vendredi 1 décembre 2017

Calendrier sécurité 2018 pour les PME

En cette fin d'année 2017 et en ce début de 2018, nous sommes très heureux d'offre à l'ensemble des PME ce calendrier 2018 de la sécurité:



http://pr4gm4.com/Calendrier2018_PR4GM4.pdf


Vous n'êtes pas sans savoir que des cyberattaques se déroulent toutes les minutes et ce à travers le monde entier via Internet. Comme l'explique cet article.


Mais pourquoi les PME me direz-vous?
Car souvent elles sont laissées pour compte en sécurité informatique.
Car très souvent elles n'ont pas de technicien, ni d'analyste en informatique. Encore moins d'expert en sécurité informatique. Parfois elles ont une ressource mais qui doit tout faire... Elles n'ont pas, non plus le budget des grandes entreprises ou encore des gouvernements.
Et pourtant une multitude de cyberattaques (rançongiciel, hameçonnage, vers, virus, etc.) les touchent comme tout le monde, parfois sans qu'elles le sachent, et peuvent mettre en péril leur existence comme par exemple.

Grâce à ce calendrier, on leur rappelle ce qu'elles doivent minimalement faire pour se protéger. Elles devraient être alors capables de passer au travers des attaques.

Bon temps des fêtes à vous tous. Et bonne sécurité 2018!

jeudi 22 juin 2017

L'ANALYSE DE RISQUES SIMPLIFIÉE

Dans ce monde ou tout va vite... et ou la gestion des risques est indispensable, il nous a été demandé d'élaborer une démarche d'analyse de risques en 4 phases/20 étapes.

Ceci tout en respectant ISO27005, une vision MindManager et un modèle BPMN.

Cette démarche peut tout aussi bien s'appliquer en mode projet qu'en mode continuité.

Voici en français:
MindManager: http://pr4gm4.com/mehari/demarcheMM.jpg
BPMN: http://pr4gm4.com/mehari/Processus_2juin2017.pdf

en espagnol:
MindManager: http://pr4gm4.com/mehari/demarcheMMs.jpg
BPMN: http://pr4gm4.com/mehari/Proceso_ar_31mai2017.pdf

en anglais:
MindManager: http://pr4gm4.com/mehari/demarcheMMe.jpg
BPMN: http://pr4gm4.com/mehari/Process_ra_e_19mai2017.pdf

Nous restons disponible pour répondre à vos questions.

Enfin, vos commentaires/suggestions/bonifications sont les bienvenus!

jeudi 16 mars 2017

Mapping 42 mesures de l'ANSSI et Méhari

Bonjour à tous,

Pour ceux qui ne le connaissent pas, je vous invite à prendre connaissance du nouveau Guide d'hygiène informatique de l'ANSSI faisant la promotion de 42 mesures de sécurité pour renforcer la sécurité de vos systèmes d'information:
https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

J'ai fait un rapide mapping avec Méhari, disponible sous:
www.pr4gm4.com/mehari/mapping_ANSSI_MEHARI_13mars2017.xlsx

Vos commentaires/suggestions/bonifications sont les bienvenus.

mercredi 25 janvier 2017

CONFUSION (ET AMALGAME FACHEUX) ENTRE GOUVERNANCE ET GESTION

Nous sommes en 2017 et je remarque encore une grande confusion entre les notions de gouvernance et de gestion.

Déjà en 2010, dans le document Modèle de Gouvernance, j’avais rappelé ces deux notions expliquées par l’OCDE (dans Principe de gouvernance d’entreprise, publié pour la première fois en 1999) et Forrester (dans Future of business Technology governance.pfd d’Alexander Peters, Ph.D.September 12, 2012) comme suite :

LA GOUVERNANCE

  • La gouvernance implique une série de relations entre la direction de l’entreprise, son CA, ses actionnaires, et les autres parties prenantes
  • Elle donne la direction, elle fournit la structure par laquelle sont fixés les objectifs de l’entreprise et les moyens de les mettre en œuvre et de les surveiller
  • Pour les entreprises privées, elle doit fournir les incitatifs adéquates afin d’atteindre les objectifs de rendement aux actionnaires
  • Pour le public, elle aide a renforcer la démocratie et les droits de l’homme, favorise la prospérité économique et la cohésion social, réduit la pauvreté, améliore la protection de l’environnement et l’utilisation durable des ressources naturelles et augmente la confiance en l’administration publique et le gouvernement.


LES DIFFÉRENCES ENTRE GOUVERNANCE ET GESTION

  • Les tendances vont vers une distinction nette entre la gouvernance (donner des orientations à long terme, des buts) et la gestion (au quotidien, au mois, à l’année)
  • Cette différence entre les activités de nature stratégique qui se préoccupent des besoins d’affaires et les activités de gestion (entre autre des TI) qui s’assurent de rendre un service efficient selon les besoins d’affaires.


MAINTENANT
Pourrait-on, tous ensemble, favoriser de vraies et bonnes descriptions, svp ?

  • de missions/mandats qui correspondent : soit à de la vraie gouvernance (auprès de ceux qui définissent les visions, les orientations à long terme), soit à de la gestion de nature stratégique, tactique ou opérationnelle. Car rédiger un processus de gestion des incidents TI n’est pas de la gouvernance

  • de poste/titre : réaliser des analyses et produire des documents afférents ne relèvent pas de la gouvernance. Et élaborer des orientations, des directives, des processus relèvent seulement de la gestion.