Petit déjeuner d’accueil et visite de l’espace exposition

• Pourquoi les RSSI détestent la technologie ? 
• Pourquoi les dépenses de sécurité ne peuvent que croître ?
• Paysage de l’offre : les nouveautés 
• Paysage de la demande : la migration vers le SaaS est-elle réelle ?

9:25 – 12:05
Session plénière 1 – Accompagner l’utilisateur, la fin du tout-éducation ?

Une fois fait le constat que la sécurité du monde moderne repose sur les utilisateurs, il faut examiner les véritables moyens d’escorter l’usager sans lui donner tous les droits.

Thèmes abordés :

• Identity and Access management
• EndPoint Protection
• Information protection and control

Qu’apporte la gestion des identités et des accès à la gestion des risques et à conformité réglementaire ?

La GRC (Gouvernance, Risk and Compliance) nécessite la mise en place de procédures et d’outils relatifs à l’identité des utilisateurs et aux accès au système d’information. Quels sont ces procédures et outils ? Quel modèle et démarche adopter pour mettre en place rapidement et à moindres coûts les solutions adéquates ? Quelles sont les solutions apportées par Oracle en termes de gestion d’identités et de services de GRC ? Comment assurer la mise en œuvre de façon cohérente les stratégies de GRC dans un SI hétérogène, et ceci aussi bien au niveau des données que des transactions ? Quels sont les bonnes pratiques et les retours d’expérience ?

Démarche et retour d’expérience d’un projet de gestion des identités

La protection des biens immatériels et informationnels de l'entreprise. Impliquer l’utilisateur, les conséquences d’une action RH

Quel est le comportement des utilisateurs sur mes systèmes et mes données sensibles? Et comment le prouver ?

Pierre Noel, Worldwide Evangelist, Risk Management & Information Security, IBM Software Group & ISS

Solution automatisée permettant de surveiller et d'analyser les activités des utilisateurs au sein de l'entreprise puis d'établir des rapports, IBM Tivoli Compliance Insight Manager vous donne la preuve écrite, de façon continue et non intrusive, que vos données et vos systèmes sont gérés conformément aux politiques de l'entreprise.

Un tableau de bord convivial affichant des résumés des fichiers logs dans un aperçu graphique vous permet de comprendre rapidement ce que font les utilisateurs. Vous pouvez rapidement obtenir une vue d'ensemble des activités liées à la conformité aux exigences de sécurité, comparer les activités des utilisateurs et les événements de sécurité à des cadres de référence sur les réglementations et les consignes d'usage, et surveiller les utilisateurs privilégiés et les événements de sécurité.

Etude de cas

Gestion des risques et contrôles associés

La gouvernance de l’entreprise commence par la définition d’objectifs pour le système d’information de l’entreprise et continue par un cycle de mesures et de vérification des résultats qui peut entrainer des modifications d‘activités et/ou d’objectifs.

Dans le domaine de la gouvernance du système d’information, la fonction spécifique de la gestion des risques est de protéger les objectifs stratégiques métiers contre les problèmes technologiques. Le programme de gouvernance suivant un processus d’amélioration continue, les sociétés doivent établir un ensemble cohérent de contrôles qui doivent être fiables, compréhensibles et automatisés. On voit donc que risques et contrôles sont étroitement associés et doivent être étudiés conjointement d’une manière compréhensible et proactive.

Sur un plan tactique, il conviendra de créer un système qui inclura l’identification, l’évaluation, la diminution et le contrôle permanent des risques technologiques.
Ce système devra au minimum :

1. identifier tous les processus
2. déterminer les risques associés
3. lier les contrôles applicables aux risques
4. documenter les contrôles
5. automatiser les contrôles les plus importants
6. développer des possibilités de surveillance en continu pour tous les contrôles
7. rattacher les règlements spécifiques aux contrôles correspondants
8. garantir que les rapports fournissent le type d’informations nécessaire pour la vérification de la mise en adéquation avec les règlements auxquels l’entreprise doit obéir.

12:00 – 13:00
Session plénière 2 – La Sécurité sous forme de Service ( Saas, Security as a Service)

Après une longue période d’équipement, les entreprises cherchent de nouvelles manières de se sécuriser. Recours aux appliances, Délégations et externalisation, comment la Sécurité peut devenir une offre de service ?

Thèmes abordés:

• Security in the Cloud
• Security in the Network

Retour d’expérience : Best Practices de la mise en place d'une solution SaaS et la mise en conformité de la sécurité informatique du Groupe Sodhexo (client de Qualys)

M. Abdellah Cherkaoui, CISO, Sodexo – Service Vouchers & Cards

En 2003, Sodexo a sélectionné Qualys pour « découvrir » les vulnérabilités de son parc international d’infrastructures. Deux ans plus tard, 22 des 30 pays où est aujourd’hui présente l’activité Chèques & Cartes de Service de Sodexo, gèrent tout le cycle de découverte et correction des vulnérabilités de leurs diverses infrastructures, grâce à l’offre de service de Qualys, qui a elle-même évolué pour  intégrer les différentes demandes des clients et utilisateurs mais aussi les demandes du marché de la Sécurité et de la mise en conformité. En 2006, Sodexo était l’un des premiers groupes français à être certifié SOX. Abdellah Cherkaoui présente le pourquoi et comment de l’évolution de l’utilisation de cette solution SaaS au sein de Sodexo au cours des 4 dernières années.

Roland SCHOENAUEN, Fortis IT Security Division Manager, Banque FORTIS Luxembourg
Christophe Bianco, Directeur des Ventes Europe Continentale, Solution de Sécurité Verizon Business

Christophe Bianco présentera les services Verizon Business Security Solutions dans le domaine de la gestion des risques IT au travers d'une série de cas clients. Nos 15 années d'expertise en matière de sécurité nous permettent de servir au mieux nos clients, depuis la gestion des vulnérabilités jusqu'à des approches plus globales de contrôle intégrant la mise en œuvre et l'évaluation de processus de sécurité.

14h25 – 15h35
Session Plénière 3 – La prochaine vague réglementaire ( Mifid, SePA) est-elle aussi grave que la première ?

Si les technologies savent désormais répondre avec efficacité aux besoins de traitement, elles reposent souvent sur des processus de mise en oeuvre complexes.

Comment éviter les écueils du déploiement ? Quelles sont les règles de gouvernance ?

Normes : démarches et pièges à éviter. ISO 27001 et suivantes. Comment ISO peut supporter une démarche globale et cohérente ?

14h30 – 14:55
Session Plénière 4 - La prochaine vague réglementaire ( Mifid, SePA) est-elle aussi grave que la première ?

Jamais la menace venue de l’extérieur n’a été aussi agile, perspicace et tenace. Pour se protéger du péril Internet, des virus et du malware en général, les entreprises se reposent sur un volume limité de fournisseurs. Qu’ont-ils de neuf à nous proposer, comment organisent-ils la parade ?
Thèmes abordés :

• Threat Mitigaton (AntiVirus, AntiSpam)
• Les nouvelles méthodes (Réputation)
• Les Consoles et le reporting du risque
• Solutions matérielles : les appliances en vedette

A nouvelles menaces nouvelles méthodes de protection.
Success Story :  les solutions à base de réputation comme unique rempart efficace aux attaques évoluées et changeantes d’aujourd’hui.

Introduction par Sébastien Commérot, Marketing Manager, Southern Europe, Middle-East & Africa, IronPort, a Cisco Business Unit

Suivie du retour d’expérience présenté par M.Vincent Godin, Responsable Réseau et Services Internet et M. Abel Campos de Oliveira, Ingénieur système et réseau, Crédit Agricole :

Intervention Trend Micro

Laurent Gondicart, Director of Business Development, Trend Micro

15h15 – 16h00
Keynote de clôture :