SlideShare une entreprise Scribd logo
1  sur  33
La gestion des risques
de sécurité de
l’information dans les
projets


Suzanne Thibodeau, directrice
Stratégies, Gouvernance et Services-Conseils,
Sécurité, Mouvement Desjardins
Plan de présentation

1. Les principaux risques liés à la sécurité de
   l’information
2. Coût de l’intégration de la sécurité de
   l’information dans les projets
3. Survol de l’approche proposée par la norme
   ISO 27034
4. Quand et comment intégrer l’analyse de risque
   de sécurité dans un projet ?
5. 10 écueils à éviter et autres leçons tirées
   d’expériences vécues
La gestion des risques de sécurité de
                     l’information dans les projets



Partie 1
Principaux risques de sécurité de
l’information
Sécurité de l’information

• Disponibilité :
   – Rendre l’information accessible et
     utilisable sur demande par une entité
     autorisée
• Intégrité :
   – Sauvegarder l'exactitude et l'exhaustivité
     de l’actif
• Confidentialité :
   – S’assurer que l’information n’est pas
     mise à la disposition ou divulguée à des
     personnes, des entités ou des
     processus non autorisés.


                                                  4
Qu’est-ce qu’un risque de sécurité de
              l’information ?



« Potentiel qu’une menace donnée exploite les
vulnérabilités d’un actif ou d’un groupe d’actif,
 causant ainsi un dommage à l’organisation»*




*Source: ISO/IEC 27005:2011




                                                    5
Sources de menaces


 Protéger l’information contre qui/quoi?
 Plusieurs sources de menaces :
     • Source humaine agissant délibérément (attaque,
       fraude, sabotage, vol)
     • Source humaine accidentelle (erreur, omission)
     • Source naturelle (inondation, feu, panne
       d’électricité)
     • Source environnementale (conflit social,
       hacktivisme, pandémie)


                                                    6
Exemples de risques liés à la sécurité de
                l’information

 Risques liés aux renseignements personnels
  ou confidentiels
 Risques de non-conformité (ex: PCI DSS, 52
  109, Bâle, loi 138, etc.)
 Risques de fraude et de vol d’identité
 Risques liés aux fournisseurs externes
 Risques liés à l’image et la réputation
La gestion des risques de sécurité de
                      l’information dans les projets



Partie 2
Coûts de l’intégration de la sécurité
dans les projets
Quelques statistiques                            9




 75% des brèches de sécurité sont facilitées par les applications, et
  non le réseau. - Gartner
 92% des vulnérabilités rapportées sont au niveau des applications. –
  NIST
 Plus de 70% des vulnérabilités de sécurité sont dans les
  applications. – Gartner
Niveau d’intégration de la sécurité et
                    vulnérabilités

Pourcentage de vulnérabilités trouvées par phase de projet en fonction
                   de l'intégration de la sécurité
Phase de projet                    Sécurité non intégrée                      Sécurité intégrée
Réalisation                                          0%                                 33%
Test/Acceptation                                    40%                                 57%
En production                                       35%                                 8%
Latent                                              25%                                 2%

*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
Niveau d’intégration et efforts de correction


   Coûts et durée de correction des vulnérabilités par phase de projet
Phase de projet                                    Coût                        Durée de correction
Réalisation                                         $ 20                          moins de 1 heure
Test                                               $ 360                                3-5 heures
En production                                   $ 12,000                          10 heures et plus
Latent                                               $-

*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
Investissement en sécurité de l’information
La gestion des risques de sécurité de
                    l’information dans les projets



Partie 3
Survol de l’approche proposée par
la norme ISO 27034
Qu’est-ce que la norme ISO 27034 ?

 Lignes directrices pour aider les organisations
  à intégrer la sécurité dans les procédés utilisés
  pour la gestion de leurs solutions TI

 Vise la sécurisation des solutions TI sur
  mesure selon le niveau de sécurité assigné
  au projet

 Sous-ensemble de mesures de sécurité
  associés à chacun des différents niveaux de
  sécurité
Exemple d’arbre de décision
Exemple de niveaux de sécurité
• Niveau de sécurité de base
  – balayage de vulnérabilité automatique
  – Journalisation de base
  – authentification simple (code usager / mot de passe)

• Niveau de sécurité modéré
  – balayage de vulnérabilité manuel
  – journalisation des principales actions
  – authentification adaptative (deux informations connues)

• Niveau de sécurité élevé
  –   authentification forte (deux facteurs)
  –   journalisation détaillée de toutes les actions
  –   système de prévention d’intrusion
  –   transmission chiffrée, etc..
Bénéfices de l’approche ISO 27034

• Sécurisation basée sur les besoins de chaque
  projet
• Consolidation de la sécurisation des solutions
  TI
• Implication légère d’équipe de sécurité dans
  les projets
La gestion des risques de sécurité de
                     l’information dans les projets



Partie 4
Quand et comment intégrer
l’analyse de risque dans un projet
Livrables de sécurité par phase de projet
Étapes de réalisation d’une analyse de
                              risque
          1.                           2.                             3.                            4.                        5.
   Établissement                 Identification                   Analyse                     Traitement                Communication
     du contexte                  des risques                    des risques                   du risque                  du risque


•Échelles de probabilité et   •Identification des           •Identification et           •Élaboration du plan de      •Inscription au registre
d’impact et seuil de          menaces et des                évaluation des contrôles     traitement des risques       des risques
tolérance au risque           vulnérabilités potentielles   en place                     (refuser, accepter,          •Divulgation au
(préalables)                  •Évaluation de l’impact       •Évaluation de la            mitiger, transférer)         responsable de la gestion
•Classification des actifs    sur la disponibilité,         probabilité de               •Acceptation du plan de      des risques
informationnels visés et      l’intégrité et la             matérialisation du risque    traitement des risques par   •Suivi et reddition de
identification des            confidentialité de la         •Comparaison du risque       le propriétaire des actifs   compte sur la mise en
propriétaires                 matérialisation de la         inhérent au seuil de         informationnels              œuvre du plan de suivi
•Diagramme de flux des        menace                        tolérance au risque
données                                                     déterminé par l’entreprise
•Cadre normatif , légal et
réglementaire applicable



           Portée de                   Liste des                      Risque                     Plan de                   Registre des
           l’analyse                   menaces                        Inhérent                   traitement et             risques
                                                                                                 risque résiduel




                                                                                                                                          20
La gestion des risques de sécurité de
                     l’information dans les projets



Partie 5
10 écueils à éviter et autres leçons
tirées d’expériences vécues
10 écueils à éviter et autres leçons tirées
                 d’expériences vécues


1.    Classification vous dites ?
2.    PCI ? Jamais entendu parlé !
3.    L’autosuffisance
4.    C’est le problème du fournisseur
5.    Le Syndrome du couper / coller (one size fits
      all)
10 écueils à éviter et autres leçons tirées
       d’expériences vécues (suite)


6.L’industrialisation aveugle
7.Le trou noir de sécurité
8.La pensée magique
9.La confiance excessive
10.Le bonhomme sept-heures
MERCI DE VOTRE ATTENTION :-)
La gestion des risques de sécurité de
                     l’information dans les projets



Annexe
Matériel de référence
Analyse du flux de données

 Décrire tout le cycle de vie de l’information
  Création > Traitement > Utilisation > Transmission >
  Entreposage > Destruction

 Considérer tous les médias et supports
  Papier, CD, Matériel (Disque dur), Logiciels et Applications,
  BD, Canaux de communications, etc.




                                                                  26
Classification des actifs

• Objectif: Déterminer la valeur de l’actif pour
  l’organisation afin d’établir des mesures de
  protection proportionnellement adéquates

• Critères de classification :
  1. Disponibilité
  2. Intégrité
  3. Confidentialité


              SÉANCE 6                             27
Classification des actifs
           Niveau de confidentialité - Exemple
Niveaux        Définitions                                          Exemples

Public         Information dont la divulgation publique a été       Services et
               autorisée par son propriétaire et qui n’est pas      coordonnées de
               susceptible de causer un préjudice à                 l’entreprise
               l’organisation
Privé ou       Information dont la divulgation sans autorisation    Bottin des employés,
interne        préalable à l’extérieur de l’organisation pourrait   procédures
               causer un préjudice à l’organisation, sans avoir     administratives
               cependant d’impact sur ses activités .
Confidentiel   Actif dont la divulgation sans autorisation          Renseignements
               préalable est susceptible de causer un préjudice     personnes sur les
               significatif à l’organisation ou à ses clients.      clients, coût de revient
                                                                    des produits
Secret         Actif dont la divulgation sans autorisation          Projet d’acquisition
               préalable est susceptible de causer un préjudice     d’une entreprise, brevet
               d’une très grande gravité à l’organisation.          en développement


                                                                                         28
Classification des actifs
          Niveaux d’intégrité – Exemple

Niveaux    Définitions                                Exemples
Faible     Information pour laquelle l’organisation   Liste des cours suivis
           peut tolérer certains écarts (restant      par les employés,
           cependant acceptables) d’autant plus       compétences
           que les impacts qui y sont associés ont    recherchées par poste
           beaucoup moins d’importance.
Modéré     Information qui se doit d’être exacte et   Feuilles de temps du
           dont l’inexactitude peut avoir des         personnel,
           conséquences significatives sur            statistiques sur les
           l’organisation.                            ventes
Élevé      Information qui se doit d’être exacte en   Transactions
           tout temps et dont l’inexactitude peut     financières
           avoir des conséquences grave pour          Information médicale
           l’organisation ou ses clients.



                                                                             29
Classification des actifs
         Niveaux de disponibilité - Exemple
Niveaux      Définitions                                 Exemples
Faible       Information dont l’impact de non-           Rapports de gestion
             disponibilité est minime. On considère
             qu’une interruption pouvant aller jusqu’à
             un 24 heures demeure acceptable.
Modéré       Information dont la non-disponibilité       Information requise
             apporte des impacts moins importants        pour la production
             sur les opérations de l’organisation. On    d’états de compte
             considère qu’une interruption maximale
             de 4 heures reste
             acceptable.

Élevé        Information pour laquelle on doit assurer   Information sur les
             la disponibilité presque en tout temps.     comptes clients
             On considère qu’une interruption
             maximale de 1 heure est acceptable.


                                                                               30
Évaluation de l’impact - exemple
Cote                                                     Impact
          Financier   Clients                           Employés               Réputation         Conformité

    1     < 100 K     Peu d’impact sur les clients      Peu ou aucun           Peu ou pas de      Peu ou pas
  très                ou disponibilités des produits    impact sur le climat   couverture         d’impact au
                                                        de travail             médiatique         niveau des
 faible                                                                                           autorités
                                                                                                  réglementaires

   2      > 100 K     Cas isolé de pertes de            Impact à court terme   Couverture         Peu d’impact sur
 faible   < 500 K     clients, récurrences des          sur le climat de       médiatique de      le droit d’opérer
                      plaintes sur les délais et les    travail                courte durée
                      erreurs de produits

   3      > 500 K     Diminution de la rétention        Impact ressenti sur    Couverture         Compromet la
modérée   < 800 K     des clients, plusieurs            la mobilisation et     médiatique         crédibilité auprès
                      problèmes nécessitant des         l’absentéisme          importante et      des autorités
                      solutions temporaires                                    constante          réglementaires
                      ressources additionnelles

   4      > 800 K     Perte significative de clients,   Perte de ressources    Impact important   Imposition de
élevée    <1M         plusieurs problèmes               clés et                sur l’image de     restrictions au
                      importants et persistants         augmentation du        marque et la       droit d’opérer
                                                        taux de roulement      perception des
                                                                               clients

   5      >1M         Problème endémique de             Exode massif des       La réputation ne   Révocation du
 très                 qualité du service,               ressources, climat     peut qu’être       droit d’opérer une
                      détérioration marquée de la       conflictuel            rétablie à long    ou plusieurs
élevée                capacité à offrir les produits                           terme              activités

                                                                                                               31
Évaluation de la probabilité – Exemple

    Cote         Probabilité
       1         Il est difficile d’envisager que le risque puisse se réaliser.
 (très faible)   Pas de précédent connu dans l’industrie ou l’organisation
      2          Le risque pourrait se réaliser, mais la probabilité est peu
   (faible)      significative. Pas de précédent connu dans l’organisation.
      3          Il est envisageable que le risque puisse se réaliser, mais il
  (modérée)      y a peu de précédent connu dans l’industrie ou
                 l’organisation.
       4         Il est facilement envisageable que le risque puisse se
   (élevée)      réaliser, car il y a quelques précédents connus dans
                 l’industrie ou l’organisation.
       5         Il est presque certain que le risque se réalisera si rien
 (très élevée)   n’est fait. Plusieurs précédents sont connus dans
                 l’industrie ou l’organisation.



                                                                             32
Grille d’évaluation du risque

Contenu connexe

Tendances

Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
Le cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risquesLe cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risquesPMI-Montréal
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risquesPMI Lévis-Québec
 
Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?BPMSinfo
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016ibtissam el hassani
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet Es-sahli bilal
 
2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projets2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projetsPMI Lévis-Québec
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2ibtissam el hassani
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risquesGBO
 

Tendances (20)

Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
Le cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risquesLe cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risques
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
EBIOS
EBIOSEBIOS
EBIOS
 
Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Mehari
MehariMehari
Mehari
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
 
2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projets2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projets
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
 

En vedette

3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...Perrein Jean-Pascal
 
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]Sébastien Rabaud
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Normes et qualité et trac
Normes et qualité et tracNormes et qualité et trac
Normes et qualité et traccharlottejallut
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
SDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your businessSDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your businessOrange Business Services
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Youssef Loudiyi
 
Préparation des actions de maintenance corrective (www.livre-technique.com)
Préparation des actions de maintenance corrective (www.livre-technique.com)Préparation des actions de maintenance corrective (www.livre-technique.com)
Préparation des actions de maintenance corrective (www.livre-technique.com)Livre Technique
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527Résistante Risk Solutions
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Dans les coulisses des normes ISO
Dans les coulisses des normes ISODans les coulisses des normes ISO
Dans les coulisses des normes ISONURUNconseils
 

En vedette (18)

3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
 
Orange consulting en 3 minutes
Orange consulting en 3 minutesOrange consulting en 3 minutes
Orange consulting en 3 minutes
 
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 Benefits
 
Normes et qualité et trac
Normes et qualité et tracNormes et qualité et trac
Normes et qualité et trac
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
SDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your businessSDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your business
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
 
Préparation des actions de maintenance corrective (www.livre-technique.com)
Préparation des actions de maintenance corrective (www.livre-technique.com)Préparation des actions de maintenance corrective (www.livre-technique.com)
Préparation des actions de maintenance corrective (www.livre-technique.com)
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Dans les coulisses des normes ISO
Dans les coulisses des normes ISODans les coulisses des normes ISO
Dans les coulisses des normes ISO
 

Similaire à MATINÉE PMI : La gestion des risques de sécurité de l'information dans les projets

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeursHarvey Francois
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets siASIP Santé
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptKhaledabdelilah1
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
Approche et management des risques 31000.pptx
Approche et management des risques 31000.pptxApproche et management des risques 31000.pptx
Approche et management des risques 31000.pptxMohamed966265
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 

Similaire à MATINÉE PMI : La gestion des risques de sécurité de l'information dans les projets (20)

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Approche et management des risques 31000.pptx
Approche et management des risques 31000.pptxApproche et management des risques 31000.pptx
Approche et management des risques 31000.pptx
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 

Plus de PMI-Montréal

La mobilisation des équipes de projets pour sortir gagnant de la crise
La mobilisation des équipes de projets pour sortir gagnant de la criseLa mobilisation des équipes de projets pour sortir gagnant de la crise
La mobilisation des équipes de projets pour sortir gagnant de la crisePMI-Montréal
 
Adoption du changement : êtes-vous prêts?
Adoption du changement : êtes-vous prêts?Adoption du changement : êtes-vous prêts?
Adoption du changement : êtes-vous prêts?PMI-Montréal
 
Workshop - Lean change & the gang
Workshop - Lean change & the gangWorkshop - Lean change & the gang
Workshop - Lean change & the gangPMI-Montréal
 
Mentorat du PMI-Montréal - Séance informative mai 2020
Mentorat du PMI-Montréal - Séance informative mai 2020Mentorat du PMI-Montréal - Séance informative mai 2020
Mentorat du PMI-Montréal - Séance informative mai 2020PMI-Montréal
 
Désinfection (COVID-19) Ce que vous devez savoir pour un chantier productif
Désinfection (COVID-19) Ce que vous devez savoir pour un chantier productifDésinfection (COVID-19) Ce que vous devez savoir pour un chantier productif
Désinfection (COVID-19) Ce que vous devez savoir pour un chantier productifPMI-Montréal
 
Leadership responsable : mettez votre masque d’oxygène en premier!
Leadership responsable : mettez votre masque d’oxygène en premier!Leadership responsable : mettez votre masque d’oxygène en premier!
Leadership responsable : mettez votre masque d’oxygène en premier!PMI-Montréal
 
Delegation Poker - Responsabilisez vos équipes et amenez-les vers une grande ...
Delegation Poker - Responsabilisez vos équipes et amenez-les vers une grande ...Delegation Poker - Responsabilisez vos équipes et amenez-les vers une grande ...
Delegation Poker - Responsabilisez vos équipes et amenez-les vers une grande ...PMI-Montréal
 
Agile et gestion du changement - Au-delà du Manifeste et de la méthodologie
Agile et gestion du changement -  Au-delà du Manifeste et de la méthodologie Agile et gestion du changement -  Au-delà du Manifeste et de la méthodologie
Agile et gestion du changement - Au-delà du Manifeste et de la méthodologie PMI-Montréal
 
Agilité comportementale – Comment adapter ses comportements en temps de crise...
Agilité comportementale – Comment adapter ses comportements en temps de crise...Agilité comportementale – Comment adapter ses comportements en temps de crise...
Agilité comportementale – Comment adapter ses comportements en temps de crise...PMI-Montréal
 
Le Design Thinking : Penser et agir autrement pour trouver des solutions diff...
Le Design Thinking : Penser et agir autrement pour trouver des solutions diff...Le Design Thinking : Penser et agir autrement pour trouver des solutions diff...
Le Design Thinking : Penser et agir autrement pour trouver des solutions diff...PMI-Montréal
 
COVID-19 et Télétravail - Comment garder votre équipe de projet productive et...
COVID-19 et Télétravail - Comment garder votre équipe de projet productive et...COVID-19 et Télétravail - Comment garder votre équipe de projet productive et...
COVID-19 et Télétravail - Comment garder votre équipe de projet productive et...PMI-Montréal
 
Matinee PMI-Montréal - Softskills, incontournable pour l'ingénieur en gestion...
Matinee PMI-Montréal - Softskills, incontournable pour l'ingénieur en gestion...Matinee PMI-Montréal - Softskills, incontournable pour l'ingénieur en gestion...
Matinee PMI-Montréal - Softskills, incontournable pour l'ingénieur en gestion...PMI-Montréal
 
Matinée 11 février 2020 - Priorisation d'un portefeuille de projet
Matinée 11 février 2020 - Priorisation d'un portefeuille de projetMatinée 11 février 2020 - Priorisation d'un portefeuille de projet
Matinée 11 février 2020 - Priorisation d'un portefeuille de projetPMI-Montréal
 
Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?PMI-Montréal
 
Se réapproprier la gestion BIM avec annexes
Se réapproprier la gestion BIM avec annexesSe réapproprier la gestion BIM avec annexes
Se réapproprier la gestion BIM avec annexesPMI-Montréal
 
MATINÉE - BÂTIR UN PROJET DE VILLE/DESTINATION INTELLIGENTE : ENTRE L'UTOPIE ...
MATINÉE - BÂTIR UN PROJET DE VILLE/DESTINATION INTELLIGENTE : ENTRE L'UTOPIE ...MATINÉE - BÂTIR UN PROJET DE VILLE/DESTINATION INTELLIGENTE : ENTRE L'UTOPIE ...
MATINÉE - BÂTIR UN PROJET DE VILLE/DESTINATION INTELLIGENTE : ENTRE L'UTOPIE ...PMI-Montréal
 
La gestion de projet dans l'industrie 4.0
La gestion de projet dans l'industrie 4.0La gestion de projet dans l'industrie 4.0
La gestion de projet dans l'industrie 4.0PMI-Montréal
 
Matinée PMI - De gestionnaire de projet à producteur exécutif!
Matinée PMI - De gestionnaire de projet à producteur exécutif!Matinée PMI - De gestionnaire de projet à producteur exécutif!
Matinée PMI - De gestionnaire de projet à producteur exécutif!PMI-Montréal
 
PMI-Montréal - protection des données conformité gouvernance 2019 06
PMI-Montréal - protection des données conformité gouvernance 2019 06 PMI-Montréal - protection des données conformité gouvernance 2019 06
PMI-Montréal - protection des données conformité gouvernance 2019 06 PMI-Montréal
 
Symposium 2019 : Quand l'industrie des technologies se mobilise
Symposium 2019 : Quand l'industrie des technologies se mobiliseSymposium 2019 : Quand l'industrie des technologies se mobilise
Symposium 2019 : Quand l'industrie des technologies se mobilisePMI-Montréal
 

Plus de PMI-Montréal (20)

La mobilisation des équipes de projets pour sortir gagnant de la crise
La mobilisation des équipes de projets pour sortir gagnant de la criseLa mobilisation des équipes de projets pour sortir gagnant de la crise
La mobilisation des équipes de projets pour sortir gagnant de la crise
 
Adoption du changement : êtes-vous prêts?
Adoption du changement : êtes-vous prêts?Adoption du changement : êtes-vous prêts?
Adoption du changement : êtes-vous prêts?
 
Workshop - Lean change & the gang
Workshop - Lean change & the gangWorkshop - Lean change & the gang
Workshop - Lean change & the gang
 
Mentorat du PMI-Montréal - Séance informative mai 2020
Mentorat du PMI-Montréal - Séance informative mai 2020Mentorat du PMI-Montréal - Séance informative mai 2020
Mentorat du PMI-Montréal - Séance informative mai 2020
 
Désinfection (COVID-19) Ce que vous devez savoir pour un chantier productif
Désinfection (COVID-19) Ce que vous devez savoir pour un chantier productifDésinfection (COVID-19) Ce que vous devez savoir pour un chantier productif
Désinfection (COVID-19) Ce que vous devez savoir pour un chantier productif
 
Leadership responsable : mettez votre masque d’oxygène en premier!
Leadership responsable : mettez votre masque d’oxygène en premier!Leadership responsable : mettez votre masque d’oxygène en premier!
Leadership responsable : mettez votre masque d’oxygène en premier!
 
Delegation Poker - Responsabilisez vos équipes et amenez-les vers une grande ...
Delegation Poker - Responsabilisez vos équipes et amenez-les vers une grande ...Delegation Poker - Responsabilisez vos équipes et amenez-les vers une grande ...
Delegation Poker - Responsabilisez vos équipes et amenez-les vers une grande ...
 
Agile et gestion du changement - Au-delà du Manifeste et de la méthodologie
Agile et gestion du changement -  Au-delà du Manifeste et de la méthodologie Agile et gestion du changement -  Au-delà du Manifeste et de la méthodologie
Agile et gestion du changement - Au-delà du Manifeste et de la méthodologie
 
Agilité comportementale – Comment adapter ses comportements en temps de crise...
Agilité comportementale – Comment adapter ses comportements en temps de crise...Agilité comportementale – Comment adapter ses comportements en temps de crise...
Agilité comportementale – Comment adapter ses comportements en temps de crise...
 
Le Design Thinking : Penser et agir autrement pour trouver des solutions diff...
Le Design Thinking : Penser et agir autrement pour trouver des solutions diff...Le Design Thinking : Penser et agir autrement pour trouver des solutions diff...
Le Design Thinking : Penser et agir autrement pour trouver des solutions diff...
 
COVID-19 et Télétravail - Comment garder votre équipe de projet productive et...
COVID-19 et Télétravail - Comment garder votre équipe de projet productive et...COVID-19 et Télétravail - Comment garder votre équipe de projet productive et...
COVID-19 et Télétravail - Comment garder votre équipe de projet productive et...
 
Matinee PMI-Montréal - Softskills, incontournable pour l'ingénieur en gestion...
Matinee PMI-Montréal - Softskills, incontournable pour l'ingénieur en gestion...Matinee PMI-Montréal - Softskills, incontournable pour l'ingénieur en gestion...
Matinee PMI-Montréal - Softskills, incontournable pour l'ingénieur en gestion...
 
Matinée 11 février 2020 - Priorisation d'un portefeuille de projet
Matinée 11 février 2020 - Priorisation d'un portefeuille de projetMatinée 11 février 2020 - Priorisation d'un portefeuille de projet
Matinée 11 février 2020 - Priorisation d'un portefeuille de projet
 
Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?
 
Se réapproprier la gestion BIM avec annexes
Se réapproprier la gestion BIM avec annexesSe réapproprier la gestion BIM avec annexes
Se réapproprier la gestion BIM avec annexes
 
MATINÉE - BÂTIR UN PROJET DE VILLE/DESTINATION INTELLIGENTE : ENTRE L'UTOPIE ...
MATINÉE - BÂTIR UN PROJET DE VILLE/DESTINATION INTELLIGENTE : ENTRE L'UTOPIE ...MATINÉE - BÂTIR UN PROJET DE VILLE/DESTINATION INTELLIGENTE : ENTRE L'UTOPIE ...
MATINÉE - BÂTIR UN PROJET DE VILLE/DESTINATION INTELLIGENTE : ENTRE L'UTOPIE ...
 
La gestion de projet dans l'industrie 4.0
La gestion de projet dans l'industrie 4.0La gestion de projet dans l'industrie 4.0
La gestion de projet dans l'industrie 4.0
 
Matinée PMI - De gestionnaire de projet à producteur exécutif!
Matinée PMI - De gestionnaire de projet à producteur exécutif!Matinée PMI - De gestionnaire de projet à producteur exécutif!
Matinée PMI - De gestionnaire de projet à producteur exécutif!
 
PMI-Montréal - protection des données conformité gouvernance 2019 06
PMI-Montréal - protection des données conformité gouvernance 2019 06 PMI-Montréal - protection des données conformité gouvernance 2019 06
PMI-Montréal - protection des données conformité gouvernance 2019 06
 
Symposium 2019 : Quand l'industrie des technologies se mobilise
Symposium 2019 : Quand l'industrie des technologies se mobiliseSymposium 2019 : Quand l'industrie des technologies se mobilise
Symposium 2019 : Quand l'industrie des technologies se mobilise
 

MATINÉE PMI : La gestion des risques de sécurité de l'information dans les projets

  • 1. La gestion des risques de sécurité de l’information dans les projets Suzanne Thibodeau, directrice Stratégies, Gouvernance et Services-Conseils, Sécurité, Mouvement Desjardins
  • 2. Plan de présentation 1. Les principaux risques liés à la sécurité de l’information 2. Coût de l’intégration de la sécurité de l’information dans les projets 3. Survol de l’approche proposée par la norme ISO 27034 4. Quand et comment intégrer l’analyse de risque de sécurité dans un projet ? 5. 10 écueils à éviter et autres leçons tirées d’expériences vécues
  • 3. La gestion des risques de sécurité de l’information dans les projets Partie 1 Principaux risques de sécurité de l’information
  • 4. Sécurité de l’information • Disponibilité : – Rendre l’information accessible et utilisable sur demande par une entité autorisée • Intégrité : – Sauvegarder l'exactitude et l'exhaustivité de l’actif • Confidentialité : – S’assurer que l’information n’est pas mise à la disposition ou divulguée à des personnes, des entités ou des processus non autorisés. 4
  • 5. Qu’est-ce qu’un risque de sécurité de l’information ? « Potentiel qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actif, causant ainsi un dommage à l’organisation»* *Source: ISO/IEC 27005:2011 5
  • 6. Sources de menaces  Protéger l’information contre qui/quoi?  Plusieurs sources de menaces : • Source humaine agissant délibérément (attaque, fraude, sabotage, vol) • Source humaine accidentelle (erreur, omission) • Source naturelle (inondation, feu, panne d’électricité) • Source environnementale (conflit social, hacktivisme, pandémie) 6
  • 7. Exemples de risques liés à la sécurité de l’information  Risques liés aux renseignements personnels ou confidentiels  Risques de non-conformité (ex: PCI DSS, 52 109, Bâle, loi 138, etc.)  Risques de fraude et de vol d’identité  Risques liés aux fournisseurs externes  Risques liés à l’image et la réputation
  • 8. La gestion des risques de sécurité de l’information dans les projets Partie 2 Coûts de l’intégration de la sécurité dans les projets
  • 9. Quelques statistiques 9  75% des brèches de sécurité sont facilitées par les applications, et non le réseau. - Gartner  92% des vulnérabilités rapportées sont au niveau des applications. – NIST  Plus de 70% des vulnérabilités de sécurité sont dans les applications. – Gartner
  • 10. Niveau d’intégration de la sécurité et vulnérabilités Pourcentage de vulnérabilités trouvées par phase de projet en fonction de l'intégration de la sécurité Phase de projet Sécurité non intégrée Sécurité intégrée Réalisation 0% 33% Test/Acceptation 40% 57% En production 35% 8% Latent 25% 2% *Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
  • 11. Niveau d’intégration et efforts de correction Coûts et durée de correction des vulnérabilités par phase de projet Phase de projet Coût Durée de correction Réalisation $ 20 moins de 1 heure Test $ 360 3-5 heures En production $ 12,000 10 heures et plus Latent $- *Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
  • 12. Investissement en sécurité de l’information
  • 13. La gestion des risques de sécurité de l’information dans les projets Partie 3 Survol de l’approche proposée par la norme ISO 27034
  • 14. Qu’est-ce que la norme ISO 27034 ?  Lignes directrices pour aider les organisations à intégrer la sécurité dans les procédés utilisés pour la gestion de leurs solutions TI  Vise la sécurisation des solutions TI sur mesure selon le niveau de sécurité assigné au projet  Sous-ensemble de mesures de sécurité associés à chacun des différents niveaux de sécurité
  • 15. Exemple d’arbre de décision
  • 16. Exemple de niveaux de sécurité • Niveau de sécurité de base – balayage de vulnérabilité automatique – Journalisation de base – authentification simple (code usager / mot de passe) • Niveau de sécurité modéré – balayage de vulnérabilité manuel – journalisation des principales actions – authentification adaptative (deux informations connues) • Niveau de sécurité élevé – authentification forte (deux facteurs) – journalisation détaillée de toutes les actions – système de prévention d’intrusion – transmission chiffrée, etc..
  • 17. Bénéfices de l’approche ISO 27034 • Sécurisation basée sur les besoins de chaque projet • Consolidation de la sécurisation des solutions TI • Implication légère d’équipe de sécurité dans les projets
  • 18. La gestion des risques de sécurité de l’information dans les projets Partie 4 Quand et comment intégrer l’analyse de risque dans un projet
  • 19. Livrables de sécurité par phase de projet
  • 20. Étapes de réalisation d’une analyse de risque 1. 2. 3. 4. 5. Établissement Identification Analyse Traitement Communication du contexte des risques des risques du risque du risque •Échelles de probabilité et •Identification des •Identification et •Élaboration du plan de •Inscription au registre d’impact et seuil de menaces et des évaluation des contrôles traitement des risques des risques tolérance au risque vulnérabilités potentielles en place (refuser, accepter, •Divulgation au (préalables) •Évaluation de l’impact •Évaluation de la mitiger, transférer) responsable de la gestion •Classification des actifs sur la disponibilité, probabilité de •Acceptation du plan de des risques informationnels visés et l’intégrité et la matérialisation du risque traitement des risques par •Suivi et reddition de identification des confidentialité de la •Comparaison du risque le propriétaire des actifs compte sur la mise en propriétaires matérialisation de la inhérent au seuil de informationnels œuvre du plan de suivi •Diagramme de flux des menace tolérance au risque données déterminé par l’entreprise •Cadre normatif , légal et réglementaire applicable Portée de Liste des Risque Plan de Registre des l’analyse menaces Inhérent traitement et risques risque résiduel 20
  • 21. La gestion des risques de sécurité de l’information dans les projets Partie 5 10 écueils à éviter et autres leçons tirées d’expériences vécues
  • 22. 10 écueils à éviter et autres leçons tirées d’expériences vécues 1. Classification vous dites ? 2. PCI ? Jamais entendu parlé ! 3. L’autosuffisance 4. C’est le problème du fournisseur 5. Le Syndrome du couper / coller (one size fits all)
  • 23. 10 écueils à éviter et autres leçons tirées d’expériences vécues (suite) 6.L’industrialisation aveugle 7.Le trou noir de sécurité 8.La pensée magique 9.La confiance excessive 10.Le bonhomme sept-heures
  • 24. MERCI DE VOTRE ATTENTION :-)
  • 25. La gestion des risques de sécurité de l’information dans les projets Annexe Matériel de référence
  • 26. Analyse du flux de données  Décrire tout le cycle de vie de l’information Création > Traitement > Utilisation > Transmission > Entreposage > Destruction  Considérer tous les médias et supports Papier, CD, Matériel (Disque dur), Logiciels et Applications, BD, Canaux de communications, etc. 26
  • 27. Classification des actifs • Objectif: Déterminer la valeur de l’actif pour l’organisation afin d’établir des mesures de protection proportionnellement adéquates • Critères de classification : 1. Disponibilité 2. Intégrité 3. Confidentialité SÉANCE 6 27
  • 28. Classification des actifs Niveau de confidentialité - Exemple Niveaux Définitions Exemples Public Information dont la divulgation publique a été Services et autorisée par son propriétaire et qui n’est pas coordonnées de susceptible de causer un préjudice à l’entreprise l’organisation Privé ou Information dont la divulgation sans autorisation Bottin des employés, interne préalable à l’extérieur de l’organisation pourrait procédures causer un préjudice à l’organisation, sans avoir administratives cependant d’impact sur ses activités . Confidentiel Actif dont la divulgation sans autorisation Renseignements préalable est susceptible de causer un préjudice personnes sur les significatif à l’organisation ou à ses clients. clients, coût de revient des produits Secret Actif dont la divulgation sans autorisation Projet d’acquisition préalable est susceptible de causer un préjudice d’une entreprise, brevet d’une très grande gravité à l’organisation. en développement 28
  • 29. Classification des actifs Niveaux d’intégrité – Exemple Niveaux Définitions Exemples Faible Information pour laquelle l’organisation Liste des cours suivis peut tolérer certains écarts (restant par les employés, cependant acceptables) d’autant plus compétences que les impacts qui y sont associés ont recherchées par poste beaucoup moins d’importance. Modéré Information qui se doit d’être exacte et Feuilles de temps du dont l’inexactitude peut avoir des personnel, conséquences significatives sur statistiques sur les l’organisation. ventes Élevé Information qui se doit d’être exacte en Transactions tout temps et dont l’inexactitude peut financières avoir des conséquences grave pour Information médicale l’organisation ou ses clients. 29
  • 30. Classification des actifs Niveaux de disponibilité - Exemple Niveaux Définitions Exemples Faible Information dont l’impact de non- Rapports de gestion disponibilité est minime. On considère qu’une interruption pouvant aller jusqu’à un 24 heures demeure acceptable. Modéré Information dont la non-disponibilité Information requise apporte des impacts moins importants pour la production sur les opérations de l’organisation. On d’états de compte considère qu’une interruption maximale de 4 heures reste acceptable. Élevé Information pour laquelle on doit assurer Information sur les la disponibilité presque en tout temps. comptes clients On considère qu’une interruption maximale de 1 heure est acceptable. 30
  • 31. Évaluation de l’impact - exemple Cote Impact Financier Clients Employés Réputation Conformité 1 < 100 K Peu d’impact sur les clients Peu ou aucun Peu ou pas de Peu ou pas très ou disponibilités des produits impact sur le climat couverture d’impact au de travail médiatique niveau des faible autorités réglementaires 2 > 100 K Cas isolé de pertes de Impact à court terme Couverture Peu d’impact sur faible < 500 K clients, récurrences des sur le climat de médiatique de le droit d’opérer plaintes sur les délais et les travail courte durée erreurs de produits 3 > 500 K Diminution de la rétention Impact ressenti sur Couverture Compromet la modérée < 800 K des clients, plusieurs la mobilisation et médiatique crédibilité auprès problèmes nécessitant des l’absentéisme importante et des autorités solutions temporaires constante réglementaires ressources additionnelles 4 > 800 K Perte significative de clients, Perte de ressources Impact important Imposition de élevée <1M plusieurs problèmes clés et sur l’image de restrictions au importants et persistants augmentation du marque et la droit d’opérer taux de roulement perception des clients 5 >1M Problème endémique de Exode massif des La réputation ne Révocation du très qualité du service, ressources, climat peut qu’être droit d’opérer une détérioration marquée de la conflictuel rétablie à long ou plusieurs élevée capacité à offrir les produits terme activités 31
  • 32. Évaluation de la probabilité – Exemple Cote Probabilité 1 Il est difficile d’envisager que le risque puisse se réaliser. (très faible) Pas de précédent connu dans l’industrie ou l’organisation 2 Le risque pourrait se réaliser, mais la probabilité est peu (faible) significative. Pas de précédent connu dans l’organisation. 3 Il est envisageable que le risque puisse se réaliser, mais il (modérée) y a peu de précédent connu dans l’industrie ou l’organisation. 4 Il est facilement envisageable que le risque puisse se (élevée) réaliser, car il y a quelques précédents connus dans l’industrie ou l’organisation. 5 Il est presque certain que le risque se réalisera si rien (très élevée) n’est fait. Plusieurs précédents sont connus dans l’industrie ou l’organisation. 32

Notes de l'éditeur

  1. Bonnes pratiques : Exercice habituellement réalisé en collaboration avec l’ensemble des départements de l’organisation; Classification révisée et approuvée par les départements concernés et les parties prenantes touchées; Nombre de niveaux doit être limité (3 à 5 maximum); Doit demeurer simple et facile d’utilisation; Mesures de sécurité associés à chaque niveau de classification, augmentant en fonction de la sensibilité et de la criticité de l’information.