Patrick Vanhessche "La Sécurité au coeur de la gouvernance du Système d'Information"

Offre AxySécurité

Pragmatisme - Etat de l'art (ISO 27001) - Approche adaptée à vos enjeux et vos risques - Sécurité au service de la Gouvernance de l'entreprise – Avancées rapides (« Quick wins »)

 

 

Cette offre s’adresse aux entreprises et organisations de toutes tailles, des secteurs privé et public.

 

L'approche vise à sécuriser et pérenniser votre Système d’Information, pour préserver et développer vos activités :

  • Identifier vos enjeux et les risques auxquels votre système d’information est exposé
  • Elaborer et déployer votre Politique Sécurité
  • Traiter les risques que vous souhaitez couvrir au regard de vos enjeux propres
  • Mettre en place un Système de Management de la sécurité de l’Information, pour adapter et pérenniser le niveau de votre Sécurité.

 

Une expertise ...

  • Management des Risques, Politique et Charte Sécurité, Audits, Certifications (ISO 27001, Sarbanes & Oxley, SAS70, Hébergeur de Données de Santé, Référentiel Général de Sécurité …).
  • Tests d’intrusion, Plan de Continuité, Gestion de Crise, Contrôle d’accès, Sécurité physique, Sécurité des infrastructures (réseau, serveurs, postes de travail), …

 

Une expérience, un réalisme pragmatique pour ...

  • Donner de la visibilité à la Direction Générale et au Management : Pilotage, tableau de bord 
  • Déployer une « culture sécurité » : Actions de Formation et de Sensibilisation
  • Valoriser votre Sécurité et vous accompagner dans l’amélioration continue : Solutions, Audits, Certifications.

 

 

                        

        CLUSIF-2012-png-blanc-150px

 


 

Posté par Pk Vanhessche à 15:37 - Permalien [#]


04 septembre 2012

Hébergeur de Données de Santé (HDS)

En substance

Le décret n°2006-6 du 4 janvier 2006 : une obligation légale visant à organiser le dépôt, la consultation et la conservation des données de santé dans des conditions de nature à garantir leur pérennité et leur confidentialité.

 

Vos obligations

Mettre en place un processus de management de la sécurité :

  • Impliquer la Direction
  • Manager les risques
  • Elaborer une Politique de Sécurité
  • Définir une organisation
  • Mettre à disposition de moyens adaptés
  • Déployer un processus d’amélioration continue.

 

Implémenter les mesures de sécurité décidées pour traiter les risques ainsi que les mesures requises par le décret :

  • Contrôle d’accès
  • Traçabilité
  • Sauvegarde et archivage
  • Continuité de service

 

Obtenir l'agrément délivré par le ministre chargé de la santé, après avis motivé d'un comité d'agrément et de la CNIL, pour une durée de trois ans.

Audits sur site possibles.

 


 

Notre intervention

Cliquer_ici

 

Au terme de la démarche …

  • Un dossier conforme « HDS ».
  • Une organisation mobilisée autour des processus garantissant la sécurité de vos données de santé.
  • Une démarche et des processus réutilisables pour fiabiliser et pérenniser votre système d’information dans sa globalité.

 

Posté par Pk Vanhessche à 17:10 - - Permalien [#]
Tags :

08 août 2012

Juin 2012 : Axynergie Sécurité change de nom et devient AxySécurité

 

Transformons la sécurité … en opportunité !

 

 

Fort d’une expérience professionnelle acquise tant dans le secteur privé que public (Education Nationale et collectivités territoriales), Patrick Vanhessche a réalisé, dès les années 80, des schémas directeurs informatiques et autres projets d’informatisation.

Son expérience de plus de 20 ans au cours de laquelle il exerce, voire crée différents métiers dans le Management des Systèmes d’information l’a amené à travailler dans toute la France et en Europe du sud.

 

Titulaire d’un DESS Management des entreprises à l’IAE de Grenoble il assurera ensuite pendant 10 ans la fonction de Directeur de la Sécurité des Systèmes d’Information dans une grande SSII, au service de grands comptes internationaux aussi bien que de PME.

 

Diplômé de l’IAE d’Aix-en-Provence et de la Haute Ecole de Genève avec un MBA « Management de la Sécurité des Systèmes d’information », Patrick VANHESSCHE étend son réseau et concrétise des travaux de recherche dans le management de risques, avec une approche pragmatique dédiée aux PME.

 

Il a décidé aujourd’hui de relever un nouveau challenge, pour aider les entreprises à préserver leur business et leurs activités en cas de sinistre ou d’incident majeur : indisponibilité prolongée du système, divulgation d’informations sensibles, perte de données, fraude, …

Il passe deux années au sein du groupe Axynergie, spécialiste de l’optimisation des systèmes informatiques, fort d’une croissance à 2 chiffres depuis sa création en 2002, où il était co-fondateur d’ « Axynergie Sécurité ».

 

En 2012 Patrick VANHESSCHE poursuit son partenariat avec Axynergie. Il rachète des parts d' "Axynergie Sécurité" qui s'appelle désormais "AxySécurité" et en devient le gérant. 

 

 

AxySécurité place la sécurité au cœur de la gouvernance des entreprises …

 

Les dirigeants d’entreprises sont de plus en plus exposés aux risques liés au Système d’Information. Cependant, leur préoccupation première reste néanmoins de contenir les coûts de l’informatique et d’accroître son efficacité. Pourtant leur responsabilité, même pénale, serait engagéesi une défaillance majeure du Système d’Information permettait la réalisation de fraudes ou mettait en cause la pérennité de l’entreprise.

 

AxySécurité propose aux organisations de prendre en compte dès le départ leurs enjeux, au-delà de leurs problématiques de sécurité informatique. Les informations et les systèmes qui les stockent ou les traitent, sont aujourd’hui de plus en plus critiques. Leur indisponibilité, leur altération ou leur divulgation peuvent entrainer des conséquences financièresparfois dramatiques pour les entreprises.

 

Ceci est donc bien, avant tout, une question de gouvernance, de management des risques, d’alignement des objectifs du Système d’Information avec les objectifs métier des organisations.

 

 

Avez-vous identifié vos risques ? Avez-vous mis en place une Sécurité pérenne, à un coût adapté à vos enjeux métier ? Disposez-vous d’un tableau de bord pour piloter la Sécurité de votre système d’information (niveau de couverture des risques, gestion des incidents, disponibilité et confidentialité …) ? 

Ce sont là quelques-unes des questions que Patrick Vanhessche pose à ses clients.

En développant le réseau d’experts d’AxyScurité, partageant tous ces mêmes valeurs, il veut accompagner les entreprises dans un Management de la Sécurité qui leur apportera

 

·         une sécurité adaptée à leurs enjeux,

·         une visibilité sur leurs risques et leur niveau de sécurité,

·         le cas échéant, les certifications et agréments répondant à leurs contraintes légales.

 

La sécurité deviendra ainsi un facteur de différenciation et une valeur ajoutée pour l’entreprise.

 

 

Contact Presse

 Patrick VANHESSCHE

*    06 12 80 48 31

patrick.vanhessche@axysecurite.com

 

AxySécurité sarl

Siège social : 3 lotissement Beauregard - 38800 Champagnier

 

 

 

 

 

 

 

Posté par Pk Vanhessche à 12:10 - Permalien [#]

07 août 2012

La Sécurité du Système d’Information prend le train de l’amélioration continue …

Les organisations, quelle que soit leur forme (association, entreprise privée ou publique …), disposent aujourd’hui d‘un Système d’Information de plus en plus automatisé.

Par souci de productivité, de confort, ou par effet de mode, l’une après l’autre, les fonctions « métier » sont automatisées.

Par ailleurs, avec l’ouverture des réseaux, notamment via Internet, les organisations sont de plus en plus interconnectées entre elles. Par exemple une entreprise communique sous forme électronique avec ses clients, avec ses fournisseurs, avec les organismes de protection sociale, les banques etc.

Cette évolution rend les organisations de plus en plus dépendantes de leur système d’information. 

Cette dépendance peut aller jusqu’à compromettre l’existence même d’une entreprise, en cas de sinistre majeur, ou en cas d’incidents graves et répétés, si ses processus stratégiques sont dépendants du bon fonctionnement de l’informatique par exemple :

  • L’indisponibilité d’un site de vente en ligne a pour effet une baisse immédiate du chiffre d’affaires.
  • Une intrusion sur votre système permettant l’accès à votre base clients et sa divulgation sur internet pourra compromettre votre action commerciale.
  • Les informations confidentielles circulant sur les réseaux peuvent être interceptées.
  • Votre activité pourra-t-elle se poursuivre après un sinistre majeur rendant indisponible votre site ou votre salle informatique ? …Pour mémoire, de nombreuses statistiques montrent qu’une entreprise sur trois dépose le bilan après un sinistre majeur ayant détruit son site informatique.

 

Evaluer les risques auxquels l’entreprise est exposée, puis les traiter

Ne pouvant traiter à 100% tous ces risques, les organisations doivent les identifier, les évaluer et les prioriser puis investir de manière rationnelle et pertinente pour couvrir les risques en regard des enjeux réels pour l’organisme.

La norme ISO 27005 (« Gestion du risque en sécurité de l’information ») fournit un descriptif pragmatique, élaboré avec le concours de professionnels expérimentés provenant de différents secteurs. Plusieurs méthodes sont à disposition des entreprises, telles que EBIOS ou MEHARI par exemple, pour mettre en place un processus de management des risques. Ces méthodes ont évolué pour se mettre en conformité avec la norme ISO 27005. 

En effet, chaque organisme, en fonction des ses contraintes propres (budgets, ressources, environnement...), décidera des risques à couvrir et des solutions à mettre en œuvre.

Il faudra ensuite

  • veiller à la pérennité et à l’adaptation des mesures de sécurité déployées,
  • détecter l’apparition de nouveaux risques, dus à de nouvelles menaces, de nouvelles activités, des changements technologiques etc.
  • traiter les incidents de sécurité
  • évaluer et le cas échéant traiter ces nouveaux risques s’ils sont jugés inacceptables
  • réévaluer les risques déjà identifiés et les solutions apportées.
    Par exemple,
    - je n’ai probablement plus besoin des mêmes mesures de sécurité si j’ai déplacé les locaux informatiques depuis mon siège, jusque chez un fournisseur externe.
    - en décidant d’équiper tous mes collaborateurs d’ordinateurs portables pour faciliter le télétravail, je devrai reconsidérer les risques de vol, d’atteinte aux données ….
  • ...

 L’entreprise est un monde vivant, évoluant dans un environnement en perpétuel mouvement : les menaces, les types d’agresseurs, les solutions, les technologies, les activités même de l’entreprise, évoluent.

C’est la raison pour laquelle le management de la sécurité est un processus récurrent, basé sur le management des risques.

                                                                 

Les dirigeants des PME sont presque toujours absorbés par leur passion de créer et développer leur entreprise. Cette passion « entrepreneuriale » laisse souvent peu de place à la prise en compte des besoins en matière de Sécurité des Systèmes d’Information.

Ceci en raison également des difficultés

  • à appréhender le Système d’Information, composé souvent de sous-systèmes      hétérogènes et indépendants,
  • à appréhender la valeur des actifs notamment informationnels, les risques      auxquels ce système est exposé,
  • à associer les risques du Système d’Information aux risques business de leur      entreprise,
  • à absorber les coûts des prestations d’accompagnement et des solutions à      mettre en œuvre pour sécuriser le système d’information.

 

Selon une enquête de l’ENISA … Beaucoup de responsables de PME n’ont pas connaissance de l’existence des normes sur la Sécurité et pensent parfois que la sécurité de l’information se résume à des interventions techniques destinées à faire face aux menaces de virus et à mettre en place des sauvegardes de données.

Or, les menaces accidentelles représentent des risques importants pour la sécurité de l’information des PME, et pourtant les programmes de sensibilisation et de formation du personnel dans ce domaine sont souvent négligés.

De nombreux dirigeants de PME pensent qu’ils ne sont pas exposés aux risques évoqués, en raison de la taille réduite de leur entreprise et du nombre limité d’informations qu’ils utilisent.

Cependant, la sensibilité de l’information dépend de la nature et non de la quantité de l’information. Par ailleurs, les nouvelles technologies permettent aux petites entreprises d’utiliser les mêmes systèmes d’information que les grandes entreprises. Les PME sont de ce fait exposées aux nombreux risques qui étaient traditionnellement associés aux grandes entreprises, sans pour autant avoir les mêmes moyens pour les contrer.

C’est la raison pour laquelle des initiatives de plus en plus nombreuses voient le jour souvent sous l’impulsion d’organismes locaux soutenus par les régions ou les départements.

Les Chambres de Commerce et d’Industrie s’impliquent souvent dans ce domaine. Des programmes sont ainsi lancés, visant à sensibiliser ces publics, à former des « pilotes sécurité » dans les PME, capables de conduire une analyse de risques « simplifiée » et de mettre en œuvre un « plan de sécurité minimal ».

 

L’ENISA a également produit une plaquette d’information permettant aux PME d’effectuer une évaluation des risques de leur environnement, de sélectionner et d’appliquer les mesures adaptées pour gérer les risques liés à la sécurité de l’information. 

Enfin, le CLUSIF met également à disposition des entreprises une version plus « accessible » de MEHARI, permettant un démarrage plus rapide et pragmatique du processus de management des risques.

 

En synthèse …

Le management des risques, l’implication de la Direction, une organisation affichant clairement les responsabilités en matière de sécurité de l’information, sont quelques facteurs clé de réussite d’un processus de management de la sécurité de l’information.

Une communication et des actions de sensibilisation ou de formation favoriseront le déploiement d’une « culture sécurité » dans l’organisme. Cette culture vise à faire prendre conscience que chacun a un rôle à jouer pour contribuer à atteindre et à pérenniser le niveau de sécurité de l’organisme.

La norme ISO 27001 (Système de gestion de la sécurité de l’information), préconise également d’élaborer une Politique sécurité, basée sur l’analyse de risques, puis après la mise en œuvre des solutions et processus de sécurité, de veiller à mettre en place un système d’évaluation de la performance de ce dispositif, et d’amélioration continue des processus.

 

Posté par Pk Vanhessche à 17:18 - - Permalien [#]

06 août 2012

Axysécurité Plaquette

plaquette 1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

plaquette 2-3

 

 

 

 

 

 

 

 

 

 

 

Cliquez sur l'image pour l'agrandir.

 

 

plaquette 4

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Plaquette

Posté par Pk Vanhessche à 18:13 - - Permalien [#]

15 juin 2010

Document GMSIH Analyse de risques

1_In21LMTHv1_Analyse_risques

Posté par Pk Vanhessche à 11:46 - - Permalien [#]

La norme ISO 27005 pour manager concrètement les risques?

Cette question fait débat … pour autant la réalité fait que cette norme, qui vient préciser la norme ISO 27001, traitant du « Système de Management de la Sécurité de l’Information », apporte un éclairage et un cadre utile à tout « utilisateur averti »(1) qui souhaite entreprendre une démarche d’analyse de risques dans son entreprise.
A3SI_Risques___27005Les références à la norme ISO  27005 se multiplient dans le secteur privé aussi bien que dans le public. Par exemple dans le monde de la Santé, l’agrément « Hébergeur de données de santé » s’appuie sur une analyse de risques et l’ASIP (Agence des Systèmes d’Information Partagés de Santé ») recommande l’usage de cette norme.
La norme décrit pas à pas les étapes à suivre. Elle laisse l’utilisateur libre de la définition de son référentiel d’évaluation (critères d’évaluation des conséquences d’un incident, de sa vraisemblance, critères d’acceptation des risques …)

… Une norme pragmatique, à recommander, à adapter à ses besoins.

, tout en précisant ce qu’il est nécessaire d’évaluer pour parvenir à une liste priorisée des risques à traiter, validée par la Direction Générale.
Les annexes apportent des précisions sur ces échelles d’évaluation.

(1) Par utilisateur averti, j’entends un DSI, un RSSI, un chef de projet ayant un « background » en matière de management du Système d’Information. C’est un généraliste ayant une vision et une connaissance transverse de l’entreprise.

Posté par Pk Vanhessche à 11:05 - - Permalien [#]
Tags : , , , , ,