SlideShare une entreprise Scribd logo
Colloque en gestion de projet 2015
1
Gérer la sécurité dans les projets informatiques
Bruno Guay
Conseiller senior
Nurun
Colloque en gestion de projet 2015
2
Cette présentation sera disponible sur le site internet
du PMI Lévis-Québec à compter du 5 mai 2015
Colloque en gestion de projet 2015
3
• Bruno Guay, conseiller expert en sécurité
de l'information, Nurun
• Co rédacteur de la Norme ISO/CEI 27034 –
« Sécurité des applications »
• Luc Poulin, président, Cogentas
• Co rédacteur de la Norme ISO/CEI 27034 –
« Sécurité des applications »
Colloque en gestion de projet 2015
4
Plan
• La sécurité des applications
– Pourquoi est-ce important?
– Pourquoi est-ce difficile?
– Besoins
• La norme ISO 27034
– Concepts
– Processus
– Intérêt dans l’industrie
Colloque en gestion de projet 2015
5
La sécurité des
applications – pourquoi
est-ce important?
Colloque en gestion de projet 2015
6
Pourquoi est-ce important?
• Nos applications sont attaquées de façon
croissante.
• Nos applications sont vulnérables aux
attaques.
Colloque en gestion de projet 2015
7
Pourquoi est-ce important?
• Cas récent du magasin Target aux États-Unis,
qui s’est fait voler 110 millions
d’enregistrements de cartes de crédit.
• Cela a entraîné pour Target
– des pertes financières considérables;
– une perte de réputation considérable;
– la démission forcée de son PDG et de son CIO.
Colloque en gestion de projet 2015
8
Pourquoi est-ce important?
Colloque en gestion de projet 2015
9
Pourquoi est-ce important?
• 78% des applications Web présentent des
vulnérabilités facilement exploitables.
• Les vulnérabilités les plus exploitées sont bien
connues, ce sont les mêmes depuis 2007.
• C’est une de ces vulnérabilités qui a été
exploitée contre Target.
Colloque en gestion de projet 2015
10
Pourquoi est-ce important?
• Jusqu’à maintenant on a surtout protégé
l’infrastructure informatique, la quincaillerie.
• Or le profil des attaques a changé.
• Les pirates le disent : il est plus facile et plus
rentable d’attaquer les applications que
l’infrastructure.
• Maintenant plus de 75% des attaques sont au
niveau de l'application.
Colloque en gestion de projet 2015
11
Pourquoi est-ce important?
Citoyen
Analyste
Enquêteur
Application
web
Données
SQ
GRC
DPCP
Pirate
2004
Colloque en gestion de projet 2015
12
Pourquoi est-ce important?
Citoyen
Analyste
Enquêteur
Application
web
Données
SQ
GRC
DPCP
Pirate
2014
Colloque en gestion de projet 2015
13
Pourquoi est-ce important?
• Depuis 3 années consécutives, les applications
arrivent en tête des vulnérabilités de sécurité
• 90% des failles de sécurité viennent de
vulnérabilités d'application
• INFOSECURITY PROFESSIONAL, numéro 21 - Executive
letter from the desk of the ISC2 Executive Director
+
Colloque en gestion de projet 2015
14
Pourquoi est-ce important?
• 90% des sites sont vulnérables aux attaques
d'application (Watchfire)
• 78% des applications Web présentent des
vulnérabilités facilement exploitables (Symantec)
• 80% des entreprises auraient connu un incident
de sécurité relié aux applications entre 2008 et
2010 (Gartner)
• Injection XSS et SQL sont les vulnérabilités
OWASP #1 et #2 depuis 2007 (Mitre)
+
Colloque en gestion de projet 2015
15
La sécurité des
applications – pourquoi
est-ce difficile?
Colloque en gestion de projet 2015
16
Pourquoi est-ce difficile?
• La sécurité est mal comprise par les équipes
de projets.
– Est l’objet de mythes répandus :
• la sécurité c’est technologique;
• la sécurité c’est opérationnel.
– Non perçue comme un besoin d’affaires.
– Perçue comme cause de dépassements de coût et
d’échéancier.
– Perçue comme une couche de peinture qu’on
applique au produit final.
Colloque en gestion de projet 2015
17
Pourquoi est-ce difficile?
• On entend souvent : « L’important est que
l’application fonctionne. Ensuite on verra pour
la sécurité »
• Remplaçons « l’application » par « l’avion »…
• « L’important est que l’avion fonctionne.
Ensuite on verra pour la sécurité »
Colloque en gestion de projet 2015
18
Pourquoi est-ce difficile?
• La sécurité est mal intégrée aux projets
d’applications :
– peu intégrée dans les méthodologies de
développement;
– peu intégrée dans les processus des bureaux de
projets;
– les architectes et spécialistes de sécurité sont peu
intégrés aux équipes de projets.
• Rarement intégrés dès le début
Colloque en gestion de projet 2015
19
Pourquoi est-ce difficile?
• L’environnement technologique est de plus en
plus complexe.
• Le contexte d’utilisation d’une application peut
changer au fil du temps.
• Par exemple, on migre maintenant des
applications de l’ordinateur central aux
téléphones intelligents – ceci change
complètement l’exposition aux menaces.
• Pourtant, l’organisation doit toujours se
conformer aux mêmes exigences d’affaires et
légales.
Colloque en gestion de projet 2015
20
Pourquoi est-ce difficile?
• Difficile pour les clients :
– Peu de contrôle sur les applications acquises, gérées
par des tierces parties ou hébergées;
• Sont-elles vulnérables?
• Sont-elles bien installées et configurées?
• Sont-elles bien gérées?
– Peu d’exigences de sécurité dans les appels d’offres;
• Absence de critères vérifiables
• Absence de preuve de conformité
– Peu de clauses de sécurité dans les contrats.
• Peu de droit de regard pour le client
• On dépend du bon vouloir du fournisseur
+
Colloque en gestion de projet 2015
21
Pourquoi est-ce difficile?
• Difficile pour les fournisseurs :
– Peu d’activités de sécurité dans les méthos de
développement;
– Peu de contrôles de sécurité (bonnes pratiques);
– Peu de tests de sécurité;
– Absence de critères formels et vérifiables;
– Absence d’un processus répétable pour appliquer
la sécurité dans un projet;
– La sécurité d’une application dépend de la
compétence de chaque équipe.
+
Colloque en gestion de projet 2015
22
Pourquoi est-ce difficile?
• Difficile pour les auditeurs :
– Difficulté à définir l’application et à délimiter la portée de
l’évaluation;
• Quels systèmes, quels progiciels?
• Logiciel, processus ou infrastructure?
• Frontière floue entre l’application et l’infrastructure
– Absence de processus d’évaluation adéquat;
• Absence d’exigences standard
• Absence de processus d’évaluation standard
• Absence de méthodologie d’analyse de risque pour les applications
– Peu de similitudes entre les mandats de vérification;
• Difficile d’appliquer les mêmes critères
• Improvisation à chaque intervention
• Efficacité et efficience réduite
+
Colloque en gestion de projet 2015
23
Besoins
Colloque en gestion de projet 2015
24
Besoins
• L’objectif est d’améliorer la sécurité de nos
applications
– Être en meilleur contrôle de la sécurité
– Être en mesure de le démontrer
– Augmenter l’efficacité
– Augmenter l’efficience
Colloque en gestion de projet 2015
25
Besoins
• Plus précisément :
– Appliquer des contrôles de sécurité qui réduisent
adéquatement le risque
– Gérer avec efficience ces contrôles de sécurité
dans tout le cycle de vie de l’application
– Démontrer que ces contrôles restent adéquats
Colloque en gestion de projet 2015
26
Besoins
• Concrètement, il faut répondre à la question
de Bertrand, chargé de projet :
“On m’a dit : Bertrand, pour ce projet, il te
faut la sécurité du Pentagone.
Moi je veux bien, mais ça veut dire quoi,
ça? Et je fais quoi, là?”
Colloque en gestion de projet 2015
27
Besoins
• Le chargé de projet a besoin de connaître les
exigences de sécurité dès le début du projet
• Le chargé de projet a besoin de connaître les
activités de sécurité pour planifier les
ressources
– Qui fait quoi, quand, comment, à quel effort
Colloque en gestion de projet 2015
28
Besoins
• Le chargé de projet a besoin de connaître les
activités de vérification de sécurité pour valider
les livrables
– Qui fait quoi, quand, comment, à quel effort
• Le chargé de projet a besoin d’un tableau de bord
de sécurité
– Activités planifiées, en cours, complétées, vérifiées
– Efforts réalisés, dépassements
– Problèmes et feedback à retourner à l’organisation
Colloque en gestion de projet 2015
29
Besoins
• Réponse à la question de Bertrand :
On ajoute des activités de sécurité et de
vérification aux processus existants
Colloque en gestion de projet 2015
30
La Norme
ISO 27034
Colloque en gestion de projet 2015
31
La Norme ISO 27034
• 27034-1: Survol et concepts (publiée)
• 27034-2: Cadre normatif de l’organisation
• 27034-3: Processus de gestion de la sécurité d’une
application
• 27034-4: Vérification de la sécurité d’une application
• 27034-5: Protocoles et structures de données
• 27034-6: Exemples
+
Colloque en gestion de projet 2015
32
La Norme ISO 27034
• Cette nouvelle norme propose un modèle pour faciliter
l’intégration de la sécurité dans le cycle de vie des
applications :
– concepts, principes, cadres;
– composants et processus.
• Elle s’applique autant au développement interne qu’à
l’acquisition ou l’impartition.
• Elle propose des lignes directrices pour les propres
processus et méthodologies de l’organisation.
• Elle ne propose pas de contrôles ou de règles de
développement.
Colloque en gestion de projet 2015
33
La Norme ISO 27034
• La Norme énonce des principes :
– La sécurité est un besoin d’affaires.
– La sécurité d’une application dépend de son
contexte d’utilisation.
– Il faut investir les ressources appropriées pour
sécuriser une application – ni plus ni moins.
– La sécurité d’une application doit pouvoir être
prouvée.
Colloque en gestion de projet 2015
34
Une nouvelle vue sur la sécurité
ApplicationOrganisation
Colloque en gestion de projet 2015
35
Concepts
Colloque en gestion de projet 2015
36
Cadre normatif de l’organisation
Colloque en gestion de projet 2015
37
Contrôle de sécurité applicative
CSA
Activité de vérification
(qui, quand, quoi, comment,coût)
Activité de sécurité
(qui, quand, quoi, comment,coût)
Exigence de sécurité
(pourquoi)
Colloque en gestion de projet 2015
38
Contrôle de sécurité applicative
• C’est une mesure de réduction de risque
• Créé, approuvé et maintenu par l’organisation
• Utilisé par les équipes de projet et d’opération
• Utilisé par les équipes d’assurance-qualité et
d’audit
• Peut servir pour le développement interne ou
comme critère d’acceptation / homologation
• Vérifiable en tout temps
Colloque en gestion de projet 2015
39
Contrôle de sécurité applicative
• Chaque contrôle de sécurité comprend :
– le niveau de confiance applicable;
– une exigence de sécurité en rapport avec :
• un risque;
• une spécification fonctionnelle; ou
• un élément de contexte d’affaires, régulatoire, technologique.
• Une activité de sécurité – la description détaillée de la
mesure de réduction du risque.
• Une activité de vérification qui permettra de prouver
que la mesure de réduction du risque a été appliquée
avec succès.
+
Colloque en gestion de projet 2015
40
Le niveau de confiance
• La norme simplifie l’architecture de sécurité avec
le concept de niveau de confiance.
• C’est un ensemble prédéfini et réutilisable de
contrôles de sécurité.
• C’est un indice de tolérance au risque.
• On distingue :
– le niveau de confiance ciblé, décidé par le propriétaire
de l’application suite à l’analyse de risque;
– le niveau de confiance réel, mesuré par une
vérification, un audit.
Colloque en gestion de projet 2015
41
Le niveau de confiance
• C’est le plan d’action de sécurité pour
l’application.
• On fait déjà : analyse de risque et plan d’action,
mais c’est improvisé chaque fois et c’est toujours
à recommencer.
• La Norme standardise le processus dans
l’organisation.
• Suite à l’analyse de risque, on choisit un plan
d’action pré approuvé et éprouvé.
• Gain d’efficacité et d’efficience majeur.
Colloque en gestion de projet 2015
42
La banque de contrôles de sécurité applicative
Double-clic to edit
▶ Liste de tous les CSA de l’organisation
...0
Librarie des CSA de l’organisation
1 32 9 10
Niveaux de confiance d’application
utilisés par l’organisation
Banque des CSA de l’organisation
Colloque en gestion de projet 2015
43
La banque de contrôles de sécurité
applicative
• Similaire à un recueil de bonnes pratiques.
• Adaptée aux besoins spécifiques de l’organisation.
• Adaptée au contexte d’affaires, légal et technologique.
• Alimentée par les normes et standards, les bonnes
pratiques du marché, l’expérience de l’organisation.
• Gérée et approuvée par l’organisation.
• Elle contient les contrôles disponibles pour chaque
spécification fonctionnelle et chaque degré de
confiance désiré.
+
Colloque en gestion de projet 2015
44
Modèle de cycle de vie pour la sécurité
d’une application
Colloque en gestion de projet 2015
45
Processus
Colloque en gestion de projet 2015
46
Processus
• La Norme repose sur des processus que
l’organisation doit définir ou arrimer avec ses
processus existants.
• Deux niveaux de processus :
– Organisationnel : gestion du Cadre normatif
organisationnel;
– Projet : utilisation du Cadre normatif
organisationnel pour gérer la sécurité d’une
application.
Colloque en gestion de projet 2015
47
Processus
Processus
de gestion
Cadre Normatif
de l’Organisation
Cadre Normatif
de l’Application 1
Processus
de gestion
Cadre Normatif
de l’Application 2
Processus
de gestion
Niveau du
projet
Niveau de
l’organisation
Colloque en gestion de projet 2015
48
Processus de gestion de la sécurité d’une application
Application Normative
Framework
Processus de gestion de la sécurité d’une application
Évaluer les risques de
sécurité amenés
par l’application
Identifie
les contextes et les
spécifications de l’application
requis pour
4
3
Créer et maintenir le
cadre normatif de
l’application
Produit
5
Vérifer la sécurité de
l’application
Identifier les besoins et
l’environnement de
l’application
Produit les
artéfacts du projet
et le CNA utilisés pour
2
Produit
Identifie les
correctifs de sécurité
utilisés pour
Produit les
CSA utilisés pour
1
Détermine
Est requis
pour
Est utilisé
pour
Cadre normatif de
l’application
Réaliser et
utiliser l’application
Niveau de confiance
réel de l’application
Niveau de confiance
cible pour l’application
Cadre normatif
de
l’organisation
Colloque en gestion de projet 2015
49
Processus de gestion de la sécurité d’une application
Évaluer les risques de
sécurité amenés
par l’application
Identifie
les contextes et les
spécifications de l’application
requis pour
4
3
Créer et maintenir le
cadre normatif de
l’application
Produit
5
Vérifer la sécurité de
l’application
Identifier les besoins et
l’environnement de
l’application
Produit les
artéfacts du projet
et le CNA utilisés pour
2
Produit
Identifie les
correctifs de sécurité
utilisés pour
Produit les
CSA utilisés pour
1
Détermine
Est requis
pour
Est utilisé
pour
Cadre normatif de
l’application
Réaliser et
utiliser l’application
Niveau de confiance
réel de l’application
Niveau de confiance
cible pour l’application
Application Normative
Framework
Cadre normatif
de
l’organisation
On détermine les éléments qui ont un impact sur la
sécurité de l’application:
• spécifications
• acteurs
• information
• contextes d’affaire, régulatoire, technologique
Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015
50
Processus de gestion de la sécurité d’une application
Évaluer les risques de
sécurité amenés
par l’application
Identifie
les contextes et les
spécifications de l’application
requis pour
4
3
Créer et maintenir le
cadre normatif de
l’application
Produit
5
Vérifer la sécurité de
l’application
Identifier les besoins et
l’environnement de
l’application
Produit les
artéfacts du projet
et le CNA utilisés pour
2
Produit
Identifie les
correctifs de sécurité
utilisés pour
Produit les
CSA utilisés pour
1
Détermine
Est requis
pour
Est utilisé
pour
Cadre normatif de
l’application
Réaliser et
utiliser l’application
Niveau de confiance
réel de l’application
Niveau de confiance
cible pour l’application
Le propriétaire de l’application
détermine le niveau de
confiance ciblé
Cadre normatif
de
l’organisation
On identifie, analyse et
évalue les risques
On en déduit les exigences de
sécurité
Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015
51
Processus de gestion de la sécurité d’une application
Évaluer les risques de
sécurité amenés
par l’application
Identifie
les contextes et les
spécifications de l’application
requis pour
4
3
Créer et maintenir le
cadre normatif de
l’application
Produit
5
Vérifer la sécurité de
l’application
Identifier les besoins et
l’environnement de
l’application
Produit les
artéfacts du projet
et le CNA utilisés pour
2
Produit
Identifie les
correctifs de sécurité
utilisés pour
Produit les
CSA utilisés pour
1
Détermine
Est requis
pour
Est utilisé
pour
Cadre normatif de
l’application
Réaliser et
utiliser l’application
Niveau de confiance
réel de l’application
Niveau de confiance
cible pour l’application
On extrait du CNO les contrôles pertinents pour
réduire le risque de l’application en fonction
des spécifications trouvées en 1 et du Niveau
de confiance ciblé choisi en 2
Cela donne un extrait du CNO qu’on
appelle CNA: le Cadre normatif de
l’application
C’est un dépôt permanent qui contient
toute l’information détaillée relative à
la sécurité de cette application
Cadre normatif
de
l’organisation
Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015
52
Processus de gestion de la sécurité d’une application
Contexte
technologique relié
à l’environnement
de l’application
Contexte
d’affaires relié à
l’environnement
de l’application
Contexte
juridique relié à
l’environnement
de l’application
Spécifications
de l’application
Rôles, responsabilités
et qualifications des
acteurs impliqués par
l’application
Processus reliés
à la sécurité de l’application
CSA sélectionnés pour chacune
des phases de l’application
Cycle de vie de l’application
Cadre normatif de l’application
Colloque en gestion de projet 2015
53
Contexte
technologique relié
à l’environnement
de l’application
Contexte
d’affaires relié à
l’environnement
de l’application
Contexte
juridique relié à
l’environnement
de l’application
Spécifications
de l’application
Rôles, responsabilités
et qualifications des
acteurs impliqués par
l’application
Processus reliés
à la sécurité de l’application
CSA sélectionnés pour chacune
des phases de l’application
Cycle de vie de l’application
Cadre normatif de l’application
On ajoute des activités de sécurité et de
vérification aux processus existants
Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015
54
Processus de gestion de la sécurité d’une application
Évaluer les risques de
sécurité amenés
par l’application
Identifie
les contextes et les
spécifications de l’application
requis pour
4
3
Créer et maintenir le
cadre normatif de
l’application
Produit
5
Vérifer la sécurité de
l’application
Identifier les besoins et
l’environnement de
l’application
Produit les
artéfacts du projet
et le CNA utilisés pour
2
Produit
Identifie les
correctifs de sécurité
utilisés pour
Produit les
CSA utilisés pour
1
Détermine
Est requis
pour
Est utilisé
pour
Cadre normatif de
l’application
Réaliser et
utiliser l’application
Niveau de confiance
réel de l’application
Niveau de confiance
cible pour l’application
Cadre normatif
de
l’organisation
vérification de tous les contrôles
On utilise les contrôles prescrits par le
CNA pendant tout le cycle de vie de
l’application
• acquisition ou développement
• opération, maintenance, mise à la
retraite
On réalise toutes les activités de sécurité
de tous les contrôles
On réalise toutes les activités de
vérification de tous les contrôles
Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015
55
Les contrôles sur l’application livrée
Citoyen
Analyste
Enquêteur
Application
web
Données
SQ
GRC
DPCP
CSA
CSA
CSA
CSA
CSA
CSA
CSA
CSA
CSA
CSA
CSA
CSA
CSA
CSA
Colloque en gestion de projet 2015
56
Processus de gestion de la sécurité d’une application
Évaluer les risques de
sécurité amenés
par l’application
Identifie
les contextes et les
spécifications de l’application
requis pour
4
3
Créer et maintenir le
cadre normatif de
l’application
Produit
5
Vérifer la sécurité de
l’application
Identifier les besoins et
l’environnement de
l’application
Produit les
artéfacts du projet
et le CNA utilisés pour
2
Produit
Identifie les
correctifs de sécurité
utilisés pour
Produit les
CSA utilisés pour
1
Détermine
Est requis
pour
Est utilisé
pour
Cadre normatif de
l’application
Réaliser et
utiliser l’application
Niveau de confiance
réel de l’application
Niveau de confiance
cible pour l’application
Cadre normatif
de
l’organisation
On vérifie le résultat (la preuve) de toutes
les activités de vérification de tous les
contrôles
Le résultat est le Niveau de confiance réel
Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015
57
• L’audit peut être réalisé en tout temps dans le cycle de vie de l’application
• Il peut être réalisé par des auditeurs internes ou externes
• Il devrait être réalisé au moment d’un point de décision : mise en
production, acceptation, homologation, etc.
• Il consiste simplement à vérifier que tous les contrôles ont été vérifiés
avec succès
• Si un contrôle n’a pas été vérifié avec succès, on n’atteint pas le Niveau de
confiance ciblé
• Si le Niveau de confiance réel = Niveau de confiance ciblé, l’organisation
peut déclarer que l’application est sécuritaire
• … jusqu’au prochain audit
• Le Niveau de confiance réel représente le risque résiduel au moment où
l’audit est réalisé
• Le Niveau de confiance réel est basé sur des preuves
+Processus de gestion de la sécurité d’une application
Colloque en gestion de projet 2015
58
Intérêt manifesté dans
l’industrie
Colloque en gestion de projet 2015
59
Intérêt manifesté dans l’industrie
• Collaborateurs enthousiastes à la rédaction et
l’adoption par ISO/IEC :
– Microsoft
– Intel
– Cisco
– Boeing
– OWASP
– Représentants d’environ 15 pays membres
– Experts en sécurité et en génie logiciel.
• 27 pays membres votants sur 28 ont voté pour la
publication (96%) en novembre 2011.
Colloque en gestion de projet 2015
60
Intérêt manifesté dans l’industrie
• Des organismes sont actuellement en projet
d’implantation de ISO 27034. Par exemple, au
Canada :
– Élections Canada
– Une institution financière majeure
– Un fournisseur d’applications du domaine du
transport
– Un fournisseur d’applications du domaine de la santé
• Des organismes prévoient un projet
d’implantation de ISO 27034
– Deux banques majeures canadiennes
Colloque en gestion de projet 2015
61
Intérêt manifesté dans l’industrie
One way to counteract this lack of
security is to make sure that when
you begin developing, you take into
account potential security issues by
following a “relatively new security
standard for software development,
ISO 27034.”
Howard Schmidt, former CyberSecurity
advisor to US President Obama
Tech bigwigs Microsoft, Adobe, and
Cisco are all supporting this new
standard, which emphasizes integrating
security into a product’s early
development stages rather than
introducing security when issues
eventually begin to sprout.
Colloque en gestion de projet 2015
62 Double-clic to edit
Intérêt manifesté dans l’industrie
Colloque en gestion de projet 2015
63
Conclusion
• La Norme ISO 27034 facilite la gestion de la sécurité
dans un projet d’application.
• Elle apporte un gain appréciable d’efficacité et
d’efficience.
• Elle permet une meilleure planification des activités et
des ressources du projet.
• Elle permet de réduire les risques du projet:
– dépassement de budget;
– dépassement de durée.
• Elle permet de valider que l’application livrée répond
aux exigences de sécurité.
Colloque en gestion de projet 2015
64
Questions?

Contenu connexe

Tendances

DEVOTEAM
DEVOTEAMDEVOTEAM
DEVOTEAM
itSMF France
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Projet Megas - Livrable 3 - Soutenance orale
Projet Megas - Livrable 3 - Soutenance oraleProjet Megas - Livrable 3 - Soutenance orale
Projet Megas - Livrable 3 - Soutenance orale
chauchse
 
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risquesPmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
PMI Lévis-Québec
 
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
ENSIBS
 
2012-10-24 Michel Allan Référentiel en gestion des risques de projets
2012-10-24 Michel Allan Référentiel en gestion des risques de projets2012-10-24 Michel Allan Référentiel en gestion des risques de projets
2012-10-24 Michel Allan Référentiel en gestion des risques de projets
PMI Lévis-Québec
 
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
Webinaire   l'essentiel de prince2 2017 en 30 minutes (fr)Webinaire   l'essentiel de prince2 2017 en 30 minutes (fr)
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
Adelaide Poincelet
 
Keydra France presentation
Keydra France presentationKeydra France presentation
Keydra France presentation
Denis Boehringer
 
Les Plus du PMBok 6th Edition.
Les Plus du PMBok 6th Edition.Les Plus du PMBok 6th Edition.
Les Plus du PMBok 6th Edition.
Elysée NGONO MANGA, PMP
 
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. IsraelAgile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
ENSIBS
 
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
LeClubQualiteLogicielle
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
NRC
 
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussiAfterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
cyrilpicat
 
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
PMI Lévis-Québec
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
Harvey Francois
 
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
PMI-Montréal
 
Le développement dnormes et standards en gestion de projet
Le développement dnormes et standards en gestion de projetLe développement dnormes et standards en gestion de projet
Le développement dnormes et standards en gestion de projet
PMI-Montréal
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
PMI-Montréal
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
Yann Riviere CCSK, CISSP, CRISC, CISM
 

Tendances (19)

DEVOTEAM
DEVOTEAMDEVOTEAM
DEVOTEAM
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Projet Megas - Livrable 3 - Soutenance orale
Projet Megas - Livrable 3 - Soutenance oraleProjet Megas - Livrable 3 - Soutenance orale
Projet Megas - Livrable 3 - Soutenance orale
 
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risquesPmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
Pmilq colloque 2018 r. brassard la qualite totale par la gestion des risques
 
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
Agile Tour Paris 2014 : "Agilité étendue : Les Techniques du Futur Immédiat",...
 
2012-10-24 Michel Allan Référentiel en gestion des risques de projets
2012-10-24 Michel Allan Référentiel en gestion des risques de projets2012-10-24 Michel Allan Référentiel en gestion des risques de projets
2012-10-24 Michel Allan Référentiel en gestion des risques de projets
 
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
Webinaire   l'essentiel de prince2 2017 en 30 minutes (fr)Webinaire   l'essentiel de prince2 2017 en 30 minutes (fr)
Webinaire l'essentiel de prince2 2017 en 30 minutes (fr)
 
Keydra France presentation
Keydra France presentationKeydra France presentation
Keydra France presentation
 
Les Plus du PMBok 6th Edition.
Les Plus du PMBok 6th Edition.Les Plus du PMBok 6th Edition.
Les Plus du PMBok 6th Edition.
 
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. IsraelAgile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
 
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussiAfterwork OCTO Delivery - L'ADN d'un développement produit réussi
Afterwork OCTO Delivery - L'ADN d'un développement produit réussi
 
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
Pmilq colloque 2018 e. maquennehan la gestion de la valeur mettons la en prat...
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
Communauté de pratique Gestion organisationnelle - Panel sur la gestion de pr...
 
Le développement dnormes et standards en gestion de projet
Le développement dnormes et standards en gestion de projetLe développement dnormes et standards en gestion de projet
Le développement dnormes et standards en gestion de projet
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 

Similaire à 2015-04-28 Bruno Guay Sécurité des projets informatiques

2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110) Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Jean-François P. Beaulieu, ing. jr
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
TelecomValley
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
 
ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?
Oxalide
 
Application de gestion, suivi,et de sécurité des chantiers en temps réels.
Application  de gestion, suivi,et de sécurité des chantiers en temps réels.Application  de gestion, suivi,et de sécurité des chantiers en temps réels.
Application de gestion, suivi,et de sécurité des chantiers en temps réels.
Sabri El gharbi El yahmadi
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Synopsys Software Integrity Group
 
Devoir mpa 2018-19
Devoir mpa 2018-19Devoir mpa 2018-19
Devoir mpa 2018-19
zhouazar
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des services
itSMF France
 
Web-conférence - Lean Engineering
Web-conférence - Lean EngineeringWeb-conférence - Lean Engineering
Web-conférence - Lean Engineering
XL Groupe
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
Antonio Fontes
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
CERTyou Formation
 
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile?  Et saura-t-elle f...ATMTL23 - La QA a-t-elle reussi à prendre le virage agile?  Et saura-t-elle f...
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
Agile Montréal
 
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Microsoft Technet France
 
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Microsoft Décideurs IT
 
Wygday2010 - Supervision applicative avec System Center Operations Manager
Wygday2010 - Supervision applicative avec System Center Operations ManagerWygday2010 - Supervision applicative avec System Center Operations Manager
Wygday2010 - Supervision applicative avec System Center Operations Manager
Wygwam
 
Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
ryad_o
 
Keydra france presentation-inst-20111124
Keydra france presentation-inst-20111124Keydra france presentation-inst-20111124
Keydra france presentation-inst-20111124
Denis Boehringer
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
ISACA Chapitre de Québec
 
Presentation finale stage ing
Presentation finale stage ingPresentation finale stage ing
Presentation finale stage ing
Noura BELAID
 

Similaire à 2015-04-28 Bruno Guay Sécurité des projets informatiques (20)

2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110) Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?
 
Application de gestion, suivi,et de sécurité des chantiers en temps réels.
Application  de gestion, suivi,et de sécurité des chantiers en temps réels.Application  de gestion, suivi,et de sécurité des chantiers en temps réels.
Application de gestion, suivi,et de sécurité des chantiers en temps réels.
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Devoir mpa 2018-19
Devoir mpa 2018-19Devoir mpa 2018-19
Devoir mpa 2018-19
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des services
 
Web-conférence - Lean Engineering
Web-conférence - Lean EngineeringWeb-conférence - Lean Engineering
Web-conférence - Lean Engineering
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile?  Et saura-t-elle f...ATMTL23 - La QA a-t-elle reussi à prendre le virage agile?  Et saura-t-elle f...
ATMTL23 - La QA a-t-elle reussi à prendre le virage agile? Et saura-t-elle f...
 
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
 
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
Toutes les clés pour comprendre et mettre en œuvre une stratégie de "continuo...
 
Wygday2010 - Supervision applicative avec System Center Operations Manager
Wygday2010 - Supervision applicative avec System Center Operations ManagerWygday2010 - Supervision applicative avec System Center Operations Manager
Wygday2010 - Supervision applicative avec System Center Operations Manager
 
Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
 
Keydra france presentation-inst-20111124
Keydra france presentation-inst-20111124Keydra france presentation-inst-20111124
Keydra france presentation-inst-20111124
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
Presentation finale stage ing
Presentation finale stage ingPresentation finale stage ing
Presentation finale stage ing
 

Plus de PMI Lévis-Québec

Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
PMI Lévis-Québec
 
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMI Lévis-Québec
 
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformationPMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMI Lévis-Québec
 
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMI Lévis-Québec
 
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risquesPMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMI Lévis-Québec
 
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gpPmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
PMI Lévis-Québec
 
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussirPmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
PMI Lévis-Québec
 
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participantsPmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
PMI Lévis-Québec
 
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
PMI Lévis-Québec
 
Pmilq colloque 2021_benoit-lalonde_montee-en-puissance-gp
Pmilq colloque 2021_benoit-lalonde_montee-en-puissance-gpPmilq colloque 2021_benoit-lalonde_montee-en-puissance-gp
Pmilq colloque 2021_benoit-lalonde_montee-en-puissance-gp
PMI Lévis-Québec
 
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
PMI Lévis-Québec
 
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
PMI Lévis-Québec
 
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...
PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...
PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projetPMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distancePMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberante
PMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberantePMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberante
PMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberante
PMI Lévis-Québec
 
PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...
PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...
PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...
PMI Lévis-Québec
 

Plus de PMI Lévis-Québec (20)

Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
Pmilq colloque-2021 marie-eve-sanfacon-consequence-legales-mauvaise-gestion-a...
 
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
PMIlq-Colloque-2021_Eric-Boulanger_2021-04-21_Dream-Manager-et-mobilisation-r...
 
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformationPMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
PMIlq-Colloque-2021_Manon-Simard_Croissance-et-transformation
 
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
PMIlq-Colloque-2021_Jocelyne-Bonneau_Appliquer-modes-apprentissage-pour-mobil...
 
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risquesPMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
 
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gpPmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
Pmilq-colloque-2021_celine-morellon-jacques-gaumond_atelier-valeurs-en-gp
 
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussirPmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
Pmilq colloque-2021 suzanne-st-laurent-se-transformer-et-reussir
 
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participantsPmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
Pmilq colloque-2021 claude-palmarini-gpbl-leader-de-projet_participants
 
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
Pmilq colloque-2021 andre-de-carufel-atelier-choose-your-wow-v1
 
Pmilq colloque 2021_benoit-lalonde_montee-en-puissance-gp
Pmilq colloque 2021_benoit-lalonde_montee-en-puissance-gpPmilq colloque 2021_benoit-lalonde_montee-en-puissance-gp
Pmilq colloque 2021_benoit-lalonde_montee-en-puissance-gp
 
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
2021-02-03-carole-doussin_logistique_et_chaine_approvisionnement
 
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
2021-02-09_j-p-pelletier_ingredient_multiplicateur_organisation_agile
 
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
2020 10-06 nadine fortin contribuer succes projet avec meilleures conversations
 
PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...
PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...
PMILQ_Colloque_2020_Pierre-Hadaya-Bernard-Gagnon_Approche_architecture_affair...
 
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projetPMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
PMILQ_Colloque_2020_Philippe-Boigey_Analyse_pre-mortem_de_projet
 
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
PMILQ_Colloque_2020_Patrick-Girard_Agile_ou_agile-Agilite n_est_pas_necessair...
 
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
PMILQ_Colloque_2020_Nadia-Goyer_X_Y_Z_quand_gestion_projet_devient_du_sport_e...
 
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distancePMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
PMILQ_Colloque_2020_Manon-Allard_Faites_confiance_au_travail_a_distance
 
PMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberante
PMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberantePMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberante
PMILQ_Colloque_2020_Ludovic-Boutin_Decathlon_entreprise_liberante
 
PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...
PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...
PMILQ_Colloque_2020_Louis-Pageau_Importance_creer_bon_environnement_humain-Ge...
 

Dernier

Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
Txaruka
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
NadineHG
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
Txaruka
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
lebaobabbleu
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
NadineHG
 
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
DjibrilToure5
 
A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
lebaobabbleu
 
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
lebaobabbleu
 

Dernier (8)

Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
 
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
 
A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
 
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
 

2015-04-28 Bruno Guay Sécurité des projets informatiques

  • 1. Colloque en gestion de projet 2015 1 Gérer la sécurité dans les projets informatiques Bruno Guay Conseiller senior Nurun
  • 2. Colloque en gestion de projet 2015 2 Cette présentation sera disponible sur le site internet du PMI Lévis-Québec à compter du 5 mai 2015
  • 3. Colloque en gestion de projet 2015 3 • Bruno Guay, conseiller expert en sécurité de l'information, Nurun • Co rédacteur de la Norme ISO/CEI 27034 – « Sécurité des applications » • Luc Poulin, président, Cogentas • Co rédacteur de la Norme ISO/CEI 27034 – « Sécurité des applications »
  • 4. Colloque en gestion de projet 2015 4 Plan • La sécurité des applications – Pourquoi est-ce important? – Pourquoi est-ce difficile? – Besoins • La norme ISO 27034 – Concepts – Processus – Intérêt dans l’industrie
  • 5. Colloque en gestion de projet 2015 5 La sécurité des applications – pourquoi est-ce important?
  • 6. Colloque en gestion de projet 2015 6 Pourquoi est-ce important? • Nos applications sont attaquées de façon croissante. • Nos applications sont vulnérables aux attaques.
  • 7. Colloque en gestion de projet 2015 7 Pourquoi est-ce important? • Cas récent du magasin Target aux États-Unis, qui s’est fait voler 110 millions d’enregistrements de cartes de crédit. • Cela a entraîné pour Target – des pertes financières considérables; – une perte de réputation considérable; – la démission forcée de son PDG et de son CIO.
  • 8. Colloque en gestion de projet 2015 8 Pourquoi est-ce important?
  • 9. Colloque en gestion de projet 2015 9 Pourquoi est-ce important? • 78% des applications Web présentent des vulnérabilités facilement exploitables. • Les vulnérabilités les plus exploitées sont bien connues, ce sont les mêmes depuis 2007. • C’est une de ces vulnérabilités qui a été exploitée contre Target.
  • 10. Colloque en gestion de projet 2015 10 Pourquoi est-ce important? • Jusqu’à maintenant on a surtout protégé l’infrastructure informatique, la quincaillerie. • Or le profil des attaques a changé. • Les pirates le disent : il est plus facile et plus rentable d’attaquer les applications que l’infrastructure. • Maintenant plus de 75% des attaques sont au niveau de l'application.
  • 11. Colloque en gestion de projet 2015 11 Pourquoi est-ce important? Citoyen Analyste Enquêteur Application web Données SQ GRC DPCP Pirate 2004
  • 12. Colloque en gestion de projet 2015 12 Pourquoi est-ce important? Citoyen Analyste Enquêteur Application web Données SQ GRC DPCP Pirate 2014
  • 13. Colloque en gestion de projet 2015 13 Pourquoi est-ce important? • Depuis 3 années consécutives, les applications arrivent en tête des vulnérabilités de sécurité • 90% des failles de sécurité viennent de vulnérabilités d'application • INFOSECURITY PROFESSIONAL, numéro 21 - Executive letter from the desk of the ISC2 Executive Director +
  • 14. Colloque en gestion de projet 2015 14 Pourquoi est-ce important? • 90% des sites sont vulnérables aux attaques d'application (Watchfire) • 78% des applications Web présentent des vulnérabilités facilement exploitables (Symantec) • 80% des entreprises auraient connu un incident de sécurité relié aux applications entre 2008 et 2010 (Gartner) • Injection XSS et SQL sont les vulnérabilités OWASP #1 et #2 depuis 2007 (Mitre) +
  • 15. Colloque en gestion de projet 2015 15 La sécurité des applications – pourquoi est-ce difficile?
  • 16. Colloque en gestion de projet 2015 16 Pourquoi est-ce difficile? • La sécurité est mal comprise par les équipes de projets. – Est l’objet de mythes répandus : • la sécurité c’est technologique; • la sécurité c’est opérationnel. – Non perçue comme un besoin d’affaires. – Perçue comme cause de dépassements de coût et d’échéancier. – Perçue comme une couche de peinture qu’on applique au produit final.
  • 17. Colloque en gestion de projet 2015 17 Pourquoi est-ce difficile? • On entend souvent : « L’important est que l’application fonctionne. Ensuite on verra pour la sécurité » • Remplaçons « l’application » par « l’avion »… • « L’important est que l’avion fonctionne. Ensuite on verra pour la sécurité »
  • 18. Colloque en gestion de projet 2015 18 Pourquoi est-ce difficile? • La sécurité est mal intégrée aux projets d’applications : – peu intégrée dans les méthodologies de développement; – peu intégrée dans les processus des bureaux de projets; – les architectes et spécialistes de sécurité sont peu intégrés aux équipes de projets. • Rarement intégrés dès le début
  • 19. Colloque en gestion de projet 2015 19 Pourquoi est-ce difficile? • L’environnement technologique est de plus en plus complexe. • Le contexte d’utilisation d’une application peut changer au fil du temps. • Par exemple, on migre maintenant des applications de l’ordinateur central aux téléphones intelligents – ceci change complètement l’exposition aux menaces. • Pourtant, l’organisation doit toujours se conformer aux mêmes exigences d’affaires et légales.
  • 20. Colloque en gestion de projet 2015 20 Pourquoi est-ce difficile? • Difficile pour les clients : – Peu de contrôle sur les applications acquises, gérées par des tierces parties ou hébergées; • Sont-elles vulnérables? • Sont-elles bien installées et configurées? • Sont-elles bien gérées? – Peu d’exigences de sécurité dans les appels d’offres; • Absence de critères vérifiables • Absence de preuve de conformité – Peu de clauses de sécurité dans les contrats. • Peu de droit de regard pour le client • On dépend du bon vouloir du fournisseur +
  • 21. Colloque en gestion de projet 2015 21 Pourquoi est-ce difficile? • Difficile pour les fournisseurs : – Peu d’activités de sécurité dans les méthos de développement; – Peu de contrôles de sécurité (bonnes pratiques); – Peu de tests de sécurité; – Absence de critères formels et vérifiables; – Absence d’un processus répétable pour appliquer la sécurité dans un projet; – La sécurité d’une application dépend de la compétence de chaque équipe. +
  • 22. Colloque en gestion de projet 2015 22 Pourquoi est-ce difficile? • Difficile pour les auditeurs : – Difficulté à définir l’application et à délimiter la portée de l’évaluation; • Quels systèmes, quels progiciels? • Logiciel, processus ou infrastructure? • Frontière floue entre l’application et l’infrastructure – Absence de processus d’évaluation adéquat; • Absence d’exigences standard • Absence de processus d’évaluation standard • Absence de méthodologie d’analyse de risque pour les applications – Peu de similitudes entre les mandats de vérification; • Difficile d’appliquer les mêmes critères • Improvisation à chaque intervention • Efficacité et efficience réduite +
  • 23. Colloque en gestion de projet 2015 23 Besoins
  • 24. Colloque en gestion de projet 2015 24 Besoins • L’objectif est d’améliorer la sécurité de nos applications – Être en meilleur contrôle de la sécurité – Être en mesure de le démontrer – Augmenter l’efficacité – Augmenter l’efficience
  • 25. Colloque en gestion de projet 2015 25 Besoins • Plus précisément : – Appliquer des contrôles de sécurité qui réduisent adéquatement le risque – Gérer avec efficience ces contrôles de sécurité dans tout le cycle de vie de l’application – Démontrer que ces contrôles restent adéquats
  • 26. Colloque en gestion de projet 2015 26 Besoins • Concrètement, il faut répondre à la question de Bertrand, chargé de projet : “On m’a dit : Bertrand, pour ce projet, il te faut la sécurité du Pentagone. Moi je veux bien, mais ça veut dire quoi, ça? Et je fais quoi, là?”
  • 27. Colloque en gestion de projet 2015 27 Besoins • Le chargé de projet a besoin de connaître les exigences de sécurité dès le début du projet • Le chargé de projet a besoin de connaître les activités de sécurité pour planifier les ressources – Qui fait quoi, quand, comment, à quel effort
  • 28. Colloque en gestion de projet 2015 28 Besoins • Le chargé de projet a besoin de connaître les activités de vérification de sécurité pour valider les livrables – Qui fait quoi, quand, comment, à quel effort • Le chargé de projet a besoin d’un tableau de bord de sécurité – Activités planifiées, en cours, complétées, vérifiées – Efforts réalisés, dépassements – Problèmes et feedback à retourner à l’organisation
  • 29. Colloque en gestion de projet 2015 29 Besoins • Réponse à la question de Bertrand : On ajoute des activités de sécurité et de vérification aux processus existants
  • 30. Colloque en gestion de projet 2015 30 La Norme ISO 27034
  • 31. Colloque en gestion de projet 2015 31 La Norme ISO 27034 • 27034-1: Survol et concepts (publiée) • 27034-2: Cadre normatif de l’organisation • 27034-3: Processus de gestion de la sécurité d’une application • 27034-4: Vérification de la sécurité d’une application • 27034-5: Protocoles et structures de données • 27034-6: Exemples +
  • 32. Colloque en gestion de projet 2015 32 La Norme ISO 27034 • Cette nouvelle norme propose un modèle pour faciliter l’intégration de la sécurité dans le cycle de vie des applications : – concepts, principes, cadres; – composants et processus. • Elle s’applique autant au développement interne qu’à l’acquisition ou l’impartition. • Elle propose des lignes directrices pour les propres processus et méthodologies de l’organisation. • Elle ne propose pas de contrôles ou de règles de développement.
  • 33. Colloque en gestion de projet 2015 33 La Norme ISO 27034 • La Norme énonce des principes : – La sécurité est un besoin d’affaires. – La sécurité d’une application dépend de son contexte d’utilisation. – Il faut investir les ressources appropriées pour sécuriser une application – ni plus ni moins. – La sécurité d’une application doit pouvoir être prouvée.
  • 34. Colloque en gestion de projet 2015 34 Une nouvelle vue sur la sécurité ApplicationOrganisation
  • 35. Colloque en gestion de projet 2015 35 Concepts
  • 36. Colloque en gestion de projet 2015 36 Cadre normatif de l’organisation
  • 37. Colloque en gestion de projet 2015 37 Contrôle de sécurité applicative CSA Activité de vérification (qui, quand, quoi, comment,coût) Activité de sécurité (qui, quand, quoi, comment,coût) Exigence de sécurité (pourquoi)
  • 38. Colloque en gestion de projet 2015 38 Contrôle de sécurité applicative • C’est une mesure de réduction de risque • Créé, approuvé et maintenu par l’organisation • Utilisé par les équipes de projet et d’opération • Utilisé par les équipes d’assurance-qualité et d’audit • Peut servir pour le développement interne ou comme critère d’acceptation / homologation • Vérifiable en tout temps
  • 39. Colloque en gestion de projet 2015 39 Contrôle de sécurité applicative • Chaque contrôle de sécurité comprend : – le niveau de confiance applicable; – une exigence de sécurité en rapport avec : • un risque; • une spécification fonctionnelle; ou • un élément de contexte d’affaires, régulatoire, technologique. • Une activité de sécurité – la description détaillée de la mesure de réduction du risque. • Une activité de vérification qui permettra de prouver que la mesure de réduction du risque a été appliquée avec succès. +
  • 40. Colloque en gestion de projet 2015 40 Le niveau de confiance • La norme simplifie l’architecture de sécurité avec le concept de niveau de confiance. • C’est un ensemble prédéfini et réutilisable de contrôles de sécurité. • C’est un indice de tolérance au risque. • On distingue : – le niveau de confiance ciblé, décidé par le propriétaire de l’application suite à l’analyse de risque; – le niveau de confiance réel, mesuré par une vérification, un audit.
  • 41. Colloque en gestion de projet 2015 41 Le niveau de confiance • C’est le plan d’action de sécurité pour l’application. • On fait déjà : analyse de risque et plan d’action, mais c’est improvisé chaque fois et c’est toujours à recommencer. • La Norme standardise le processus dans l’organisation. • Suite à l’analyse de risque, on choisit un plan d’action pré approuvé et éprouvé. • Gain d’efficacité et d’efficience majeur.
  • 42. Colloque en gestion de projet 2015 42 La banque de contrôles de sécurité applicative Double-clic to edit ▶ Liste de tous les CSA de l’organisation ...0 Librarie des CSA de l’organisation 1 32 9 10 Niveaux de confiance d’application utilisés par l’organisation Banque des CSA de l’organisation
  • 43. Colloque en gestion de projet 2015 43 La banque de contrôles de sécurité applicative • Similaire à un recueil de bonnes pratiques. • Adaptée aux besoins spécifiques de l’organisation. • Adaptée au contexte d’affaires, légal et technologique. • Alimentée par les normes et standards, les bonnes pratiques du marché, l’expérience de l’organisation. • Gérée et approuvée par l’organisation. • Elle contient les contrôles disponibles pour chaque spécification fonctionnelle et chaque degré de confiance désiré. +
  • 44. Colloque en gestion de projet 2015 44 Modèle de cycle de vie pour la sécurité d’une application
  • 45. Colloque en gestion de projet 2015 45 Processus
  • 46. Colloque en gestion de projet 2015 46 Processus • La Norme repose sur des processus que l’organisation doit définir ou arrimer avec ses processus existants. • Deux niveaux de processus : – Organisationnel : gestion du Cadre normatif organisationnel; – Projet : utilisation du Cadre normatif organisationnel pour gérer la sécurité d’une application.
  • 47. Colloque en gestion de projet 2015 47 Processus Processus de gestion Cadre Normatif de l’Organisation Cadre Normatif de l’Application 1 Processus de gestion Cadre Normatif de l’Application 2 Processus de gestion Niveau du projet Niveau de l’organisation
  • 48. Colloque en gestion de projet 2015 48 Processus de gestion de la sécurité d’une application Application Normative Framework Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Cadre normatif de l’organisation
  • 49. Colloque en gestion de projet 2015 49 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Application Normative Framework Cadre normatif de l’organisation On détermine les éléments qui ont un impact sur la sécurité de l’application: • spécifications • acteurs • information • contextes d’affaire, régulatoire, technologique Processus de gestion de la sécurité d’une application
  • 50. Colloque en gestion de projet 2015 50 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Le propriétaire de l’application détermine le niveau de confiance ciblé Cadre normatif de l’organisation On identifie, analyse et évalue les risques On en déduit les exigences de sécurité Processus de gestion de la sécurité d’une application
  • 51. Colloque en gestion de projet 2015 51 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application On extrait du CNO les contrôles pertinents pour réduire le risque de l’application en fonction des spécifications trouvées en 1 et du Niveau de confiance ciblé choisi en 2 Cela donne un extrait du CNO qu’on appelle CNA: le Cadre normatif de l’application C’est un dépôt permanent qui contient toute l’information détaillée relative à la sécurité de cette application Cadre normatif de l’organisation Processus de gestion de la sécurité d’une application
  • 52. Colloque en gestion de projet 2015 52 Processus de gestion de la sécurité d’une application Contexte technologique relié à l’environnement de l’application Contexte d’affaires relié à l’environnement de l’application Contexte juridique relié à l’environnement de l’application Spécifications de l’application Rôles, responsabilités et qualifications des acteurs impliqués par l’application Processus reliés à la sécurité de l’application CSA sélectionnés pour chacune des phases de l’application Cycle de vie de l’application Cadre normatif de l’application
  • 53. Colloque en gestion de projet 2015 53 Contexte technologique relié à l’environnement de l’application Contexte d’affaires relié à l’environnement de l’application Contexte juridique relié à l’environnement de l’application Spécifications de l’application Rôles, responsabilités et qualifications des acteurs impliqués par l’application Processus reliés à la sécurité de l’application CSA sélectionnés pour chacune des phases de l’application Cycle de vie de l’application Cadre normatif de l’application On ajoute des activités de sécurité et de vérification aux processus existants Processus de gestion de la sécurité d’une application
  • 54. Colloque en gestion de projet 2015 54 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Cadre normatif de l’organisation vérification de tous les contrôles On utilise les contrôles prescrits par le CNA pendant tout le cycle de vie de l’application • acquisition ou développement • opération, maintenance, mise à la retraite On réalise toutes les activités de sécurité de tous les contrôles On réalise toutes les activités de vérification de tous les contrôles Processus de gestion de la sécurité d’une application
  • 55. Colloque en gestion de projet 2015 55 Les contrôles sur l’application livrée Citoyen Analyste Enquêteur Application web Données SQ GRC DPCP CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA CSA
  • 56. Colloque en gestion de projet 2015 56 Processus de gestion de la sécurité d’une application Évaluer les risques de sécurité amenés par l’application Identifie les contextes et les spécifications de l’application requis pour 4 3 Créer et maintenir le cadre normatif de l’application Produit 5 Vérifer la sécurité de l’application Identifier les besoins et l’environnement de l’application Produit les artéfacts du projet et le CNA utilisés pour 2 Produit Identifie les correctifs de sécurité utilisés pour Produit les CSA utilisés pour 1 Détermine Est requis pour Est utilisé pour Cadre normatif de l’application Réaliser et utiliser l’application Niveau de confiance réel de l’application Niveau de confiance cible pour l’application Cadre normatif de l’organisation On vérifie le résultat (la preuve) de toutes les activités de vérification de tous les contrôles Le résultat est le Niveau de confiance réel Processus de gestion de la sécurité d’une application
  • 57. Colloque en gestion de projet 2015 57 • L’audit peut être réalisé en tout temps dans le cycle de vie de l’application • Il peut être réalisé par des auditeurs internes ou externes • Il devrait être réalisé au moment d’un point de décision : mise en production, acceptation, homologation, etc. • Il consiste simplement à vérifier que tous les contrôles ont été vérifiés avec succès • Si un contrôle n’a pas été vérifié avec succès, on n’atteint pas le Niveau de confiance ciblé • Si le Niveau de confiance réel = Niveau de confiance ciblé, l’organisation peut déclarer que l’application est sécuritaire • … jusqu’au prochain audit • Le Niveau de confiance réel représente le risque résiduel au moment où l’audit est réalisé • Le Niveau de confiance réel est basé sur des preuves +Processus de gestion de la sécurité d’une application
  • 58. Colloque en gestion de projet 2015 58 Intérêt manifesté dans l’industrie
  • 59. Colloque en gestion de projet 2015 59 Intérêt manifesté dans l’industrie • Collaborateurs enthousiastes à la rédaction et l’adoption par ISO/IEC : – Microsoft – Intel – Cisco – Boeing – OWASP – Représentants d’environ 15 pays membres – Experts en sécurité et en génie logiciel. • 27 pays membres votants sur 28 ont voté pour la publication (96%) en novembre 2011.
  • 60. Colloque en gestion de projet 2015 60 Intérêt manifesté dans l’industrie • Des organismes sont actuellement en projet d’implantation de ISO 27034. Par exemple, au Canada : – Élections Canada – Une institution financière majeure – Un fournisseur d’applications du domaine du transport – Un fournisseur d’applications du domaine de la santé • Des organismes prévoient un projet d’implantation de ISO 27034 – Deux banques majeures canadiennes
  • 61. Colloque en gestion de projet 2015 61 Intérêt manifesté dans l’industrie One way to counteract this lack of security is to make sure that when you begin developing, you take into account potential security issues by following a “relatively new security standard for software development, ISO 27034.” Howard Schmidt, former CyberSecurity advisor to US President Obama Tech bigwigs Microsoft, Adobe, and Cisco are all supporting this new standard, which emphasizes integrating security into a product’s early development stages rather than introducing security when issues eventually begin to sprout.
  • 62. Colloque en gestion de projet 2015 62 Double-clic to edit Intérêt manifesté dans l’industrie
  • 63. Colloque en gestion de projet 2015 63 Conclusion • La Norme ISO 27034 facilite la gestion de la sécurité dans un projet d’application. • Elle apporte un gain appréciable d’efficacité et d’efficience. • Elle permet une meilleure planification des activités et des ressources du projet. • Elle permet de réduire les risques du projet: – dépassement de budget; – dépassement de durée. • Elle permet de valider que l’application livrée répond aux exigences de sécurité.
  • 64. Colloque en gestion de projet 2015 64 Questions?