ReglesDeSecurite

145 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
145
Sur SlideShare
0
Issues des intégrations
0
Intégrations
10
Actions
Partages
0
Téléchargements
1
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

ReglesDeSecurite

  1. 1. Règles d’exigences en regard de la sécurité de l’information et de la protection des renseignements de personnels Règles d’exigences de la SI et de la PRP Vice-Présidence des Technologies de l’information (VPTI) 21 avril 2016 Éric Clairvoyant, consultant en sécurité GASTI inc.
  2. 2. Présentation • Introduction • Contexte • Objectif • Principes de sécurité
  3. 3. Introduction Contexte Présenter les différentes mesures en sécurité de l’information et de protection des renseignements personnels qui doivent être prises en compte lors d’un développement ou de l’entretien de systèmes d’information afin de se conformer aux bonnes pratiques et à la législation pertinente.
  4. 4. Introduction L’objectif Présenter les exigences générales de la sécurité de l’information et de la protection des renseignements personnels qui s’appliquent à l’ensemble des projets de développement ou d’entretien de système d’information ou de prestation électronique de services.
  5. 5. Introduction Les exigences de sécurité doivent être prises en considération au départ de tout projet afin d’éviter des correctifs ultérieurs qui pourraient requérir des efforts plus substantiels. Toute exception concernant ces exigences doit être documentée et acceptée par le représentant SI et/ou le représentant PRP le cas échéant. En effet, la dérogation à une exigence de SI et/ou de PRP entraîne généralement un risque dont l’accomplissement potentiel et les impacts peuvent influencer la décision des autorités. C’est pourquoi ce risque doit être compris avant d’être accepté.
  6. 6. Cette stratégie de sécurité permettra de • Concevoir une conduite générale de protection • Mettre en place les mesures, outils et procédures nécessaires à la gestion des risques et à la sécurité des systèmes, services et données • Cohérence des mesures les unes par rapport aux autres
  7. 7. … afin de respecter les bonnes pratiques et certaines obligations • S’assurer que la sécurité des systèmes répond à l’exigence du besoin affaires vis-à-vis l’informatique et de maintenir l’intégrité de l’information et de l’infrastructure technologique et réduire au maximum les conséquences de failles et d’incidents de sécurite pour chaque projet de développement ou d’entretien développées • Respecter certaines obligations légales
  8. 8. Permettra d’amener l’entreprise Les processus sont mis en oeuvre au cas par cas et sans méthode Les processus sont documentés et communiqués Les processus sont surveillés et mesurés à un niveau de maturité pour favoriser une performance efficace des processus État actuel Meilleure pratique du marché Stratégie de l’entreprise
  9. 9. Principes de sécurité Principes relatifs à la conformité au cadre légal et administratif Principes relatifs à la gouvernance de la sécurité Principes relatifs à la protection des renseignements personnels (PRP) Principes relatifs aux livrables de sécurité Principes relatifs aux domaines de confiance Principes relatifs à la gestion des environnements Principes relatifs aux éléments de contrôle et de conformité Principes relatifs au développement WEB Principes relatifs à la disponibilité Principes relatifs à l’intégrité Principes relatifs à la confidentialité Principes relatifs à l’authentification Principes relatifs à l’irrévocabilité D I C A I
  10. 10. Principes de sécurité • Principes relatifs à la conformité au cadre légal et administratif • Principes relatifs à la gouvernance de la sécurité • Principes relatifs aux livrables de sécurité • Exigences en regard des architectures de sécurité • Principes relatifs à la protection des renseignements personnels (PRP) • Exigences en regard de l’analyse de risque • Exigences de protection durant tout le cycle de vie d’un renseignement personnel (RP) • Principes relatifs à la gestion des environnements • Principes relatifs aux éléments de contrôle et de conformité
  11. 11. • Principes relatifs au développement Web • Principes relatifs à la disponibilité • Exigences relatives à la gestion des incidents de sécurité • Exigences relatives à la documentation • Exigences relatives à la sauvegarde • Exigences relatives à la journalisation • Principes relatifs à l’intégrité • Exigences relatives à la gestion des incidents de sécurité • Exigences relatives à l’échange information • Exigences relatives à la gestion des vulnérabilités • Exigences relatives à la journalisation Principes de sécurité
  12. 12. • Principes relatifs à la confidentialité • Exigences relatives à la gestion des incidents de sécurité • Exigences relatives au contrôle d’accès • Exigences relatives à la sauvegarde • Exigences relatives à la journalisation • Exigences relatives à la destruction • Exigences relatives aux relations d’affaires avec des tiers • Principes relatifs à l’authentification • Exigences relatives à l’identification et à l’authentification • Exigences relatives au contrôle d’accès • Exigences relatives à la journalisation Principes de sécurité
  13. 13. • Principes relatifs à l’irrévocabilité • Exigences relatives à la journalisation • Exigences relatives au consentement • Principes relatifs à la continuité • Principes relatifs au comportement responsable • Principes relatifs aux normes et exigences de l’industrie • Principes relatifs à la gestion opérationnelle de la sécurité • Principes relatifs à la sécurité physique Principes de sécurité
  14. 14. Le résultat final attendu est l’application dans tous projets de ces exigences de sécurité de l’information et de la protection des renseignements personnels Résultat attendu
  15. 15. Pour l’ensemble des projets de: • Développement de système • Entretien de système • Prestation électronique de services Qui permettra de supporter les exigences d’affaires de l’entreprise • Organisé par des processus • Basé sur des contrôles et qui • S'appuie systématiquement sur des mesures Résultat attendu (suite)
  16. 16. Et qui permettra de renforcer les activités et les liens de sécurité entre de l’entreprise, l’infrastructure de la TI et les capacités d’affaires Résultat attendu (suite) Stratégie de l’entreprise Stratégie de la TI Technologie de l’information Infrastructure et services de la TI Services auxServices aux clients Services aux partenaires Services aux fournisseurs Car les nouvelles technologies de l’information exercent une influence considérable sur: • la stratégie d’affaires • sur la stratégie de la TI • sur les services
  17. 17. Conclusion Afin d’obtenir Les processus sont mis en oeuvre au cas par cas et sans méthode Les processus sont documentés et communiqués Les processus sont surveillés et mesurés
  18. 18. Il ne faut surtout pas oublier, qu’une gestion efficace de la sécurité protège tous les actifs informatiques pour réduire le plus possible les conséquences de vulnérabilités, d’incidents de sécurité et réduit les risques et les conséquences d’une interruption majeure des services d’une entreprise Conclusion (suite)

×