SlideShare une entreprise Scribd logo

2015-04-28 Bruno Guay Sécurité des projets informatiques

PMI Lévis-Québec
PMI Lévis-Québec

Bruno Guay Sécurité des projets informatiques La Norme ISO 27034 facilite la gestion de la sécurité dans un projet d’application. • Elle apporte un gain appréciable d’efficacité et d’efficience. • Elle permet une meilleure planification des activités et des ressources du projet. • Elle permet de réduire les risques du projet: – dépassement de budget; – dépassement de durée. • Elle permet de valider que l’application livrée répond aux exigences de sécurité

Formation
1  sur  64
Télécharger pour lire hors ligne
Colloque en gestion de projet 2015 1 Gérer la sécurité dans les projets informatiques Bruno Guay Conseiller senior Nurun
Colloque en gestion de projet 2015 2 Cette présentation sera disponible sur le site internet du PMI Lévis-Québec à compter du 5 mai 2015
Colloque en gestion de projet 2015 3 • Bruno Guay, conseiller expert en sécurité de l'information, Nurun • Co rédacteur de la Norme ISO/CEI 27034 – « Sécurité des applications » • Luc Poulin, président, Cogentas • Co rédacteur de la Norme ISO/CEI 27034 – « Sécurité des applications »
Colloque en gestion de projet 2015 4 Plan • La sécurité des applications – Pourquoi est-ce important? – Pourquoi est-ce difficile? – Besoins • La norme ISO 27034 – Concepts – Processus – Intérêt dans l’industrie
Colloque en gestion de projet 2015 5 La sécurité des applications – pourquoi est-ce important?
Colloque en gestion de projet 2015 6 Pourquoi est-ce important? • Nos applications sont attaquées de façon croissante. • Nos applications sont vulnérables aux attaques.
Colloque en gestion de projet 2015 7 Pourquoi est-ce important? • Cas récent du magasin Target aux États-Unis, qui s’est fait voler 110 millions d’enregistrements de cartes de crédit. • Cela a entraîné pour Target – des pertes financières considérables; – une perte de réputation considérable; – la démission forcée de son PDG et de son CIO.
Colloque en gestion de projet 2015 8 Pourquoi est-ce important?
Colloque en gestion de projet 2015 9 Pourquoi est-ce important? • 78% des applications Web présentent des vulnérabilités facilement exploitables. • Les vulnérabilités les plus exploitées sont bien connues, ce sont les mêmes depuis 2007. • C’est une de ces vulnérabilités qui a été exploitée contre Target.
Colloque en gestion de projet 2015 10 Pourquoi est-ce important? • Jusqu’à maintenant on a surtout protégé l’infrastructure informatique, la quincaillerie. • Or le profil des attaques a changé. • Les pirates le disent : il est plus facile et plus rentable d’attaquer les applications que l’infrastructure. • Maintenant plus de 75% des attaques sont au niveau de l'application.
Colloque en gestion de projet 2015 11 Pourquoi est-ce important? Citoyen Analyste Enquêteur Application web Données SQ GRC DPCP Pirate 2004
Colloque en gestion de projet 2015 12 Pourquoi est-ce important? Citoyen Analyste Enquêteur Application web Données SQ GRC DPCP Pirate 2014
Colloque en gestion de projet 2015 13 Pourquoi est-ce important? • Depuis 3 années consécutives, les applications arrivent en tête des vulnérabilités de sécurité • 90% des failles de sécurité viennent de vulnérabilités d'application • INFOSECURITY PROFESSIONAL, numéro 21 - Executive letter from the desk of the ISC2 Executive Director +
Colloque en gestion de projet 2015 14 Pourquoi est-ce important? • 90% des sites sont vulnérables aux attaques d'application (Watchfire) • 78% des applications Web présentent des vulnérabilités facilement exploitables (Symantec) • 80% des entreprises auraient connu un incident de sécurité relié aux applications entre 2008 et 2010 (Gartner) • Injection XSS et SQL sont les vulnérabilités OWASP #1 et #2 depuis 2007 (Mitre) +
Colloque en gestion de projet 2015 15 La sécurité des applications – pourquoi est-ce difficile?
Colloque en gestion de projet 2015 16 Pourquoi est-ce difficile? • La sécurité est mal comprise par les équipes de projets. – Est l’objet de mythes répandus : • la sécurité c’est technologique; • la sécurité c’est opérationnel. – Non perçue comme un besoin d’affaires. – Perçue comme cause de dépassements de coût et d’échéancier. – Perçue comme une couche de peinture qu’on applique au produit final.
Colloque en gestion de projet 2015 17 Pourquoi est-ce difficile? • On entend souvent : « L’important est que l’application fonctionne. Ensuite on verra pour la sécurité » • Remplaçons « l’application » par « l’avion »… • « L’important est que l’avion fonctionne. Ensuite on verra pour la sécurité »
Colloque en gestion de projet 2015 18 Pourquoi est-ce difficile? • La sécurité est mal intégrée aux projets d’applications : – peu intégrée dans les méthodologies de développement; – peu intégrée dans les processus des bureaux de projets; – les architectes et spécialistes de sécurité sont peu intégrés aux équipes de projets. • Rarement intégrés dès le début
Colloque en gestion de projet 2015 19 Pourquoi est-ce difficile? • L’environnement technologique est de plus en plus complexe. • Le contexte d’utilisation d’une application peut changer au fil du temps. • Par exemple, on migre maintenant des applications de l’ordinateur central aux téléphones intelligents – ceci change complètement l’exposition aux menaces. • Pourtant, l’organisation doit toujours se conformer aux mêmes exigences d’affaires et légales.
Colloque en gestion de projet 2015 20 Pourquoi est-ce difficile? • Difficile pour les clients : – Peu de contrôle sur les applications acquises, gérées par des tierces parties ou hébergées; • Sont-elles vulnérables? • Sont-elles bien installées et configurées? • Sont-elles bien gérées? – Peu d’exigences de sécurité dans les appels d’offres; • Absence de critères vérifiables • Absence de preuve de conformité – Peu de clauses de sécurité dans les contrats. • Peu de droit de regard pour le client • On dépend du bon vouloir du fournisseur +
Colloque en gestion de projet 2015 21 Pourquoi est-ce difficile? • Difficile pour les fournisseurs : – Peu d’activités de sécurité dans les méthos de développement; – Peu de contrôles de sécurité (bonnes pratiques); – Peu de tests de sécurité; – Absence de critères formels et vérifiables; – Absence d’un processus répétable pour appliquer la sécurité dans un projet; – La sécurité d’une application dépend de la compétence de chaque équipe. +
Colloque en gestion de projet 2015 22 Pourquoi est-ce difficile? • Difficile pour les auditeurs : – Difficulté à définir l’application et à délimiter la portée de l’évaluation; • Quels systèmes, quels progiciels? • Logiciel, processus ou infrastructure? • Frontière floue entre l’application et l’infrastructure – Absence de processus d’évaluation adéquat; • Absence d’exigences standard • Absence de processus d’évaluation standard • Absence de méthodologie d’analyse de risque pour les applications – Peu de similitudes entre les mandats de vérification; • Difficile d’appliquer les mêmes critères • Improvisation à chaque intervention • Efficacité et efficience réduite +
Colloque en gestion de projet 2015 23 Besoins
Colloque en gestion de projet 2015 24 Besoins • L’objectif est d’améliorer la sécurité de nos applications – Être en meilleur contrôle de la sécurité – Être en mesure de le démontrer – Augmenter l’efficacité – Augmenter l’efficience
Colloque en gestion de projet 2015 25 Besoins • Plus précisément : – Appliquer des contrôles de sécurité qui réduisent adéquatement le risque – Gérer avec efficience ces contrôles de sécurité dans tout le cycle de vie de l’application – Démontrer que ces contrôles restent adéquats
Colloque en gestion de projet 2015 26 Besoins • Concrètement, il faut répondre à la question de Bertrand, chargé de projet : “On m’a dit : Bertrand, pour ce projet, il te faut la sécurité du Pentagone. Moi je veux bien, mais ça veut dire quoi, ça? Et je fais quoi, là?”
Colloque en gestion de projet 2015 27 Besoins • Le chargé de projet a besoin de connaître les exigences de sécurité dès le début du projet • Le chargé de projet a besoin de connaître les activités de sécurité pour planifier les ressources – Qui fait quoi, quand, comment, à quel effort
Colloque en gestion de projet 2015 28 Besoins • Le chargé de projet a besoin de connaître les activités de vérification de sécurité pour valider les livrables – Qui fait quoi, quand, comment, à quel effort • Le chargé de projet a besoin d’un tableau de bord de sécurité – Activités planifiées, en cours, complétées, vérifiées – Efforts réalisés, dépassements – Problèmes et feedback à retourner à l’organisation
Colloque en gestion de projet 2015 29 Besoins • Réponse à la question de Bertrand : On ajoute des activités de sécurité et de vérification aux processus existants
Colloque en gestion de projet 2015 30 La Norme ISO 27034
Colloque en gestion de projet 2015 31 La Norme ISO 27034 • 27034-1: Survol et concepts (publiée) • 27034-2: Cadre normatif de l’organisation • 27034-3: Processus de gestion de la sécurité d’une application • 27034-4: Vérification de la sécurité d’une application • 27034-5: Protocoles et structures de données • 27034-6: Exemples +
Colloque en gestion de projet 2015 32 La Norme ISO 27034 • Cette nouvelle norme propose un modèle pour faciliter l’intégration de la sécurité dans le cycle de vie des applications : – concepts, principes, cadres; – composants et processus. • Elle s’applique autant au développement interne qu’à l’acquisition ou l’impartition. • Elle propose des lignes directrices pour les propres processus et méthodologies de l’organisation. • Elle ne propose pas de contrôles ou de règles de développement.
Colloque en gestion de projet 2015 33 La Norme ISO 27034 • La Norme énonce des principes : – La sécurité est un besoin d’affaires. – La sécurité d’une application dépend de son contexte d’utilisation. – Il faut investir les ressources appropriées pour sécuriser une application – ni plus ni moins. – La sécurité d’une application doit pouvoir être prouvée.
Colloque en gestion de projet 2015 34 Une nouvelle vue sur la sécurité ApplicationOrganisation
Colloque en gestion de projet 2015 35 Concepts
Colloque en gestion de projet 2015 36 Cadre normatif de l’organisation
Colloque en gestion de projet 2015 37 Contrôle de sécurité applicative CSA Activité de vérification (qui, quand, quoi, comment,coût) Activité de sécurité (qui, quand, quoi, comment,coût) Exigence de sécurité (pourquoi)
Colloque en gestion de projet 2015 38 Contrôle de sécurité applicative • C’est une mesure de réduction de risque • Créé, approuvé et maintenu par l’organisation • Utilisé par les équipes de projet et d’opération • Utilisé par les équipes d’assurance-qualité et d’audit • Peut servir pour le développement interne ou comme critère d’acceptation / homologation • Vérifiable en tout temps
Colloque en gestion de projet 2015 39 Contrôle de sécurité applicative • Chaque contrôle de sécurité comprend : – le niveau de confiance applicable; – une exigence de sécurité en rapport avec : • un risque; • une spécification fonctionnelle; ou • un élément de contexte d’affaires, régulatoire, technologique. • Une activité de sécurité – la description détaillée de la mesure de réduction du risque. • Une activité de vérification qui permettra de prouver que la mesure de réduction du risque a été appliquée avec succès. +
Colloque en gestion de projet 2015 40 Le niveau de confiance • La norme simplifie l’architecture de sécurité avec le concept de niveau de confiance. • C’est un ensemble prédéfini et réutilisable de contrôles de sécurité. • C’est un indice de tolérance au risque. • On distingue : – le niveau de confiance ciblé, décidé par le propriétaire de l’application suite à l’analyse de risque; – le niveau de confiance réel, mesuré par une vérification, un audit.
Colloque en gestion de projet 2015 41 Le niveau de confiance • C’est le plan d’action de sécurité pour l’application. • On fait déjà : analyse de risque et plan d’action, mais c’est improvisé chaque fois et c’est toujours à recommencer. • La Norme standardise le processus dans l’organisation. • Suite à l’analyse de risque, on choisit un plan d’action pré approuvé et éprouvé. • Gain d’efficacité et d’efficience majeur.
Colloque en gestion de projet 2015 42 La banque de contrôles de sécurité applicative Double-clic to edit ▶ Liste de tous les CSA de l’organisation ...0 Librarie des CSA de l’organisation 1 32 9 10 Niveaux de confiance d’application utilisés par l’organisation Banque des CSA de l’organisation
Colloque en gestion de projet 2015 43 La banque de contrôles de sécurité applicative • Similaire à un recueil de bonnes pratiques. • Adaptée aux besoins spécifiques de l’organisation. • Adaptée au contexte d’affaires, légal et technologique. • Alimentée par les normes et standards, les bonnes pratiques du marché, l’expérience de l’organisation. • Gérée et approuvée par l’organisation. • Elle contient les contrôles disponibles pour chaque spécification fonctionnelle et chaque degré de confiance désiré. +
Colloque en gestion de projet 2015 44 Modèle de cycle de vie pour la sécurité d’une application
Colloque en gestion de projet 2015 45 Processus
Colloque en gestion de projet 2015 46 Processus • La Norme repose sur des processus que l’organisation doit définir ou arrimer avec ses processus existants. • Deux niveaux de processus : – Organisationnel : gestion du Cadre normatif organisationnel; – Projet : utilisation du Cadre normatif organisationnel pour gérer la sécurité d’une application.
Colloque en gestion de projet 2015 47 Processus Processus de gestion Cadre Normatif de l’Organisation Cadre Normatif de l’Application 1 Processus de gestion Cadre Normatif de l’Application 2 Processus de gestion Niveau du projet Niveau de l’organisation
Colloque en gestion de projet 2015 48 Processus de gestion de la sécurité d’une application Application Normative Framework Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Cadre normatif de l’organisation
Colloque en gestion de projet 2015 49 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Application Normative Framework Cadre normatif de l’organisation On détermine les éléments qui ont un impact sur la sécurité de l’application: • spécifications • acteurs • information • contextes d’affaire, régulatoire, technologique Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015 50 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Le propriétaire de l’application détermine le niveau de confiance ciblé Cadre normatif de l’organisation On identifie, analyse et évalue les risques On en déduit les exigences de sécurité Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015 51 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application On extrait du CNO les contrôles pertinents pour réduire le risque de l’application en fonction des spécifications trouvées en 1 et du Niveau de confiance ciblé choisi en 2 Cela donne un extrait du CNO qu’on appelle CNA: le Cadre normatif de l’application C’est un dépôt permanent qui contient toute l’information détaillée relative à la sécurité de cette application Cadre normatif de l’organisation Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015 52 Processus de gestion de la sécurité d’une application Contexte technologique relié à l’environnement de l’application Contexte d’affaires relié à l’environnement de l’application Contexte juridique relié à l’environnement de l’application Spécifications de l’application Rôles, responsabilités et qualifications des acteurs impliqués par l’application Processus reliés à la sécurité de l’application CSA sélectionnés pour chacune des phases de l’application Cycle de vie de l’application Cadre normatif de l’application
Colloque en gestion de projet 2015 53 Contexte technologique relié à l’environnement de l’application Contexte d’affaires relié à l’environnement de l’application Contexte juridique relié à l’environnement de l’application Spécifications de l’application Rôles, responsabilités et qualifications des acteurs impliqués par l’application Processus reliés à la sécurité de l’application CSA sélectionnés pour chacune des phases de l’application Cycle de vie de l’application Cadre normatif de l’application On ajoute des activités de sécurité et de vérification aux processus existants Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015 54 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Cadre normatif de l’organisation vérification de tous les contrôles On utilise les contrôles prescrits par le CNA pendant tout le cycle de vie de l’application • acquisition ou développement • opération, maintenance, mise à la retraite On réalise toutes les activités de sécurité de tous les contrôles On réalise toutes les activités de vérification de tous les contrôles Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015 55 Les contrôles sur l’application livrée Citoyen Analyste Enquêteur Application web Données SQ GRC DPCP CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA
Colloque en gestion de projet 2015 56 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Cadre normatif de l’organisation On vérifie le résultat (la preuve) de toutes les activités de vérification de tous les contrôles Le résultat est le Niveau de confiance réel Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015 57 • L’audit peut être réalisé en tout temps dans le cycle de vie de l’application • Il peut être réalisé par des auditeurs internes ou externes • Il devrait être réalisé au moment d’un point de décision : mise en production, acceptation, homologation, etc. • Il consiste simplement à vérifier que tous les contrôles ont été vérifiés avec succès • Si un contrôle n’a pas été vérifié avec succès, on n’atteint pas le Niveau de confiance ciblé • Si le Niveau de confiance réel = Niveau de confiance ciblé, l’organisation peut déclarer que l’application est sécuritaire • … jusqu’au prochain audit • Le Niveau de confiance réel représente le risque résiduel au moment où l’audit est réalisé • Le Niveau de confiance réel est basé sur des preuves +Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015 58 Intérêt manifesté dans l’industrie
Colloque en gestion de projet 2015 59 Intérêt manifesté dans l’industrie • Collaborateurs enthousiastes à la rédaction et l’adoption par ISO/IEC : – Microsoft – Intel – Cisco – Boeing – OWASP – Représentants d’environ 15 pays membres – Experts en sécurité et en génie logiciel. • 27 pays membres votants sur 28 ont voté pour la publication (96%) en novembre 2011.
Colloque en gestion de projet 2015 60 Intérêt manifesté dans l’industrie • Des organismes sont actuellement en projet d’implantation de ISO 27034. Par exemple, au Canada : – Élections Canada – Une institution financière majeure – Un fournisseur d’applications du domaine du transport – Un fournisseur d’applications du domaine de la santé • Des organismes prévoient un projet d’implantation de ISO 27034 – Deux banques majeures canadiennes
Colloque en gestion de projet 2015 61 Intérêt manifesté dans l’industrie One way to counteract this lack of security is to make sure that when you begin developing, you take into account potential security issues by following a “relatively new security standard for software development, ISO 27034.” Howard Schmidt, former CyberSecurity advisor to US President Obama Tech bigwigs Microsoft, Adobe, and Cisco are all supporting this new standard, which emphasizes integrating security into a product’s early development stages rather than introducing security when issues eventually begin to sprout.
Colloque en gestion de projet 2015 62 Double-clic to edit Intérêt manifesté dans l’industrie
Colloque en gestion de projet 2015 63 Conclusion • La Norme ISO 27034 facilite la gestion de la sécurité dans un projet d’application. • Elle apporte un gain appréciable d’efficacité et d’efficience. • Elle permet une meilleure planification des activités et des ressources du projet. • Elle permet de réduire les risques du projet: – dépassement de budget; – dépassement de durée. • Elle permet de valider que l’application livrée répond aux exigences de sécurité.
Colloque en gestion de projet 2015 64 Questions?

Recommandé

2015-04-28 April Cloutier Vézina CARRA
2015-04-28 April Cloutier Vézina CARRA2015-04-28 April Cloutier Vézina CARRA
2015-04-28 April Cloutier Vézina CARRA
PMI Lévis-Québec
 
Brochure formation timspirit 2015
Brochure formation timspirit 2015Brochure formation timspirit 2015
Brochure formation timspirit 2015
Renaud BROSSE
 
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects JuridiquesConduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Mohamed Sabra
 
Etude solutions-itsm-2015
Etude solutions-itsm-2015Etude solutions-itsm-2015
Etude solutions-itsm-2015
Renaud BROSSE
 
Conférence RMCQ : La fameuse liste de risque(s) - Quoi, comment, quand, qui, ...
Conférence RMCQ : La fameuse liste de risque(s) - Quoi, comment, quand, qui, ...Conférence RMCQ : La fameuse liste de risque(s) - Quoi, comment, quand, qui, ...
Conférence RMCQ : La fameuse liste de risque(s) - Quoi, comment, quand, qui, ...
PMI-Montréal
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...
SAID BELKAID
 
Le PMBOK 6 - Matinée du PMI-Montréal par Carl M. Gilbert
Le PMBOK 6 - Matinée du PMI-Montréal par Carl M. GilbertLe PMBOK 6 - Matinée du PMI-Montréal par Carl M. Gilbert
Le PMBOK 6 - Matinée du PMI-Montréal par Carl M. Gilbert
PMI-Montréal
 
La gestion de risque pour combler l’écart entre la tactique et la stratégie
La gestion de risque pour combler l’écart entre la tactique et la stratégieLa gestion de risque pour combler l’écart entre la tactique et la stratégie
La gestion de risque pour combler l’écart entre la tactique et la stratégie
PMI-Montréal
 

Recommandé

2015-04-28 April Cloutier Vézina CARRA
2015-04-28 April Cloutier Vézina CARRA2015-04-28 April Cloutier Vézina CARRA
2015-04-28 April Cloutier Vézina CARRA
PMI Lévis-Québec
 
Brochure formation timspirit 2015
Brochure formation timspirit 2015Brochure formation timspirit 2015
Brochure formation timspirit 2015
Renaud BROSSE
 
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects JuridiquesConduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Mohamed Sabra
 
Etude solutions-itsm-2015
Etude solutions-itsm-2015Etude solutions-itsm-2015
Etude solutions-itsm-2015
Renaud BROSSE
 
Conférence RMCQ : La fameuse liste de risque(s) - Quoi, comment, quand, qui, ...
Conférence RMCQ : La fameuse liste de risque(s) - Quoi, comment, quand, qui, ...Conférence RMCQ : La fameuse liste de risque(s) - Quoi, comment, quand, qui, ...
Conférence RMCQ : La fameuse liste de risque(s) - Quoi, comment, quand, qui, ...
PMI-Montréal
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...
SAID BELKAID
 
Le PMBOK 6 - Matinée du PMI-Montréal par Carl M. Gilbert
Le PMBOK 6 - Matinée du PMI-Montréal par Carl M. GilbertLe PMBOK 6 - Matinée du PMI-Montréal par Carl M. Gilbert
Le PMBOK 6 - Matinée du PMI-Montréal par Carl M. Gilbert
PMI-Montréal
 
La gestion de risque pour combler l’écart entre la tactique et la stratégie
La gestion de risque pour combler l’écart entre la tactique et la stratégieLa gestion de risque pour combler l’écart entre la tactique et la stratégie
La gestion de risque pour combler l’écart entre la tactique et la stratégie
PMI-Montréal
 
DEVOTEAM
DEVOTEAMDEVOTEAM
DEVOTEAM
itSMF France
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Projet Megas - Livrable 3 - Soutenance orale
Projet Megas - Livrable 3 - Soutenance oraleProjet Megas - Livrable 3 - Soutenance orale
Projet Megas - Livrable 3 - Soutenance orale
chauchse
 
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risquesPmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
PMI Lévis-Québec
 
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
ENSIBS
 
2012-10-24 Michel Allan Référentiel en gestion des risques de projets
2012-10-24 Michel Allan Référentiel en gestion des risques de projets2012-10-24 Michel Allan Référentiel en gestion des risques de projets
2012-10-24 Michel Allan Référentiel en gestion des risques de projets
PMI Lévis-Québec
 
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
Adelaide Poincelet
 
Keydra France presentation
Keydra France presentationKeydra France presentation
Keydra France presentation
Denis Boehringer
 
Les Plus du PMBok 6th Edition.
Les Plus du PMBok 6th Edition.Les Plus du PMBok 6th Edition.
Les Plus du PMBok 6th Edition.
Elysée NGONO MANGA, PMP
 
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. IsraelAgile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
ENSIBS
 
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
LeClubQualiteLogicielle
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
NRC
 
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussiAfterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
cyrilpicat
 
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
PMI Lévis-Québec
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
Harvey Francois
 
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
PMI-Montréal
 
Le développement dnormes et standards en gestion de projet
Le développement dnormes et standards en gestion de projetLe développement dnormes et standards en gestion de projet
Le développement dnormes et standards en gestion de projet
PMI-Montréal
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
PMI-Montréal
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
Yann Riviere CCSK, CISSP, CRISC, CISM
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110) Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Jean-François P. Beaulieu, ing. jr
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
TelecomValley
 

Contenu connexe

Tendances

Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risquesPmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
PMI Lévis-Québec
 
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
ENSIBS
 
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. IsraelAgile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
ENSIBS
 
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussiAfterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
cyrilpicat
 
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
PMI Lévis-Québec
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
PMI-Montréal
 

Tendances (19)

DEVOTEAM
DEVOTEAMDEVOTEAM
DEVOTEAM
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Projet Megas - Livrable 3 - Soutenance orale
Projet Megas - Livrable 3 - Soutenance oraleProjet Megas - Livrable 3 - Soutenance orale
Projet Megas - Livrable 3 - Soutenance orale
 
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risquesPmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
 
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
 
2012-10-24 Michel Allan Référentiel en gestion des risques de projets
2012-10-24 Michel Allan Référentiel en gestion des risques de projets2012-10-24 Michel Allan Référentiel en gestion des risques de projets
2012-10-24 Michel Allan Référentiel en gestion des risques de projets
 
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
 
Keydra France presentation
Keydra France presentationKeydra France presentation
Keydra France presentation
 
Les Plus du PMBok 6th Edition.
Les Plus du PMBok 6th Edition.Les Plus du PMBok 6th Edition.
Les Plus du PMBok 6th Edition.
 
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. IsraelAgile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
 
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussiAfterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
 
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
 
Le développement dnormes et standards en gestion de projet
Le développement dnormes et standards en gestion de projetLe développement dnormes et standards en gestion de projet
Le développement dnormes et standards en gestion de projet
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 

Similaire à 2015-04-28 Bruno Guay Sécurité des projets informatiques

Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110) Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Jean-François P. Beaulieu, ing. jr
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Synopsys Software Integrity Group
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des services
itSMF France
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
CERTyou Formation
 
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
Agile Montréal
 

Similaire à 2015-04-28 Bruno Guay Sécurité des projets informatiques (20)

2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110) Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?
 
Application de gestion, suivi,et de sécurité des chantiers en temps réels.
Application de gestion, suivi,et de sécurité des chantiers en temps réels.Application de gestion, suivi,et de sécurité des chantiers en temps réels.
Application de gestion, suivi,et de sécurité des chantiers en temps réels.
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Devoir mpa 2018-19
Devoir mpa 2018-19Devoir mpa 2018-19
Devoir mpa 2018-19
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des services
 
Web-conférence - Lean Engineering
Web-conférence - Lean EngineeringWeb-conférence - Lean Engineering
Web-conférence - Lean Engineering
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
 
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
 
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
 
Wygday2010 - Supervision applicative avec System Center Operations Manager
Wygday2010 - Supervision applicative avec System Center Operations ManagerWygday2010 - Supervision applicative avec System Center Operations Manager
Wygday2010 - Supervision applicative avec System Center Operations Manager
 
Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
 
Keydra france presentation-inst-20111124
Keydra france presentation-inst-20111124Keydra france presentation-inst-20111124
Keydra france presentation-inst-20111124
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
Presentation finale stage ing
Presentation finale stage ingPresentation finale stage ing
Presentation finale stage ing
 

Plus de PMI Lévis-Québec

Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
PMI Lévis-Québec
 
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMI Lévis-Québec
 
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformationPMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMI Lévis-Québec
 
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMI Lévis-Québec
 
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risquesPMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMI Lévis-Québec
 
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gpPmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
PMI Lévis-Québec
 
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussirPmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
PMI Lévis-Québec
 
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participantsPmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
PMI Lévis-Québec
 
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
PMI Lévis-Québec
 
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
PMI Lévis-Québec
 
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
PMI Lévis-Québec
 
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projetPMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distancePMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMI Lévis-Québec
 

Plus de PMI Lévis-Québec (20)

Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
 
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
 
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformationPMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
 
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
 
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risquesPMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
 
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gpPmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
 
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussirPmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
 
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participantsPmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
 
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
 
Pmilq colloque 2021_benoit-lalonde_montee-en-puissance-gp
Pmilq colloque 2021_benoit-lalonde_montee-en-puissance-gpPmilq colloque 2021_benoit-lalonde_montee-en-puissance-gp
Pmilq colloque 2021_benoit-lalonde_montee-en-puissance-gp
 
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
 
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
 
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
 
PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...
PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...
PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...
 
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projetPMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
 
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
 
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
 
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distancePMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
 
PMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberante
PMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberantePMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberante
PMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberante
 
PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...
PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...
PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...
 

Dernier

Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
ikospam0
 
Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
AmgdoulHatim
 

Dernier (20)

Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Apolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaireApolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaire
 
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projetFormation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
 
les_infections_a_streptocoques.pptkioljhk
les_infections_a_streptocoques.pptkioljhkles_infections_a_streptocoques.pptkioljhk
les_infections_a_streptocoques.pptkioljhk
 
Cours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfCours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdf
 
Les roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptxLes roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptx
 
La mondialisation avantages et inconvénients
La mondialisation avantages et inconvénientsLa mondialisation avantages et inconvénients
La mondialisation avantages et inconvénients
 
Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.
 
Intégration des TICE dans l'enseignement de la Physique-Chimie.pptx
Intégration des TICE dans l'enseignement de la Physique-Chimie.pptxIntégration des TICE dans l'enseignement de la Physique-Chimie.pptx
Intégration des TICE dans l'enseignement de la Physique-Chimie.pptx
 
L'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLEL'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLE
 
L application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptxL application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptx
 
La nouvelle femme . pptx Film français
La nouvelle femme . pptx Film françaisLa nouvelle femme . pptx Film français
La nouvelle femme . pptx Film français
 
Chapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon CoursChapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon Cours
 
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
 
Computer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptxComputer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptx
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
 
Formation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptxFormation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptx
 
Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
 
Sidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisSidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film français
 
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
 

2015-04-28 Bruno Guay Sécurité des projets informatiques

  • 1. Colloque en gestion de projet 2015 1 Gérer la sécurité dans les projets informatiques Bruno Guay Conseiller senior Nurun
  • 2. Colloque en gestion de projet 2015 2 Cette présentation sera disponible sur le site internet du PMI Lévis-Québec à compter du 5 mai 2015
  • 3. Colloque en gestion de projet 2015 3 • Bruno Guay, conseiller expert en sécurité de l'information, Nurun • Co rédacteur de la Norme ISO/CEI 27034 – « Sécurité des applications » • Luc Poulin, président, Cogentas • Co rédacteur de la Norme ISO/CEI 27034 – « Sécurité des applications »
  • 4. Colloque en gestion de projet 2015 4 Plan • La sécurité des applications – Pourquoi est-ce important? – Pourquoi est-ce difficile? – Besoins • La norme ISO 27034 – Concepts – Processus – Intérêt dans l’industrie
  • 5. Colloque en gestion de projet 2015 5 La sécurité des applications – pourquoi est-ce important?
  • 6. Colloque en gestion de projet 2015 6 Pourquoi est-ce important? • Nos applications sont attaquées de façon croissante. • Nos applications sont vulnérables aux attaques.
  • 7. Colloque en gestion de projet 2015 7 Pourquoi est-ce important? • Cas récent du magasin Target aux États-Unis, qui s’est fait voler 110 millions d’enregistrements de cartes de crédit. • Cela a entraîné pour Target – des pertes financières considérables; – une perte de réputation considérable; – la démission forcée de son PDG et de son CIO.
  • 8. Colloque en gestion de projet 2015 8 Pourquoi est-ce important?
  • 9. Colloque en gestion de projet 2015 9 Pourquoi est-ce important? • 78% des applications Web présentent des vulnérabilités facilement exploitables. • Les vulnérabilités les plus exploitées sont bien connues, ce sont les mêmes depuis 2007. • C’est une de ces vulnérabilités qui a été exploitée contre Target.
  • 10. Colloque en gestion de projet 2015 10 Pourquoi est-ce important? • Jusqu’à maintenant on a surtout protégé l’infrastructure informatique, la quincaillerie. • Or le profil des attaques a changé. • Les pirates le disent : il est plus facile et plus rentable d’attaquer les applications que l’infrastructure. • Maintenant plus de 75% des attaques sont au niveau de l'application.
  • 11. Colloque en gestion de projet 2015 11 Pourquoi est-ce important? Citoyen Analyste Enquêteur Application web Données SQ GRC DPCP Pirate 2004
  • 12. Colloque en gestion de projet 2015 12 Pourquoi est-ce important? Citoyen Analyste Enquêteur Application web Données SQ GRC DPCP Pirate 2014
  • 13. Colloque en gestion de projet 2015 13 Pourquoi est-ce important? • Depuis 3 années consécutives, les applications arrivent en tête des vulnérabilités de sécurité • 90% des failles de sécurité viennent de vulnérabilités d'application • INFOSECURITY PROFESSIONAL, numéro 21 - Executive letter from the desk of the ISC2 Executive Director +
  • 14. Colloque en gestion de projet 2015 14 Pourquoi est-ce important? • 90% des sites sont vulnérables aux attaques d'application (Watchfire) • 78% des applications Web présentent des vulnérabilités facilement exploitables (Symantec) • 80% des entreprises auraient connu un incident de sécurité relié aux applications entre 2008 et 2010 (Gartner) • Injection XSS et SQL sont les vulnérabilités OWASP #1 et #2 depuis 2007 (Mitre) +
  • 15. Colloque en gestion de projet 2015 15 La sécurité des applications – pourquoi est-ce difficile?
  • 16. Colloque en gestion de projet 2015 16 Pourquoi est-ce difficile? • La sécurité est mal comprise par les équipes de projets. – Est l’objet de mythes répandus : • la sécurité c’est technologique; • la sécurité c’est opérationnel. – Non perçue comme un besoin d’affaires. – Perçue comme cause de dépassements de coût et d’échéancier. – Perçue comme une couche de peinture qu’on applique au produit final.
  • 17. Colloque en gestion de projet 2015 17 Pourquoi est-ce difficile? • On entend souvent : « L’important est que l’application fonctionne. Ensuite on verra pour la sécurité » • Remplaçons « l’application » par « l’avion »… • « L’important est que l’avion fonctionne. Ensuite on verra pour la sécurité »
  • 18. Colloque en gestion de projet 2015 18 Pourquoi est-ce difficile? • La sécurité est mal intégrée aux projets d’applications : – peu intégrée dans les méthodologies de développement; – peu intégrée dans les processus des bureaux de projets; – les architectes et spécialistes de sécurité sont peu intégrés aux équipes de projets. • Rarement intégrés dès le début
  • 19. Colloque en gestion de projet 2015 19 Pourquoi est-ce difficile? • L’environnement technologique est de plus en plus complexe. • Le contexte d’utilisation d’une application peut changer au fil du temps. • Par exemple, on migre maintenant des applications de l’ordinateur central aux téléphones intelligents – ceci change complètement l’exposition aux menaces. • Pourtant, l’organisation doit toujours se conformer aux mêmes exigences d’affaires et légales.
  • 20. Colloque en gestion de projet 2015 20 Pourquoi est-ce difficile? • Difficile pour les clients : – Peu de contrôle sur les applications acquises, gérées par des tierces parties ou hébergées; • Sont-elles vulnérables? • Sont-elles bien installées et configurées? • Sont-elles bien gérées? – Peu d’exigences de sécurité dans les appels d’offres; • Absence de critères vérifiables • Absence de preuve de conformité – Peu de clauses de sécurité dans les contrats. • Peu de droit de regard pour le client • On dépend du bon vouloir du fournisseur +
  • 21. Colloque en gestion de projet 2015 21 Pourquoi est-ce difficile? • Difficile pour les fournisseurs : – Peu d’activités de sécurité dans les méthos de développement; – Peu de contrôles de sécurité (bonnes pratiques); – Peu de tests de sécurité; – Absence de critères formels et vérifiables; – Absence d’un processus répétable pour appliquer la sécurité dans un projet; – La sécurité d’une application dépend de la compétence de chaque équipe. +
  • 22. Colloque en gestion de projet 2015 22 Pourquoi est-ce difficile? • Difficile pour les auditeurs : – Difficulté à définir l’application et à délimiter la portée de l’évaluation; • Quels systèmes, quels progiciels? • Logiciel, processus ou infrastructure? • Frontière floue entre l’application et l’infrastructure – Absence de processus d’évaluation adéquat; • Absence d’exigences standard • Absence de processus d’évaluation standard • Absence de méthodologie d’analyse de risque pour les applications – Peu de similitudes entre les mandats de vérification; • Difficile d’appliquer les mêmes critères • Improvisation à chaque intervention • Efficacité et efficience réduite +
  • 23. Colloque en gestion de projet 2015 23 Besoins
  • 24. Colloque en gestion de projet 2015 24 Besoins • L’objectif est d’améliorer la sécurité de nos applications – Être en meilleur contrôle de la sécurité – Être en mesure de le démontrer – Augmenter l’efficacité – Augmenter l’efficience
  • 25. Colloque en gestion de projet 2015 25 Besoins • Plus précisément : – Appliquer des contrôles de sécurité qui réduisent adéquatement le risque – Gérer avec efficience ces contrôles de sécurité dans tout le cycle de vie de l’application – Démontrer que ces contrôles restent adéquats
  • 26. Colloque en gestion de projet 2015 26 Besoins • Concrètement, il faut répondre à la question de Bertrand, chargé de projet : “On m’a dit : Bertrand, pour ce projet, il te faut la sécurité du Pentagone. Moi je veux bien, mais ça veut dire quoi, ça? Et je fais quoi, là?”
  • 27. Colloque en gestion de projet 2015 27 Besoins • Le chargé de projet a besoin de connaître les exigences de sécurité dès le début du projet • Le chargé de projet a besoin de connaître les activités de sécurité pour planifier les ressources – Qui fait quoi, quand, comment, à quel effort
  • 28. Colloque en gestion de projet 2015 28 Besoins • Le chargé de projet a besoin de connaître les activités de vérification de sécurité pour valider les livrables – Qui fait quoi, quand, comment, à quel effort • Le chargé de projet a besoin d’un tableau de bord de sécurité – Activités planifiées, en cours, complétées, vérifiées – Efforts réalisés, dépassements – Problèmes et feedback à retourner à l’organisation
  • 29. Colloque en gestion de projet 2015 29 Besoins • Réponse à la question de Bertrand : On ajoute des activités de sécurité et de vérification aux processus existants
  • 30. Colloque en gestion de projet 2015 30 La Norme ISO 27034
  • 31. Colloque en gestion de projet 2015 31 La Norme ISO 27034 • 27034-1: Survol et concepts (publiée) • 27034-2: Cadre normatif de l’organisation • 27034-3: Processus de gestion de la sécurité d’une application • 27034-4: Vérification de la sécurité d’une application • 27034-5: Protocoles et structures de données • 27034-6: Exemples +
  • 32. Colloque en gestion de projet 2015 32 La Norme ISO 27034 • Cette nouvelle norme propose un modèle pour faciliter l’intégration de la sécurité dans le cycle de vie des applications : – concepts, principes, cadres; – composants et processus. • Elle s’applique autant au développement interne qu’à l’acquisition ou l’impartition. • Elle propose des lignes directrices pour les propres processus et méthodologies de l’organisation. • Elle ne propose pas de contrôles ou de règles de développement.
  • 33. Colloque en gestion de projet 2015 33 La Norme ISO 27034 • La Norme énonce des principes : – La sécurité est un besoin d’affaires. – La sécurité d’une application dépend de son contexte d’utilisation. – Il faut investir les ressources appropriées pour sécuriser une application – ni plus ni moins. – La sécurité d’une application doit pouvoir être prouvée.
  • 34. Colloque en gestion de projet 2015 34 Une nouvelle vue sur la sécurité ApplicationOrganisation
  • 35. Colloque en gestion de projet 2015 35 Concepts
  • 36. Colloque en gestion de projet 2015 36 Cadre normatif de l’organisation
  • 37. Colloque en gestion de projet 2015 37 Contrôle de sécurité applicative CSA Activité de vérification (qui, quand, quoi, comment,coût) Activité de sécurité (qui, quand, quoi, comment,coût) Exigence de sécurité (pourquoi)
  • 38. Colloque en gestion de projet 2015 38 Contrôle de sécurité applicative • C’est une mesure de réduction de risque • Créé, approuvé et maintenu par l’organisation • Utilisé par les équipes de projet et d’opération • Utilisé par les équipes d’assurance-qualité et d’audit • Peut servir pour le développement interne ou comme critère d’acceptation / homologation • Vérifiable en tout temps
  • 39. Colloque en gestion de projet 2015 39 Contrôle de sécurité applicative • Chaque contrôle de sécurité comprend : – le niveau de confiance applicable; – une exigence de sécurité en rapport avec : • un risque; • une spécification fonctionnelle; ou • un élément de contexte d’affaires, régulatoire, technologique. • Une activité de sécurité – la description détaillée de la mesure de réduction du risque. • Une activité de vérification qui permettra de prouver que la mesure de réduction du risque a été appliquée avec succès. +
  • 40. Colloque en gestion de projet 2015 40 Le niveau de confiance • La norme simplifie l’architecture de sécurité avec le concept de niveau de confiance. • C’est un ensemble prédéfini et réutilisable de contrôles de sécurité. • C’est un indice de tolérance au risque. • On distingue : – le niveau de confiance ciblé, décidé par le propriétaire de l’application suite à l’analyse de risque; – le niveau de confiance réel, mesuré par une vérification, un audit.
  • 41. Colloque en gestion de projet 2015 41 Le niveau de confiance • C’est le plan d’action de sécurité pour l’application. • On fait déjà : analyse de risque et plan d’action, mais c’est improvisé chaque fois et c’est toujours à recommencer. • La Norme standardise le processus dans l’organisation. • Suite à l’analyse de risque, on choisit un plan d’action pré approuvé et éprouvé. • Gain d’efficacité et d’efficience majeur.
  • 42. Colloque en gestion de projet 2015 42 La banque de contrôles de sécurité applicative Double-clic to edit ▶ Liste de tous les CSA de l’organisation ...0 Librarie des CSA de l’organisation 1 32 9 10 Niveaux de confiance d’application utilisés par l’organisation Banque des CSA de l’organisation
  • 43. Colloque en gestion de projet 2015 43 La banque de contrôles de sécurité applicative • Similaire à un recueil de bonnes pratiques. • Adaptée aux besoins spécifiques de l’organisation. • Adaptée au contexte d’affaires, légal et technologique. • Alimentée par les normes et standards, les bonnes pratiques du marché, l’expérience de l’organisation. • Gérée et approuvée par l’organisation. • Elle contient les contrôles disponibles pour chaque spécification fonctionnelle et chaque degré de confiance désiré. +
  • 44. Colloque en gestion de projet 2015 44 Modèle de cycle de vie pour la sécurité d’une application
  • 45. Colloque en gestion de projet 2015 45 Processus
  • 46. Colloque en gestion de projet 2015 46 Processus • La Norme repose sur des processus que l’organisation doit définir ou arrimer avec ses processus existants. • Deux niveaux de processus : – Organisationnel : gestion du Cadre normatif organisationnel; – Projet : utilisation du Cadre normatif organisationnel pour gérer la sécurité d’une application.
  • 47. Colloque en gestion de projet 2015 47 Processus Processus de gestion Cadre Normatif de l’Organisation Cadre Normatif de l’Application 1 Processus de gestion Cadre Normatif de l’Application 2 Processus de gestion Niveau du projet Niveau de l’organisation
  • 48. Colloque en gestion de projet 2015 48 Processus de gestion de la sécurité d’une application Application Normative Framework Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Cadre normatif de l’organisation
  • 49. Colloque en gestion de projet 2015 49 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Application Normative Framework Cadre normatif de l’organisation On détermine les éléments qui ont un impact sur la sécurité de l’application: • spécifications • acteurs • information • contextes d’affaire, régulatoire, technologique Processus de gestion de la sécurité d’une application
  • 50. Colloque en gestion de projet 2015 50 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Le propriétaire de l’application détermine le niveau de confiance ciblé Cadre normatif de l’organisation On identifie, analyse et évalue les risques On en déduit les exigences de sécurité Processus de gestion de la sécurité d’une application
  • 51. Colloque en gestion de projet 2015 51 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application On extrait du CNO les contrôles pertinents pour réduire le risque de l’application en fonction des spécifications trouvées en 1 et du Niveau de confiance ciblé choisi en 2 Cela donne un extrait du CNO qu’on appelle CNA: le Cadre normatif de l’application C’est un dépôt permanent qui contient toute l’information détaillée relative à la sécurité de cette application Cadre normatif de l’organisation Processus de gestion de la sécurité d’une application
  • 52. Colloque en gestion de projet 2015 52 Processus de gestion de la sécurité d’une application Contexte technologique relié à l’environnement de l’application Contexte d’affaires relié à l’environnement de l’application Contexte juridique relié à l’environnement de l’application Spécifications de l’application Rôles, responsabilités et qualifications des acteurs impliqués par l’application Processus reliés à la sécurité de l’application CSA sélectionnés pour chacune des phases de l’application Cycle de vie de l’application Cadre normatif de l’application
  • 53. Colloque en gestion de projet 2015 53 Contexte technologique relié à l’environnement de l’application Contexte d’affaires relié à l’environnement de l’application Contexte juridique relié à l’environnement de l’application Spécifications de l’application Rôles, responsabilités et qualifications des acteurs impliqués par l’application Processus reliés à la sécurité de l’application CSA sélectionnés pour chacune des phases de l’application Cycle de vie de l’application Cadre normatif de l’application On ajoute des activités de sécurité et de vérification aux processus existants Processus de gestion de la sécurité d’une application
  • 54. Colloque en gestion de projet 2015 54 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Cadre normatif de l’organisation vérification de tous les contrôles On utilise les contrôles prescrits par le CNA pendant tout le cycle de vie de l’application • acquisition ou développement • opération, maintenance, mise à la retraite On réalise toutes les activités de sécurité de tous les contrôles On réalise toutes les activités de vérification de tous les contrôles Processus de gestion de la sécurité d’une application
  • 55. Colloque en gestion de projet 2015 55 Les contrôles sur l’application livrée Citoyen Analyste Enquêteur Application web Données SQ GRC DPCP CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA
  • 56. Colloque en gestion de projet 2015 56 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Cadre normatif de l’organisation On vérifie le résultat (la preuve) de toutes les activités de vérification de tous les contrôles Le résultat est le Niveau de confiance réel Processus de gestion de la sécurité d’une application
  • 57. Colloque en gestion de projet 2015 57 • L’audit peut être réalisé en tout temps dans le cycle de vie de l’application • Il peut être réalisé par des auditeurs internes ou externes • Il devrait être réalisé au moment d’un point de décision : mise en production, acceptation, homologation, etc. • Il consiste simplement à vérifier que tous les contrôles ont été vérifiés avec succès • Si un contrôle n’a pas été vérifié avec succès, on n’atteint pas le Niveau de confiance ciblé • Si le Niveau de confiance réel = Niveau de confiance ciblé, l’organisation peut déclarer que l’application est sécuritaire • … jusqu’au prochain audit • Le Niveau de confiance réel représente le risque résiduel au moment où l’audit est réalisé • Le Niveau de confiance réel est basé sur des preuves +Processus de gestion de la sécurité d’une application
  • 58. Colloque en gestion de projet 2015 58 Intérêt manifesté dans l’industrie
  • 59. Colloque en gestion de projet 2015 59 Intérêt manifesté dans l’industrie • Collaborateurs enthousiastes à la rédaction et l’adoption par ISO/IEC : – Microsoft – Intel – Cisco – Boeing – OWASP – Représentants d’environ 15 pays membres – Experts en sécurité et en génie logiciel. • 27 pays membres votants sur 28 ont voté pour la publication (96%) en novembre 2011.
  • 60. Colloque en gestion de projet 2015 60 Intérêt manifesté dans l’industrie • Des organismes sont actuellement en projet d’implantation de ISO 27034. Par exemple, au Canada : – Élections Canada – Une institution financière majeure – Un fournisseur d’applications du domaine du transport – Un fournisseur d’applications du domaine de la santé • Des organismes prévoient un projet d’implantation de ISO 27034 – Deux banques majeures canadiennes
  • 61. Colloque en gestion de projet 2015 61 Intérêt manifesté dans l’industrie One way to counteract this lack of security is to make sure that when you begin developing, you take into account potential security issues by following a “relatively new security standard for software development, ISO 27034.” Howard Schmidt, former CyberSecurity advisor to US President Obama Tech bigwigs Microsoft, Adobe, and Cisco are all supporting this new standard, which emphasizes integrating security into a product’s early development stages rather than introducing security when issues eventually begin to sprout.
  • 62. Colloque en gestion de projet 2015 62 Double-clic to edit Intérêt manifesté dans l’industrie
  • 63. Colloque en gestion de projet 2015 63 Conclusion • La Norme ISO 27034 facilite la gestion de la sécurité dans un projet d’application. • Elle apporte un gain appréciable d’efficacité et d’efficience. • Elle permet une meilleure planification des activités et des ressources du projet. • Elle permet de réduire les risques du projet: – dépassement de budget; – dépassement de durée. • Elle permet de valider que l’application livrée répond aux exigences de sécurité.
  • 64. Colloque en gestion de projet 2015 64 Questions?