaluation de l’impact, élaboration du plan : mesures ajustées, budgets, planning, suivi. Exercice : identification de risques majeurs.
      • Le plan d’action : comment concevoir un plan d’action réaliste, comment le suivre et mettre en place une logique de veille et d’amélioration. L’analyse de risque en pratique : les attentes de la DG, la position de la DSI, le rôle du RSSI et des consultants. Comment tirer profit de la dynamique de l’analyse de risque. Les points clés du pilotage d’une analyse de risque, les pièges de la présentation. Exercice : construire un plan réaliste.
      • L’analyse de risque dans le cas des grands groupes, l’induction du risque, la consolidation multiniveau. Comment rester pragmatique et mener simplement une étude sur plusieurs sites en même temps.

     

    Le management de la sécurité dans l’entreprise


    • Définition des structures et des missions
      • Le RSSI dans l’entreprise : missions, profils, rattachement. Les clés pour la survie du RSSI dans un contexte tendu. Comment porter la sécurité “juste nécessaire”. Comment faire progresser la fonction. Savoir convaincre une DG : les facteurs clés.
      • La fonction sécurité : sa taille, sa distribution. Les outils nécessaires pour bien assurer les missions.
      • Établir un budget de fonctionnement d’une équipe sécurité. L’engagement de moyens et l’obligation de résultat. Les points clés de l’excellence de la fonction sécurité. Les tableaux de bord de la sécurité : comment construire des indicateurs efficaces. Quel contrôle mettre en place. Le suivi périodique de la sécurité.
      • Comment rebondir sur les incidents. Que faire en cas de malveillance grave interne ?
    • La communication et la formation
      • Le marketing de la fonction sécurité : comment en parler, comment vendre la sécurité, comment la faire vendre. La construction des messages sécurité dans l’entreprise. L’utilisation des supports internes. Assurer la sécurité et ne jamais être celui qui dit “non” : les clés pour concilier l’inconciliable.
      • L’élaboration d’un plan de formation pour les utilisateurs et les informaticiens. La formation des nouveaux entrants. La sensibilisation des personnels temporaires et des stagiaires. La vidéo au service de la sécurité. Exercice : conception d’une vidéo de sensibilisation sur la sécurité.

    Les bonnes pratiques, la qualité et la politique sécurité


    • Les normes de référence et la pratique
      • PCI DSS, ISO 2700x : bien comprendre l’objectif des normes et leur intérêt pour l’entreprise. Evolutions normatives prochaines. Le futur « security officer ».
      • Comment en tirer parti sans alourdir le coût de la sécurité. Les normes et la réalité du terrain.
      • Comment construire et rédiger un ensemble de procédures cohérentes et efficaces.
    • L’élaboration d’une politique de sécurité
      • Définition, objectifs, contraintes ; comment rédiger une politique de sécurité lisible et efficace. Arbitrage des contenus : méthode de travail, comment faire vivre la sécurité, susciter l’adhésion.
      • Détermination du contenu de la politique sécurité : approche par niveaux. Les bénéfices d’une politique sécurité, effet de levier. Liaison avec les aspects normatifs et réglementaires. Exemple complet de politique sécurité.
    • La sécurité au quotidien
      • Comment bien utiliser les outils de la qualité au profit d’une politique sécurité pérenne. Mise en place des outils de signalisation et de remontée d’anomalies. Le plan d’action qualité et sécurité : un outil pour gouverner le contrôle des risques courants.
      • Animation, sécurité dans les projets, comment mettre en place une dynamique positive dans un contexte de crise. Comment s’appuyer sur un réseau de correspondants pour exister.
      • Comment évaluer la qualité et la sécurité. Comment fortifier la position du RSSI dans l’entreprise, dans l’espace et dans le temps. Cas concrets d’une politique réussie.

    Panorama de la sécurité


    • La sécurité physique
      • Maîtrise de l’environnement des bâtiments et des infrastructures, la sécurité des installations. La vulnérabilité de la GTB-IP. Quelles mesures de protection des systèmes IP mettre en place. Les immeubles IGH et les risques IT sur les infrastructures d’immeuble.
      • Que faire en cas d’indisponibilité des installations, comment organiser le repli des activités.
      • Le contrôle d’accès physique, la sécurité incendie et dégâts des eaux, la gestion des alarmes, la protection des salles informatiques et des locaux techniques.
      • Le risque “pelleteuse” : que faire en cas de coupure brutale des réseaux (IT, énergie, gaz), comment réduire le risque, quelle prévention mettre en place.
    • La sécurité de la production / Le Cloud
      • Exploitation informatique et sécurité. Panorama des pratiques et des solutions : redondance, virtualisation multisite. Retours d’expérience de crises informatiques. Procédures sécurité, comment gérer les prestations de services et les télé-interventions.
      • Mouvements de données : sauvegardes, archivage, miroirs, clusters. Comment faire face aux besoins de sécurité et à l’augmentation des volumes. Comment maîtriser l’inflation permanente des besoins des utilisateurs. Les très gros transferts longue distance : panorama des solutions (physique et télécom).
      • Le cloud : état de l’art des solutions sécurité, panorama des enjeux. Les limites à ne pas franchir…
    • Les attaques, la protection des applications et des données
      • Panorama de la cybercriminalité. Les attaques réseaux, Internet, infrastructure, attaques sur les sites et la messagerie (spam, phishing, etc.), les virus et les tendances des attaques réseaux et mobiles.
      • Les principales techniques de protection (sans fil, firewalls, adressage, DMZ, serveurs proxy, solutions antivirus, etc.). Les techniques d’authentification, les mots de passe statiques et dynamiques, les accès sécurisés, les hard token, la biométrie. L’objectif SSO.
      • Vulnérabilité et risques des mobiles : BlackBerry, iOS, Android, Windows : les clés et points à surveiller. Les suites de sécurité pour mobile : comment les mettre en œuvre. L’émergence des tablettes : risques spécifiques et nouveaux usages. Le BYOD : se faire une religion sous la pression des utilisateurs ; les points non négociables. Les VIP : gérer les compromis avec les dirigeants ; tour d’horizon des bonnes et mauvaises pratiques, etc.
      • Les comportements : le risque e réputation, les réseaux sociaux, l’ingénierie sociale : comment fixer des limites.
    • Les télécoms, la sécurité sans fil, les accès aux données
      • Accès distants, SSL, VPN, éléments de synthèse et de compréhension : les limites des solutions purement techniques.
      • La mobilité : Bluetooth, WiFi, GPRS, 3G, etc. Enjeux et risques de la communication sans fil. Bornes WiFi sauvages : les risques pour l’entreprise. Les femto-box : nouveaux risques et nouvelles solutions. Le BYOD.
      • Les accès Web : chiffrement SSL et certificats. Les accès Web à la messagerie : principaux risques. La question de la confiance sur le Web.
      • Internet et le Cloud : comment considérer la sécurité du Web et celle offerte en interne. Les applications hébergées et SaaS : quelle sécurité pour quel résultat ? La pratique des tests d’intrusion sur le Cloud.
      • Exercice : construction d’un plan sécurité réaliste sur un parc hétérogène de clients (fixes, mobiles).

    La continuité et les situations d’urgence


    • La continuité informatique
      • La problématique de la continuité informatique. Le plan de reprise d’activité (PRA) : comment construire une stratégie réaliste. La continuité des ressources. La logique des clients et des fournisseurs.
      • Comment organiser la mise en place des PRA dans l’entreprise ; les aspects réglementaires. Les relations PCA/PCI.
      • Comment élaborer un bon plan de secours informatique. Les limites de l’exercice, les erreurs “classiques”. Comment aborder la question du fonctionnement global de l’entreprise.
    • L’entreprise et les situations d’urgence informatique
      • Les principales situations d’urgence globale, retours d’expérience.
      • La gestion de l’imprévu, les méthodes de prise en charge des situations d’urgence informatique.
      • Comment organiser la gestion de crise : les rôles, le déclenchement, la communication. Comment organiser un bon PC de crise. La salle de crise informatique, son fonctionnement, son équipement. Quels bénéfices en attendre.
      • Exercice : bascule sur un site B et construction d’un PC crise sur un site inhabituel ; check list des actions.

    Les aspects normatifs et la réglementation


    • Les normes et les contraintes de conformité
      • La politique sécurité et la corporate governance : comment la mettre en œuvre efficacement. Exemples de politiques sécurité selon le secteur d’activité.
      • Les normalisations internationales (ISO 27001) et les normalisations spécifiques : Loi de Sécurité Financière, Sarbanes-Oxley (SOX), Bâle II, Solvency II, PCI DSS, les nouvelles régulations économiques. Comment tirer profit des normes en préservant simplicité et pragmatisme. Les pièges et les contraintes de la normalisation.
    • Les aspects légaux et réglementaires
      • La problématique du droit appliqué aux systèmes d’information : les objectifs de la protection. Le patrimoine informationnel. Les points sensibles de droit civil et de droit pénal en France.
      • La protection des personnes, les obligations de sécurité des données et de révélation des failles de sécurité, le droit des salariés et la “cybersurveillance”, le BYOD. Conseils pratiques pour trouver le bon équilibre vis-à-vis des salariés.
      • La protection des biens immatériels, des données et des systèmes, des informations et des échanges.
    • Les sources de responsabilités pour un RSSI
      • L’identification des acteurs impliqués dans les différents ordres de responsabilité (DAF, DG, DSI, RSSI, services généraux, etc.).
      • L’identification des différents ordres de responsabilité en matière de transparence et de gestion des risques, de mise en œuvre de plan de secours, de contrôle interne en liaison avec l’audit financier, de mise en œuvre de politique de contrôle éthique des comportements et de cybersurveillance.
      • L’émergence d’un statut particulier du RSSI au regard des règles de responsabilités civiles, pénales, fiscales, de préservation du secret, de données personnelles, et importance de la gestion des preuves et des délégations de pouvoirs.
      • Exercice : construction de la check list juridique du RSSI.

    Les aspects assuranciels et le financement des risques


    • L’assurance
      • Les conditions d’assurabilité : la situation actuelle, les tendances.
      • Les conditions de garanties et les exclusions.
      • Comment bien gérer la relation assureur/ assuré, en situation normale, sur sinistre, en situation exceptionnelle.
      • Étude de cas concrets de transfert de risque vers l’assurance : les limites du modèle en cas de crise importante.
    • Les services associés à l’assurance
      • L’analyse des risques et la liaison sécurité-assurance.
      • Les RETEX, retours d’expérience en matière de sinistre.
      • Le développement de services d’assistance en cas de sinistre : plate-forme d’appel client, communication de crise, notification de failles de sécurité atteignant les données personnelles et bancaires des clients, etc.
    • Les garanties et les modes de financement
      • Les garanties d’assurance matérielles et immatérielles disponibles sur le marché : TRI, ERI, PE, globale informatique, spécifique détournement, RC, bonne fin de projet, homme clé, back-up, hébergement, etc.
      • Le financement alternatif des risques : mise en place d’une captive. La mutualisation des risques, avantages et inconvénients.