Table des matières
Avant-propos
Partie 1 : Sinistres et risques
Chapitre 1
Mieux connaître les sinistres
1. Mieux connaître les sinistres
1.1 Définition d’un sinistre
1.1.1 Sinistre avec perte de données
1.1.2 Sinistre sans perte de données
1.2 Petits maux, grands effets
1.3 De l’importance de la disponibilité et de la résilience
2. Taxonomie des sinistres
2.1 Sinistre chronique
2.1.1 Sinistre chronique accidentel
2.1.2 Sinistre chronique volontaire
2.2 Sinistre physique
2.3 Sinistre environnemental
3. Caractéristiques des sinistres
3.1 Durée
3.1.1 Le facteur chance
3.1.2 La durée, votre pire ennemi
3.2 Amplitude
3.3 Ne jamais oublier les facteurs externes
Chapitre 2 :
Conséquences d’un sinistre
1. Introduction
2. Conséquences financières
3. Conséquences sur l’intégrité
4. Conséquences pénale
5. Estimation des coûts liés à une indisponibilité de service ou une perte de données
5.1 Le coût humain de production
5.2 La perte de productivité
5.3 Formule de calcul globale
Chapitre 3
Métriques opérationnelles, risque et impact
1. Introduction
2. Analyse des risques
2.1 Le risque
2.2 Cartographie des risques encourus
3. Bilan d’impact sur l’activité
3.1 Ciblage des activités essentielles
3.2 Analyse d’impact sur les activités
4. Gestion des risques
4.1 L’évitement
4.2 Le transfert
4.3 L’atténuation
4.4 L’acceptation
5. Conciliation du risque avec l’investissement
Partie 2 : Protection des données
Chapitre 4
Sécurité informatique
1. Objectifs et exigences
1.1 Les facteurs critiques d’un SMSI
1.2 Les deux stratégies complémentaires de la sécurité informatique
1.3 Sécurité préventive
1.4 Sécurité curative
1.5 Sécurité informatique et conformité réglementaire
1.5.1 Modèles de conformité des données
1.5.2 Auditabilité et traçabilité des données
1.6 Cycle de vie de la donnée
1.6.1 Génération de la donnée
1.6.2 Exploitation de la donnée
1.6.3 Archivage de la donnée
1.6.4 Purge de la donnée
2. Règlement général sur la protection des données (RGPD)
2.1 Objectifs du RGPD
2.2 Champ d’application matériel et définition
2.3 Implications majeures du RGPD
2.3.1 Droit à l’effacement
2.3.2 Sécurité du traitement
2.3.3 Principes généraux applicables aux transferts
2.4 Transfert des données vers les GAFAM
3. Clarifying Lawful Overseas Use of Data Act (CLOUD Act)
3.1 Application extraterritoriale de la loi
3.2 Une loi inconciliable avec le RGPD
4. Gestion des risques liés à la confidentialité
4.1 Traitement des données sensibles
4.2 Contre-mesures à la divulgation des données
4.2.1 Anonymisation de la donnée
4.2.2 Pseudonymisation de la donnée
4.3 Sécurité cryptographique des données
4.3.1 Chiffrement de la donnée en transit
4.3.2 Chiffrement de bout en bout de la donnée
4.3.3 Méthodes cryptographiques
4.4 Adoption d’une stratégie de souveraineté numérique
4.4.1 Des enjeux et objectifs versatiles
4.4.2 Souveraineté numérique et données à caractère personnel
Chapitre 5
Technologies de protection de données
1. Introduction
1.1 Un peu d’histoire
1.2 Une période sombre pour les données
1.3 Voguent les données
1.4 Des nouvelles exigences et nouvelles technologies
1.5 Les familles SPit et APiT
1.5.1 APiT (Any Point-in-Time)
1.5.2 SPiT (Single Point-in-Time)
1.5.3 La nature des données : un facteur important
1.5.4 Granularité des données par technologie
2. Sauvegarde
2.1 Un retour en arrière
2.2 Les trois principes élémentaires
2.2.1 Automatisation
2.2.2 Mémorisation
2.2.3 Isolation
3. Réplication
Modes de réplication
3.1.1 Réplication synchrone
3.1.2 Réplication asynchrone
3.2 Techniques de réplication
3.2.1 Réplication basée sur le stockage
3.2.2 Réplication basée sur l’hôte
3.2.3 Réplication basée sur l’hyperviseur
3.2.4 Réplication basée sur l’application/base de données
3.3 Réplication par le réseau
3.3.1 Débit et bande passante de la réplication par le réseau
3.3.2 Les trois facteurs limitants
3.4 Exemple de réplication intersites
3.4.1 Estimation du volume de données à répliquer
3.4.2 Qualité de service de la ligne
3.4.3 Mesure de la latence intersites avec netperf
3.4.4 Mesure de la latence intersites avec ping
3.4.5 Incidence de la latence sur le débit effectif
3.5 Comparatif des différentes techniques de réplication
3.6 Choix de la réplication FC ou IP
4. Protection continue des données (CDP)
4.1 Une technologie en avance sur son temps
4.2 Fonctionnement et architecture de la CDP
4.2.1 Architecture CDP In-Band
4.2.2 Architecture CDP Side-Band
4.2.3 Architecture CDP Out-of-Band
4.3 Protection des données structurées avec la CDP
4.4 Avantages de la CDP
5. Cliché instantané (snapshot
5.1 Fournisseur matériel de clichés instantanés
5.2 Fournisseur logiciel de clichés instantanés
5.3 Clichés instantanés avec une machine virtuelle
5.4 Méthodes de clichés instantanés
5.4.1 Copie sur écriture (COW – Copy-on-Write)
5.4.2 Redirection sur écriture (ROW – Redirect-on-Write)
5.4.3 Clone ou COFA (Copy on First Access)
5.5 Comparatif entre les méthodes de clichés instantanés
5.5.1 Lecture/écriture de bloc de données
5.5.2 Différences entre cliché instantané et clone
5.6 Recommandations sur l’utilisation des clichés instantanés
5.6.1 Estimation de l’espace nécessaire
5.6.2 Calcul avec de multiples clichés instantanés
5.6.3 Cas spécifique d’accroissement d’un cliché instantané
6. Choix des technologies en réponse aux sinistres
6.1 Niveau de protection
6.2 Sauvegarde
6.3 Cliché instantané
6.4 Clone
6.5 Réplication
6.6 CDP
7. Déduplication des données
7.1 Une méthodologie révolutionnaire
7.2 Les principes de la déduplication
7.2.1 La déduplication par segments de données à longueur variable
7.2.2 La déduplication par blocs de données à longueur fixe.
7.2.3 Comparaison entre segments de données à longueur variable et blocs fixes
7.3 Efficacité de la déduplication avec les sauvegardes
7.4 Calcul du coefficient de réduction
7.4.1 Les facteurs à prendre en compte
7.4.2 Les deux ennemis : la compression et le chiffrement
7.4.3 Estimation du taux de réduction
7.4.4 Calcul du volume de stockage nécessaire
7.4.5 Conséquences d’un mauvais dimensionnement
7.4.6 Diminution du volume de données dédupliquées
7.5 Déduplication et réplication : le duo gagnant
7.5.1 Vérification des segments de données à répliquer
7.5.2 Communication des segments de données manquants
7.5.3 Transmission des segments de données manquants
7.5.4 Mise à jour des métadonnées
7.6 Bande passante et réplication des données dédupliquées
7.6.1 Pourquoi les données ne sont-elles pas compressées ?
7.6.2 Comment calculer le volume initial à répliquer ?
7.7 Mise en place de la réplication initiale
7.7.1 Première méthode de seeding
7.7.2 Deuxième méthode de seeding
7.8 Méthodes de déduplication
7.8.1 Déduplication de données à la source
7.8.2 Déduplication de données à la cible
7.8.3 Avantages et inconvénients par méthode
7.9 Conclusion et recommandations importantes
7.9.1 Sécurisation des données dédupliquées
7.9.2 Intégrité des données dédupliquées
7.9.3 Conformité des données dédupliquées
Chapitre 6
Métriques techniques et niveaux de service
1. Les métriques techniques fondamentales
1.1 Perte de données maximale admissible
1.2 Délai maximal d’interruption admissible
2. Autres paramètres techniques
2.1 L’intervalle de fonctionnement en mode dégradé
2.2 Fenêtre de sauvegarde
2.2.1 Multiples fenêtres de sauvegarde
2.2.2 Fenêtre de sauvegarde nulle
2.2.3 Débit et fenêtre de sauvegarde
2.3 Fréquence de sauvegarde
2.3.1 Erreur d’ajustement de la fréquence de sauvegarde
2.3.2 Ajustement de la fréquence de sauvegarde
2.3.3 Autre stratégie avec une fenêtre de sauvegarde nulle
2.4 Rétention des données
2.4.1 Cartographie des données
2.4.2 Localisation et type de support de stockage
2.4.3 Perception de la rétention des données
2.4.4 Calcul de la rétention des données
2.4.5 Politique de rétention des données
3. Entre promesse et réalité
3.1 Entente de niveau de service
3.1.1 Conseils et principes de rédaction
3.1.2 Tout est question d’équilibre
3.1.3 Exemple de SLA
3.2 Objectifs de niveau de service
3.3 Indicateurs de niveau de service
Chapitre 7
Infrastructure de sauvegarde
1. De multiples objectifs
1.1 Stockage primaire et stockage secondaire
1.1.1 Le stockage primaire au cœur de l’hébergement des données
1.1.2 Le stockage secondaire au service de la protection des données.
1.2 Composants élémentaires
1.2.1 Serveur maître
1.2.2 Catalogue de sauvegarde
1.2.3 Nœud de stockage
1.2.4 Client
1.2.5 Dispositif de stockage secondaire
1.3 Les agents de sauvegarde
1.4 Flux de sauvegarde
1.5 Mécanismes de sauvegarde
2. Introduction aux performances
2.1 Les goulots d’étranglement
2.2 Performances théoriques et pratiques
2.2.1 Limitations liées à l’architecture interne
2.2.2 Limitations liées à la topologie des fichiers
2.2.3 Limitations liées à l’activité du serveur
3. Architectures de sauvegarde
3.1 Sauvegarde réseau
3.2 Sauvegarde hors réseau
3.3 Sauvegarde NDMP
3.4 Sauvegarde hors hôte
3.5 Sauvegarde sans agent
3.5.1 Architecture SAN sans agent
3.5.2 Architecture virtuelle sans agent
3.5.3 Architecture réseau sans agent
4. Types de sauvegarde.
4.1 Sauvegardes totales et incrémentales
4.2 Sauvegardes totales et différentielles
4.3 Sauvegarde synthétique
4.3.1 Précautions à prendre
4.3.2 Quelques cas d’usage
4.4 Sauvegardes en mode bloc
4.5 Sauvegardes instantanées
5. Modes de sauvegarde
5.1 Sauvegarde à froid
5.2 Sauvegarde à chaud
5.3 Sauvegarde par cliché instantané
5.3.1 Composants du service VSS
5.3.2 Processus de cliché instantané en environnement physique
5.3.3 Processus de cliché instantané en environnement virtuel
5.3.4 Cohérence d’une sauvegarde par cliché instantané
5.3.5 Cliché instantané sans mise en cohérence
5.3.6 Cliché instantané avec mise en cohérence
5.4 Techniques de parallélisation
5.4.1 Parallélisation des tâches de sauvegarde
5.4.2 Parallélisation des flux de sauvegarde
6. Supports de stockage secondaire
6.1 Stockage sur bande magnétique
6.1.1 Le consortium LTO
6.1.2 Principales caractéristiques techniques
6.1.3 Feuille de route de la technologie LTO
6.1.4 Fonctionnalité LTO-7 type M
6.1.5 Fonctionnalité WORM
6.1.6 Fonctionnalité de chiffrement matériel AES-256-GCM
6.1.7 Fonctionnalité LTFS
6.1.8 Cartouche de nettoyage
6.1.9 Dispositifs de stockage sur bande magnétique
6.1.10 Dimensionnement d’un dispositif de stockage sur bande magnétique
6.1.11 Comparatif des dispositifs de stockage sur bande magnétique
6.1.12 Fonctionnement d’une robotique de bandes
6.1.13 Partition et partage d’une robotique de bandes
6.1.14 Pilotage d’un dispositif de stockage sur bande magnétique
6.1.15 Mise hors ligne des cartouches
6.1.16 Isolation totale des données (Air Gap)
6.2 Stockage sur disque
6.2.1 Comparatif entre les technologies SAS et SATA
6.2.2 Dimensionnement d’un dispositif de stockage sur disque
6.2.3 Dispositif de type dépôt de sauvegarde
6.2.4 Système de robotique virtuelle
6.2.5 Robotique de cartouches virtuelles
6.2.6 Comparatif entre les trois dispositifs
6.3 Comparatif des sauvegardes D2T et D2D
6.3.1 Performances
6.3.2 Stockage
6.3.3 Coûts
6.4 Niveaux de stockage
6.5 Informatique en nuage
6.5.1 Les cinq concepts clés
6.5.2 Un changement de paradigme pour la protection des données
6.5.3 Modèles techniques
6.5.4 Modèle de responsabilité partagée
6.5.5 Sauvegarde vers le nuage
6.5.6 Sauvegarde dans le nuage
6.5.7 Considérations importantes
6.6 Stockage objet et Erasure Coding
6.6.1 Caractéristiques du stockage objet
6.6.2 Algorithme d’Erasure Coding
6.6.3 Approche Scale-Up et Scale-Out
6.6.4 Dimensionnement d’une solution de stockage objet
6.6.5 Fonctionnalité de stockage immuable
Chapitre 8
Protection contre le sinistre
1. Seven Tiers of Disaster Recovery
2. Objectifs de la classification
3. De l’importance de l’externalisation des données
4. Niveaux de continuité d’activité
4.1 Segment inférieur : sauvegarde et restauration
4.2 Segment intermédiaire : récupération rapide des données
4.3 Segment supérieur : disponibilité continue des données
5. Description des niveaux de continuité d’activité
5.1 Tier 1 : Data Backup but no « Hot Site »
5.2 Tier 2 : Data Backup and « Hot Site »
5.3 Tier 3 : Electronic Vaulting
5.4 Tier 4 : Point-In-Time Copies
5.5 Tier 5 : Software Replication – Transaction Integrity
5.6 Tier 6 : Storage Mirroring (with or without Automation)
5.7 Tier 7 : Site Mirroring with high Automation and Integration
6. Choisir entre un PCA et un PRA
Partie 3 : Disponibilité et résilience des données
Chapitre 9
Restauration des données
1. L’opération de la dernière chance
2. Mécanisme de restauration
3. Sauvegarder, c’est bien, mais restaurer, c’est mieux
4. Questions indispensables pour restaurer sereinement ses données
4.1 En quoi le facteur humain influence-t-il la restauration des données ?
4.2 Pourquoi ne faut-il pas sauvegarder toutes les données ?
4.3 Quel support de stockage doit-on utiliser pour restaurer rapidement des données ?
4.4 Les copies de sauvegarde sont-elles en sécurité ?
4.5 De combien de copies de sauvegarde convient-il de disposer ?
4.6 À quelle fréquence doit-on sauvegarder les données ?
4.7 Quelle durée de conservation doit-on avoir pour les copies de sauvegarde ?
4.8 Quel est le coût associé à la sauvegarde des données ?
4.9 Quel est le délai de restauration de mes données ?
5. Stratégies de restauration
5.1 Restauration de la dernière version
5.2 Restauration d’une version spécifique
5.3 Restauration à un instant dans le temps
5.4 Restauration croisée
6. Comportement lors de la restauration
6.1 Scénarios de restauration de données
Chapitre 10
Bonnes pratiques de l’industrie
1. Introduction
2. Supervision de l’infrastructure
2.1 Diminuer les risques encourus
2.2 Critères principaux de la supervision
3. Édition de rapports
3.1 Édition de rapports statistiques
3.2 Édition de rapports de tendance
4. Gestion des incidents
5. Stratégie Disk-to-Disk-to-X
5.1 Stratégie D2D2T
5.2 Stratégie D2D2D
5.3 Stratégie D2D2C
6. Obsolescence des supports de stockage secondaire
7. Règle de sauvegarde 3-2-1
7.1 Règles relatives aux différentes copies
7.2 Règle de sauvegarde 3-2-1-1
8. Réalisation de tests réguliers
8.1 Définition du périmètre et des objectifs
8.2 Planification
8.3 Fréquence
Chapitre 11
Disponibilité et résilience des données
1. Obstacles en termes de communication dans l’entreprise
1.1 Introduction
1.2 Iceberg de l’ignorance
2. Élaboration d’une politique de protection des données
2.1 En route vers une bonne gouvernance
2.2 Étapes de mise en œuvre
2.2.1 Cartographie
2.2.2 Périmètre et besoins
2.2.3 Risques et conséquences
2.2.4 Stratégie de continuité d’activité
2.2.5 Implémentation et appropriation
Mot de la fin
Index
Chapitre 1
Prérequis
1. Introduction
2. Que suppose une bonne gouvernance ?
2.1 La prise de décision
2.2 La définition de la structure organisationnelle
2.3 La mise en avant des avantage
2.4 L’intérêt commun
3. Quels rôles pour quelles responsabilités ?
3.1 L’identification des rôles
3.2 La cohérence entre l’identification et l’attribution
3.3 Le cadrage juridique
4. Que prévoir en termes de ressources ?
4.1 La variété des ressources
4.2 L’estimation des ressources nécessaires
5. Quel serait un contexte favorable ?
Chapitre 2
Finalités de la norme
1. Les principes constitutifs de la norme
1.1 Les enjeux de la norme
1.2 Les finalités de la norme
1.3 La cible de la norme
1.3.1 La cible : tout ou partie d’une personne morale
1.3.2 La cible : une personne physique
1.4 L’investissement induit
2. L’obtention d’une certification ISO 27001
2.1 La synthèse du processus de certification d’une entité
2.2 Les motivations pour une certification
2.3 Les limites d’une certification.
3. Le recueil de bonnes pratiques
3.1 Le concept d’état de l’art.
3.2 Le traitement d’un thème précis
3.3 Évaluation de la maturité sécurité
3.4 Préparation à la certification
4. La formation de personnes
4.1 Une bonne approche de la norme
5. Rappel des points clés
6. Cas pratiques
6.1 Cas pratique 1
6.2 Cas pratique 2
6.2.1 Exercice 1 : certification d’une société
6.2.2 Exercice 2 : certification d’un directeur financier
Chapitre 3
La norme ISO 27001
1. Contextualisation de la norme
2. Rappel historique sur sa construction
3. Domaine adressé
4. Usage actuel de la norme
4.1 Obtenir la certification ISO 27001
4.2 Un point de passage vers d’autres certifications
4.3 Répondre aux exigences des donneurs d’ordre
4.4 Obtenir un avantage concurrentiel
4.5 Une reconnaissance internationale
5. Philosophie de la norme
6. Contenu de la norme
6.1 Clause 4 : contexte de l’organisation
6.1.1 Compréhension de l’organisation et de son contexte
6.1.2 Compréhension des besoins et des attentes des parties intéressées
6.1.3 Détermination du domaine d’application du système de management de la sécurité de l’information
6.1.4 Système de management de la sécurité de l’information
6.2 Clause 5 : leadership
6.2.1 Leadership et engagement de la direction
6.2.2 Politique
6.2.3 Rôles, responsabilités et autorités au sein de l’organisation
6.3 Clause 6 : planification
6.3.2 Appréciation des risques
6.3.3 Traitement des risques
6.4 Clause 7 : support
6.4.1 Gestion des ressources
6.4.2 Gestion des compétences
6.4.3 Sensibilisation
6.4.4 Communication
6.4.5 Gestion documentaire
6.5 Clause 8 : fonctionnement
6.5.1 Planification et contrôle opérationnel
6.5.2 Appréciation des risques
6.6 Clause 9 : évaluation des performances
6.6.1 Surveillance, mesures, analyse et évaluation
6.6.2 Audit interne
6.6.3 Revue de direction
6.7 Clause 10 : amélioration
6.7.1 Gestion des non-conformités
6.7.2 Amélioration continue
6.8 Annexe A
7. Rappel des points clés
Chapitre 4
Les politiques et mesures de sécurité
1. Introduction
2. Politique de gouvernance et politique de sécurité
3. Bonnes pratiques de définition d’une politique de gouvernance
3.1 Préciser les objectifs
3.2 État des lieux et plan projet
3.3 Négocier les objectifs, les moyens et le calendrier
3.4 Points clés de la gouvernance
3.5 Organisation de la gouvernance : comitologie
3.5.1 Comité stratégique
3.5.2 Comité opérationnel
3.6 Sensibilisation et formation
3.7 Audit interne
3.8 Fonctionnement et évaluation des performances
3.9 Communication
3.10 Amélioration continue
4. Bonnes pratiques de rédaction d’une politique de sécurité
4.1 De la bonne définition des règles (mesures)
4.2 De la bonne formulation des règles (mesures)
5. Points clés d’une politique de sécurité : les pratiques ISO 27002
5.1 Chapitre 5 : politiques de sécurité de l’information
5.2 Chapitre 6 : organisation de la sécurité de l’information
5.3 Chapitre 7 : sécurité des ressources humaines
5.4 Chapitre 8 : gestion des actifs
5.5 Chapitre 9 : contrôle d’accès
5.6 Chapitre 10 : cryptographie
5.7 Chapitre 11 : sécurité physique et environnementale
5.8 Chapitre 12 : sécurité liée à l’exploitation
5.9 Chapitre 13 : sécurité des communications
5.10 Chapitre 14 : acquisition, développement, maintenance
5.11 Chapitre 15 : relation avec les fournisseurs
5.12 Chapitre 16 : gestion des incidents
5.13 Chapitre 17 : aspects de la sécurité dans la gestion de la continuité de l’activité
5.14 Chapitre 18 : conformité
6. Du caractère virtuel d’une politique de sécurité
7. Rappel des points clés
8. Cas pratique : quelques conseils en matière de politique
Chapitre 5
La démarche d’analyse des risques
1. Rappels des principaux concepts de sécurité
1.1 Sécurité de l’information
1.2 Besoins de sécurité
1.2.1 Sources du besoin de sécurité
1.2.2 Critères de sécurité
1.2.3 Échelle de criticité
1.3 Protection des éléments sensibles
1.3.1 Enjeux de sécurité
1.3.2 Objectifs de sécurité
1.4 Risques de sécurité
1.4.1 Évaluation de l’imprévu
1.4.2 Définition
1.4.3 Approche pour la valorisation du risque
1.4.4 Finalité du risque
2. Vers une identification des risques
2.1 Notions sous-jacentes aux risques
2.1.1 Vulnérabilité
2.1.2 Source de menace
2.1.3 Menace
2.1.4 Objet
2.1.5 Scénario de menace
2.2 Des scénarios aux risques
2.2.1 Regroupement des scénarios de menace
2.2.2 Évaluation de la menace pesant sur les besoins de sécurité
2.2.3 Identification des risques stratégiques
2.2.4 Préparation à l’identification des risques opérationnels
3. Poursuite du travail d’analyse sur les risques
3.1 Du général au particulier
3.1.1 Description du contexte
3.1.2 Recueil de l’information stratégique
3.1.3 Prise en compte de la menace
3.1.4 Prise en compte des risques stratégiques
3.1.5 Prise en compte des risques opérationnels
3.2 Confrontation à l’existant
3.2.1 Validation des scénarios de menace
3.2.2 Validation des risques
3.3 Synthèse
4. Cas pratique
4.1 Énoncé du cas
4.2 Réponse possible
Chapitre 6
La gestion des risques
1. Introduction
2. Gouvernance du risque
2.1 Identification des risques à traiter
2.2 Organisation pour la prise de décisions
2.3 Gérer les évolutions
2.4 Niveau de risque exprimé
3. Traitement des risque
3.1 Interprétation des éléments de l’analys
3.1.1 Couverture des risques
3.1.2 Seuil et critères d’acceptation du risque
3.2 L’organisation du traitement
3.3 Options de traitement
3.4 Mesures de sécurité
3.5 Risques résiduels
4. Amélioration de la gestion des risques
4.1 Appréciation du niveau courant de risques
4.2 Appréciation du niveau courant de sécurité
4.3 Amélioration du niveau de sécurité
5. Rappel des points clés
6. Cas pratique
6.1 Énoncé du cas
6.2 Pistes de réponse possible
6.2.1 RISQUE 1
6.2.2 RISQUE 2
6.2.3 RISQUE 3
Chapitre 7
La planification et le run
1. Introduction
Coffret de 2 livres : Protection des données et ISO 270012. Objectifs et causalités des actions
2.1 Actions de gouvernance
2.2 Actions de mise en conformité réglementaire et contractuelle
2.3 Action de réduction des risques
2.4 Actions d’amélioration continue
3. Formalisation des actions
4. Un énoncé clair et précis de l’action attendue
5. Structuration du plan d’action
6. Pilotage du plan d’action
7. Mise en œuvre, exploitation et amélioration du système de gouvernance
8. Rappel des points clés
Cas pratique
Chapitre 8
Les modalités de surveillance et de suivi
1. Introduction
2. La surveillance : un élément essentiel de l’amélioration
3. Contrôle et suivi : que surveiller ?
3.1 Définir des indicateurs à bon escient
3.2 En faire assez
3.3 Ne pas en faire trop
4. De manière progressive et adaptée
5. Définition des éléments de contrôle et de suivi : les indicateurs
5.1 Élaboration d’un indicateur
6. Quelques indicateurs de gouvernance
7. Quelques indicateurs d’efficacité des mesures de sécurité
8. Exploitation des indicateurs
9. Communication, acceptation par les équipes
10. Définition des éléments de contrôle et de suivi : les tableaux de bord
11. Rappel des points clés
12. Cas pratique
Chapitre 9
L’évaluation
1. Introduction
2. Pourquoi faire des audits ?
2.1 Audit de conformité réglementaire
2.2 Audit de contrôle d’un sous-traitant
3. Référentiels d’audit
4. Audit de certification
4.1 Référentiels d’audit
4.2 Choix d’un organisme auditeur/organisme de certification
4.2.1 La relation donneur d’ordre/organisme de certification
4.2.2 La relation auditeur/audité
5. Profil type d’un auditeur
5.1 De la certification de personnes
5.2 Des compétences requises de l’équipe d’audit
5.2.1 Expérience
5.2.2 Bagage technique et mise à jour des connaissances
5.2.3 Communication écrite et orale
6. Modalités d’audit
6.1 Réunion de lancement
6.2 Revue documentaire
6.3 Audit sur site
6.4 Réunion de clôture, constats, négociation
7. Plan de remédiation et mise à jour du plan d’action
8. L’audit, une étape indispensable à l’amélioration
9. Rappel des points clés
10. Cas pratique
10.1 Les non-conformités inadmissibles
10.2 Les marronniers des auditeurs
10.3 Quelques exemples de non-conformités discutables
Index
Soyez le premier à donner votre avis sur “Sécurité des Systèmes d’Information”