This presentation has been delivered by Sylvain Viau at the PECB Insights Conference 2018 in Paris

1. www.pecb.com/conferences

2. PRÉSENTATION EXÉCUTIVE
La transformation numérique: Opportunité unique pour la Cyber Sécurité et Conformité
EXECUTIVE PRESENTATION
Digital Transformation: Unique Opportunity for Cyber Security and conformity
24 Octobre 2018
October 24, 2018
2

3. 24 Octobre 2018
October 24, 2018
3

4. SUJETS POUR LES 18 TROUS !
(TOPICS FOR 18 HOLES!)
1. Cosmos
2. Nous au 1er trou
3. Que fait votre partenaire avec son bois #1
4. Pourquoi a-t-il changé sa stratégie au 3ième trou
5. Avant d’arrivé au 9ième
6. Déjà au 10ième! Quoi faire?
7. Comment compter les points au 12ième
8. Discussion de Putt au 15ième
9. La réalité frappe au 18ième
10. 19ième
1. Cosmos
2. The first hole
3. What your partner is doing with is wood #1
4. Why did he changed it’s approach on hole #3
5. Before arriving at the 9th hole
6. Already at the 10th hole! What should we do?
7. How to add the score once to win at the 12th
8. Putt discussion on the 15th
9. Reality strike at the 18th
10. 19th hole
4

5. 1. COSMOS
Big Data, Seulement le début
Just the Beginning

6. SATELLITES
6

7. 2. NOUS AU 1er TROU
(WE ARE AT THE FIRST HOLE)
Maintien des solutions existantes
Maintaining your digital solution?
Évaluons si nous sommes prêt!
Evaluating if you are ready?
Évaluons nos foundations de sécurité
Assessing your secure foundation?
Ou en sommes nous avec le
voyage de la transformation
(Where are you in your Digital
Transformation journey? )
7

8. 3. QUE FAIT VOTRE PARTENAIRE AVEC SON BOIS #1
(WHAT THE HELL YOUR PARTNER IS DOING WITH IS WOOD #1)
Cisco Approach: Best of Breed
Integrated Architecture
UTM
Network
Analytics
Advanced
Malware
Secure
Internet
Gateway
WebW W
W
Policy
and
Access
Email
NGFW/
NGIPS
Security
Services
8

9. 2. NOUS AU 1er TROU
(WE ARE NOW AT THE FIRST HOLE)
Le monde
change
The world
is changing
9

10. IOT & API Prochaine économie
(The next generation)
10

11. 5. AVANT D’ARRIVÉE AU 9ième
(BEFORE ARRIVING AT THE 9th HOLE)
IBM, Repenser votre
organisation
IBM Remake your
organization
for the future
Repenserlemodeld’operation
Repenser l’ expérience client
Livraison experience
personalise et adapté
Approche Agile pour la
transformation
Optimisation décisionnelle
basé sur les opérations
Repense le processus de
participation
Valeur
Proposition
11

12. IBM Middleware:
Votre plateforme de
transformation digitale
(Your platform for digital
transformation)
● Support étendu aux standards
(Support for the largest range of open
standards in the industry)
● Analyse intégré des actions
(Embedded analytics for actionable insights)
● Choix des services
(Ultimate choice of delivery model: SaaS, PaaS
or On-Premise)
● Mobilité des données
(Data Mobility First and Cloud ready)
12

13. 6. DÉJÀ AU 10ième QUOI FAIRE?
ALREADY AT THE 10th HOLE
WHAT SHOULD WE DO?
* Niveau C: Chef, D: Directeur G: Gestionnaire, S Spécialiste
* Levels: C: Chief. D: Director, M: Management, S: Specialist
Hiérarchie (Hierarchy) * Avant (Before) Pendant (During) Après (After)
Niveau (Level)
C
Portée & Approbation
(Scope & Approval)
Revue
(Review)
Agir
(Ack)
D Engagement
Documenter
(Document)
Maintenir
(Maintain)
G (M) Engagement
Mise en Œuvre
(Implementation)
Sensibilisation
(Awareness)
S Orientation
Conformité
(Conformity)
Surveillance du SMSI
(ISMS Monitoring)
PLAN PORTÉE (SCOPE) AR (RA) Traitement (Treatment)
DO
CHECK
ACK
Déf. Contrôles (Contr. Def.) Mise en Oeuvre (Implement) Surveillance (Monitor)
Évaluation (Assessment) Audit Non Conformité (NC)
Plan d’Action (Action Plan) Validation Confirmation (C)

14. 7. COMMENT COMPTER
LES POINTS AU 12ième
HOW TO ADD THE SCORE
TO WIN AT THE 12th
GSMA
“Connected Life”
forecast $4.5T For 2020
● Connected Life is everything
that is connected and how
they interact: cars, mobile
devices, buildings, sensors
and people
● Top Ten in 2020
NY Times: A Messenger for the Internet of Things Wall Street Journal: IBM Tackles Machine to Machine Big Data Deluge
Source:http://www.globaltelecomsbusiness.com/article
/2985699/Connected-devices-will-be-worth-45t.html

15. 8. DISCUSSION DE PUTT AU 15ième
PUTT DISCUSSION ON THE 15th
Croissance dynamique de Afrique Francophone
Growth Dynamics in Francophone Africa
Source: EIU, Nov 16, 2016
15

16. Priorités en Technologie (Afrique Francophone)
Technology Priorities (Francophone Africa)
16

17. 9.LA RÉALITÉ FRAPPE AU 18ième
REALITY STRIKE AT THE 18TH
Source: IDC IT Staffing Survey, June 2016
Ou retrouvons nous la Conformité, et la Vérification ?

18. Barrières à la
transformation
(Barriers to digital
transformation)
10. 19ième
19th HOLE
Organisation silos et écart de formation.
(Organization siloes & skill gaps)
PERSONNE
(People)
Processus d’affaire & portée
transactionnel multi-environnement.
(Business processes & transactions span multi
environments)
PROCESSUS
(Process)
Accès rapide et sécuritaire.
Flexibilité de la croissance et de ses
services.
(Fast, secure, controlled access to data &
Flexibility for the future)
TECHNOLOGIE
(Technology)
18

19. Processus – Validation de la conformité
Maturité
(1-5)
Exploitation
Valorisation
Décision
Capacité
(1 -5)
Personnel
Procédures
Outils
Technologie
Infrastructure
Conformité
(par cadre et global)
(Oui ou Non)
Politique
Legal
Règlementaire
Normes
Positionnement
de la conformité
(Controls et Risques)
Controles,
mitigation des
risques &
efficience
Intrants,
Extrants &
acteurs
Information
Supervision
Revue
Direction
Identification
des cadres
(Titre & Critères)
Descriptions
Cadres
Normes
RACI
Point de
conformité (PC)
Mandat
Porté
Exigences (5W)
Qualité des BénéficesQualité des Controles
Qualité, Sécurité et Efficience du modèle
Non Oui
19

20. Analyse de la conformité (Niveaux d’assurance)
Tester (16H)
Analyse (6H)
Observation (6H)
Interview (4H)
Revue (2H)
Confirmation (1H)
Assurance Raisonable
Assurance Forte
Assurance Très Forte
20

21. Analyse de la capacité
Optimiser (5)
Gérer & Mesurer (4)
Adapter (3)
Documenter (2)
Répéter (1)
Exécuter(0)
Base
Défini
Optimisé
Description de la capacité (adapté à CobIT)
Niveau Nom Description Commentaires
0 Exécuter
Les processus de gestion
ne sont pas appliqués
Absence totale de processus identifiables mais la tache
est exécutée.
1 Répétable
Les processus sont ad
hoc et désorganisés
On constate que l’entreprise a pris conscience de
l'exécusion ainsi que de la tache et de la nécessité de
l’étudier.
2 Documenter
Les processus suivent
un modèle répétable &
documenté
Des processus sont disponible jusqu’au stade où des
personnes différentes exécutant la même tâche utilisent
des procédures similaires.
3 Adaptater
Les processus sont
formalisés et
communiqués
On a standardisé, documenté et en mesure de
communiquer des processus via des séances de formation.
4 Gérer & Mesurer
Les processus sont
surveillés et mesurés
La direction peut contrôler et mesurer la conformité aux
procédures et peut agir lorsque certains processus
semblent ne pas fonctionner correctement.
5 Optimiser
L'amélioration du
processus est gérée
Les processus ont atteint le niveau des bonnes pratiques,
suite à une amélioration constante et à la comparaison
avec d’autres entreprises.
21

22. Analyse de la maturité
Mature et optimisé (5)
Géré & Mesurable (4)
Processus Défini (3)
Reproductible (2)
Initialisé (1)
Inexistant (0)
Base
Défini
Optimisé
Description de la maturité (selon CobIT)
Niveau Nom Description Commentaires
0 Inexistant
Les processus de gestion
ne sont pas appliqués
Absence totale de processus identifiables.
L’entreprise n’a même pas pris conscience qu’il s’agissait d’un problème à étudier.
1
Initialisé
/ Cas par cas
Les processus sont ad
hoc et désorganisés
On constate que l’entreprise a pris conscience de l’existence du problème et de la nécessité
de l’étudier.
Il n’existe toutefois aucun processus standardisé, mais des démarches dans ce sens tendent
à être entreprises individuellement ou cas par cas.
L’approche globale du management n’est pas organisée.
2
Reproductible
mais
intuitif
Les processus suivent
un modèle répétable
Des processus se sont développés jusqu’au stade où des personnes différentes exécutant la
même tâche utilisent des procédures similaires.
Il n’y a pas de formation organisée ni de communication des procédures standard et la
responsabilité et laissée à l’individu.
On se repose beaucoup sur les connaissances individuelles, d’où un risque d’erreurs.
3 Processus
défini
Les processus sont
formalisés et
communiqués
On a standardisé, documenté et communiqué des processus via des séances de formation.
Ces processus doivent impérativement être suivis ; toutefois, des écarts seront probablement
constatés.
Concernant les procédures elles-mêmes, elles ne sont pas sophistiquées mais formalisent
des pratiques existantes.
4
Géré
et
mesurable
Les processus sont
surveillés et mesurés
La direction contrôle et mesure la conformité aux procédures et agit lorsque certains
processus semblent ne pas fonctionner correctement.
Les processus sont en constante amélioration et correspondent à une bonne pratique.
L’automatisation et les outils sont utilisés d’une manière limitée ou partielle.
5 Optimisé
L'amélioration du
processus est gérée
Les processus ont atteint le niveau des bonnes pratiques, suite à une amélioration constante
et à la comparaison avec d’autres entreprises.
22

23. Conclusion (Conclusion)
● Notre rôle devra être élargie et inclure:
○ Un volet technologique élargi;
○ Une connaissance dans la qualité et de la certification des services;
○ Des moyens pour collaborer les informations de sécurité (Interne & Externe).
○ Expérience dans l’évaluation des Processus, Pratiques, Activités et de la Maturité (PPAM)
23

24. FIN
END
24