La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

RIBEYRE & ASSOCIES SOMMAIRE Info gérer sa sécurité - Éric de Bernouis

Publié parMoisé Grenier Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "RIBEYRE & ASSOCIES SOMMAIRE Info gérer sa sécurité - Éric de Bernouis"— Transcription de la présentation:

0 Les limites de l’infogérance en matière de sécurité
Externalisation Les limites de l’infogérance en matière de sécurité 12 janvier 2005

1 RIBEYRE & ASSOCIES SOMMAIRE Info gérer sa sécurité - Éric de Bernouis
Les contraintes juridiques de l’infogérance sécurité – Raphaël Peuchot Externalisation, sécurité … témoignage – Françoise Bergame RIBEYRE & ASSOCIES

2 Pour quelle confiance ? Éric de Bernouis
Info gérer sa sécurité Pour quelle confiance ? Éric de Bernouis

3 Quels services pour quelle confiance ?
Externaliser ou gérer soi-même ? Que faut-il infogérer ? Comment préparer une infogérance ?

4 Externaliser ou gérer soi-même
Confidentialité Intégrité Disponibilité Authentification Non répudiation Traçabilité Exactitude ?

5 Infogérance et sécurité : une réalité
La croissance du marché des services sécurité : 34% par an * Un CA à horizon 2003 : 2 Billions de $ * Le marché des MSSP (Managed Security Services Provider) en 2000 : 400 millions de $ ** La perspective en 2005 : 1.7 Billions de $ ** Un marché pas encore mature (Sources : * IDC, ** Yankee Group)

6 Pourquoi les entreprises font infogérer leur sécurité ?
Elles n'ont pas les ressources nécessaires pour gérer complètement la sécurité Elles n'ont pas la capacité d'évaluer convenablement les nouveaux produits de sécurité, de les intégrer dans leur système d'information, et de les gérer pour garantir leur efficacité dans le temps Elles réalisent qu'elles ne sont pas des sociétés de sécurité et qu'elles ne doivent pas oublier leur métier premier Elles sont conscientes que la sécurité de leur système d'information est une des clés de leurs succès futurs

7 Pourquoi les entreprises n'infogérent pas leur sécurité
Elles n'ont pas une idée exacte de la valeur de leur patrimoine informationnel et ont des réactions paranoïaques Elles ne savent pas quelles fonctions infogérer et quelles fonctions conserver Elles n'ont pas confiance dans les sociétés d'infogérance Elles ont peur de perdre la main sur ce qu'elles craignent et qu'elles ne comprennent ou ne maîtrisent pas

8 Comment aborder l'infogérance ?
Le MSSP Les services Les préliminaires Le contenu des services ?

9 Les préliminaires à l'infogérance
Fonctionnels Une politique de sécurité pour l'entreprise La connaissance des ressources à protéger L'évaluation des besoins d'une infogérance (stratégique, économique, technologique) Opérationnels Le choix des services info gérés L'existence d'un chef de projet interne (RSSI ou autre) Le choix du MSSP

10 Quels services infogérer ?
Expertise Supervision Administration Conception Fonctionnel ?

11 Quels services infogérer ? : expertise
Il s'agit de services liés à la connaissance la plus à jour possible des évolutions les plus récentes des technologies de la sécurité Services d'expertise La veille technologique Les services d'alertes de sécurité personnalisées Les audits réguliers de vulnérabilité Les tests intrusifs Expertise

12 Quels services infogérer ? : supervision
Il s'agit de services liés au suivi au quotidien des événements de sécurité survenant votre système d'information Services de supervision L'analyse de log avec bilan périodique des événements de sécurité L'analyse de log avec réaction a posteriori et recommandations L'analyse de log avec réaction à chaud La supervision en temps réel des composants de sécurité Supervision

13 Quels services infogérer ? : administration
Il s'agit de services de délégation de responsabilité d'administration et d'exploitation de composants de sécurité à des tiers en interne ou à distance Services d'administration Les Firewalls, Proxies serveurs Les VPN Les mécanismes d'authentification renforcée La sécurité des services WEB La lutte anti virale Les mécanismes de certification Les ASP Administration

14 Quels services infogérer ? : conception
Il s'agit de services de délégation de responsabilité fonctionnelle de la sécurité à des tiers en interne principalement Services de conception Responsable sécurité Gestionnaire de risques Conception

15 Quels services infogérer ? : reprise d'activité
Il s'agit du cas particulier des plans de reprise d'activité sur incident ou sinistre majeur Services de reprise Conception Fournisseur de solution de secours Test des plans Maintenance des plans

16 Le choix du MSSP Le MSSP est un partenaire dans lequel vous devez avoir d'abord CONFIANCE Image de marque et preuve (AFAQ, EQNET, Fédération des Professionnels des Tests Intrusifs) Pérennité et stabilité Solidité financière Démarche et compétences Services fournis Engagement, éthique et politique de gestion du personnel

17 L'engagement du MSSP La base de l'engagement : le SLA (Service Level Agreement) ou le contrat de service " Écrire ce que l'on fait et faire ce que l'on écrit "

18 Le SLA doit obligatoirement contenir de manière très précise
L'engagement du MSSP Le SLA doit obligatoirement contenir de manière très précise Le périmètre (services couverts, contenus, limites) Les responsabilités de chacun dans les différents domaines Les conditions de prise en compte de l'infogérance La durée, les prix et les clauses de réversibilité Les engagements et obligations du prestataire (Sécurité, Traçabilité, Livrables, Obligations légales, …) Les engagements et obligations du clients (Contrôle qualité, Direction de projet, Escalade, Obligations légales,…)

19 Les points à prendre en compte plus particulièrement
L'engagement du MSSP Les points à prendre en compte plus particulièrement Conservez la maîtrise de votre sécurité Conservez la maîtrise de vos risques fonctionnels et technologiques Disposez d'un droit de contrôle complet sur votre MSSP dans le cadre de votre contrat Définissez très précisément les obligations sécuritaires du MSSP vis-à-vis de votre système d'information (confidentialité, disponibilité, intégrité, physique, ...)

20 Infogérer une partie de sa sécurité permet de prendre en compte:
Conclusions Infogérer une partie de sa sécurité permet de prendre en compte: la réduction des budgets informatiques la complexification des architectures client - serveur et Internet Infogérer une partie de sa sécurité permet de : recentrer l'activité de l'entreprise sur sa vocation première disposer pour autant d'un niveau de prestation élevé Mais infogérer une partie de sa sécurité, c'est : maîtriser ses besoins et ses risques mettre en œuvre un partenariat de confiance avec un prestataire formaliser précisément ce partenariat

21 “ GAGNER, CE N'EST PAS ÊTRE
Conclusions “ NE PAS PREVOIR C’EST DEJA GEMIR “ (Socrate) “ GAGNER, CE N'EST PAS ÊTRE LE MEILLEUR, C'EST SAVOIR S'ENTOURER DES MEILLEURS “ (Mac Arthur)

22 Les contraintes juridiques de l’infogérance de sécurité
Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

23 Sommaire Définition du périmètre technique de la prestation La gestion du contrat La clause de réversibilité Mérites et risques de la sous-traitance Responsabilité et assurance Gestion des sinistres

24 1. Le périmètre technique de la prestation d’infogérance
la définition des besoins incombe au client - exigences de sécurité - degré de latitude dans les préconisations - niveau de sécurité attendu (qualification des obligations) une obligation générale d’information pèse sur le client - politique de sécurité - architecture technique et contraintes d’exploitation - périmètre contractuel préexistant le prestataire doit déclarer et garantir sa bonne information - obligation de conseil (et de critique) - engagement écrit

25 la double finalité du contrat
2. La gestion du contrat la double finalité du contrat - la définition des obligations réciproques - la sanction des inexécutions le suivi contractuel - la bonne exécution de ses obligations par le prestataire - l’exécution conforme du contrat en interne

26 3. La réversibilité du contrat d’infogérance
le cadre de la réversibilité - les cas de cessation du contrat - la procédure collective du prestataire les exigences de réversibilité - la continuité de service - la confidentialité et l’intégrité des données - l’absence de toute rétention les modalités techniques et financières - le plan de réversibilité - le transfert de savoir-faire - le coût de la réversibilité

27 4. Mérites et risques de la sous-traitance
le régime juridique de la sous-traitance - notion et modalités - l’agrément - le paiement direct les intérêts de la sous-traitance - la complémentarité des compétences - l’unicité d’interlocuteur (maître d’œuvre) les risques de la sous-traitance - la mauvaise définition des rôles - la sous-traitance non déclarée - la gestion déficiente de la chaîne de sous-traitance

28 5. Responsabilité et assurance
fondement de la responsabilité : l’inexécution contractuelle - inexécution d’une obligation - inexécution partielle - inexécution totale les conséquences de la responsabilité - la faille de sécurité méconnue - le préjudice - l’atténuation de la responsabilité l’assurance des prestations d’infogérance de sécurité - l’assurance de responsabilité civile - l’assurance dommage

29 6. La gestion des sinistres
les situations de crises - qualification - plan de réaction la préservation des preuves - modalités et utilité - suites contractuelles et/ou judiciaires

30 Externalisation, sécurité…
Témoignage Françoise BERGAME Janvier 2005

31 Mission EM LYON est une institution européenne dans la tradition des «Grandes Écoles Françaises» dédiée à l’apprentissage du management international tout au long de la vie. Sa mission consiste à accompagner le développement des individus et des entreprises au travers d’une gamme de programmes et de solutions – de la formation initiale pour étudiants à la formation continue pour cadres dirigeants. Son expertise repose sur des formations à la fois académiques et en prise directe avec les réalités de l’entreprise soutenue par une recherche pertinente. Son identité s’appuie sur une tradition d’innovation pédagogique et d’approche entrepreneuriale de la formation au management.

32 Profil 1872 – création de l’Ecole par des industriels de la Chambre de Commerce et d’Industrie de Lyon 1997 – le Groupe ESC Lyon devient EM LYON – Ecole de Management de Lyon m2 de bâtiments situés dans une domaine de 6 hectares 2 résidences universitaires 2 sites de formation : le campus de Lyon-Ecully et le Centre de Formation de Paris 30 millions d’euros de budget de fonctionnement 2 200 étudiants dont 25% d’étrangers 5 000 cadres d’entreprise en éducation permanente par an 300 salariés dont 80 professeurs 400 intervenants (professeurs, consultants ou responsables d’entreprise) diplômés 87 universités ou Business Schools étrangères partenaires

33 Classements et Accréditations
N°4 du Classement Grandes Ecoles du Magazine l’Etudiant (décembre 2003). N°17 en Europe pour l’International MBA par The Economist (septembre 2003) N°37 dans le monde pour les programmes sur-mesure en formation permanente par The Financial Times (mai 2004) Accréditée EQUIS par l’EFMD (European Foundation for Management Development) Accréditée AMBA (Association of MBAs) pour les programmes EM LYON International MBA et EM LYON Executive MBA) Accrédité AACSB (Association to Advance Collegiate Schools of Business)

34 Carrières et Partenariats
Organisation orientée-client Comité Executif Faculté et recherche Carrières et Partenariats Drh, Daf, Dmc, Dsit… Des programmes de formation initiale adaptés à chaque profil > Programme ESC (Bachelor & Master of Science in Management) > Master in European Business > Mastères Spécialisés Des programmes et séminaires pour créateurs ou repreneurs d’entreprises > Programme d’Appui à la Création d’Entreprise > Programme Reprise d’Entreprise > Séminaires pour Dirigeants Propriétaires > Séminaires et conférences > Programmes sur-mesure  Accompagner les entreprises dans le développement de leurs compétences > Programmes MBA > Individual Learning Solutions : diplômes, certificats, séminaires > Corporate Learning Solutions : Programmes sur mesure  > Programmes Linguistiques  > Solutions e-learning

35 Activité et projets DSIT
Schéma directeur, politique sécurité, reporting, indicateurs, budget… (3 BU, Lyon, Paris, résidences…) Maintenance évolutive et corrective Assistance au personnel Formation au personnel Assistance participants, salles de cours, jeux pédagogiques Administration, exploitation… Projets Urbanisation des SI modèlisation process, modèlisation architecture annuaire, EAI, WebServices. couche décisionnelle Projets SI Evolution du campus virtuel et jeux pédagogiques. Evolution du SIcontrôle de gestion, Gestion de la relation client (partenaires, prospects, clients,anciens), Fidélisation, Mail à vie Projets postes de travail Projets Infrastructures Migration messagerie Sauvegarde, supervision, QoS Nouveau réseau Wifi 2G Nouveau réseau filaire 2G Réseau LyRE e-center Nouvelles Techno : Umts, WebTv, Web radio…

36 Organisation D.S.I.T interne externe
Directeur Assistante Achat/Gestion Responsable Formation/Communication Responsable du service Etudes et Projets Responsable du service Réseau Système Maintenance CdP SI de Gestion CdP Campus Virtuel CdP Internet/Intranet CdP Assistance MOA Technicien TMA Ingénieur TMA Ingénieur Exploitation CdP Système CdP Réseau/Télécom Responsable Assistance/Postes Technicien d’assistance Réalisation d’application mode projet Mise en place Infrastructure, mode projet Hébergement Infrastructure Campus Virtuel Assistance utilisateur aux participants

37 Les raisons de cette répartition
Politique Rh de la DSIT : plus d’embauche de profils «technicien d’assistance», difficulté à proposer des évolutions de carrière… Pas d’embauche des profils Chef de projet «Réseau/Système» car grands chantiers, mais à durée limitée. Volonté de conserver en interne les Chefs de projet «Etudes et Projets» (cœur de métier), les pilotes d’activités (chefs de service, Directeurs de projets) Prise en compte de l’historique, des équipes internes et externes en place, de leur compétence, de leur désir d’évolution… Du rythme nécessaire pour de telles conduites de changement. Points faibles - Ne colle plus à notre Schéma Directeur - Mixte interne/externe sur certains domaines - Zone de responsabilités non toujours claires - Sociétés partenaires nombreuses Points forts - Connaissance terrain forte - Esprit d’équipe interne/externe

38 Équipe permanente sur site,
Répartition de l’effectif.

39 Répartition coût externe/interne

40 Externalisation : nouvelle cible
Changement du périmètre du Système d’Information : Campus virtuel et e-learning, Informatique des entreprises clientes, Anciens participants, mails à vie, portail à vie… Importance grandissante de la maîtrise des coûts, des niveaux de service, des niveaux de sécurité (confidentialité, fiabilité, pérennité…) Rythme élevé de l’évolution des nouvelles technologies Exigence grandissante : public international (maîtrise de l’anglais), informatique très sollicitée (24/24h, 7j/7) Évolution de la politique RH globale de l’entreprise, désir de se concentrer sur les fonctions cœur de métier.

41 Organisation D.S.I.T cible
En externe : Assistance technique (personnel et étudiant) Réalisation applicative, paramétrage progiciel Mise en œuvre projet Infrastructure, postes de travail meilleures maîtrises des coûts, des niveaux de services par BU plus grande prise de responsabilité de la ssii meilleure évolution des profils techniciens meilleure tenue des délais sur les gros chantiers meilleure visibilité sur les coûts engagement, garantie de la ssii, de l’éditeur concentration de nos équipes sur l’accompagnement des équipes fonctionnelles, les validations… maîtrise délais, coûts compétences spécifiques difficiles à avoir concentration de nos équipes sur le pilotage

42 Organisation D.S.I.T cible
En externe : Hébergement des serveurs destinés à un public large (messagerie à vie, campus virtuel destiné aux entreprises clientes…) Hébergement application non cœur de métier (paye…) 7j/7, 24/24h impossible en interne volume trop important, à terme, pour nos équipes internes, exigence sécurité (disponibilité, fiabilité…) fortes pour les entreprises clientes engagement contractuel externe gestion interne non rentable, mobilisant nos ressources sur des domaines où ils n’apportent pas de valeur ajoutée exigences sécurité pouvant être fortes

43 Organisation D.S.I.T cible
En interne : Pilotage niveau Direction : Schéma Directeur, Politique Sécurité, Budgets… - Pilotage activités des Services : Etudes & Projet, Maintenance applicative, Infrastructure, Assistance/Poste de travail. - Pilotage projets de mise en œuvre - Assistance à maîtrise d’ouvrage - Hébergement applications cœur de métier, stratégiques meilleure connaissance des orientations stratégiques Entreprise, DSIT, meilleure connaissance des priorités, des enjeux et risques meilleure connaissance des métiers : interlocuteurs, process existants, process cibles… meilleures gestion multi-projets, gestion des priorités appel à l’extérieur restant possible : conseil, expertise, accompagnement… maîtrise globale de l’infrastructure, maîtrise de son administration et exploitation (sécurité, réactivité, évolution…)

44 Organisation D.S.I.T cible
Mixte Interne/Externe : Conception d’architecture, de solutions, veille Exploitation, Administration, Sécurité Maintenance applicative besoin d’une bonne maîtrise des architectures existantes, des choix passés…. besoin d’une bonne connaissance des nouveautés du marché prise en compte de l’organisation existante, des équipes existantes, études d’externalisation non encore menées, priorité donnée aux études d’externalisation de l’assistance, de l’hébergement.

45 Zoom sur les aspects sécurité
Politique sécurité définie en interne, pilotage des actions sécurité en interne, mais appel à l’expertise et à la technicité des prestataires. Le dialogue interne/externe : levier pour améliorer la sécurité. Vigilance sur les contrats de prestation externe, d’hébergement externe (définition des périmètres de responsabilité, clauses de réversibilité, de confidentialité) Fort partenariat avec les prestataires externes, travail sur le long terme, niveau de confiance mutuelle élevée. Clients finaux : décideurs d’aujourd’hui et de demain. Partenaires Taxe d’apprentissage, Stages/Emplois, participation dans la pédagogie…

46 Conclusions L’externalisation des serveurs et applications a été guidée par la recherche d’une plus grande sécurité plus grande disponibilité meilleure fiabilité, meilleur plan de secours confidentialité respectée Mais moins bonne réactivité… L’externalisation de prestation a davantage été guidée par des aspects RH par la recherche de la meilleure répartition des compétences, des charges Le travail sur les contrats a renforcé notre sensibilisation sur les aspects sécurité au sens large. CLUSIR

Télécharger ppt "RIBEYRE & ASSOCIES SOMMAIRE Info gérer sa sécurité - Éric de Bernouis"

Présentations similaires

Conférence « Compétences Informatiques » 10 avril 2006

Conférence « Compétences Informatiques » 10 avril 2006
Découvrez IXerp France. Une société fondée sur des valeurs Lhumain au centre du dispositif dentreprise Proximité de lencadrement Missions tenant compte.

Découvrez IXerp France. Une société fondée sur des valeurs Lhumain au centre du dispositif dentreprise Proximité de lencadrement Missions tenant compte.
La reprise dentreprises par les salariés 15 janvier 2007.

La reprise dentreprises par les salariés 15 janvier 2007.
Page 1 Retour sur le e- tourisme. Page 2 Quelques chiffres…

Page 1 Retour sur le e- tourisme. Page 2 Quelques chiffres…
1ère partie : vision à 10 ans

1ère partie : vision à 10 ans
LES METIERS DU COMMERCE INTERNATIONAL

LES METIERS DU COMMERCE INTERNATIONAL
Faculté des Sciences de la Santé

Faculté des Sciences de la Santé
Projet de Virtualisation dans le cadre d’un PCA/PRA

Projet de Virtualisation dans le cadre d’un PCA/PRA
des Structures de Santé

des Structures de Santé
Le projet pluridisciplinaire à caractère professionnel

Le projet pluridisciplinaire à caractère professionnel
ECONOMIE BTS 1&2 LES OBJECTIFS

ECONOMIE BTS 1&2 LES OBJECTIFS
Votre SIRH en toute confiance !

Votre SIRH en toute confiance !
Sommaire Introduction Les politiques de sécurité

Sommaire Introduction Les politiques de sécurité
© P. Vermeulen / Handicap International © W. Daniels pour Handicap International © B. Franck / Handicap International « Défis de la Pérennité des Services.

© P. Vermeulen / Handicap International © W. Daniels pour Handicap International © B. Franck / Handicap International « Défis de la Pérennité des Services.
Externalisation et infogérance principes et tendances

Externalisation et infogérance principes et tendances
Pr. I Pouliquen Université Aix Marseille 3

Pr. I Pouliquen Université Aix Marseille 3
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
Démarche de Projet D’après la norme X50-106, un projet est une démarche spécifique qui permet de structurer méthodiquement et progressivement une réalité.

Démarche de Projet D’après la norme X50-106, un projet est une démarche spécifique qui permet de structurer méthodiquement et progressivement une réalité.
POURQUOI CETTE RENOVATION ? 1° Adaptation des contenus aux exigences de la profession - émergence de nouveaux consommateurs - développement des services.

POURQUOI CETTE RENOVATION ? 1° Adaptation des contenus aux exigences de la profession - émergence de nouveaux consommateurs - développement des services.
AXES OBJECTIFS MESURES

AXES OBJECTIFS MESURES

Présentations similaires

Annonces Google