« Comment aligner « Comment aligner simplement la sécurité simplement la sécurité

du système du système d’information sur les d’information sur les

métiers de l’entreprise »métiers de l’entreprise »

« Comment aligner « Comment aligner simplement la sécurité simplement la sécurité

du système du système d’information sur les d’information sur les

métiers de l’entreprise »métiers de l’entreprise »Jacques FoucaultJacques FoucaultDirecteur Directeur GénéralGénéralCapacitiCapaciti

AgendaAgenda

La sécurité est-elle stratégique ?La sécurité est-elle stratégique ?

Pourquoi faut-il faire simple ?Pourquoi faut-il faire simple ?

Démarche d’alignement stratégiqueDémarche d’alignement stratégique

La sécurité est-elle La sécurité est-elle stratégique ?stratégique ?

Une question de relativité :Une question de relativité :Au secteur d’activitéAu secteur d’activité

A la dimension de l’entitéA la dimension de l’entité

A la géographieA la géographie

A la maturité des dirigeantsA la maturité des dirigeants

Principes stratégiques :Principes stratégiques :Concentration de l’effortConcentration de l’effort

RenseignementRenseignement

AgilitéAgilité

Pourquoi faut-il faire simple ?Pourquoi faut-il faire simple ?

Pour aller à l’essentielPour aller à l’essentiel

Pour obtenir l’adhésion des utilisateursPour obtenir l’adhésion des utilisateurs

Pour pouvoir piloterPour pouvoir piloter

Démarche d’alignement Démarche d’alignement stratégiquestratégique

« Pour comprendre un système complexe, il faut savoir le décomposer en éléments simples »

« Un système est un ensemble d’éléments simples, en interaction dynamique,organisés en fonction d’un objectif »

Définir les objectifs sécurité…Définir les objectifs sécurité…

I ntégrité Confidentialité

Disponibilité

Information

Intégrité Confidentialité

Disponibilité

Information

Finance

RH

Production

……les rendre mesurables…les rendre mesurables…

Valorisation du sinistre ClassesDévalorisation de l'institution POLITIQUE

Mouvements sociaux CRITIQUE40 000 € IMPORTANT

Non-Qualité FAIBLE

Classification des informations et règles

……obtenir la criticité des obtenir la criticité des processusprocessus

Descr

iption

of C

RF Kno

w-how

Delive

rable

s

Paten

t Ide

as, T

echn

ical n

otes

and

Not

eboo

ks

Develo

pmen

t Too

ls

Info

rmat

ion S

earc

h (I

nter

net)

Scient

ific D

ocum

enta

tion

(Boo

ks a

nd P

aper

s)

Testin

g Too

ls

Paten

t man

agem

ent

MEM

OTECH

Paper

arc

hiving

Noteb

ooks

(Saf

e an

d Bail

iff)

Secur

e file

exc

hang

e

Paper

Orig

inal C

ontra

ct

Contra

ct M

anag

emen

t

CEGID (A

ccou

nting

)

Resto

re A

ccou

nting

Hist

ory

Paper

arc

hiving

Tosca

ne (L

iasse

Fisc

ale)

In B

uildin

g Peo

ple L

ist

Office

Tools

(HR D

ocum

ents)

Paper

arc

hiving

Inte

rnet

Acc

ess

Mes

sagin

g Sys

tem

Phone

Sys

tem

CGN Acc

ess

Remot

e Acc

ess (

Pc por

table

s)

Leas

ed L

ine C

B*

0

50

100

150

200

250

300

350Confidentialité

Intégrité

Disponibilité

……justifier des règles de justifier des règles de sécurité…sécurité…

Valorisation du sinistre Classes Règles de confidentialitéDévalorisation de l'institution POLITIQUE Authentification forte

Mouvements sociaux CRITIQUE Données cryptées40 000 € IMPORTANT Changement mot de passe /30 jours

Pas d'impact FAIBLE

Classification des informations et règles

VulnérabilitésVulnérabilités

Descr

iption

of C

RF Kno

w-how

Delive

rable

s

Paten

t Ide

as, T

echn

ical n

otes

and

Not

eboo

ks

Develo

pmen

t Too

ls

Info

rmat

ion S

earc

h (I

nter

net)

Scient

ific D

ocum

enta

tion

(Boo

ks a

nd P

aper

s)

Testin

g Too

ls

Paten

t man

agem

ent

MEM

OTECH

Paper

arc

hiving

Noteb

ooks

(Saf

e an

d Bail

iff)

Secur

e file

exc

hang

e

Paper

Orig

inal C

ontra

ct

Contra

ct M

anag

emen

t

CEGID (A

ccou

nting

)

Resto

re A

ccou

nting

Hist

ory

Paper

arc

hiving

Tosca

ne (L

iasse

Fisc

ale)

In B

uildin

g Peo

ple L

ist

Office

Tools

(HR D

ocum

ents)

Paper

arc

hiving

Inte

rnet

Acc

ess

Mes

sagin

g Sys

tem

Phone

Sys

tem

CGN Acc

ess

Remot

e Acc

ess (

Pc por

table

s)

Leas

ed L

ine C

B*

0

50

100

150

200

250

300

350Confidentialité

Intégrité

Disponibilité

Organisation

Procédures

Outils

……pour analyser les risques…pour analyser les risques…

Perturbations dues auxrayonnements

Evènements naturels

Compromission desfonctions

Compromission desinformations

Erreur

Perte de services essentiels

Défaillance technique

……pour un risque pour un risque accepté/acceptableaccepté/acceptable

PrioritéNiveau de

criticitéDomaine Process Préconisations/Chantiers Charge Risque accepté

1 460 Gestion du patient Qplanner

Salle informatique : caractéristique de la climatisation incompatible avec la dissipation calorifique des machines.

Mettre à niveau les équipements.

10 000 € Oui/non

2345678910

Aligner en 3 joursAligner en 3 jours

Recueil Préparation Alignement POLITIQUE

InventaireObjectifsValorisationÉvaluation ISO

OutillageValidation

9h à 12h Alignement avec le Comité Direction13h à 17h Analyse de risque avec la DSI

17h à 18h Restitution au Comité de Direction

Capaciti en quelques motsCapaciti en quelques mots

3 offres3 offresSécuritéSécuritéQualité de ServiceQualité de ServiceInfrastructure communicanteInfrastructure communicante

3 métiers3 métiersConseilConseilIngénierieIngénierieAMOAMO

3 atouts3 atoutsInnovationInnovation220 jours de veille technico-économique220 jours de veille technico-économiqueMéthodeMéthode

Capaciti : Capaciti : Plus de 300 références Plus de 300 références en Franceen France

Jacques Foucault

Tél : 02 28 01 55 85