SlideShare une entreprise Scribd logo
ÉVOLUTION DES BONNES 
             Q
        PRATIQUES EN SÉCURITÉ DE 
      L’INFORMATION AVEC COBIT 5

CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC… 

6 FÉVRIER 2013




                                        http://www.isaca‐quebec.ca
VOLET GOUVERNANCE
                Ordre du jour
           Introduction/Objectifs;
           Survol de Cobit 5;
           Avancées majeures de 
            Cobit 5 en sécurité de 
            l’information: 
           Gouvernance selon Cobit 5 
            p
            pour la sécurité de 
            l’information; 
           Gouvernance de la sécurité 
            des équipements mobiles;
            des équipements mobiles;
           Gouvernance  reliée au 
            Cloud


                                          2
INTRODUCTION
    COBIT 5 peut être utilisé
•Intégralement
•Partiellement
•En complément


                                3
OBJECTIFS – VOLET GOUVERNANCE



                             Objectifs
 Préciser sous le volet de la gouvernance et des aspects 
  de gestion, les avancées de COBIT 5 en terme de 
  sécurité de l’information.

Note : Concernant le vocabulaire utilisé…                               
 ex : Catalyseur/enabler
 ex : Catalyseur/enabler




                                                                           4
COBIT 5 VERSUS 4.1
•COBIT 5 s'appuie et intègre les éléments de la
précédente version de COBIT

 •   COBIT 4.1
 •   Val IT
 •   Risk IT
 •   Bussiness Model for Infornation Security (BMIS)

•Les entreprises peuvent s'appuyer sur les outils
q
qu’ils ont développés à l'aide des versions
                   pp
antérieures…


                                                       5
NORMES ET BONNES PRATIQUES




                             6
PRINCIPAUX ENJEUX DE LA GOUVERNANCE 
                         DES TI
      La gouvernance des TI vise à répondre à 5 objectifs de 
      contrôle: 

    Aligner les investissements  TI 
1      sur les besoins d’affaires.

      Évaluer et gérer les risques 
2    technologiques et d’affaires              S’assurer que les 
                                       5   investissements TI  sont    Création de
                                             sources de plus value
    Gérer les ressources humaines                                       la valeur
3           et matérielles


4   Mesurer la performance des TI




                                                                                     7
CRÉATION DE LA VALEUR




    Créer de la valeur




                         8
9
COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA 
             CRÉATION DE LA VALEUR
                               Analyse 
                               risques    Traitement 
                                            risques
                                             i




                       Suivi et 
                      contrôle



                      Réduire risques à
Gérer ressources TI                                     Créer de la valeur
                         un niveau
 de l’organisation
                        acceptable



COBIT 5 aide les organisation à créer de la valeur
par la gestion équilibrée des ressources TI et la
réduction des risques à un niveau acceptable.


                                                                  10
LA DISTINCTION GOUVERNANCE ET 
                   MANAGEMENT/GESTION
       Gouvernance                                          Management/Gestion
                                                               Planifier
               Évaluer                                                     .




                                           Surveiller                          Concevoir


                         Diriger                        .     Processus
    Mesurer
    M



                                                               Réaliser



 Gouvernance: évaluer diriger mesurer la réalisation des objectifs d affaires,
               évaluer, diriger,                                    d’affaires
ainsi que la conformité aux lois et règlements.
La gouvernance relève du conseil d’administration sous la direction du Président
 Management/Gestion: planifier, concevoir, réaliser et surveiller la mise en
œuvre des orientations d’affaires définies par la gouvernance.
Le management est sous la responsabilité de la Direction générale qui relève du
CEO (chief executive officer)



                                                                                           11
COBIT 5: UN RÉFÉRENTIEL APPLICABLE À 
        TOUT TYPE D’ORGANISATION 
Les principes et les catalyseurs développés par COBIT 5
sont applicables aux organisations de toute sorte et de
toute taille:
        ill
   Organisations gouvernementales et
    municipales;
   Firmes de services-conseils;
   Organisations industrielles et
    commerciales;
            i l
   Établissements bancaires,
    d’assurances;
   Organisations sans but lucratif
    (OSBL)...




                                                          12
COBIT 5 ET LA SÉCURITÉ DE L’INFORMATION

COBIT 5 traite spécifiquement de la sécurité de
l’information:
 En mettant l’accent sur la nécessité d’un système de gestion
  de la sécurité de l’information aligné sur le domaine
                                     g
  “Align, Plan and Organise” notamment le processus
  APO13 Gestion de la sécurité de l’information;
 Le processus APO13 met l’emphase sur la nécessité d un
                             l emphase                    d’un
  système de gestion de la sécurité de l’information (SGSI)
  pour soutenir les principes de gouvernance et les objectifs
  d affaires
  d’affaires impactés par la sécurité, en liaison avec le
  domaine « Evaluate, direct and monitor »



                                                            13
TROIS AVANCÉES MAJEURES EN SÉCURITÉ DE 
              L’INFORMATION !
 COBIT 5 pour la sécurité de l’information; 
 La sécurité des équipements mobiles avec
  La sécurité des équipements mobiles avec 
COBIT 5
 Objectifs de contrôle TI pour le Cloud
     j                     p




                                                14
15
JUSQU’OÙ ALLER DANS LA SÉCURITÉ ?




                                    16
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 
                  POUR LA SI
                                                                     4. Éthique,
   2. Processus            3. Structure organisationnelle
                                                              culture organisationnelle




                    1. Principes, Politiques, Cadre de référence 


    5 Information
    5.                          6 Services applications
                                6. Services,                    7 Profils de personnes
                                                                7.
                                    et infrastructure              et compétences




                               Ressources de l’Organisation




                                                                                          17
MODÈLE GÉNÉRIQUE POUR LA MISE EN ŒUVRE 
                        DES CATALYSEURS
                                               Approche selon Cobit 5 pour la SI

                     Parties prenantes            Objectifs                 Cycle de vie              Bonnes pratiques
    Dimensions s
     catalyseur




                                                 • Qualité intrinsèque;     Planifier, Modéliser,
                             •Internes;                                     concevoir, acquérir,
                                                 •Qualité contextuelle;                                      Adapter selon le
                                                                             opérer, évaluer,
                             •Externes.             •Accessibilité et                                          catalyseur
                                                                               mettre à jour,
                                                        sécurité                  disposer




                    Les besoins des parties 
                                                 A ‐ t‐on défini les        Le cycle de vie             Applique t‐on les 
                      prenantes sont ils 
                      prenantes sont ils
performance e




                                                     objectifs ?             est‐il géré ?             bonnes pratiques ?
 catalyseur




                          adressés ?
  Gestion




                   Métriques pour mesurer l’atteinte des objectifs        Métriques pour l’application des catalyseurs
                                                                           é
                                  (Lag indicators)                                       (Lead indicators)




                                                                                                                                18
CATALYSEUR 1: PRINCIPES, POLITIQUES ET 
       CADRE DE RÉFÉRENCE EN SI


Véhicules utilisés pour communiquer
les orientations de l’entreprise en
relation avec l objectifs d
  l ti        les bj tif de
gouvernance définis par le conseil
d’administration et la Direction
exécutive.


                                           19
CATALYSEUR 1: PRINCIPES, POLITIQUES ET 
        CADRE DE RÉFÉRENCE EN SI
        CADRE DE RÉFÉRENCE EN SI
                        Approche selon Cobit 5 pour la SI


                              Politiques
                                                            Intrants
         Principes en sécurité                      • Informations obligatoires;
                                                    • Standards, normes de 
         Politique de sécurité                      sécurité;
                                                    • Modèles et référentiels
   Politiques spécifiques de sécurité
                                                    •Informations génériques;
        Procédures de sécurité                      • Standards, normes de 
                                                    sécurité;
Exigences de sécurité et documentation              • Modèles et référentiels




                                                                                   20
PRINCIPES EN SÉCURITÉ DE L’INFORMATION


•Véhicules utilisés pour vulgariser les
•Véhicules utilisés pour vulgariser les 
orientations de sécurité en relation 
avec les objectifs de gouvernance.

•ISACA ISF et ISC ont développé des
•ISACA, ISF et ISC ont développé des 
principes en SI orientés sur 3 axes: 



                                           21
PRINCIPES EN SÉCURITÉ DE L’INFORMATION




 1. Soutenir les affaires    2. Sécuriser l actifs
                             2 Sé    i    les tif       3. Sensibiliser les
• Intégrer la SI dans les    • Définir une approche         ressources
activités d’affaires         formelle pour gérer les   •Sensibilisation afin
essentielles;                risques;                  d obtenir
                                                       d’obtenir des réflexes
•Évaluer et traiter les      •Catégoriser/classifier   de sécurité;
risques de sécurité;         les actifs;
•Promouvoir une culture      •Adopter des méthodes     •Implication de la
d amélioration
d’amélioration continue en   de développement          haute direction
SI                           sécuritaire




                                                                              22
POLITIQUES EN SÉCURITÉ DE L’INFORMATION
Traduire sous forme de règles les principes de sécurité définis ainsi que leurs 
interrelations avec les processus décisionnels. 

Doivent être adaptées à la culture et au contexte organisationnel de l’entreprise. 


Types de politique
Types de politique                      Portée dans la fonction SI
                                        Portée dans la fonction SI
                                       Analyse d’impact d’affaires (BIA); 
                                      Plans de contingence d’affaires;
                                                      g
• P liti
  Politique de continuité et de 
            d      ti ité t d         Exigences de relève pour les systèmes 
reprise après sinistre                critiques; 
                                      Plan de reprise après sinistre (DRP); 
                                      Formation et tests du plan de reprise….




                                                                                   23
POLITIQUES EN SÉCURITÉ DE L’INFORMATION



Types de politique                 Portée dans la fonction SI
                                    Classification des données; 
                                   Propriété des données; 
•Politique de gestion des actifs   Gestion du cycle de vie des actifs;
                                   Gestion du cycle de vie des actifs;
                                   Mesures de protection des actifs…




                                                                          24
POLITIQUES EN SÉCURITÉ DE L’INFORMATION


Types de politique                Portée dans la fonction SI
                               Définir les exigences de sécurité dans les 
                               Définir les exigences de sécurité dans les
                               processus d’acquisition ou de 
• Politique d’acquisition, de  développement;
développement et maintenance  Pratiques de codage sécuritaire;
        pp                            q             g            ;
des systèmes et solutions      Tester tester tester…
logicielles                     Intégrer la sécurité de l'information 
                               dans la gestion des changements et des 
                               configurations.




                                                                       25
CATALYSEUR 2: PROCESSUS EN SÉCURITÉ DE L’INFORMATION

   Les processus décrivent, suivant un ordre séquentiel, les 
      intrants et extrants nécessaires pour l’atteinte des 
      objectifs de contrôle en sécurité de l’information.
        bj tif d       t ôl     é ité d l’i f        ti
   Composants des processus selon Cobit 5 pour la SI
                        Identifier le processus
                        Identifier le processus

                         Décrire le processus

                         Définir le processus

             Définir les buts et métriques du processus

            Activités du processus (Description détaillée )



                                                              26
ARCHITECTURE DE PROCESSUS EN SÉCURITÉ 
            DE L’INFORMATION
                                                                                                   Area: Management
APO001 Manage the IT Management Framework                                                          Domain: APO
Description du processus: 
Clarifier et maintenir la gouvernance TI au sein de l'entreprise. Mettre en œuvre et promouvoir les mécanismes et l’autorité nécessaire 
pour gérer l'information et l'utilisation des TI à l'appui des objectifs de gouvernance.
Déclaration d’intention
Fournir une approche de gestion cohérente afin de réaliser les exigences de gouvernance d'entreprise incluant les processus de 
gestion, et les structures organisationnelles (rôles et responsabilités) ...

              Objectifs spécifiques à la sécurité                                              Métriques spécifiques à la sécurité

1. S’assurer de l’alignement de la sécurité avec les TI, cadres        • % des activités de sécurité à l’intérieur du portefeuille de projets qui sont 
méthodologiques et référentiels d’entreprise.                          alignés sur la stratégie d'entreprise.

                                             Description détaillée des activités (exemple)
                                             Description détaillée des activités (exemple)
                                                                           Intrants                                            Extrants

APO01.06:                                                      APO01.05 : Définition et              APO11.01: Rôles et responsabilités en SI
Définir la propriété des données et des systèmes.              positionnement de la fonction SI 
                                                               à l’intérieur de l’organisation.
                                                                                    g                DSS05.02 : Lignes directrices pour la classification des 
                                                                                                     données.  

Activités spécifiques à la sécurité: 
1.Définir  la propriété des systèmes et des données à l’intérieur des processus de gestion de la sécurité;
2.Assigner un responsable de la sécurité des systèmes et des données à l’intérieur des processus de gestion de la sécurité




                                                                                                                                                                 27
CATALYSEUR 3
      STRUCTURES ORGANISATIONNELLES EN SI
Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI.



                                      CISO

  Responsabilités du CISO :
     p
  • Établir et maintenir le SMSI
  • Définir et gérer le plan de gestion/traitement des risques et le
  plan de reprise
  • Contrôle et audit du SMSI
  Niveau d'autorité : Responsable/imputable de la mise en œuvre
  et du maintien de la stratégie de sécurité de l'information.
  La dditi d
  L reddition de comptes (imputabilité) et l'approbation des
                          t (i    t bilité) t l'     b ti d
  décisions importantes reliées à la sécurité de l’information.



                                                                           28
CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI

             Comité directeur/sécurité

  •Regrouper les spécialistes qui permettront de
  bien gérer la sécurité de l’information en
       g
  entreprise.
  Exemples : RH-Auditeurs internes-Légal etc.

  •Communication des bonnes pratiques de
  sécurité de l’information de même que leur
  implantation t i i
  i l t ti et suivi.



                                                   29
CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI

     Comités de gestion des risques d’entreprises


  • Responsable de certains processus ou
  applications d’affaires
                d affaires
  •Responsable de communiquer les liens entre les
  affaires et la sécurité (impacts sur les usagers)
  •Connaissance des risq es reliés à l’opération de
   Connaissance          risques
  même que les coûts/bénéfices des besoins de
  sécurité pour les directions




                                                      30
CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI

       Responsable de la sécurité de l’information


 •Développe une vision commune pour l’équipe de
 sécurité et le reste de l’entreprise
 •Gère le personnel relié à l sécurité d l’i f
  Gè l               l lié la é ité de l’information ti
 en fonction des besoins d’affaires
 •Effectue les évaluations de risque et définit les profils
 de risque
 •Développe le plan de sécurité de l’information
 •Surveille les indicateurs de gestions reliés à la SI
 •Identifie/communique les besoins en sensibilisation
  Identifie/communique
 •Responsable de l’adhésion des ressources et de la
 haute direction aux bonnes pratiques de sécurité



                                                              31
CATALYSEUR 3
     STRUCTURES ORGANISATIONNELLES EN SI
Propriétaires de processus / responsables de la sécurité des données et des systèmes


            •Communiquer, coordonner et conseiller
            l’entreprise sur les efforts requis pour gérer les
            risques avec les gestionnaires hiérarchiques
            •Rapporte les changement dans les besoins
            d’affaires et les stratégies liés aux nouveaux
            produits ou aux changements des produits
            existants
            •Responsable de rendre plus visible les aspects
            de sécurité de l’information au travers de toute
                             l information
            l’entreprise.




                                                                                32
CATALYSEUR 3
     STRUCTURES ORGANISATIONNELLES EN SI
Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI.




                                                   CISO

                                               Collabore avec 
                                               C ll b




             Comité directeur en sécurité                          Comités de gestion des risques 
                                                                           d’entreprises
                                               Soutenus par:  




                                                                   Propriétaires de processus / 
                                                                   P    iét i d               /
              Responsable de la sécurité de                      responsables de la sécurité des 
                     l’information                                   données et des systèmes




                                                                                                     33
EXEMPLE DE STRUCTURE ORGANISATIONNELLE 
      LE COMITÉ DIRECTEUR EN SI (EXEMPLE))
                                (

                                                     Comité directeur en SI
          Composition                                                               Responsabilités

                                      • Préside le comité directeur en SI; 
Chief Information security officer 
                                      • S’assure de la collaboration entre le comité directeur et le comité de gestion des risques d’entreprise 
(CISO)
                                      • Responsable de la sécurité de l’information à la grandeur de l’entreprise. 
                                      Conception des communications, mise en œuvre et suivi des pratiques
Responsable de la sécurité de 
l’information                         Lorsque requis, traite de la conception des solutions avec les architectes en sécurité de l’information 
                                      afin de mitiger les risques identifiés.
                                      • Responsable de certains processus ou applications d’affaires; 
Propriétaires de processus / 
                                      • Responsable de la communication de certaines initiatives d’affaires qui peuvent avoir des incidences 
responsables de la sécurité des 
                                      sur la sécurité de l’information, ou de pratiques qui peuvent impacter les utilisateurs finaux;
données et des systèmes 
données et des systèmes
                                                   b             éh        d             é         l l    û      bé éf      d l é      éd
                                      • Avoir une bonne compréhension des risques opérationnels, les coûts et bénéfices de la sécurité de 
                                      l’information ainsi que les exigences de sécurité de leurs domaines d’affaires. 

Gestionnaires TI                      Formalise des rapports sur l'état des TI ainsi que les initiatives liées à la sécurité de l'information

                                      Présence de certaines fonctions spécialisées lorsque requis (représentants de l'audit interne, ressources 
                                      humaines, juridiques, la gestion du projet);
                                      h     i     j idi       l    ti d       j t)
Représentants de fonctions 
                                      Ces fonctions peuvent être invitées à l'occasion ou en tant que membres permanents. 
spécialisées
                                      Possibilité d'avoir des représentants de l'audit interne afin de conseiller le comité sur les risques de 
                                      conformité.




                                                                                                                                                34
CATALYSEUR 4: ÉTHIQUE, CULTURE ET 
     COMPORTEMENTS EN SI
               Éthique organisationnelle:
                        « Valeurs sur lesquelles l’organisation veut évoluer »


                Éthique individuelle
                        « Valeurs intrinsèques à chaque individu au sein de 
                                          l’organisation » 

                Leadership
                       « Moyens pouvant influencer le comportement désiré » 



Comportement 1             Comportement 2                Comportement 3             Comportement n                …8
   Prise en compte                   Respect de                  Chacun est               Les parties
   de la sécurité de             l'importance des             responsable de la         prenantes sont 
  l’information
  l information dans          principes et politiques 
                              principes et politiques           protection de 
                                                                protection de            sensibles aux 
                                                                                         sensibles aux
     les opérations                en sécurité de          l’information au sein      risques en sécurité 
      quotidiennes.                 l’information               de l'entreprise         de l’information




                                                                                                             35
CATALYSEUR 5: INFORMATION
                      Gérer le cycle de vie de l’information 
                                                                 Identifier, collecter 
                                                                 Identifier collecter
  S’assurer de la destruction                                         et classifier 
  sécurisée de l’information                                        l’information. 




                                                                            Stockage de l'information 
                                                                             (fichiers électroniques, 
S’assurer de la disponibilité                                                   bases de données, 
   de l’intégrité et de la                                                  entrepôts de données….)
     confidentialité de 
       l’information  

                                 Utilisation de l’information (décisions 
                                  de gestion, exécution des processus 
                                             automatisés…..)


                                                                                                  36
CATALYSEUR 7: PROFILS ET COMPÉTENCES 
DES PERSONNES EN SI
COBIT 5 pour la sécurité de l’information fournit des exemples d’aptitudes 
          et de compétences liés à la fonction  SI (un exemple).
                             Spécialiste en gouvernance de la sécurité
              Exigences                                                  Description

                                Plusieurs années d'expérience en SI: 
                                • Concevoir et mettre en œuvre des politiques de sécurité informatique;
Expériences                     • S’assurer de la conformité avec la réglementation externe;
                                • Aligner la stratégie de sécurité de l'information avec la gouvernance d’entreprise;
                                • Communiquer avec la direction exécutive

Certifications pertinentes      CISM

                                Aptitudes :
                                • Définir les mesures de sécurité spécifiques à la gouvernance de la SI
                                • Créer un modèle de mesure de la performance 
                                • Élaborer une analyse de rentabilité des investissements en sécurité de l’information
Connaissances                   Connaissances:
                                • Exigences légales et réglementaires concernant la sécurité des informations
                                • Rôles et responsabilités nécessaires à la sécurité de l'information dans toute l'entreprise
                                • Concepts fondamentaux en gouvernance de la SI
                                • Normes internationales, cadres référentiels et bonnes pratiques…




                                                                                                                                37
CATALYSEUR 6 
SERVICES, APPLICATIONS ET INFRASTRUCTURES




                                      38
39
LA MOBILITÉ AU SEIN DE L’ENTREPRISE, UNE 
   RÉALITÉ !
     Accès aux ressources TI de l’entreprise via différentes plateformes et
                            connexions réseau.


                                                                                    Serveur
                                                                                  d’annuaires
                                                         Serveur
                                                          web

                         Internet                                                                     Stockage
                                                                        Serveur fichiers



                                              Pare-feu
                                                                                            Serveur
                                                            Serveur                           BD
                                                           messagerie




Accès depuis des réseaux publics
(aérogares, hôtels, restaurants….)


                                             Accès utilisateurs, réseau interne


                                                                                                             40
PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS 
             À LA MOBILITÉ
                Risques physiques: vol,
       divulgation d’informations confidentielles




L’avènement de la mobilité comporte comme corollaire un accroissement 
                  exponentiel des risques de sécurité. 


                                                                   41
PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS 
             À LA MOBILITÉ

  Risques technologiques: propagation
  d virus d
  de i    dans t t l’i f t t
               toute l’infrastructure …




                                          42
PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS 
             À LA MOBILITÉ
        RISQUES ORGANISATIONNELS ET OPÉRATIONNELS:
  GESTION DES ÉQUIPEMENTS MOBILES, ESPIONNAGE INDUSTRIEL….




                                                         43
RÉALISER UN DOSSIER D’AFFAIRES SUR LA 
     MOBILITÉ AU SEIN DE L’ENTREPRISE
 Réaliser des études d’opportunités:                          Dossier
                                                              d’affaires



L utilisation d équipements mobiles doit être liée à une 
L'utilisation d’équipements mobiles doit être liée à une
recherche d’efficacité et d’efficience dans la réalisation des  
objectifs d’affaires;  
 Plus value et bénéfices:
   Plus‐value et bénéfices: 
S’assurer que l’utilisation d’équipements mobiles est source 
de valeur ajoutée au sein de l’organisation;

Risques: 
Identifier et évaluer les risques technologiques 
Identifier et évaluer les risques technologiques
(interopérabilité), d’affaires et de sécurité liés à la mobilité



                                                                           44
NORMALISER L’UTILISATION DES SOLUTIONS 
MOBILES AU SEIN DE L’ENTREPRISE
      Normaliser l’utilisation des équipements mobiles


                                Politique de sécurité
                                              Politique d’utilisation des équipements 
         Politiques et normes
                                                               mobiles




                 Gestion des équipements mobiles (MDM)

          Règles de sécurité                        Gestion de la configuration




                                Équipements Mobiles
          Gestion à distance                       Définir noyau des applicatifs




                                                                                         45
NORMALISER L’UTILISATION DES SOLUTIONS 
MOBILES AU SEIN DE L’ENTREPRISE
      Centrer les efforts de gouvernance sur l’utilisateur


                                  Politique de sécurité
                                                Politique d’utilisation des équipements 
          Politiques et normes
                                                                 mobiles




                                       Utilisateur

          Exigences minimales                             Acceptation des règles




                                  Équipements Mobiles
         Gestion  par l’utilisateur                       Applications à risque




                                                                                           46
GÉRER LE CYCLE DE VIE DES ÉQUIPEMENTS 
                  O     S( O )
                MOBILES (BYOD)
     Acquisition                  Gestion des             Mise à dispositions des
d’équipements mobiles
   q p                        équipements mobiles          équipements mobiles


• Contrat d’achat             • Configuration (profil     • Formatage /
  (clause de sécurité, de
             sécurité           utilisateur),
                                utilisateur) gestion de     destruction physique;
  responsabilité…)              la sécurité;
                                                          • Gestion des
• Cycle de test des           • Services et                 utilisateurs;
  équipements;                  maintenance;
                                                          • Opérations parallèles
• Personnalisation            • Gestion des risques /
  (privilèges utilisateurs)     incidents de sécurité




                                                                            47
48
GOUVERNANCE DANS LE CLOUD
                                Réaliser un 
                                  dossier 
                                 d’affaires

                                                    Assurer la 
Conformité                                         continuité 
  légale                                           des affaires
               Gérer les 
              risques du 
              risques du
Intégrité        Cloud
                                  Gestion de la 
              Confidentialité     performance




                                                                  49
GOUVERNANCE DANS LE CLOUD
•Gérer de manière efficace les risques reliés au Cloud, les projets et les 
partenaires
•Assurer la continuité des affaires au‐delà du centre de traitement 
informatique de l’entreprise
  C       i   l i     tl     bj tif l tif         Cl d t t à l’i t         ’à
•Communiquer clairement les objectifs relatifs au Cloud tant à l’interne qu’à 
l’externe
•Adaptation rapide, flexibilité , capacité et services… tout change avec le 
Cloud
•Création d’opportunités et amélioration des coûts
•Assurer une continuité des connaissances
•Assurer une continuité des connaissances 
• Gérer la conformité



                                                                               50
CONCLUSION 
                (VOLET GOUVERNANCE)
                (                 )
•Réduire la complexité
•Accroire la rentabilité et la satisfaction des clientèles
•Améliorer l’intégration de la sécurité des TI dans l’entreprise
•Prise de décision éclairées avec une meilleure connaissance
    des risques
• Amélioration de la prévention, détection et reprise des
    opération
• Réd ti d i
  Réduction des impacts d i id t d sécurité
                         t des incidents de é ité
• Meilleure gestion budgétaire des coûts liés à la sécurité de
    l’information
•Distinction entre la gouvernance et la gestion
• Meilleure compréhension de la sécurité des TI


                                                            51
CONCLUSION 
      (VOLET GOUVERNANCE)
      (                 )

  Les avancées de COBIT 5 
  Les avancées de COBIT 5
  p
  permettent une prise en 
                  p
compte de bout en bout des
 préoccupations de sécurité
      pour l’entreprise
                              52
MERCI


            Contact : Martin M Samson
Directeur Exécutif Associé, Sécurité de l’information
           martin.samson‐À‐nurun.com

            418‐627‐0999 poste 55395




                                                        53

Contenu connexe

Tendances

SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
Anthony Delannoy
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
ISACA Chapitre de Québec
 
Cobit
Cobit Cobit
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
ISACA Chapitre de Québec
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
Abdeslam Menacere
 
Management des risques
Management des risques Management des risques
Management des risques
Pasteur_Tunis
 
Chap1 systéme d'information
Chap1 systéme d'informationChap1 systéme d'information
Chap1 systéme d'informationGhita Benabdellah
 

Tendances (20)

SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Cobit
Cobit Cobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiques
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
Management des risques
Management des risques Management des risques
Management des risques
 
Chap1 systéme d'information
Chap1 systéme d'informationChap1 systéme d'information
Chap1 systéme d'information
 

Similaire à Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5

Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMGAccroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Antoine Vigneron
 
COBIT Synthèse.pdf
COBIT Synthèse.pdfCOBIT Synthèse.pdf
COBIT Synthèse.pdf
fluffyfluff1
 
Présentation itperf-offre services-avril2011-vf
Présentation itperf-offre services-avril2011-vfPrésentation itperf-offre services-avril2011-vf
Présentation itperf-offre services-avril2011-vfPIETRI Jean-Francois
 
[2]bis
[2]bis[2]bis
[2]bis
fofana72
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
hajarbouladass
 
«Il n'y a pas de projets de construction, il n'y a pas de projets TI, il n'y ...
«Il n'y a pas de projets de construction, il n'y a pas de projets TI, il n'y ...«Il n'y a pas de projets de construction, il n'y a pas de projets TI, il n'y ...
«Il n'y a pas de projets de construction, il n'y a pas de projets TI, il n'y ...
Claude Emond
 
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)ISACA Chapitre de Québec
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
Hajar958801
 
PMI Montréal, Symposium 2010 10 Novembre 2010
PMI Montréal, Symposium 2010 10 Novembre 2010PMI Montréal, Symposium 2010 10 Novembre 2010
PMI Montréal, Symposium 2010 10 Novembre 2010
Sylvain Demers
 
L'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIL'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TI
Etienne Laverdière
 
Matinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TIMatinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TI
PMI-Montréal
 
QPR8 - Présentation Scorecard
QPR8 - Présentation ScorecardQPR8 - Présentation Scorecard
QPR8 - Présentation Scorecard
Christophe Paré
 
Présentation evénement citwell l'oreal v2
Présentation evénement citwell l'oreal v2Présentation evénement citwell l'oreal v2
Présentation evénement citwell l'oreal v2CITWELL
 
Conférence Modélisation des Compétences - IBM Forum SaaS DRH
Conférence Modélisation des Compétences - IBM Forum SaaS DRHConférence Modélisation des Compétences - IBM Forum SaaS DRH
Conférence Modélisation des Compétences - IBM Forum SaaS DRH
Talentsoft France
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
Antoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
polenumerique33
 
COBIT
COBIT COBIT
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 

Similaire à Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5 (20)

Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMGAccroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
 
COBIT Synthèse.pdf
COBIT Synthèse.pdfCOBIT Synthèse.pdf
COBIT Synthèse.pdf
 
Présentation itperf-offre services-avril2011-vf
Présentation itperf-offre services-avril2011-vfPrésentation itperf-offre services-avril2011-vf
Présentation itperf-offre services-avril2011-vf
 
[2]bis
[2]bis[2]bis
[2]bis
 
Présentation partenaires 2012_10_fr
Présentation partenaires 2012_10_fr Présentation partenaires 2012_10_fr
Présentation partenaires 2012_10_fr
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
 
«Il n'y a pas de projets de construction, il n'y a pas de projets TI, il n'y ...
«Il n'y a pas de projets de construction, il n'y a pas de projets TI, il n'y ...«Il n'y a pas de projets de construction, il n'y a pas de projets TI, il n'y ...
«Il n'y a pas de projets de construction, il n'y a pas de projets TI, il n'y ...
 
Journée cob it isaca compte-rendu panel experts 07-11-2013
Journée cob it isaca   compte-rendu panel experts 07-11-2013Journée cob it isaca   compte-rendu panel experts 07-11-2013
Journée cob it isaca compte-rendu panel experts 07-11-2013
 
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
 
PMI Montréal, Symposium 2010 10 Novembre 2010
PMI Montréal, Symposium 2010 10 Novembre 2010PMI Montréal, Symposium 2010 10 Novembre 2010
PMI Montréal, Symposium 2010 10 Novembre 2010
 
L'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIL'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TI
 
Matinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TIMatinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TI
 
QPR8 - Présentation Scorecard
QPR8 - Présentation ScorecardQPR8 - Présentation Scorecard
QPR8 - Présentation Scorecard
 
Présentation evénement citwell l'oreal v2
Présentation evénement citwell l'oreal v2Présentation evénement citwell l'oreal v2
Présentation evénement citwell l'oreal v2
 
Conférence Modélisation des Compétences - IBM Forum SaaS DRH
Conférence Modélisation des Compétences - IBM Forum SaaS DRHConférence Modélisation des Compétences - IBM Forum SaaS DRH
Conférence Modélisation des Compétences - IBM Forum SaaS DRH
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
COBIT
COBIT COBIT
COBIT
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 

Plus de ISACA Chapitre de Québec

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
ISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
ISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
ISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
ISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
ISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
ISACA Chapitre de Québec
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
ISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
ISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
ISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
ISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 

Dernier

Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 

Dernier (6)

Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 

Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5

  • 1. ÉVOLUTION DES BONNES  Q PRATIQUES EN SÉCURITÉ DE  L’INFORMATION AVEC COBIT 5 CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC…  6 FÉVRIER 2013 http://www.isaca‐quebec.ca
  • 2. VOLET GOUVERNANCE Ordre du jour  Introduction/Objectifs;  Survol de Cobit 5;  Avancées majeures de  Cobit 5 en sécurité de  l’information:   Gouvernance selon Cobit 5  p pour la sécurité de  l’information;   Gouvernance de la sécurité  des équipements mobiles; des équipements mobiles;  Gouvernance  reliée au  Cloud 2
  • 3. INTRODUCTION COBIT 5 peut être utilisé •Intégralement •Partiellement •En complément 3
  • 4. OBJECTIFS – VOLET GOUVERNANCE Objectifs  Préciser sous le volet de la gouvernance et des aspects  de gestion, les avancées de COBIT 5 en terme de  sécurité de l’information. Note : Concernant le vocabulaire utilisé…                                ex : Catalyseur/enabler ex : Catalyseur/enabler 4
  • 5. COBIT 5 VERSUS 4.1 •COBIT 5 s'appuie et intègre les éléments de la précédente version de COBIT • COBIT 4.1 • Val IT • Risk IT • Bussiness Model for Infornation Security (BMIS) •Les entreprises peuvent s'appuyer sur les outils q qu’ils ont développés à l'aide des versions pp antérieures… 5
  • 7. PRINCIPAUX ENJEUX DE LA GOUVERNANCE  DES TI La gouvernance des TI vise à répondre à 5 objectifs de  contrôle:  Aligner les investissements  TI  1 sur les besoins d’affaires. Évaluer et gérer les risques  2 technologiques et d’affaires S’assurer que les  5 investissements TI  sont  Création de sources de plus value Gérer les ressources humaines  la valeur 3 et matérielles 4 Mesurer la performance des TI 7
  • 8. CRÉATION DE LA VALEUR Créer de la valeur 8
  • 9. 9
  • 10. COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA  CRÉATION DE LA VALEUR Analyse  risques Traitement  risques i Suivi et  contrôle Réduire risques à Gérer ressources TI Créer de la valeur un niveau de l’organisation acceptable COBIT 5 aide les organisation à créer de la valeur par la gestion équilibrée des ressources TI et la réduction des risques à un niveau acceptable. 10
  • 11. LA DISTINCTION GOUVERNANCE ET  MANAGEMENT/GESTION Gouvernance Management/Gestion Planifier Évaluer . Surveiller Concevoir Diriger . Processus Mesurer M Réaliser  Gouvernance: évaluer diriger mesurer la réalisation des objectifs d affaires, évaluer, diriger, d’affaires ainsi que la conformité aux lois et règlements. La gouvernance relève du conseil d’administration sous la direction du Président  Management/Gestion: planifier, concevoir, réaliser et surveiller la mise en œuvre des orientations d’affaires définies par la gouvernance. Le management est sous la responsabilité de la Direction générale qui relève du CEO (chief executive officer) 11
  • 12. COBIT 5: UN RÉFÉRENTIEL APPLICABLE À  TOUT TYPE D’ORGANISATION  Les principes et les catalyseurs développés par COBIT 5 sont applicables aux organisations de toute sorte et de toute taille: ill  Organisations gouvernementales et municipales;  Firmes de services-conseils;  Organisations industrielles et commerciales; i l  Établissements bancaires, d’assurances;  Organisations sans but lucratif (OSBL)... 12
  • 13. COBIT 5 ET LA SÉCURITÉ DE L’INFORMATION COBIT 5 traite spécifiquement de la sécurité de l’information:  En mettant l’accent sur la nécessité d’un système de gestion de la sécurité de l’information aligné sur le domaine g “Align, Plan and Organise” notamment le processus APO13 Gestion de la sécurité de l’information;  Le processus APO13 met l’emphase sur la nécessité d un l emphase d’un système de gestion de la sécurité de l’information (SGSI) pour soutenir les principes de gouvernance et les objectifs d affaires d’affaires impactés par la sécurité, en liaison avec le domaine « Evaluate, direct and monitor » 13
  • 14. TROIS AVANCÉES MAJEURES EN SÉCURITÉ DE  L’INFORMATION !  COBIT 5 pour la sécurité de l’information;   La sécurité des équipements mobiles avec La sécurité des équipements mobiles avec  COBIT 5  Objectifs de contrôle TI pour le Cloud j p 14
  • 15. 15
  • 17. CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 4. Éthique, 2. Processus 3. Structure organisationnelle culture organisationnelle 1. Principes, Politiques, Cadre de référence  5 Information 5. 6 Services applications 6. Services, 7 Profils de personnes 7. et infrastructure et compétences Ressources de l’Organisation 17
  • 18. MODÈLE GÉNÉRIQUE POUR LA MISE EN ŒUVRE  DES CATALYSEURS Approche selon Cobit 5 pour la SI Parties prenantes Objectifs Cycle de vie Bonnes pratiques Dimensions s catalyseur • Qualité intrinsèque; Planifier, Modéliser, •Internes; concevoir, acquérir, •Qualité contextuelle; Adapter selon le opérer, évaluer, •Externes. •Accessibilité et catalyseur mettre à jour, sécurité disposer Les besoins des parties  A ‐ t‐on défini les  Le cycle de vie  Applique t‐on les  prenantes sont ils  prenantes sont ils performance e objectifs ? est‐il géré ? bonnes pratiques ? catalyseur adressés ? Gestion Métriques pour mesurer l’atteinte des objectifs Métriques pour l’application des catalyseurs é (Lag indicators) (Lead indicators) 18
  • 19. CATALYSEUR 1: PRINCIPES, POLITIQUES ET  CADRE DE RÉFÉRENCE EN SI Véhicules utilisés pour communiquer les orientations de l’entreprise en relation avec l objectifs d l ti les bj tif de gouvernance définis par le conseil d’administration et la Direction exécutive. 19
  • 20. CATALYSEUR 1: PRINCIPES, POLITIQUES ET  CADRE DE RÉFÉRENCE EN SI CADRE DE RÉFÉRENCE EN SI Approche selon Cobit 5 pour la SI Politiques Intrants Principes en sécurité • Informations obligatoires; • Standards, normes de  Politique de sécurité sécurité; • Modèles et référentiels Politiques spécifiques de sécurité •Informations génériques; Procédures de sécurité • Standards, normes de  sécurité; Exigences de sécurité et documentation • Modèles et référentiels 20
  • 21. PRINCIPES EN SÉCURITÉ DE L’INFORMATION •Véhicules utilisés pour vulgariser les •Véhicules utilisés pour vulgariser les  orientations de sécurité en relation  avec les objectifs de gouvernance. •ISACA ISF et ISC ont développé des •ISACA, ISF et ISC ont développé des  principes en SI orientés sur 3 axes:  21
  • 22. PRINCIPES EN SÉCURITÉ DE L’INFORMATION 1. Soutenir les affaires 2. Sécuriser l actifs 2 Sé i les tif 3. Sensibiliser les • Intégrer la SI dans les • Définir une approche ressources activités d’affaires formelle pour gérer les •Sensibilisation afin essentielles; risques; d obtenir d’obtenir des réflexes •Évaluer et traiter les •Catégoriser/classifier de sécurité; risques de sécurité; les actifs; •Promouvoir une culture •Adopter des méthodes •Implication de la d amélioration d’amélioration continue en de développement haute direction SI sécuritaire 22
  • 23. POLITIQUES EN SÉCURITÉ DE L’INFORMATION Traduire sous forme de règles les principes de sécurité définis ainsi que leurs  interrelations avec les processus décisionnels.  Doivent être adaptées à la culture et au contexte organisationnel de l’entreprise.  Types de politique Types de politique Portée dans la fonction SI Portée dans la fonction SI  Analyse d’impact d’affaires (BIA);  Plans de contingence d’affaires; g • P liti Politique de continuité et de  d ti ité t d Exigences de relève pour les systèmes  reprise après sinistre critiques;  Plan de reprise après sinistre (DRP);  Formation et tests du plan de reprise…. 23
  • 24. POLITIQUES EN SÉCURITÉ DE L’INFORMATION Types de politique Portée dans la fonction SI  Classification des données;  Propriété des données;  •Politique de gestion des actifs Gestion du cycle de vie des actifs; Gestion du cycle de vie des actifs; Mesures de protection des actifs… 24
  • 25. POLITIQUES EN SÉCURITÉ DE L’INFORMATION Types de politique Portée dans la fonction SI Définir les exigences de sécurité dans les  Définir les exigences de sécurité dans les processus d’acquisition ou de  • Politique d’acquisition, de  développement; développement et maintenance  Pratiques de codage sécuritaire; pp q g ; des systèmes et solutions  Tester tester tester… logicielles  Intégrer la sécurité de l'information  dans la gestion des changements et des  configurations. 25
  • 26. CATALYSEUR 2: PROCESSUS EN SÉCURITÉ DE L’INFORMATION Les processus décrivent, suivant un ordre séquentiel, les  intrants et extrants nécessaires pour l’atteinte des  objectifs de contrôle en sécurité de l’information. bj tif d t ôl é ité d l’i f ti Composants des processus selon Cobit 5 pour la SI Identifier le processus Identifier le processus Décrire le processus Définir le processus Définir les buts et métriques du processus Activités du processus (Description détaillée ) 26
  • 27. ARCHITECTURE DE PROCESSUS EN SÉCURITÉ  DE L’INFORMATION Area: Management APO001 Manage the IT Management Framework Domain: APO Description du processus:  Clarifier et maintenir la gouvernance TI au sein de l'entreprise. Mettre en œuvre et promouvoir les mécanismes et l’autorité nécessaire  pour gérer l'information et l'utilisation des TI à l'appui des objectifs de gouvernance. Déclaration d’intention Fournir une approche de gestion cohérente afin de réaliser les exigences de gouvernance d'entreprise incluant les processus de  gestion, et les structures organisationnelles (rôles et responsabilités) ... Objectifs spécifiques à la sécurité Métriques spécifiques à la sécurité 1. S’assurer de l’alignement de la sécurité avec les TI, cadres  • % des activités de sécurité à l’intérieur du portefeuille de projets qui sont  méthodologiques et référentiels d’entreprise. alignés sur la stratégie d'entreprise. Description détaillée des activités (exemple) Description détaillée des activités (exemple) Intrants  Extrants APO01.06:   APO01.05 : Définition et  APO11.01: Rôles et responsabilités en SI Définir la propriété des données et des systèmes. positionnement de la fonction SI  à l’intérieur de l’organisation. g DSS05.02 : Lignes directrices pour la classification des  données.   Activités spécifiques à la sécurité:  1.Définir  la propriété des systèmes et des données à l’intérieur des processus de gestion de la sécurité; 2.Assigner un responsable de la sécurité des systèmes et des données à l’intérieur des processus de gestion de la sécurité 27
  • 28. CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI. CISO Responsabilités du CISO : p • Établir et maintenir le SMSI • Définir et gérer le plan de gestion/traitement des risques et le plan de reprise • Contrôle et audit du SMSI Niveau d'autorité : Responsable/imputable de la mise en œuvre et du maintien de la stratégie de sécurité de l'information. La dditi d L reddition de comptes (imputabilité) et l'approbation des t (i t bilité) t l' b ti d décisions importantes reliées à la sécurité de l’information. 28
  • 29. CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Comité directeur/sécurité •Regrouper les spécialistes qui permettront de bien gérer la sécurité de l’information en g entreprise. Exemples : RH-Auditeurs internes-Légal etc. •Communication des bonnes pratiques de sécurité de l’information de même que leur implantation t i i i l t ti et suivi. 29
  • 30. CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Comités de gestion des risques d’entreprises • Responsable de certains processus ou applications d’affaires d affaires •Responsable de communiquer les liens entre les affaires et la sécurité (impacts sur les usagers) •Connaissance des risq es reliés à l’opération de Connaissance risques même que les coûts/bénéfices des besoins de sécurité pour les directions 30
  • 31. CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Responsable de la sécurité de l’information •Développe une vision commune pour l’équipe de sécurité et le reste de l’entreprise •Gère le personnel relié à l sécurité d l’i f Gè l l lié la é ité de l’information ti en fonction des besoins d’affaires •Effectue les évaluations de risque et définit les profils de risque •Développe le plan de sécurité de l’information •Surveille les indicateurs de gestions reliés à la SI •Identifie/communique les besoins en sensibilisation Identifie/communique •Responsable de l’adhésion des ressources et de la haute direction aux bonnes pratiques de sécurité 31
  • 32. CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Propriétaires de processus / responsables de la sécurité des données et des systèmes •Communiquer, coordonner et conseiller l’entreprise sur les efforts requis pour gérer les risques avec les gestionnaires hiérarchiques •Rapporte les changement dans les besoins d’affaires et les stratégies liés aux nouveaux produits ou aux changements des produits existants •Responsable de rendre plus visible les aspects de sécurité de l’information au travers de toute l information l’entreprise. 32
  • 33. CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI. CISO Collabore avec  C ll b Comité directeur en sécurité Comités de gestion des risques  d’entreprises Soutenus par:   Propriétaires de processus /  P iét i d / Responsable de la sécurité de  responsables de la sécurité des  l’information données et des systèmes 33
  • 34. EXEMPLE DE STRUCTURE ORGANISATIONNELLE  LE COMITÉ DIRECTEUR EN SI (EXEMPLE)) ( Comité directeur en SI Composition Responsabilités • Préside le comité directeur en SI;  Chief Information security officer  • S’assure de la collaboration entre le comité directeur et le comité de gestion des risques d’entreprise  (CISO) • Responsable de la sécurité de l’information à la grandeur de l’entreprise.  Conception des communications, mise en œuvre et suivi des pratiques Responsable de la sécurité de  l’information Lorsque requis, traite de la conception des solutions avec les architectes en sécurité de l’information  afin de mitiger les risques identifiés. • Responsable de certains processus ou applications d’affaires;  Propriétaires de processus /  • Responsable de la communication de certaines initiatives d’affaires qui peuvent avoir des incidences  responsables de la sécurité des  sur la sécurité de l’information, ou de pratiques qui peuvent impacter les utilisateurs finaux; données et des systèmes  données et des systèmes b éh d é l l û bé éf d l é éd • Avoir une bonne compréhension des risques opérationnels, les coûts et bénéfices de la sécurité de  l’information ainsi que les exigences de sécurité de leurs domaines d’affaires.  Gestionnaires TI Formalise des rapports sur l'état des TI ainsi que les initiatives liées à la sécurité de l'information Présence de certaines fonctions spécialisées lorsque requis (représentants de l'audit interne, ressources  humaines, juridiques, la gestion du projet); h i j idi l ti d j t) Représentants de fonctions  Ces fonctions peuvent être invitées à l'occasion ou en tant que membres permanents.  spécialisées Possibilité d'avoir des représentants de l'audit interne afin de conseiller le comité sur les risques de  conformité. 34
  • 35. CATALYSEUR 4: ÉTHIQUE, CULTURE ET  COMPORTEMENTS EN SI Éthique organisationnelle: « Valeurs sur lesquelles l’organisation veut évoluer » Éthique individuelle « Valeurs intrinsèques à chaque individu au sein de  l’organisation »  Leadership « Moyens pouvant influencer le comportement désiré »  Comportement 1 Comportement 2 Comportement 3 Comportement n …8 Prise en compte Respect de Chacun est  Les parties de la sécurité de l'importance des   responsable de la  prenantes sont  l’information l information dans principes et politiques  principes et politiques protection de  protection de sensibles aux  sensibles aux les opérations en sécurité de  l’information au sein  risques en sécurité  quotidiennes. l’information de l'entreprise de l’information 35
  • 36. CATALYSEUR 5: INFORMATION Gérer le cycle de vie de l’information  Identifier, collecter  Identifier collecter S’assurer de la destruction  et classifier  sécurisée de l’information l’information.  Stockage de l'information  (fichiers électroniques,  S’assurer de la disponibilité  bases de données,  de l’intégrité et de la  entrepôts de données….) confidentialité de  l’information   Utilisation de l’information (décisions  de gestion, exécution des processus  automatisés…..) 36
  • 37. CATALYSEUR 7: PROFILS ET COMPÉTENCES  DES PERSONNES EN SI COBIT 5 pour la sécurité de l’information fournit des exemples d’aptitudes  et de compétences liés à la fonction  SI (un exemple). Spécialiste en gouvernance de la sécurité Exigences Description Plusieurs années d'expérience en SI:  • Concevoir et mettre en œuvre des politiques de sécurité informatique; Expériences • S’assurer de la conformité avec la réglementation externe; • Aligner la stratégie de sécurité de l'information avec la gouvernance d’entreprise; • Communiquer avec la direction exécutive Certifications pertinentes CISM Aptitudes : • Définir les mesures de sécurité spécifiques à la gouvernance de la SI • Créer un modèle de mesure de la performance  • Élaborer une analyse de rentabilité des investissements en sécurité de l’information Connaissances Connaissances: • Exigences légales et réglementaires concernant la sécurité des informations • Rôles et responsabilités nécessaires à la sécurité de l'information dans toute l'entreprise • Concepts fondamentaux en gouvernance de la SI • Normes internationales, cadres référentiels et bonnes pratiques… 37
  • 39. 39
  • 40. LA MOBILITÉ AU SEIN DE L’ENTREPRISE, UNE  RÉALITÉ ! Accès aux ressources TI de l’entreprise via différentes plateformes et connexions réseau. Serveur d’annuaires Serveur web Internet Stockage Serveur fichiers Pare-feu Serveur Serveur BD messagerie Accès depuis des réseaux publics (aérogares, hôtels, restaurants….) Accès utilisateurs, réseau interne 40
  • 41. PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS  À LA MOBILITÉ Risques physiques: vol, divulgation d’informations confidentielles L’avènement de la mobilité comporte comme corollaire un accroissement  exponentiel des risques de sécurité.  41
  • 42. PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS  À LA MOBILITÉ Risques technologiques: propagation d virus d de i dans t t l’i f t t toute l’infrastructure … 42
  • 43. PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS  À LA MOBILITÉ RISQUES ORGANISATIONNELS ET OPÉRATIONNELS: GESTION DES ÉQUIPEMENTS MOBILES, ESPIONNAGE INDUSTRIEL…. 43
  • 44. RÉALISER UN DOSSIER D’AFFAIRES SUR LA  MOBILITÉ AU SEIN DE L’ENTREPRISE  Réaliser des études d’opportunités:  Dossier d’affaires L utilisation d équipements mobiles doit être liée à une  L'utilisation d’équipements mobiles doit être liée à une recherche d’efficacité et d’efficience dans la réalisation des   objectifs d’affaires;    Plus value et bénéfices: Plus‐value et bénéfices:  S’assurer que l’utilisation d’équipements mobiles est source  de valeur ajoutée au sein de l’organisation; Risques:  Identifier et évaluer les risques technologiques  Identifier et évaluer les risques technologiques (interopérabilité), d’affaires et de sécurité liés à la mobilité 44
  • 45. NORMALISER L’UTILISATION DES SOLUTIONS  MOBILES AU SEIN DE L’ENTREPRISE Normaliser l’utilisation des équipements mobiles Politique de sécurité Politique d’utilisation des équipements  Politiques et normes mobiles Gestion des équipements mobiles (MDM) Règles de sécurité Gestion de la configuration Équipements Mobiles Gestion à distance Définir noyau des applicatifs 45
  • 46. NORMALISER L’UTILISATION DES SOLUTIONS  MOBILES AU SEIN DE L’ENTREPRISE Centrer les efforts de gouvernance sur l’utilisateur Politique de sécurité Politique d’utilisation des équipements  Politiques et normes mobiles Utilisateur Exigences minimales Acceptation des règles Équipements Mobiles Gestion  par l’utilisateur Applications à risque 46
  • 47. GÉRER LE CYCLE DE VIE DES ÉQUIPEMENTS  O S( O ) MOBILES (BYOD) Acquisition Gestion des Mise à dispositions des d’équipements mobiles q p équipements mobiles équipements mobiles • Contrat d’achat • Configuration (profil • Formatage / (clause de sécurité, de sécurité utilisateur), utilisateur) gestion de destruction physique; responsabilité…) la sécurité; • Gestion des • Cycle de test des • Services et utilisateurs; équipements; maintenance; • Opérations parallèles • Personnalisation • Gestion des risques / (privilèges utilisateurs) incidents de sécurité 47
  • 48. 48
  • 49. GOUVERNANCE DANS LE CLOUD Réaliser un  dossier  d’affaires Assurer la  Conformité  continuité  légale des affaires Gérer les  risques du  risques du Intégrité Cloud Gestion de la  Confidentialité performance 49
  • 50. GOUVERNANCE DANS LE CLOUD •Gérer de manière efficace les risques reliés au Cloud, les projets et les  partenaires •Assurer la continuité des affaires au‐delà du centre de traitement  informatique de l’entreprise C i l i tl bj tif l tif Cl d t t à l’i t ’à •Communiquer clairement les objectifs relatifs au Cloud tant à l’interne qu’à  l’externe •Adaptation rapide, flexibilité , capacité et services… tout change avec le  Cloud •Création d’opportunités et amélioration des coûts •Assurer une continuité des connaissances •Assurer une continuité des connaissances  • Gérer la conformité 50
  • 51. CONCLUSION  (VOLET GOUVERNANCE) ( ) •Réduire la complexité •Accroire la rentabilité et la satisfaction des clientèles •Améliorer l’intégration de la sécurité des TI dans l’entreprise •Prise de décision éclairées avec une meilleure connaissance des risques • Amélioration de la prévention, détection et reprise des opération • Réd ti d i Réduction des impacts d i id t d sécurité t des incidents de é ité • Meilleure gestion budgétaire des coûts liés à la sécurité de l’information •Distinction entre la gouvernance et la gestion • Meilleure compréhension de la sécurité des TI 51
  • 52. CONCLUSION  (VOLET GOUVERNANCE) ( ) Les avancées de COBIT 5  Les avancées de COBIT 5 p permettent une prise en  p compte de bout en bout des préoccupations de sécurité pour l’entreprise 52
  • 53. MERCI Contact : Martin M Samson Directeur Exécutif Associé, Sécurité de l’information martin.samson‐À‐nurun.com 418‐627‐0999 poste 55395 53