I - La gestion de la sécurité (2h) 1. Objectif : Rappel des concepts (les dimensions de la gestion de la sécurité) + État des lieux. 2. ISO / COBIT (2013) 3. La gestion de la sécurité @ AUF (Pt de départ : les domaine d'intervention - Discussion : Qu'est ce qui est déjà couvert) 4. Recensement : * Référence en matière de sécurité (Livre, Standards, Reference, etc) : Nous avons déjà ISO, cobit v4 Montréal, etc. * experts tableau rtl nom région expertise * Gouvernance et Gestion COBIT / ISO2700X / ITIL, etc * Gestion des risques OCTAVE / CORAS / EBIOS, etc * Conformité : directive 95/46/CE , ECPA , Privat Act, SOx, etc. * Tech : Iptables, IDS/IPS, supervision, sauvegarde, etc. 5. Plan de 2014 : * Etat des lieux et recensement ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- II - Formations continues en Sécurité des SI (1h) * 2014 Année de ''' l'internaute auf''' * Sensibiliser le personnel (Tout le personnel AUF) aux problématiques de la sécurité * Objectif de la discussion : Définir une plateforme de formation en sécurité des SI qu'on pourra étendre pour le SI et les IT * Proposition / Discussion : * Plateforme de formation accessible depuis le portail informatique (voir edx avec Alex) * Formations Video * 2 a 3 mn sur des thèmes spécifiques voir SANS ou l’équivalent (Voir l'offre de SANS) * logiciels a utiliser ? * Notification en diffusion générale pour le lancement des thèmes ? ou bien lancement a la fin de chaque mois. ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- III - PCI (1h) 1. Avancement du travail 2. Stratégie de continuité : Validation 3. Calendrier 4. PCI régions : A la limite une politique de sauvegarde ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Stratégie de continuité * Priorité 1 : * Garder chez un fournisseur externe des disques systèmes modèles {NFS, Messagerie, Web}. * Avoir un serveur de sauvegarde externe qui intègre un disque dédié à la sauvegarde des données NFS. La fréquence de sauvegarde est définie par les RPO (sauvegarde quotidienne ou hebdomadaire) * A définir un nouveau modèle de messagerie de secours (JC): L'objectif est d'avoir un serveur de messagerie de secours en synchro quotidienne + envoi des messages sortants de tous les SMTP des implantations vers ce serveur. * Coda : Mise en place d’une solution de secours à Paris : Acquérir des systèmes prêts à l’utilisation et synchroniser quotidiennement les données (Montréal –> Paris) * Priorité 2 : * Accord avec un partenaire pour nous héberger dans le cas d’un sinistre. Il nous faut une salle avec des machines. * A identifier les fournisseurs d’infrastructure d’hébergement pour avoir la liste de contacts dans le cas d’un sinistre. * Autre : Reconfigurer les DNS en fonction des changement de la messagerie de secours et de coda de secours.