Espace RSSI

Responsable : Sylvain Thiry (SNCF)

L'espace RSSI a pour objectif de permettre aux professionnels en charge de la fonction sécurité dans leur entreprise ou leur administration de se rencontrer, de partager et comparer leurs expériences. S'ils le souhaitent, ils peuvent également élaborer en commun des solutions à leurs problématiques.

Programme 2009 / 2010

• 6 janvier 2010
  Réseaux sociaux, stockage en ligne, logmein, etc. : précautions et règles d'usage.
• 3 février 2010
  Accès distants au SI :webmail, mobile tel, etc.
• 10 mars 2010
  Systèmes industriels / SCADA - intégration au réseau d’entreprise : motifs et contraintes. Comment les protéger ?
• 7 avril 2010
  Externalisation de tout ou partie du S.I. et des fonctions attachées (heldesk, dev,…)
• 5 mai 2010
  Sécurité des applications : projet, accès & habilitations, sécurité des développements.
• 2 juin 2010
  Internet, une infrastructure d'importance vitale. Quels moyens ? Quels impacts ?
  Organisation de l'Audit et du contrôle de la SSI

Programme 2008 / 2009

• Le métier RSSI
  • Le métier de RSSI, fiche emploi
  • Place du RSSI dans les entreprises (risque Manager et audit)
  • Mission et interlocuteurs
  • glossaire PCA
• Gestion des incidents / Gestion de crise
  • Politiques et procédures de traitement d'incidents
  • Gestion de crise
• Maîtrise des accès informatiques au SI
  • Maîtrise des accès des administrateurs informatiques
  • Gestion des sous-traitants (clauses des contrats, gestion des habilitation, délit de marchandage )
  • Accès en télémaintenance aux systèmes et aux applications : politique des différents RSSI, état de l'art, contraintes règlementaires, clauses contractuelles à prévoir
• Accès Internet pour les visiteurs
  • Accès Internet pour les visiteurs
  • accès des invités au réseau local - Wifi - retour d'expérience
  • Network Acces Control - retour d'expérience
  • Ségrégation des accès au réseau local
• La virtualisation
  • La virtualisation : menaces réelles, bonne approche sécurité
  • Outils et bonnes pratiques en la matière
• Sécurisation des terminaux mobiles (smartphone, pda communiquant)
  • Sécurisation des terminaux mobiles (smartphone, pda communiquant)
• La réglementation
  • Les réglementations externes à appliquer à l'entreprise : quelles sont-elles ? Comment les appliquer réellement ? La jurisprudence
  • Cybersurveillance du salarié
• COBIT, ITIL, ISO27000 - tronc commun
  • COBIT, ITIL, ISO27000 - tronc commun
• Mise en place d'une solution de gestion/exploitation de logs - retour d'expérience
  • Mise en place d'une solution de gestion/exploitation de logs - retour d'expérience

Programme 2007 / 2008

• La réglementation
  • MEP du correspondant CNIL - retour d’expérience
  • MEO d’un accès WIFI « guest » - retour d’expérience
  • PCI/DSS - retour d’expérience et spécificités d’application en France
• Plan de Reprise d’Activité
  • gestion de crise
  • grippe aviaire
  • gestion de crise phishing
• Protection des clés USB, des portables et des PDAs
  • la politique
  • le push-mail
• La gestion des contrôles en entreprise
  • Sécurité et hébergement (contrat d’infogérance)
  • Retour expérience MEO d’un ISMS (norme ISO 27001)
• Les tableaux de bord sécurité
  • Comment les faire simple
  • Reporting, expérience, Mise En Place
  • Pilotage pour les équipes techniques
  • Motivation des personnes à la source des indicateurs
• Classification des informations et intégration de la sécurité dans les projets
  • Politique et outils
  • Classification des données
  • Labellisation
  • MEO mesures et plans de protection
  • Cloisonnement et segmentation
  • Méthode simple d’Intégration des la sécurité dans les projets
  • Analyse de risque pour néophyte (industrialisation, méthodologie)
• Sensibilisation à la sécurité du SI
  • Pour les utilisateurs et les personnes impliquées dans les projets informatiques
  • Comment procéder ? : en campagne ; en l'incluant dans les process existants ; communiquer ; sensibiliser ; former.
  • Comment décrire et communiquer le sentiment d'urgence ?
  • La charte informatique (charte d'accès au SI) : que mettre dedans et comment la compléter, l'illustrer ?
• Gestion des traces
  • Les lois
  • Les logs, évènements, corrélations,
  • Démarche, organisation
• Chiffrement des données
  • Chiffrement des données sensibles au niveau du SGBD - traçabilité
  • Chiffrement des fichiers
  • PKI Application au cryptage de mail

Programme 2006 / 2007

• Sensibilisation à la sécurité
  • Communication, information, répression
  • Public concerné : MOA, MOE, management.
• Le réseau d’entreprise
  • Le contrôle des accès
  • La protection du LAN
  • Le cloisonnement (data center, filtrage applicatif, etc …)
  • Les diverses connexions externes, (partenaire, TMA, légal, etc…)
  • La sécurité de l'interconnexion des partenaires
  • La gestion des accès tiers, visiteurs et prestataires (local et distants)
  • Trust Partner (niveau de confiance)
• Les tests d’intrusion / Problèmatique VoIP et ToIP
  • Retour d’expérience
  • Management des tests d’intrusion
  • Trust partner (niveau de confiance)
• La réglementation
  • Correspondant informatique et liberté
  • Panel de la réglementation que doit appliquer le RSSI
  • La veille
  • La démarche de la conformité réglementaire
• La gestion de crise
  • Comment gérer les situations de crise (attaque virale, sinistre majeur)
  • Processus communication et escalade
  • Gestion des incidents majeurs
• La gestion des risques
  • Gestion des risques de manière globale (cartographie)
  • Analyse de risques (outils,
  • Gestion des risques majeurs
• L' IAM
  • Réinitialisation des mots de passe utilisateur
  • MEO outil basé sur la reconnaissance vocale
  • Solutions diverses
  • Carte professionnelle unique (ctrl accès physique et logique)
  • Authentification à distance (mot de passe)
• La politique sécurité / Le système de classification des informations / Retour expérience MEO d’un ISMS (norme ISO 27001)
  • Le pilotage
  • La MEO tableaux de bord
  • Les Indicateurs d'activité de performance
  • La MEO d’une politique de sécurité entre plusieurs partenaires
• La sécurité des mises à jour des systèmes et applications / Le verrouillage des postes de travail
  • Patch management
  • Verrouillage des PC (clefs USB, graveurs CD et DVD)

Programme 2005 / 2006

• Politique pour la gestion des patchs
  
  • gestion des vulnérabilités
  • circuit d'alerte
  • évaluation en fonction du contexte serveur/client
  • décision de patcher ou pas
• Méthodes d’analyse des risques et des vulnérabilités
  
  • panorama des méthodes
  • présentation de la méthode par l'Espace Méthodes
• Les Tableaux de bord
  
  • technique
  • pilotage
  • reporting
• La fonction RSSI
  • quel positionnement ?
  • quelles responsabilités ?
  • quel périmètre ?
  • sa relation avec la DSI
  • de quoi se compose le budget ?
  • quelle fourchette de salaire ?
  • les différentes certifications
  • la veille juridique (archivage légal)
  • l’acronyme RSSI est-il bien en rapport avec la fonction ?
• Le plan de continuité des métiers
  
  • MEO d’un plan de continuité métier
  • organisation et procédures pour la gestion de crise
• PKI
  
  • dématérialisation et MEO d’une infrastructure de gestion des clefs
• Sécurisation du poste de travail
  
  • sécurité des clefs USB, graveurs et disques durs externes
  • nomadisme (accès distant)
  • retour d’expérience sur la 3G - UMTS
  • authentification forte et   pas chère  
• Sécurisation dans le développement des projets
  
  • quelle méthode ?
  • quels moyens ?
  • quelle recette ?
  • la sécurité du navigateur
• Gestion des habilitations
  
  • gestion des habilitations
  • gestion des identités
  • gestion des mots de passe système et applicatifs
• Cloisonnement réseau
  
  • retour d’expérience sur la sécurité des accès locaux
  • identification du poste de travail
  • MAJ anti-virus

Quelques thématiques traitées en 2004 / 2005

• Protection des données
• Loi concernant la sécurité : CNIL, LCEN, SOX, LSF
• Internet : accès, Wifi, webmail, gestion des logs
• Analyse des risques
• Habilitations
• Sensibilisation du personnel
• Politique de sécurité de l'entreprise
• PRA / PCA gestion de crise
• La sécurité des postes nomades
• La gestion des risques et la mise en oeuvre du plan de continuité d'activité
• La gestion de crise
• La Méthode MEHARI™