Cybersecurity
IT Compliance
Intelligence d'affaires, Organisation, Technologies de l'Information, Gestion de Projet
Business Intelligence, Organization, Information Technology, Project Management
2. 1990-1992 – Soutien technique Services Financiers Eaton-La Laurentienne
1990-1992 – Cégep Ahuntsic – Technique Juridique (2 ans sur 3)
1992-1993 – Laser Net technicien informatique sur la route
1993-1995 – Aventure Électronique – gérant département TI
1995-2002 – Soutien Technique - Berger Laurin Scott - PlanPlus
1996-2001 – Institut Teccart: Étudiant soir & fin de semaine
2002-2007 – BioAxone Thérapeutique
2005 – International Pharmaceutical Association – Computer Validation
2007-2016 – LML Technologie Inc.
– 2014-2020 – Événements-TI
2015-2021 – Institut Teccart – Documentation informatique et introduction à ISO
2016-2018 – OneSky - Cie de 16: Techniciens, programmeurs web, médias sociaux, etc.
– 350 Clients corporatifs PME
2018 – BioITpm – Consultant TI
– Gestion d’une cyber-attaque sur 550 postes à travers le Québec et l’Ontario
– Remise en place d’une infrastructure en tant que Directeur TI par intérim pendant 15 mois
– Responsable des relations avec un SOC pour une entreprise du Canada Est (550 employés) relié à une firme internationale de 50 000 employés
2021 – GetReskilled.com - Computer System Validation Training Course
Formation PMP, ITIL, COBIT 5 (en cours)
Qui est BioITpm?
BioITpm
LML
3. BI = Business Intelligence/Intelligence d’affaires O = Organisation
Questionnaire & mise en place de politique de sécurité
Logiciels d’analyse d’environnement TI
Vulgarisation des enjeux d’affaires pour la haute direction
Stratégie technologique court, moyen et long terme
Évaluation des besoins LAN vs Nuage (Cloud)
Relations avec équipe du bureau chef
(Security Operations Center -SOC)
Plan de validation maître
Procédures d’opération normalisés (SOP)
Rencontre des exigences de conformité
(21CFRPart11, GAMP5, Ordre professionnel, ISO, etc.)
Audit des enjeux informatiques
Conversion des processus d’affaires en processus électroniques
IT = Information Technology/Technologies de l’information PM = Project Management/Gestion de Projet
Stratégie d’achat d’équipement et de logiciels
Stratégie serveurs local versus infonuagique (Cloud)
Budget Annuel
Processus d’appel d’offre impartial (RFI-RFP-RFQ)
Gestion Électronique de Documents
Système de recouvrement en cas de désastre (EDR)
Intégration de nouvelles technologies (projets spéciaux)
Intégration de solutions complexes d’affaires
ex.: migration infonuagique (Cloud)
Gestion de cyberattaque
Action Correctives/Actions Préventives (CAPA)
Gestion du personnel TI interne et externe
Elevator
Pitch
4. BioITpm
Fournisseur de Services Gérés (MSP)
Équipe Interne
Interactions
Bureau Chef & Security Operation Center
Équipe interne
Règlementation et Conformité
Processus d’affaires et enjeux d’entreprises
Audits externes « orientés ventes »
Audits internes « confiants »
Nouveaux projets de direction (ex.: Cloud)
Enjeux de projets à l’interne
5. BioITpm
Regardons quelques concepts :
Quels sont les besoins pour les
parties prenantes versus votre
infrastructure TI ?
La perception de vos besoins
versus l’intégration réelle ?
Réussir à avoir le pain, le beurre
et l’argent du beurre – pour vous
et votre équipe TI !(You can have your
cake and eat it too)
Food for thought
8. Question Quizz
Pour votre maison, quel est l’aspect le plus important pour la sécurité de votre maison?
9. Avez-vous l’impression de signer des cheques en blanc à votre département des T
Mon département des Technologies de l’Information
Est-ce que vous savez pourquoi vous payez les TI
Banque BitCoin des TI
Avenue des fonds illimités
Palo Alto, California, 94303, USA
Journal de l’assurance
Att.: M. Serge Therrien
100-321, rue de la Commune Ouest
Montréal, QC H2Y 2E1
10. Vos obligations
Compliance, obligations and Regulations
Ordre
professionnel
Parties
prenantes
(conseil
administration,
investisseurs)
Autre
exigences
requises
Police
d’assurance
cyber-
sécurité
Autres parties
prenantes
(clients, etc.)
Loi 64
Loi C-11
12. Évaluations et tests de sécurité
Auditing Standards
ISO 27002 : Bonnes pratiques pour la gestion de la sécurité de l'information
C’est en adressant l’ensemble de ces domaines que l’on peut avoir une approche globale de la sécurité des SI.
14. LA SÉCURITÉ TI, D’UNE FAÇON
GRAPHIQUE… DES COUCHES…
Des couches et des couches de sécurité
Firewall
Antivirus
Mots de passes
Anti-Spam
Mises à jours OS
Topologie
Droits d’accès
Monitoring
PenTests
WhiteHacks
Comme un oignon ou la planète, il faut créer un environnement
ou il y a pleins de couches pour se rendre au centre des
équipements névralgiques avec des droits suffisants pour créer
pleins d’obstacles qui nous permettront de bloquer ou de
détecter les pirates avant qu’ils n’aient accès à nos ressources…
Emergency Disaster Recovery
Plan de Validation avec SOP
16. Penser Conformité:
Plan de Validation Maitre & Procédures d’Opérations Normalisés
(SOP)
• La conformité, c’est comme le baseball!
– On vous lance une problématique
– Vous devez répondre et retourner la problématique (la patate chaude!) à
quelqu’un!
– Le transfert de la balle:
• Vers une réponse que vous avez documenté
• Vers un fournisseur
• Vers une ressource externe ou interne spécialiste
– Toujours penser au pire:
• Le pire des scénarios
• Faire les efforts pour prouver votre effort de protéger hors de tout
doute raisonnable
17. Penser Conformité
ISO 27001:2013 (2)
– La structure de la norme
– Les SMSI fonctionnent selon un modèle cyclique en 4 étapes appelé « PDCA » c’est-à-
dire Plan, Do, Check, Act.
– 1.Phase Plan : consiste à planifier les actions que l’entreprise va entreprendre en
termes de sécurité
– 2.Phase Do : l’entreprise réalise ce qu’elle a planifié dans ce domaine
– 3.Phase Check : l’entreprise vérifie qu’il n’existe pas d’écart entre ce qu’elle a dit et ce
qu’elle a fait
– 4.Phase Act : consiste à entreprendre des actions correctives pour les écarts qui ont
été constatés précédemment
– La norme 27001 comporte 9 chapitres dont 5 (les chapitres 4 à 8) doivent
obligatoirement être respectés pour répondre à cette norme et obtenir une
certification. Le chapitre 4 est au cœur de la norme et est divisé en plusieurs parties
correspondant aux 4 phases du PDCA. Il détermine la mise en place du SMSI, son
implémentation et son exploitation, le contrôle du SMSI et son amélioration. Le
chapitre 5 définit les engagements et responsabilités de la direction, le chapitre 6
développe les questions d’audits internes du SMSI tandis que les 7e et 8e précisent
respectivement le réexamen du SMSI par la direction et son amélioration.
https://www.iso.org/obp/ui/fr/#iso:std:iso-iec:27001:ed-2:v1:fr
Computer Systems
Validation
MVP IQ
OQ PQ
20. Les avis et conseils du Centre pour la
cybersécurité vous aideront à mettre
en place une infrastructure de TI
robuste et à protéger vos réseaux. Le
choix et l’ordre de priorité des 10
meilleures mesures de sécurité des
TI reposent sur notre analyse des
tendances en matière de
cybermenaces ayant une incidence
sur les réseaux connectés à Internet.
Lorsqu’elles sont mises en œuvre
conjointement, les 10 meilleures
mesures de sécurité permettent de
minimiser les intrusions ou les
répercussions d’une cyberattaque
sur les réseaux.
4/28/2022
Communications unifiées et Conformité ISO - Teccart - Louis-
Martin Landry
20
10 meilleures mesures de sécurité des TI
21. Outils Uniques – Analyse des besoins disponible
Gestion Électronique de Documents et Recouvrement en cas de désastre
Rappel: Obligation de divulgation de commissions par BioITpm = transparence et objectivité
A
B
C
D