2. Chantale Pineault
Sécurité de l’information
Gestion des risques liés à l’information
Directrice, Services-conseils, Société Victrix inc.
Gouvernance en sécurité et gestion de risque
Responsable du groupe de travail CLUSIQ pour l’évolution de la
méthode Méhari
Certifiée Lead Auditor ISO 27001
Certifiée Lead Implementer ISO 27001
Certifiée Lead Risk Manager ISO 27005
Certifiée Lead Risk Manager ISO 31000
PECB Certified MEHARI Risk Manager
Contact Information
418 564-9244 chantale.pineault@Victrix.ca
www.meharipedia.org
3. 3
Plan de la conférence
• Introduction
• Défis: développement et transformations
• Multiples risques à gérer
• Enjeux organisationnels
• Évolution du modèle de gestion
• Solutions à venir
4. 4
Introduction
De nouveaux défis se profilent à l’horizon, conséquences du développement fulgurant
des technologies:
De l’arrivée des objets connectés Internet,
en passant par l’explosion des technologies mobiles,
de la spécialisation accrue de certaines fonctions,
de la concurrence toujours plus vive et
des pressions plus grandes en matière de performance,
La gestion du risque, le contrôle interne et l’optimisation de l’efficacité organisationnelle
comptent parmi les grands défis des dirigeants d’entreprise au regard de la sécurité de
l’information.
Pour plusieurs, il devient impératif de recentrer l’entreprise sur sa mission véritable et de
trouver des solutions d’affaires novatrices pour en gérer les autres aspects. Les pistes de
solutions doivent permettre l’identification des problématiques et des opportunités amenées par
ces nouveaux défis et à revoir ses risques d’affaires.
Quelles sont ces pistes!
5. L’importance du développement des technologies dans le
paysage augmente notre exposition aux risques
Employés
mobiles
BYOD
Sur place
Infonuagique
Tiers parties:
Les clients; Les
partenaires
À distance
6. 6
Inévitables transformations
« Le problème de la croissance
des technologies est devenu un
problème d’affaires »
Convergence rapide
Croissance et complexité technologique
Nouvelles menaces
Nouvelles vulnérabilités
Augmentation des attaques et des impacts
Nouvelles responsabilités PDG,
Comité d’audit, conseil d’administration,
comités de vérification, de conformité,
de normalisation, etc.
7. 7
Multiples risques à gérer hors mission
Risques
organisationnels
Risque
d’affaires
Risque
opérationnel
Risque
financier
Risque
événementiel
Gestion du
risque
Risque
stratégique
Opérations
de risque
Risque légal
Systèmes de
risque
Risques
exogènes
Risques politiques
Risques
de
liquidité
Risques du
marché
Risques
liés au
crédit
Process Fraude
Technologie
Sécurité des
données
Responsabilités
Fiabilité
Risque
judiciaire
Assurance
Contrats
Capacité
Intégrité
Interface et
coordination
Catastroph
e naturelleTendance
culturelle
et socialePolitique
fiscale
Réglementation
Guerre
Pays/zone à risque
Monitoring Reporting
Planning
Mondialisation
Organisation / structureStructure
du marchéProduit
R&D
Économie
Relations
d’affaires
Prix de la
marchandise
ChangeTaux
d’intérêt
Règlement
Contrepartie
Marché lié aux
liquidités
Financement
Risque humainRisque
humain
Risque humainRisque
humain
Redéfinir la sécurité …
pour une meilleure
gestion de risques
8. 8
Multiples risques à gérer hors mission
Qu’est-ce qui ne va pas?
Qui était-ce?
Comment sont-ils arrives là?
Quelles sont les informations perdues?
Quelles sont les implications légales?
Est-ce sous contrôle?
Quels sont les dommages?
Que doit-on dire aux gens!?
Chiffrement des comptes
Échec des tentatives d'accès des utilisateurs
Dépassement de mémoire
Injections SQL
Dénis de service
Contrôle des évènements de détection
Incidents de sécurité
Où les TI se
concentrent
Où les chefs
d'entreprise se
concentrent
Importance de
l’écart
Risques d’affaires
Éléments de la sécurité
9. 9
Gestion de la sécurité de l’information, aujourd’hui
• Augmentation considérable du
volume d’informations numériques,
de nature confidentielle et
personnelle
• Bien plus qu’une affaire de TI
(organisation techno dépendante)
• Passage obligé de la sécurité des TI
à la sécurité des actifs
informationnels
Essentielle à la réussite de la mission
de votre organisation (votre mission)
10. 10
Enjeux organisationnels
• Votre organisation est-elle en contrôle de la disponibilité, de l’intégrité et de la
confidentialité de vos informations de mission ?
• Vos risques d’affaires sont-ils identifiés ?
• Les impacts d’une atteinte à la sécurité de vos actifs informationnels ont-ils été
mesurés ?
• Les incidents de sécurité de l’information sont-ils gérés ?
• Permettez-vous ou prévoyez-vous l’utilisation de téléphones intelligents
personnels ou les tablettes sur votre réseau ?
• Disposez-vous de mesures garantissant la continuité de vos affaires… ?
• Qu’en est-il de la protection des informations détenues par votre organisation ?
11. 11
Connaissez-vous vos risques organisationnels?
• Fuite d’information vers la compétition
• Perte de services de mission
• Illégalité (non respect de lois ou règlements)
• Non-conformité (non respect des normes, des contrats)
• Intrusion, contamination, destruction
Acceptez-vous ces
risques... ?
12. 12
Connaissez-vous les impacts sur vos affaires?
Acceptez-vous toujours
ces risques... ?
• Pertes financières (arrêts des services offerts)
• Perte de parts de marché (clients)
• Perte de notoriété (valeur au marché)
• Perte de réputation de votre entreprise
(actionnariat)
13. 13
L’évolution stratégique de la gestion du risque
Exécutif
Unités
administratives
Technologies
de l’information
Responsabilité
Organisationnelle
Risques technologiques Risques de
l’information
Risques
d’affaires
Niveau de risque
Sécurité
des TI
Sécurité de
l’information
Gestion du risque
organisationnel
15. 15
Des solutions?
Si ce n’est pas déjà fait:
• Mettre en place un processus de gestion de la
sécurité de l’information
Le mettre en place selon la norme ISO 27001 (Cadre de
référence du système de gestion de la sécurité (SMSI))
• Y intégrer la gestion du risque
L’intégrer à la démarche selon le modèle proposé par la
norme ISO 27005.
16. 16
Un bon cadre normatif en référence
ISO 27001 – Cadre de référence du
système de gestion de la sécurité de
l’information
• Spécifie les exigences pour la
gestion du SGSI (clauses 4 à 8)
• Clause écrite avec le verbe « doit »
(shall)
• L’annexe A: 14 sections comportant
les objectifs et les 114 mesures de
contrôles de l’ISO 27002
• Organisation peut s’y certifier
17. 17
Des lignes directrices pour gérer les risques
ISO 27005 – Gestion des risques en
sécurité de l’information
• Cadre de référence normatif
(Framework) et non une
méthodologie
• Répond au « Pourquoi » et au
« Quoi » de la gestion du risque en
sécurité de l’information
• Chaque organisation doit choisir
une méthodologie d’appréciation du
risque adaptée à son contexte
18. 18
Raisons d’être de ces normes
• Faire connaître les risques de l’organisation auprès des
décideurs afin d’assurer une prise en charge adéquate
• Aide à la décision afin d’identifier ce qui doit être
protégé dans l’organisation et investir les $ à la bonne
place
• Élément clef à la conformité ISO 27001
– Faciliter la mise en œuvre d’un système de gestion
de la sécurité de l’information (SMSI) basée sur une
démarche de gestion du risque
19. 19
Raisons d’être de ces normes
• Implanter un processus de gestion de risque de
la sécurité de l’information dans l’organisation
pour:
– Identifier l’importance de l’actif informationnel dans
l’exécution de la mission (catégorisation des actifs)
– Minimiser le risque d’atteinte à la réputation de
l’organisation
– Réduire l’accent sur l’aspect purement financier (i.e.
juste prix)
Comment?
20. 20
Raisons d’être de ces normes
• Réduire le nombre d’incidents ou leurs impacts;
• Améliorer la planification;
• Éclairer les dirigeants dans leurs choix stratégiques;
• Améliorer l’image de marque vis-à-vis du marché;
• Renforcer la confiance des collaborateurs dans la bonne gestion
de l’organisation.
Avantages de mettre en œuvre une gestion du risque :
21. 21
Plan d’action pour gérer les risques
• Les bonnes façons de faire basées sur des
normes internationales en sécurité de
l’information assurent un meilleur contrôle des
risques dans l’organisation:
– 27001 (cadre de référence)
– 27002 (bonnes pratiques)
– 27005 (lignes directrices)
C’est la base d’un bon plan d’action!
22. 22
Plan d’action pour gérer les risques
– Une politique de sécurité
• Directives et règles concernant l’utilisation des ressources
informatique, d’Internet et du courriel
• Signalement des incidents
• Rôles et responsabilités de chacun
– Un inventaire et une catégorisation de l’information
• Que dois-je protéger ?
• Quelle est la réelle valeur de ce je dois protéger ?
• Qui sont les responsables ?
Avec ISO, un plan d’action efficace comporte :
23. 23
Plan d’action pour gérer les risques
– Une analyse de risques (Méthode Méhari )
• Quelle est la gravité des impacts de ces risques ?
• Quelle est leur potentialité (probabilité) ?
• Quels risques sont inacceptables ?
• Quelles sont les mesures à prendre ?
– Un audit de conformité
• Sommes-nous conformes?
• Quels sont les écarts ?
– Un audit technique
• Quelles sont les vulnérabilités et les failles ?
• Quels sont les correctifs à appliquer ?
24. 24
Plan d’action pour gérer les risques
– Des processus formels
• Gestion des incidents
• Audit et contrôle (ex: journalisation, surveillance)
• Application des mises à jour et des correctifs
– De la sensibilisation
• Tous doivent se sentir impliqués
• Chacun a un rôle important à jouer
• Nous sommes tous solidaires
– Un comportement intègre ...
25. Conclusion
25
• La protection des actifs informationnels doit s’insérer
dans un processus plus global de gestion de la sécurité
de l’information, on doit gérer les risques.
• La mise en œuvre du processus de gestion de risque est
complexe et fait intervenir plusieurs parties prenantes,
cependant:
– Ce processus complexe ne doit pas empêcher les organisations
d’aller de l’avant;
– Plus l’implantation de ce processus est retardé et plus
l’exposition aux risques est grand;
– C’est un processus continu!
26. Références
• M. Xavier Trépanier -Taupier de RSA: L’importance du développement des
technologies dans le paysage augmente notre exposition aux risques-janvier
2017;
• M. Jean-Philippe Jouas, la gestion des risques avec une méthode, année
2017;
• M. René St-Germain, l’évolution stratégique de la gestion du risque, Pecb,
année 2010;
• Normes ISO 27000 relatives à la gestion de risques en sécurité de
l’information, année 2013;
26
Carrière consacrée aux technologies de l'information puis à la sécurité des systèmes d'information et au management des risques.
J’ai dirigé des développements de systèmes hautement sécuritaires dans le domaine de la Défense puis des systèmes de transport ferroviaires et me suis consacré à la sécurité des systèmes d’information, à partir de 1989 (Responsable de la sécurité du Groupe Bull).
Très rapidement, J’ai ressenti le besoin d’une méthode de gestion de risques et ai développé le modèle de risque qui allait donner naissance à Méhari.
Le modèle publié en 1992, aux Editions d’Organisation, dans l’ouvrage « Le Risque Informatique » n’a pratiquement pas bougé depuis.
Les travaux menés à partir de 1992 sur cette base déboucheront, en 1996, sur la première version de Méhari et seront suivis de nouvelles versions en 2000, 2003 , 2007, 2010 et 2017 en oubliant les quelques éditions intermédiaires.