SlideShare une entreprise Scribd logo

Défis, enjeux et solutions de la GRC en sécurité de l’information

PECB
PECB

Cette conférence a été animée par Chantale Pineault, lors de la conférence PECB Insights 2017

Formation
1  sur  27
Standards, Security, and Audit Défis, enjeux et solutions de la GRC en sécurité de l’information
Chantale Pineault Sécurité de l’information Gestion des risques liés à l’information Directrice, Services-conseils, Société Victrix inc. Gouvernance en sécurité et gestion de risque Responsable du groupe de travail CLUSIQ pour l’évolution de la méthode Méhari Certifiée Lead Auditor ISO 27001 Certifiée Lead Implementer ISO 27001 Certifiée Lead Risk Manager ISO 27005 Certifiée Lead Risk Manager ISO 31000 PECB Certified MEHARI Risk Manager Contact Information 418 564-9244 chantale.pineault@Victrix.ca www.meharipedia.org
3 Plan de la conférence • Introduction • Défis: développement et transformations • Multiples risques à gérer • Enjeux organisationnels • Évolution du modèle de gestion • Solutions à venir
4 Introduction De nouveaux défis se profilent à l’horizon, conséquences du développement fulgurant des technologies:  De l’arrivée des objets connectés Internet,  en passant par l’explosion des technologies mobiles,  de la spécialisation accrue de certaines fonctions,  de la concurrence toujours plus vive et  des pressions plus grandes en matière de performance, La gestion du risque, le contrôle interne et l’optimisation de l’efficacité organisationnelle comptent parmi les grands défis des dirigeants d’entreprise au regard de la sécurité de l’information. Pour plusieurs, il devient impératif de recentrer l’entreprise sur sa mission véritable et de trouver des solutions d’affaires novatrices pour en gérer les autres aspects. Les pistes de solutions doivent permettre l’identification des problématiques et des opportunités amenées par ces nouveaux défis et à revoir ses risques d’affaires. Quelles sont ces pistes!
L’importance du développement des technologies dans le paysage augmente notre exposition aux risques Employés mobiles BYOD Sur place Infonuagique Tiers parties: Les clients; Les partenaires À distance
6 Inévitables transformations « Le problème de la croissance des technologies est devenu un problème d’affaires »  Convergence rapide  Croissance et complexité technologique  Nouvelles menaces  Nouvelles vulnérabilités  Augmentation des attaques et des impacts  Nouvelles responsabilités PDG, Comité d’audit, conseil d’administration, comités de vérification, de conformité, de normalisation, etc.
7 Multiples risques à gérer hors mission Risques organisationnels Risque d’affaires Risque opérationnel Risque financier Risque événementiel Gestion du risque Risque stratégique Opérations de risque Risque légal Systèmes de risque Risques exogènes Risques politiques Risques de liquidité Risques du marché Risques liés au crédit Process Fraude Technologie Sécurité des données Responsabilités Fiabilité Risque judiciaire Assurance Contrats Capacité Intégrité Interface et coordination Catastroph e naturelleTendance culturelle et socialePolitique fiscale Réglementation Guerre Pays/zone à risque Monitoring Reporting Planning Mondialisation Organisation / structureStructure du marchéProduit R&D Économie Relations d’affaires Prix de la marchandise ChangeTaux d’intérêt Règlement Contrepartie Marché lié aux liquidités Financement Risque humainRisque humain Risque humainRisque humain Redéfinir la sécurité … pour une meilleure gestion de risques
8 Multiples risques à gérer hors mission Qu’est-ce qui ne va pas? Qui était-ce? Comment sont-ils arrives là? Quelles sont les informations perdues? Quelles sont les implications légales? Est-ce sous contrôle? Quels sont les dommages? Que doit-on dire aux gens!? Chiffrement des comptes Échec des tentatives d'accès des utilisateurs Dépassement de mémoire Injections SQL Dénis de service Contrôle des évènements de détection Incidents de sécurité Où les TI se concentrent Où les chefs d'entreprise se concentrent Importance de l’écart Risques d’affaires Éléments de la sécurité
9 Gestion de la sécurité de l’information, aujourd’hui • Augmentation considérable du volume d’informations numériques, de nature confidentielle et personnelle • Bien plus qu’une affaire de TI (organisation techno dépendante) • Passage obligé de la sécurité des TI à la sécurité des actifs informationnels Essentielle à la réussite de la mission de votre organisation (votre mission)
10 Enjeux organisationnels • Votre organisation est-elle en contrôle de la disponibilité, de l’intégrité et de la confidentialité de vos informations de mission ? • Vos risques d’affaires sont-ils identifiés ? • Les impacts d’une atteinte à la sécurité de vos actifs informationnels ont-ils été mesurés ? • Les incidents de sécurité de l’information sont-ils gérés ? • Permettez-vous ou prévoyez-vous l’utilisation de téléphones intelligents personnels ou les tablettes sur votre réseau ? • Disposez-vous de mesures garantissant la continuité de vos affaires… ? • Qu’en est-il de la protection des informations détenues par votre organisation ?
11 Connaissez-vous vos risques organisationnels? • Fuite d’information vers la compétition • Perte de services de mission • Illégalité (non respect de lois ou règlements) • Non-conformité (non respect des normes, des contrats) • Intrusion, contamination, destruction Acceptez-vous ces risques... ?
12 Connaissez-vous les impacts sur vos affaires? Acceptez-vous toujours ces risques... ? • Pertes financières (arrêts des services offerts) • Perte de parts de marché (clients) • Perte de notoriété (valeur au marché) • Perte de réputation de votre entreprise (actionnariat)
13 L’évolution stratégique de la gestion du risque Exécutif Unités administratives Technologies de l’information Responsabilité Organisationnelle Risques technologiques Risques de l’information Risques d’affaires Niveau de risque Sécurité des TI Sécurité de l’information Gestion du risque organisationnel
14 ?????? Comment gérer ces risques?
15 Des solutions? Si ce n’est pas déjà fait: • Mettre en place un processus de gestion de la sécurité de l’information  Le mettre en place selon la norme ISO 27001 (Cadre de référence du système de gestion de la sécurité (SMSI)) • Y intégrer la gestion du risque  L’intégrer à la démarche selon le modèle proposé par la norme ISO 27005.
16 Un bon cadre normatif en référence ISO 27001 – Cadre de référence du système de gestion de la sécurité de l’information • Spécifie les exigences pour la gestion du SGSI (clauses 4 à 8) • Clause écrite avec le verbe « doit » (shall) • L’annexe A: 14 sections comportant les objectifs et les 114 mesures de contrôles de l’ISO 27002 • Organisation peut s’y certifier
17 Des lignes directrices pour gérer les risques ISO 27005 – Gestion des risques en sécurité de l’information • Cadre de référence normatif (Framework) et non une méthodologie • Répond au « Pourquoi » et au « Quoi » de la gestion du risque en sécurité de l’information • Chaque organisation doit choisir une méthodologie d’appréciation du risque adaptée à son contexte
18 Raisons d’être de ces normes • Faire connaître les risques de l’organisation auprès des décideurs afin d’assurer une prise en charge adéquate • Aide à la décision afin d’identifier ce qui doit être protégé dans l’organisation et investir les $ à la bonne place • Élément clef à la conformité ISO 27001 – Faciliter la mise en œuvre d’un système de gestion de la sécurité de l’information (SMSI) basée sur une démarche de gestion du risque
19 Raisons d’être de ces normes • Implanter un processus de gestion de risque de la sécurité de l’information dans l’organisation pour: – Identifier l’importance de l’actif informationnel dans l’exécution de la mission (catégorisation des actifs) – Minimiser le risque d’atteinte à la réputation de l’organisation – Réduire l’accent sur l’aspect purement financier (i.e. juste prix) Comment?
20 Raisons d’être de ces normes • Réduire le nombre d’incidents ou leurs impacts; • Améliorer la planification; • Éclairer les dirigeants dans leurs choix stratégiques; • Améliorer l’image de marque vis-à-vis du marché; • Renforcer la confiance des collaborateurs dans la bonne gestion de l’organisation. Avantages de mettre en œuvre une gestion du risque :
21 Plan d’action pour gérer les risques • Les bonnes façons de faire basées sur des normes internationales en sécurité de l’information assurent un meilleur contrôle des risques dans l’organisation: – 27001 (cadre de référence) – 27002 (bonnes pratiques) – 27005 (lignes directrices) C’est la base d’un bon plan d’action!
22 Plan d’action pour gérer les risques – Une politique de sécurité • Directives et règles concernant l’utilisation des ressources informatique, d’Internet et du courriel • Signalement des incidents • Rôles et responsabilités de chacun – Un inventaire et une catégorisation de l’information • Que dois-je protéger ? • Quelle est la réelle valeur de ce je dois protéger ? • Qui sont les responsables ? Avec ISO, un plan d’action efficace comporte :
23 Plan d’action pour gérer les risques – Une analyse de risques (Méthode Méhari ) • Quelle est la gravité des impacts de ces risques ? • Quelle est leur potentialité (probabilité) ? • Quels risques sont inacceptables ? • Quelles sont les mesures à prendre ? – Un audit de conformité • Sommes-nous conformes? • Quels sont les écarts ? – Un audit technique • Quelles sont les vulnérabilités et les failles ? • Quels sont les correctifs à appliquer ?
24 Plan d’action pour gérer les risques – Des processus formels • Gestion des incidents • Audit et contrôle (ex: journalisation, surveillance) • Application des mises à jour et des correctifs – De la sensibilisation • Tous doivent se sentir impliqués • Chacun a un rôle important à jouer • Nous sommes tous solidaires – Un comportement intègre ...
Conclusion 25 • La protection des actifs informationnels doit s’insérer dans un processus plus global de gestion de la sécurité de l’information, on doit gérer les risques. • La mise en œuvre du processus de gestion de risque est complexe et fait intervenir plusieurs parties prenantes, cependant: – Ce processus complexe ne doit pas empêcher les organisations d’aller de l’avant; – Plus l’implantation de ce processus est retardé et plus l’exposition aux risques est grand; – C’est un processus continu!
Références • M. Xavier Trépanier -Taupier de RSA: L’importance du développement des technologies dans le paysage augmente notre exposition aux risques-janvier 2017; • M. Jean-Philippe Jouas, la gestion des risques avec une méthode, année 2017; • M. René St-Germain, l’évolution stratégique de la gestion du risque, Pecb, année 2010; • Normes ISO 27000 relatives à la gestion de risques en sécurité de l’information, année 2013; 26
Merci! 27 ?

Recommandé

Mehari
MehariMehari
Mehari
Houda Elmoutaoukil
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
PECB
 
Ebios
EbiosEbios
Ebios
kilojolid
 

Recommandé

Mehari
MehariMehari
Mehari
Houda Elmoutaoukil
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
PECB
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Mehari
MehariMehari
Mehari
Imane ABOU EL MARAI
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
ISACA Chapitre de Québec
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
PECB
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
Harold NGUEGANG
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
Ismail EL Makrouz
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
MustaphaChaoui1
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
Agoralink
 

Contenu connexe

Tendances

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
Harold NGUEGANG
 

Tendances (20)

Mehari
MehariMehari
Mehari
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Mehari
MehariMehari
Mehari
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 

Similaire à Défis, enjeux et solutions de la GRC en sécurité de l’information

Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
moussadiom
 
La maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
La maîtrise des risques et l'intelligence économique au CEA - Frédéric MariotteLa maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
La maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
Le_GFII
 
Solvency 2 : De la réglementation à la pratique
Solvency 2 : De la réglementation à la pratiqueSolvency 2 : De la réglementation à la pratique
Solvency 2 : De la réglementation à la pratique
R&A - Risk & Analysis
 

Similaire à Défis, enjeux et solutions de la GRC en sécurité de l’information (20)

E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualite
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Responsable de la securite des systemes d’information
Responsable de la securite des systemes d’informationResponsable de la securite des systemes d’information
Responsable de la securite des systemes d’information
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
La maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
La maîtrise des risques et l'intelligence économique au CEA - Frédéric MariotteLa maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
La maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Solvency 2 : De la réglementation à la pratique
Solvency 2 : De la réglementation à la pratiqueSolvency 2 : De la réglementation à la pratique
Solvency 2 : De la réglementation à la pratique
 
Nouveaux risques pour les entreprises (Gaëtan Lefèvre) - Belgian Insurance Co...
Nouveaux risques pour les entreprises (Gaëtan Lefèvre) - Belgian Insurance Co...Nouveaux risques pour les entreprises (Gaëtan Lefèvre) - Belgian Insurance Co...
Nouveaux risques pour les entreprises (Gaëtan Lefèvre) - Belgian Insurance Co...
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
 

Plus de PECB

Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global Impact
PECB
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
PECB
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
PECB
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
PECB
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
PECB
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
PECB
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
PECB
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
PECB
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
PECB
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
PECB
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
PECB
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
PECB
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
PECB
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
PECB
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
PECB
 

Plus de PECB (20)

Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global Impact
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
 

Dernier

Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
AmgdoulHatim
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
Faga1939
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
ikospam0
 

Dernier (18)

Computer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptxComputer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptx
 
Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.
 
Sidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisSidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film français
 
Cours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfCours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdf
 
Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projetFormation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
 
Apolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaireApolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaire
 
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdfCOURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
 
Les roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptxLes roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptx
 
Chapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon CoursChapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon Cours
 
La nouvelle femme . pptx Film français
La nouvelle femme . pptx Film françaisLa nouvelle femme . pptx Film français
La nouvelle femme . pptx Film français
 
Formation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptxFormation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptx
 
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
 
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
 
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
 
L application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptxL application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptx
 

Défis, enjeux et solutions de la GRC en sécurité de l’information

  • 1. Standards, Security, and Audit Défis, enjeux et solutions de la GRC en sécurité de l’information
  • 2. Chantale Pineault Sécurité de l’information Gestion des risques liés à l’information Directrice, Services-conseils, Société Victrix inc. Gouvernance en sécurité et gestion de risque Responsable du groupe de travail CLUSIQ pour l’évolution de la méthode Méhari Certifiée Lead Auditor ISO 27001 Certifiée Lead Implementer ISO 27001 Certifiée Lead Risk Manager ISO 27005 Certifiée Lead Risk Manager ISO 31000 PECB Certified MEHARI Risk Manager Contact Information 418 564-9244 chantale.pineault@Victrix.ca www.meharipedia.org
  • 3. 3 Plan de la conférence • Introduction • Défis: développement et transformations • Multiples risques à gérer • Enjeux organisationnels • Évolution du modèle de gestion • Solutions à venir
  • 4. 4 Introduction De nouveaux défis se profilent à l’horizon, conséquences du développement fulgurant des technologies:  De l’arrivée des objets connectés Internet,  en passant par l’explosion des technologies mobiles,  de la spécialisation accrue de certaines fonctions,  de la concurrence toujours plus vive et  des pressions plus grandes en matière de performance, La gestion du risque, le contrôle interne et l’optimisation de l’efficacité organisationnelle comptent parmi les grands défis des dirigeants d’entreprise au regard de la sécurité de l’information. Pour plusieurs, il devient impératif de recentrer l’entreprise sur sa mission véritable et de trouver des solutions d’affaires novatrices pour en gérer les autres aspects. Les pistes de solutions doivent permettre l’identification des problématiques et des opportunités amenées par ces nouveaux défis et à revoir ses risques d’affaires. Quelles sont ces pistes!
  • 5. L’importance du développement des technologies dans le paysage augmente notre exposition aux risques Employés mobiles BYOD Sur place Infonuagique Tiers parties: Les clients; Les partenaires À distance
  • 6. 6 Inévitables transformations « Le problème de la croissance des technologies est devenu un problème d’affaires »  Convergence rapide  Croissance et complexité technologique  Nouvelles menaces  Nouvelles vulnérabilités  Augmentation des attaques et des impacts  Nouvelles responsabilités PDG, Comité d’audit, conseil d’administration, comités de vérification, de conformité, de normalisation, etc.
  • 7. 7 Multiples risques à gérer hors mission Risques organisationnels Risque d’affaires Risque opérationnel Risque financier Risque événementiel Gestion du risque Risque stratégique Opérations de risque Risque légal Systèmes de risque Risques exogènes Risques politiques Risques de liquidité Risques du marché Risques liés au crédit Process Fraude Technologie Sécurité des données Responsabilités Fiabilité Risque judiciaire Assurance Contrats Capacité Intégrité Interface et coordination Catastroph e naturelleTendance culturelle et socialePolitique fiscale Réglementation Guerre Pays/zone à risque Monitoring Reporting Planning Mondialisation Organisation / structureStructure du marchéProduit R&D Économie Relations d’affaires Prix de la marchandise ChangeTaux d’intérêt Règlement Contrepartie Marché lié aux liquidités Financement Risque humainRisque humain Risque humainRisque humain Redéfinir la sécurité … pour une meilleure gestion de risques
  • 8. 8 Multiples risques à gérer hors mission Qu’est-ce qui ne va pas? Qui était-ce? Comment sont-ils arrives là? Quelles sont les informations perdues? Quelles sont les implications légales? Est-ce sous contrôle? Quels sont les dommages? Que doit-on dire aux gens!? Chiffrement des comptes Échec des tentatives d'accès des utilisateurs Dépassement de mémoire Injections SQL Dénis de service Contrôle des évènements de détection Incidents de sécurité Où les TI se concentrent Où les chefs d'entreprise se concentrent Importance de l’écart Risques d’affaires Éléments de la sécurité
  • 9. 9 Gestion de la sécurité de l’information, aujourd’hui • Augmentation considérable du volume d’informations numériques, de nature confidentielle et personnelle • Bien plus qu’une affaire de TI (organisation techno dépendante) • Passage obligé de la sécurité des TI à la sécurité des actifs informationnels Essentielle à la réussite de la mission de votre organisation (votre mission)
  • 10. 10 Enjeux organisationnels • Votre organisation est-elle en contrôle de la disponibilité, de l’intégrité et de la confidentialité de vos informations de mission ? • Vos risques d’affaires sont-ils identifiés ? • Les impacts d’une atteinte à la sécurité de vos actifs informationnels ont-ils été mesurés ? • Les incidents de sécurité de l’information sont-ils gérés ? • Permettez-vous ou prévoyez-vous l’utilisation de téléphones intelligents personnels ou les tablettes sur votre réseau ? • Disposez-vous de mesures garantissant la continuité de vos affaires… ? • Qu’en est-il de la protection des informations détenues par votre organisation ?
  • 11. 11 Connaissez-vous vos risques organisationnels? • Fuite d’information vers la compétition • Perte de services de mission • Illégalité (non respect de lois ou règlements) • Non-conformité (non respect des normes, des contrats) • Intrusion, contamination, destruction Acceptez-vous ces risques... ?
  • 12. 12 Connaissez-vous les impacts sur vos affaires? Acceptez-vous toujours ces risques... ? • Pertes financières (arrêts des services offerts) • Perte de parts de marché (clients) • Perte de notoriété (valeur au marché) • Perte de réputation de votre entreprise (actionnariat)
  • 13. 13 L’évolution stratégique de la gestion du risque Exécutif Unités administratives Technologies de l’information Responsabilité Organisationnelle Risques technologiques Risques de l’information Risques d’affaires Niveau de risque Sécurité des TI Sécurité de l’information Gestion du risque organisationnel
  • 15. 15 Des solutions? Si ce n’est pas déjà fait: • Mettre en place un processus de gestion de la sécurité de l’information  Le mettre en place selon la norme ISO 27001 (Cadre de référence du système de gestion de la sécurité (SMSI)) • Y intégrer la gestion du risque  L’intégrer à la démarche selon le modèle proposé par la norme ISO 27005.
  • 16. 16 Un bon cadre normatif en référence ISO 27001 – Cadre de référence du système de gestion de la sécurité de l’information • Spécifie les exigences pour la gestion du SGSI (clauses 4 à 8) • Clause écrite avec le verbe « doit » (shall) • L’annexe A: 14 sections comportant les objectifs et les 114 mesures de contrôles de l’ISO 27002 • Organisation peut s’y certifier
  • 17. 17 Des lignes directrices pour gérer les risques ISO 27005 – Gestion des risques en sécurité de l’information • Cadre de référence normatif (Framework) et non une méthodologie • Répond au « Pourquoi » et au « Quoi » de la gestion du risque en sécurité de l’information • Chaque organisation doit choisir une méthodologie d’appréciation du risque adaptée à son contexte
  • 18. 18 Raisons d’être de ces normes • Faire connaître les risques de l’organisation auprès des décideurs afin d’assurer une prise en charge adéquate • Aide à la décision afin d’identifier ce qui doit être protégé dans l’organisation et investir les $ à la bonne place • Élément clef à la conformité ISO 27001 – Faciliter la mise en œuvre d’un système de gestion de la sécurité de l’information (SMSI) basée sur une démarche de gestion du risque
  • 19. 19 Raisons d’être de ces normes • Implanter un processus de gestion de risque de la sécurité de l’information dans l’organisation pour: – Identifier l’importance de l’actif informationnel dans l’exécution de la mission (catégorisation des actifs) – Minimiser le risque d’atteinte à la réputation de l’organisation – Réduire l’accent sur l’aspect purement financier (i.e. juste prix) Comment?
  • 20. 20 Raisons d’être de ces normes • Réduire le nombre d’incidents ou leurs impacts; • Améliorer la planification; • Éclairer les dirigeants dans leurs choix stratégiques; • Améliorer l’image de marque vis-à-vis du marché; • Renforcer la confiance des collaborateurs dans la bonne gestion de l’organisation. Avantages de mettre en œuvre une gestion du risque :
  • 21. 21 Plan d’action pour gérer les risques • Les bonnes façons de faire basées sur des normes internationales en sécurité de l’information assurent un meilleur contrôle des risques dans l’organisation: – 27001 (cadre de référence) – 27002 (bonnes pratiques) – 27005 (lignes directrices) C’est la base d’un bon plan d’action!
  • 22. 22 Plan d’action pour gérer les risques – Une politique de sécurité • Directives et règles concernant l’utilisation des ressources informatique, d’Internet et du courriel • Signalement des incidents • Rôles et responsabilités de chacun – Un inventaire et une catégorisation de l’information • Que dois-je protéger ? • Quelle est la réelle valeur de ce je dois protéger ? • Qui sont les responsables ? Avec ISO, un plan d’action efficace comporte :
  • 23. 23 Plan d’action pour gérer les risques – Une analyse de risques (Méthode Méhari ) • Quelle est la gravité des impacts de ces risques ? • Quelle est leur potentialité (probabilité) ? • Quels risques sont inacceptables ? • Quelles sont les mesures à prendre ? – Un audit de conformité • Sommes-nous conformes? • Quels sont les écarts ? – Un audit technique • Quelles sont les vulnérabilités et les failles ? • Quels sont les correctifs à appliquer ?
  • 24. 24 Plan d’action pour gérer les risques – Des processus formels • Gestion des incidents • Audit et contrôle (ex: journalisation, surveillance) • Application des mises à jour et des correctifs – De la sensibilisation • Tous doivent se sentir impliqués • Chacun a un rôle important à jouer • Nous sommes tous solidaires – Un comportement intègre ...
  • 25. Conclusion 25 • La protection des actifs informationnels doit s’insérer dans un processus plus global de gestion de la sécurité de l’information, on doit gérer les risques. • La mise en œuvre du processus de gestion de risque est complexe et fait intervenir plusieurs parties prenantes, cependant: – Ce processus complexe ne doit pas empêcher les organisations d’aller de l’avant; – Plus l’implantation de ce processus est retardé et plus l’exposition aux risques est grand; – C’est un processus continu!
  • 26. Références • M. Xavier Trépanier -Taupier de RSA: L’importance du développement des technologies dans le paysage augmente notre exposition aux risques-janvier 2017; • M. Jean-Philippe Jouas, la gestion des risques avec une méthode, année 2017; • M. René St-Germain, l’évolution stratégique de la gestion du risque, Pecb, année 2010; • Normes ISO 27000 relatives à la gestion de risques en sécurité de l’information, année 2013; 26

Notes de l'éditeur

  1. Carrière consacrée aux technologies de l'information puis à la sécurité des systèmes d'information et au management des risques. J’ai dirigé des développements de systèmes hautement sécuritaires dans le domaine de la Défense puis des systèmes de transport ferroviaires et me suis consacré à la sécurité des systèmes d’information, à partir de 1989 (Responsable de la sécurité du Groupe Bull). Très rapidement, J’ai ressenti le besoin d’une méthode de gestion de risques et ai développé le modèle de risque qui allait donner naissance à Méhari. Le modèle publié en 1992, aux Editions d’Organisation, dans l’ouvrage « Le Risque Informatique » n’a pratiquement pas bougé depuis. Les travaux menés à partir de 1992 sur cette base déboucheront, en 1996, sur la première version de Méhari et seront suivis de nouvelles versions en 2000, 2003 , 2007, 2010 et 2017 en oubliant les quelques éditions intermédiaires.