Règles d’exigences en regard de la
sécurité de l’information et de la
protection des renseignements de
personnels
Règles d...
Présentation
• Introduction
• Contexte
• Objectif
• Principes de sécurité
Introduction
Contexte
Présenter les différentes mesures en sécurité de l’information
et de protection des renseignements p...
Introduction
L’objectif
Présenter les exigences générales de la sécurité de
l’information et de la protection des renseign...
Introduction
Les exigences de sécurité doivent être prises en considération
au départ de tout projet afin d’éviter des cor...
Cette stratégie de sécurité
permettra de
• Concevoir une conduite générale de protection
• Mettre en place les mesures, ou...
… afin de respecter les bonnes
pratiques et certaines obligations
• S’assurer que la sécurité des systèmes répond à l’exig...
Permettra d’amener l’entreprise
Les processus sont mis en oeuvre au
cas par cas et sans méthode
Les processus sont
documen...
Principes de sécurité
Principes relatifs à la conformité au
cadre légal et administratif
Principes relatifs à la gouvernan...
Principes de sécurité
• Principes relatifs à la conformité au cadre légal et
administratif
• Principes relatifs à la gouve...
• Principes relatifs au développement Web
• Principes relatifs à la disponibilité
• Exigences relatives à la gestion des i...
• Principes relatifs à la confidentialité
• Exigences relatives à la gestion des incidents de
sécurité
• Exigences relativ...
• Principes relatifs à l’irrévocabilité
• Exigences relatives à la journalisation
• Exigences relatives au consentement
• ...
Le résultat final attendu est l’application dans
tous projets de ces exigences de sécurité de
l’information et de la prote...
Pour l’ensemble des projets de:
• Développement de système
• Entretien de système
• Prestation électronique de services
Qu...
Et qui permettra de renforcer les activités et les liens
de sécurité entre de l’entreprise, l’infrastructure de
la TI et l...
Conclusion
Afin d’obtenir
Les processus sont mis en oeuvre au cas
par cas et sans méthode
Les processus sont documentés et...
Il ne faut surtout pas oublier, qu’une gestion efficace
de la sécurité protège tous les actifs informatiques
pour réduire ...
Prochain SlideShare
Chargement dans…5
×

ReglesDeSecurite

171 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
171
Sur SlideShare
0
Issues des intégrations
0
Intégrations
21
Actions
Partages
0
Téléchargements
4
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

ReglesDeSecurite

  1. 1. Règles d’exigences en regard de la sécurité de l’information et de la protection des renseignements de personnels Règles d’exigences de la SI et de la PRP Vice-Présidence des Technologies de l’information (VPTI) 21 avril 2016 Éric Clairvoyant, consultant en sécurité GASTI inc.
  2. 2. Présentation • Introduction • Contexte • Objectif • Principes de sécurité
  3. 3. Introduction Contexte Présenter les différentes mesures en sécurité de l’information et de protection des renseignements personnels qui doivent être prises en compte lors d’un développement ou de l’entretien de systèmes d’information afin de se conformer aux bonnes pratiques et à la législation pertinente.
  4. 4. Introduction L’objectif Présenter les exigences générales de la sécurité de l’information et de la protection des renseignements personnels qui s’appliquent à l’ensemble des projets de développement ou d’entretien de système d’information ou de prestation électronique de services.
  5. 5. Introduction Les exigences de sécurité doivent être prises en considération au départ de tout projet afin d’éviter des correctifs ultérieurs qui pourraient requérir des efforts plus substantiels. Toute exception concernant ces exigences doit être documentée et acceptée par le représentant SI et/ou le représentant PRP le cas échéant. En effet, la dérogation à une exigence de SI et/ou de PRP entraîne généralement un risque dont l’accomplissement potentiel et les impacts peuvent influencer la décision des autorités. C’est pourquoi ce risque doit être compris avant d’être accepté.
  6. 6. Cette stratégie de sécurité permettra de • Concevoir une conduite générale de protection • Mettre en place les mesures, outils et procédures nécessaires à la gestion des risques et à la sécurité des systèmes, services et données • Cohérence des mesures les unes par rapport aux autres
  7. 7. … afin de respecter les bonnes pratiques et certaines obligations • S’assurer que la sécurité des systèmes répond à l’exigence du besoin affaires vis-à-vis l’informatique et de maintenir l’intégrité de l’information et de l’infrastructure technologique et réduire au maximum les conséquences de failles et d’incidents de sécurite pour chaque projet de développement ou d’entretien développées • Respecter certaines obligations légales
  8. 8. Permettra d’amener l’entreprise Les processus sont mis en oeuvre au cas par cas et sans méthode Les processus sont documentés et communiqués Les processus sont surveillés et mesurés à un niveau de maturité pour favoriser une performance efficace des processus État actuel Meilleure pratique du marché Stratégie de l’entreprise
  9. 9. Principes de sécurité Principes relatifs à la conformité au cadre légal et administratif Principes relatifs à la gouvernance de la sécurité Principes relatifs à la protection des renseignements personnels (PRP) Principes relatifs aux livrables de sécurité Principes relatifs aux domaines de confiance Principes relatifs à la gestion des environnements Principes relatifs aux éléments de contrôle et de conformité Principes relatifs au développement WEB Principes relatifs à la disponibilité Principes relatifs à l’intégrité Principes relatifs à la confidentialité Principes relatifs à l’authentification Principes relatifs à l’irrévocabilité D I C A I
  10. 10. Principes de sécurité • Principes relatifs à la conformité au cadre légal et administratif • Principes relatifs à la gouvernance de la sécurité • Principes relatifs aux livrables de sécurité • Exigences en regard des architectures de sécurité • Principes relatifs à la protection des renseignements personnels (PRP) • Exigences en regard de l’analyse de risque • Exigences de protection durant tout le cycle de vie d’un renseignement personnel (RP) • Principes relatifs à la gestion des environnements • Principes relatifs aux éléments de contrôle et de conformité
  11. 11. • Principes relatifs au développement Web • Principes relatifs à la disponibilité • Exigences relatives à la gestion des incidents de sécurité • Exigences relatives à la documentation • Exigences relatives à la sauvegarde • Exigences relatives à la journalisation • Principes relatifs à l’intégrité • Exigences relatives à la gestion des incidents de sécurité • Exigences relatives à l’échange information • Exigences relatives à la gestion des vulnérabilités • Exigences relatives à la journalisation Principes de sécurité
  12. 12. • Principes relatifs à la confidentialité • Exigences relatives à la gestion des incidents de sécurité • Exigences relatives au contrôle d’accès • Exigences relatives à la sauvegarde • Exigences relatives à la journalisation • Exigences relatives à la destruction • Exigences relatives aux relations d’affaires avec des tiers • Principes relatifs à l’authentification • Exigences relatives à l’identification et à l’authentification • Exigences relatives au contrôle d’accès • Exigences relatives à la journalisation Principes de sécurité
  13. 13. • Principes relatifs à l’irrévocabilité • Exigences relatives à la journalisation • Exigences relatives au consentement • Principes relatifs à la continuité • Principes relatifs au comportement responsable • Principes relatifs aux normes et exigences de l’industrie • Principes relatifs à la gestion opérationnelle de la sécurité • Principes relatifs à la sécurité physique Principes de sécurité
  14. 14. Le résultat final attendu est l’application dans tous projets de ces exigences de sécurité de l’information et de la protection des renseignements personnels Résultat attendu
  15. 15. Pour l’ensemble des projets de: • Développement de système • Entretien de système • Prestation électronique de services Qui permettra de supporter les exigences d’affaires de l’entreprise • Organisé par des processus • Basé sur des contrôles et qui • S'appuie systématiquement sur des mesures Résultat attendu (suite)
  16. 16. Et qui permettra de renforcer les activités et les liens de sécurité entre de l’entreprise, l’infrastructure de la TI et les capacités d’affaires Résultat attendu (suite) Stratégie de l’entreprise Stratégie de la TI Technologie de l’information Infrastructure et services de la TI Services auxServices aux clients Services aux partenaires Services aux fournisseurs Car les nouvelles technologies de l’information exercent une influence considérable sur: • la stratégie d’affaires • sur la stratégie de la TI • sur les services
  17. 17. Conclusion Afin d’obtenir Les processus sont mis en oeuvre au cas par cas et sans méthode Les processus sont documentés et communiqués Les processus sont surveillés et mesurés
  18. 18. Il ne faut surtout pas oublier, qu’une gestion efficace de la sécurité protège tous les actifs informatiques pour réduire le plus possible les conséquences de vulnérabilités, d’incidents de sécurité et réduit les risques et les conséquences d’une interruption majeure des services d’une entreprise Conclusion (suite)

×