SlideShare uma empresa Scribd logo

Sécurité du Si et création de valeur Vb

Transferir como KEY, PDF
E
eburet
1 de 17
Vers une nouvelle approche de la sécurité du système d’information Eric Buret - Expert en management de la sécurité du SI
Classiquement, la sécurité est vue comme une réponse à de multiples contraintes Lois et Malveillances règlements Sécurité du système d’information Désorganisation Incidents et interne sinistres
Pour répondre à ces contraintes, on peut s’appuyer sur les normes actuelles ... Politique d‘entreprise Organisation de la sécurité Niveau adéquat de sécurité Gestion des biens informationnels Sécurité liée aux ressources humaines Gestion de la sécurité physique Gestion des opérations Contrôle des accès logiques Sécurité liée au cycle de vie du S.I. Gestion des incidents Gestion de la continuité Gestion de la conformité ISO 27000 0 1 2 3 4 5 ... et rechercher l’équilibre entre les mesures existantes et le niveau adéquat
On peut aussi rechercher le meilleur rapport coût-bénéfice ... Coût Coûts cumulés Zone d’efficience maximale Coût des Coût du mesures de risque sécurité résiduel Efficacité des mesures de sécurité ... et l’utilisation optimale des ressources
Le nec plus ultra c’est l’intégration de la sécurité au plus tôt dans le cycle de vie des projets ROSI Design 100 Développement Test 10 Déploiement Recette 1 Début du projet Fin du projet ROSI = Retour sur investissements des mesures de sécurité en fonction du stade d’intégration de la sécurité dans le projet
Le risque majeur ... ... est de se concentrer sur la protection des biens
Bilan des approches traditionnelles Dans le meilleur des cas : ✴Le SMSI est bien dans un cycle PDCA ✴Le système d’information est conforme ✴Les tableaux de bords sont exploités ✴Les dépenses sont contrôlées ✴Les incidents sont maîtrisés ✴La sécurité est gouvernée Mais aucune valeur n’est réellement créée
Sécurité = protection ? Une vision un peu réductrice
Une autre approche est possible Se concentrer sur la création de valeur
Opter pour un nouveau paradigme Renforcer la confiance Sécurité du Servir la Accompagner système stratégie l’innovation d’information Accroître le patrimoine Aligner la sécurité sur la stratégie d’entreprise
Bâtir une nouvelle entreprise communicante basée sur la confiance des échanges
Faciliter les échanges dans la chaîne de valeur Enseignes 750 magasins dans 18 pays Flux matériels Gestion des flux de distribution Flux informationnels STE 2 FAB 8 usines - 9 500 personnes Design Fabrication Contrôle Conception Assemblage Qualité Gestion des flux de fabrication Sous-traitants 30 Sociétés - 980 personnes - 5 pays Equipements Produits Matériaux électroménagers semi-finis Une nécessité stratégique basée sur la sécurité des flux informationnels
Choix de sécurité = acte stratégique Stratégie de licences visant Stratégie d’échange à augmenter Coopération de technologie les ventes Guerre de Guerre de position mouvement Stratégie défensive visant Stratégie à conserver le «course de vitesse» Exclusion monopole ... pour développer son avantage concurrentiel
L’augmentation de la valeur perçue par le Client Valeur Valeur crée d’utilité par perçue par l’entreprise le client VUPC Coût de revient En exploitant la valeur d’utilité créée par la sécurité
La sécurité = arme de planification stratégique Modification de la valeur pour le client Stratégie Stratégie de perturbatrice rupture Radicale = = Augmentation de Conjugaison la VUPC des tactiques Stratégie perturbatrice Modérée Amélioration = incrémentale Optimisation de la chaîne de valeur Modification de la chaîne Modérée Radicale de valeur Un réel atout au service de la stratégie
La démarche sécuritaire vers la création de valeur Création de valeur Maîtrise des contrôles Maîtrise des méthodes Maîtrise de la technologie Maîtrise des produits et des techniques La nouvelle cible à atteindre
Pour garder une longueur d’avance Regardons du bon coté

Recomendados

Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleThierry Pertus
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Présentation 2
Présentation 2 Présentation 2
Présentation 2 farahgueldi
 
La veille technologique dans les pme
La veille technologique dans les pmeLa veille technologique dans les pme
La veille technologique dans les pmeLYNKS VEILLE
 

Recomendados

Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleThierry Pertus
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Présentation 2
Présentation 2 Présentation 2
Présentation 2 farahgueldi
 
La veille technologique dans les pme
La veille technologique dans les pmeLa veille technologique dans les pme
La veille technologique dans les pmeLYNKS VEILLE
 
Secu SSI 2009
Secu SSI 2009Secu SSI 2009
Secu SSI 2009AdminSquale21
 
Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?provadys
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Protocole d’authetification PPP
Protocole d’authetification PPPProtocole d’authetification PPP
Protocole d’authetification PPPZakaria El ktaoui
 
Return on Security Investment
Return on Security InvestmentReturn on Security Investment
Return on Security InvestmentConferencias FIST
 
Value Chain Canvas Model an Enterprise Architecture Framework
Value Chain Canvas Model an Enterprise Architecture FrameworkValue Chain Canvas Model an Enterprise Architecture Framework
Value Chain Canvas Model an Enterprise Architecture FrameworkRené MANDEL
 
Haute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de PanneHaute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de PanneElior Boukhobza
 
The ROI on Intrusion Prevention: Protecting Both Your Network & Investment
The ROI on Intrusion Prevention: Protecting Both Your Network & InvestmentThe ROI on Intrusion Prevention: Protecting Both Your Network & Investment
The ROI on Intrusion Prevention: Protecting Both Your Network & InvestmentIBM Security
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeFranck Franchin
 
Mise en place de système d’information
Mise en place de système d’informationMise en place de système d’information
Mise en place de système d’informationPatrick Ostertag
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Introduction à la veille technologique S2E01 (2013)
Introduction à la veille technologique S2E01 (2013)Introduction à la veille technologique S2E01 (2013)
Introduction à la veille technologique S2E01 (2013)Alain Marois
 
Auris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPEAuris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPEAuris Solutions
 
Re-Positioning the value of the architecture practice
Re-Positioning the value of the architecture practiceRe-Positioning the value of the architecture practice
Re-Positioning the value of the architecture practiceCraig Martin
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficienteELCA Informatique SA / ELCA Informatik AG
 
Système d'Information (S.I.) dans l’entreprise
Système d'Information (S.I.) dans l’entrepriseSystème d'Information (S.I.) dans l’entreprise
Système d'Information (S.I.) dans l’entrepriseCommunauté d'agglomération du Pays de Grasse
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 

Mais conteúdo relacionado

Destaque

Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?provadys
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Protocole d’authetification PPP
Protocole d’authetification PPPProtocole d’authetification PPP
Protocole d’authetification PPPZakaria El ktaoui
 
Return on Security Investment
Return on Security InvestmentReturn on Security Investment
Return on Security InvestmentConferencias FIST
 
Value Chain Canvas Model an Enterprise Architecture Framework
Value Chain Canvas Model an Enterprise Architecture FrameworkValue Chain Canvas Model an Enterprise Architecture Framework
Value Chain Canvas Model an Enterprise Architecture FrameworkRené MANDEL
 
Haute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de PanneHaute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de PanneElior Boukhobza
 
The ROI on Intrusion Prevention: Protecting Both Your Network & Investment
The ROI on Intrusion Prevention: Protecting Both Your Network & InvestmentThe ROI on Intrusion Prevention: Protecting Both Your Network & Investment
The ROI on Intrusion Prevention: Protecting Both Your Network & InvestmentIBM Security
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeFranck Franchin
 
Mise en place de système d’information
Mise en place de système d’informationMise en place de système d’information
Mise en place de système d’informationPatrick Ostertag
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Introduction à la veille technologique S2E01 (2013)
Introduction à la veille technologique S2E01 (2013)Introduction à la veille technologique S2E01 (2013)
Introduction à la veille technologique S2E01 (2013)Alain Marois
 
Auris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPEAuris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPEAuris Solutions
 
Re-Positioning the value of the architecture practice
Re-Positioning the value of the architecture practiceRe-Positioning the value of the architecture practice
Re-Positioning the value of the architecture practiceCraig Martin
 

Destaque (20)

Secu SSI 2009
Secu SSI 2009Secu SSI 2009
Secu SSI 2009
 
Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Protocole d’authetification PPP
Protocole d’authetification PPPProtocole d’authetification PPP
Protocole d’authetification PPP
 
Return on Security Investment
Return on Security InvestmentReturn on Security Investment
Return on Security Investment
 
Value Chain Canvas Model an Enterprise Architecture Framework
Value Chain Canvas Model an Enterprise Architecture FrameworkValue Chain Canvas Model an Enterprise Architecture Framework
Value Chain Canvas Model an Enterprise Architecture Framework
 
Haute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de PanneHaute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de Panne
 
The ROI on Intrusion Prevention: Protecting Both Your Network & Investment
The ROI on Intrusion Prevention: Protecting Both Your Network & InvestmentThe ROI on Intrusion Prevention: Protecting Both Your Network & Investment
The ROI on Intrusion Prevention: Protecting Both Your Network & Investment
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
 
Mise en place de système d’information
Mise en place de système d’informationMise en place de système d’information
Mise en place de système d’information
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Introduction à la veille technologique S2E01 (2013)
Introduction à la veille technologique S2E01 (2013)Introduction à la veille technologique S2E01 (2013)
Introduction à la veille technologique S2E01 (2013)
 
Auris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPEAuris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPE
 
Re-Positioning the value of the architecture practice
Re-Positioning the value of the architecture practiceRe-Positioning the value of the architecture practice
Re-Positioning the value of the architecture practice
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
 
Système d'Information (S.I.) dans l’entreprise
Système d'Information (S.I.) dans l’entrepriseSystème d'Information (S.I.) dans l’entreprise
Système d'Information (S.I.) dans l’entreprise
 

Semelhante a Sécurité du Si et création de valeur Vb

Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveProtéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveMarie_Estager
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseilSIFARIS
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Afav
AfavAfav
AfavNEKOE
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...IBM France PME-ETI
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FCertilience
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FCertilience
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnelsonepoint x weave
 
Stage Avant-Vente réseau et sécurité
Stage Avant-Vente réseau et sécuritéStage Avant-Vente réseau et sécurité
Stage Avant-Vente réseau et sécuritéCertilience
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architectureSIFARIS
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 

Semelhante a Sécurité du Si et création de valeur Vb (20)

Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveProtéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture Interactive
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseil
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Afav
AfavAfav
Afav
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/F
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/F
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
 
Stage Avant-Vente réseau et sécurité
Stage Avant-Vente réseau et sécuritéStage Avant-Vente réseau et sécurité
Stage Avant-Vente réseau et sécurité
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architecture
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 

Sécurité du Si et création de valeur Vb

  • 1. Vers une nouvelle approche de la sécurité du système d’information Eric Buret - Expert en management de la sécurité du SI
  • 2. Classiquement, la sécurité est vue comme une réponse à de multiples contraintes Lois et Malveillances règlements Sécurité du système d’information Désorganisation Incidents et interne sinistres
  • 3. Pour répondre à ces contraintes, on peut s’appuyer sur les normes actuelles ... Politique d‘entreprise Organisation de la sécurité Niveau adéquat de sécurité Gestion des biens informationnels Sécurité liée aux ressources humaines Gestion de la sécurité physique Gestion des opérations Contrôle des accès logiques Sécurité liée au cycle de vie du S.I. Gestion des incidents Gestion de la continuité Gestion de la conformité ISO 27000 0 1 2 3 4 5 ... et rechercher l’équilibre entre les mesures existantes et le niveau adéquat
  • 4. On peut aussi rechercher le meilleur rapport coût-bénéfice ... Coût Coûts cumulés Zone d’efficience maximale Coût des Coût du mesures de risque sécurité résiduel Efficacité des mesures de sécurité ... et l’utilisation optimale des ressources
  • 5. Le nec plus ultra c’est l’intégration de la sécurité au plus tôt dans le cycle de vie des projets ROSI Design 100 Développement Test 10 Déploiement Recette 1 Début du projet Fin du projet ROSI = Retour sur investissements des mesures de sécurité en fonction du stade d’intégration de la sécurité dans le projet
  • 6. Le risque majeur ... ... est de se concentrer sur la protection des biens
  • 7. Bilan des approches traditionnelles Dans le meilleur des cas : ✴Le SMSI est bien dans un cycle PDCA ✴Le système d’information est conforme ✴Les tableaux de bords sont exploités ✴Les dépenses sont contrôlées ✴Les incidents sont maîtrisés ✴La sécurité est gouvernée Mais aucune valeur n’est réellement créée
  • 8. Sécurité = protection ? Une vision un peu réductrice
  • 9. Une autre approche est possible Se concentrer sur la création de valeur
  • 10. Opter pour un nouveau paradigme Renforcer la confiance Sécurité du Servir la Accompagner système stratégie l’innovation d’information Accroître le patrimoine Aligner la sécurité sur la stratégie d’entreprise
  • 11. Bâtir une nouvelle entreprise communicante basée sur la confiance des échanges
  • 12. Faciliter les échanges dans la chaîne de valeur Enseignes 750 magasins dans 18 pays Flux matériels Gestion des flux de distribution Flux informationnels STE 2 FAB 8 usines - 9 500 personnes Design Fabrication Contrôle Conception Assemblage Qualité Gestion des flux de fabrication Sous-traitants 30 Sociétés - 980 personnes - 5 pays Equipements Produits Matériaux électroménagers semi-finis Une nécessité stratégique basée sur la sécurité des flux informationnels
  • 13. Choix de sécurité = acte stratégique Stratégie de licences visant Stratégie d’échange à augmenter Coopération de technologie les ventes Guerre de Guerre de position mouvement Stratégie défensive visant Stratégie à conserver le «course de vitesse» Exclusion monopole ... pour développer son avantage concurrentiel
  • 14. L’augmentation de la valeur perçue par le Client Valeur Valeur crée d’utilité par perçue par l’entreprise le client VUPC Coût de revient En exploitant la valeur d’utilité créée par la sécurité
  • 15. La sécurité = arme de planification stratégique Modification de la valeur pour le client Stratégie Stratégie de perturbatrice rupture Radicale = = Augmentation de Conjugaison la VUPC des tactiques Stratégie perturbatrice Modérée Amélioration = incrémentale Optimisation de la chaîne de valeur Modification de la chaîne Modérée Radicale de valeur Un réel atout au service de la stratégie
  • 16. La démarche sécuritaire vers la création de valeur Création de valeur Maîtrise des contrôles Maîtrise des méthodes Maîtrise de la technologie Maîtrise des produits et des techniques La nouvelle cible à atteindre
  • 17. Pour garder une longueur d’avance Regardons du bon coté

Notas do Editor

  1. \n
  2. \n
  3. \n
  4. \n
  5. \n
  6. \n
  7. \n
  8. \n
  9. \n
  10. \n
  11. \n
  12. \n
  13. \n
  14. \n
  15. \n
  16. \n
  17. \n