ANIK MICHAUDVILLE. menace. S adapter. Le rôle deschefs du service de sécurité. à l évolution de la. De la créativité à la sécurité MAGAZINE

Dimension: px
Commencer à balayer dès la page:

Download "ANIK MICHAUDVILLE. menace. S adapter. Le rôle deschefs du service de sécurité. à l évolution de la. De la créativité à la sécurité MAGAZINE"

Transcription

1 Vol. 2 N o 1 Mars 2010 MAGAZINE POUR LES ORGANISATIONS ET LES GENS QUI S INTÉRESSENT À LA SÉCURITÉ INFORMATIQUE (www.secus.ca) S adapter à l évolution de la menace Le rôle deschefs du service de sécurité ANIK MICHAUDVILLE De la créativité à la sécurité

2

3 S O M M A I R E Vol. 2 N o 1 Mars 2010 ÉDITEURS ET PROPRIÉTAIRES Mario Audet Samuel Bonneau COLLABORATEURS Alex Bédard Michel Boutin Robert Chikarians Louis Lavoie-Caron Anick Michaudville Richard Neault David Poellhuber Jean-Philippe Racine Eric Robert DIRECTEUR DE L INFORMATION Samuel Bonneau RÉVISEURS TECHNIQUES Alex Bédard Louis Lavoie-Caron RÉVISEURE LINGUISTIQUE Amélie Lapierre GRAPHISTE Geneviève Bolduc PHOTOGRAPHES René Robichaud Annie Tremblay BÉDÉISTE Martin Bérubé VENTE ET PUBLICITÉ Mario Audet SÉCUS est un magazine électronique produit par des professionnels québécois de la sécurité de l information. Il est destiné à tous les francophones ayant un intérêt professionnel ou personnel à ce sujet. Le but de cette initiative est d offrir une tribune aux experts afin de diffuser leur savoir, de faire connaître les produits et services et, finalement, de promouvoir la sécurité informatique. Bibliothèque nationale du Canada ISSN SÉCUS, MOTS DES ÉDITEURS Samuel Bonneau et Mario Audet 6 ENTREVUE ANIK MICHAUDVILLE DE LA CRÉATIVITÉ À LA SÉCURITÉ Propos recueillis par Samuel Bonneau CONSEILS D EXPERTS 10 S ADAPTER À L ÉVOLUTION DE LA MENACE Eric Robert 12 LE RÔLE DES CHEFS DU SERVICE DE SÉCURITÉ Robert Chikarians 14 ÉTUDE DE CAS VOUS AVEZ DIT PIGISTE? Jean-Philippe Racine 17 NOUVELLES EN BREF 18 PROFIL D ENTREPRISE ZEROSPAM LA FIN DU POURRIEL ZOOM 20 L ASIMM VÉHICULE DE PROMOTION DE LA SÉCURITÉ DE L INFORMATION Michel Boutin 22 DES NOUVELLES DE L ASIQ Alex Bédard 23 DES NOUVELLES DE L ISIQ Richard Neault 24 CALENDRIER Toute reproduction, par quelque procédé que ce soit, en tout ou en partie, du présent ouvrage, sans l autorisation écrite des éditeurs, est strictement interdite.

4 M O T S D E S É D I T E U R S Innover pour mieux se démarquer PAR SAMUEL BONNEAU, éditeur, directeur de l information et copropriétaire de SÉCUS Dans cette quatrième parution du magazine SÉCUS, vous verrez une fois de plus à quel point les auteurs se démarquent. Ils traitent des problématiques actuelles et à venir. Leurs approches sont à l avant-garde de la sécurité informatique (SI). Samuel Bonneau est éditeur, directeur de l information et copropriétaire du magazine SÉCUS. Il est conseiller en technologie et sécurité de l information depuis treize ans et travailleur autonome. Il possède un baccalauréat en génie informatique et détient les certifications CISSP et CISM. Photo : Annie Tremblay CRÉATIVITÉ DE LA STRATÉGIE Un plan de SI n a rien de banal. Le secret de son efficacité réside souvent dans une approche sur mesure, voire créative. En misant davantage sur les risques réels d une entreprise et en travaillant de concert avec toutes ses ressources, les résultats peuvent être drôlement intéressants. C est ce qu Anik Michaudville démontre dans une entrevue exclusive. RÔLE CLÉ Un bon plan de SI, ce n est pas tout. Sa réussite dépendra également de l application de la stratégie par le responsable de la sécurité. Par conséquent, le rôle du chef du service de la sécurité est primordial, et ce dernier doit avoir des aptitudes particulières. Pour en savoir plus, lisez l article de Robert Chikarians. PROTECTION ADAPTÉE Eric Robert vous fait part d informations fiables pour vous adapter à la menace et il vous propose des conseils basés sur son expérience importante en réalisation de mandats en conformité de la norme PCI DSS. Découvrez aussi les services exceptionnels d impartition offerts par la compagnie ZEROSPAM. SOLUTIONS À LA PÉNURIE DE MAIN-D ŒUVRE Les ressources spécialisées en sécurité sont peu nombreuses et la demande des clients est grandissante. Jean-Philippe Racine vous explique la recrudescence du travail autonome en SI. Puis, Mario Audet propose des solutions concrètes pour résister à la pénurie de main-d œuvre dans ce domaine. «Les organisations devront notamment considérer l apport des outils de sécurité et des services d impartition pour contrer la rareté des ressources spécialisées.» RÉORGANISATION Pour contrer adéquatement les risques de SI, les organisations devront assurément faire des changements majeurs à plusieurs niveaux. Entre autres, la reconfiguration des services de la sécurité est presque impérative. Les firmes de consultation auront avantage à reconsidérer leur offre de service en sécurité afin de s adapter à cette nouvelle demande. D ailleurs, certaines ont déjà emboîté le pas... Avancer et innover, c est s adapter! Mars 2010 SÉCUS 4

5 M O T S D E S É D I T E U R S Pénurie de main d œuvre à l horizon! PAR MARIO AUDET, éditeur et copropriétaire du magazine SÉCUS Mario Audet est éditeur et copropriétaire du magazine SÉCUS. Il compte dix-sept années d expérience en technologies dont dix en sécurité de l information. Il est également architecte de solutions de sécurité chez Bell. Son intérêt pour la veille en sécurité l a amené à développer l agrégateur automatisé de nouvelles de sécurité informatique SecurNews.com. 1. Québec : pénurie de main-d oeuvre à l horizon, LaPresseAffaires.com (http://lapresseaffaires.cyberpresse.ca /economie/200901/06/ quebec-penurie-de-main-doeuvre-alhorizon.php). 2. Tendances démographiques : défis organisationnels par Réal Jacob, HEC Montréal (www.igfquebec.com/ fileadmin/docu/publ/text_conf/ /plen_rjacob.ppt). Photo : Annie Tremblay Depuis quelques années, plusieurs organisations vivent une préoccupation quotidienne : la pénurie de main-d œuvre dans le domaine de la sécurité de l information (SI). À en juger par les tendances démographiques du Conference Board of Canada 1, le taux d activité de la population active a atteint un sommet en 2007 et s effondrera progressivement d ici Durant cette période, la pénurie de travailleurs au Québec pourrait atteindre ! Malgré ces chiffres, il existe des solutions pour contrer ce phéno mène, mais quelles sont-elles? PROBLÈMES D abord, voici les principaux problèmes connus et à prévoir : la demande des organisations pour la réalisation d interventions en SI est plus forte que les ressources disponibles pour les effectuer. le départ à la retraite de plusieurs spécialistes en SI d ici 2015 est incontour nable : fonctionnaires québécois prendront leur retraite 2. le délestage des emplois opérationnels en SI par de jeunes spécialistes est concret parce que la plupart aspirent à devenir analystes ou architectes. les spécialistes en SI délaissent leur emploi pour s établir à leur compte. les jeunes étudiants s intéressent plus au multimédia et à la conception de jeux vidéo qu à la SI. SOLUTIONS Que peuvent faire les organisations par rapport à cette situation? Plusieurs pistes de solutions existent. En voici quelques-unes : accepter de changer leur modèle d affaires, recourir à des pigistes et ac cepter qu embaucher seulement des spécialistes d expérience en SI n est pas toujours possible. intéresser les jeunes à la SI dans les foires de l emploi et les lieux d enseignement. former des conseillers d autres domaines qui ont un intérêt pour la SI et les «transformer» en experts de la SI. recruter des ressources étrangères spécialisées en SI. Certains experts européens n hésiteraient pas à venir travailler au Québec. rendre les tâches opérationnelles de la SI plus captivantes et attribuer des tâches plus intéressantes aux rôles opérationnels. utiliser davantage de solutions technologiques pour faciliter l application de la SI dans les organisations. C est d ailleurs ce que les fabricants de solutions de SI essaient de faire pour simplifier l exploitation. recourir à des services gérés et impartis en SI. Cette tendance sera de plus en plus populaire au cours des prochaines années, notamment par rapport aux services de sécurité en nuage (SaaS). HORIZON La situation actuelle et à venir de pénurie dans le domaine des TI est préoccupante. Il existe toutefois des solutions pour limiter les impacts de cette rareté, mais suffiront-elles à la forte demande pour la réalisation d interventions en SI? Grâce à SÉCUS, restez informé. Mars 2010 SÉCUS 5

6 E N T R E V U E De la créativité à la sécurité avec Anik Michaudville PROPOS RECUEILLIS PAR SAMUEL BONNEAU Anik Michaudville est comptable agréée de formation. De 1997 à 2004, elle a fait partie de la firme Deloitte. Puis, elle est devenue conseillère experte en sécurité de l infor - mation (SI) chez Desjardins Groupe d assu - rances de dommages. Depuis janvier 2010, elle est membre de la direction principale de la SI du Mouvement Desjardins. Son exper - tise est intéressante. QUEL EST VOTRE PARCOURS PROFESSIONNEL? Je suis comptable agréée de formation. Lors que j étudiais, c était l une des seules formations universitaires où l on traitait des aspects de vérifications et de contrôles informatiques. Ce cheminement m a permis d approfondir les domaines du processus d affaires et de la gestion de risques. C est donc un bagage inté ressant pour quel - qu un qui évolue dans le domaine de la SI. «En 2005, j ai obtenu une certification professionnelle en SI, soit la CISSP. Elle m a donné la chance de sortir de ma zone de confort en ciblant davantage les volets tactiques et opérationnels des technologies de l information. Ce fut enrichissant!» Pendant sept ans, j ai travaillé pour la firme Deloitte. Au début, j étais vérificatrice financière. Au moment du bogue du millénaire, je colla - borais avec l équipe de vérification informatique qui avait la mission d assurer le passage à l an 2000 des systèmes financiers des clients. J ai beaucoup aimé l expérience et j ai alors rejoint le groupe de gestion de risques d entreprise. Ma spécialité est devenue la gestion des risques reliés aux techno - logies de l information (TI). J ai fait affaire avec une grande variété de clientèles avant d être promue au poste de directrice. Ce parcours chez Deloitte m a permis de participer à une multitude de projets touchant les principaux aspects de la SI. J ai ainsi pu développer mon expertise dans ce domaine large et complexe. En 2004, je suis devenue conseillère en SI auprès du premier vice-président des TI de Desjardins Groupe d assu - rances générales (DGAG). Mis en place en 2002, ce nouveau rôle dans l organisation me semblait être un beau défi. La sécurité était déjà présente dans plusieurs secteurs de l entreprise, mais il fallait assurer la mise en commun et la coordination de toutes les activités de sécurité. Une politique Suite en page 7 Photo : Annie Tremblay Mars 2010 SÉCUS 6

7 Suite de la page 6 d entreprise en SI venait d être adoptée et, dès mon arrivée, on s est affairé à planifier et à déployer la classification des actifs informationnels afin de bien identifier les ressources à protéger et leur localisation. «Mon rôle consistait à appuyer les dirigeants de Desjardins Groupe d assurances générales dans les orientations à prendre en matière de SI et à déployer un cadre de gestion.» Une autre grande étape chez DGAG fut la formation de l équipe de sécurité des TI. Chaque secteur des TI avait un certain niveau d expertise en sécurité, mais il était important d avoir un «centre de coordination» qui pouvait s assurer que toutes ces activités étaient cohérentes et axées sur les bons risques. De plus, je travaillais sur des plans d amélioration des accès, dont un projet de gestion des accès par profil, et il fallait des experts en TI pour en faire la conception détaillée et la réalisation. Le succès de ces projets, comme bien d autres en sécurité, fut possible grâce à un appui extra ordinaire de la part de Desjardins. COMMENT VOTRE PLANIFICATION STRATÉGIQUE S EST-ELLE DÉROULÉE CHEZ DGAG? Ce qui était intéressant quant à la stratégie, c est que l on a choisi l approche des «petits pas». On a favorisé les plus petits projets axés sur les principaux risques et on s est fixé un niveau de maturité réaliste. Un bon référentiel sur lequel s appuyer est l ISO. D abord, on a donc misé sur l approche d amélioration continue de la norme ISO Ensuite, on a évalué chacun des domaines de sécurité de la norme ISO pour déterminer les endroits non conformes et les risques associés. Cet exercice a permis de cibler les emplacements où il y avait des risques plus importants. Ce fut la base du plan d action. Un horizon de trois ans était visé pour corriger les risques les plus considérables, et il fallait réévaluer la situation à la fin de ce cycle. Puis, durant ce cycle, on a, entre autres, mis en place la classification des informations, une nouvelle version de la politique et le déploiement d un ensemble de directives. DEPUIS JANVIER 2010, À LA SUITE D UNE RESTRUCTURATION, VOUS FAITES PARTIE DE LA DIRECTION PRINCIPALE DE LA SI DU MOUVEMENT DESJARDINS. QUELS SONT LES CHANGEMENTS QUI EN DÉCOULENT? La gestion de risques en TI a pris de l importance ces dernières années. «Les équipes de la SI des entités de Desjardins ont été regroupées, ce qui apporte un niveau d expertise extra ordinaire. L objectif est de récupérer ce qu il y avait de meilleur dans tous les groupes maintenant réunis pour consolider l approche globale et relancer un nouveau cycle de maturité.» Évidemment, Desjardins en tient compte dans sa structure avec la première vice-présidence en gestion de risques. Elle existait déjà, mais elle regroupe maintenant tous les spécia - listes des différents domaines de la gestion de risques. ON VOUS DÉCRIT COMME UNE PERSONNE QUI ABORDE LA SÉCURITÉ AVEC CRÉATIVITÉ. POUR QUELLES RAISONS? Probablement parce que j accorde une grande importance à la création de programmes de sécurité sur mesure. Je déploie également beaucoup d énergie à rendre la sécurité attrayante, ce qui n est pas simple. On ne doit pas faire de la SI simplement pour se conformer aux normes et aux bonnes pratiques. Ces dernières sont des guides et non la finalité d un programme de SI. Tout le défi consiste à avoir une base théorique crédible et reconnue (norme ISO, COBIT, documents d organismes comme le NIST, etc.) et à faire preuve de créati vité pour intégrer ces principes dans un programme sur mesure qui limitera efficacement les risques propres à l entreprise. J essaie de toujours cibler les risques d affaires plutôt que d imposer des changements basés seulement sur le fait que «cela fait partie des bonnes pratiques». Lorsque l on parle des risques d une entreprise, les gens se sentent habituellement plus concernés et la collaboration est alors plus facile. COMMENT METTEZ-VOUS EN ŒUVRE CETTE CRÉATIVITÉ DANS LES DIFFÉRENTS ASPECTS D UN PROGRAMME SI? EN METTANT LA GESTION DES RISQUES AU CŒUR DE LA SI... La gestion des risques, c est la base de la SI. C est pourquoi une entreprise a besoin de ce service. Les risques qui préoccupent Desjardins sont ceux qui concernent de façon importante les activités et la réputation de l entreprise, dont les risques de la non-conformité réglementaire ou légale (protection des renseignements personnels), de la con currence (secret d entreprise), de l intégrité des données de masse, de la disponibilité des informations permettant d assurer la prestation de services, etc. La SI sert donc à limiter les risques par rapport aux informations de l entreprise. On le dit souvent, mais le marché de la sécurité est peu outillé pour le faire. Les méthodes d analyses de risques mériteraient d être simplifiées et gagneraient à être plus faciles à personnaliser. En ce moment, il faut être créatif, s appuyer sur la classification des informations et y appliquer des scénarios de risques qui sont probables dans un contexte d entreprise. Suite en page 8 Mars 2010 SÉCUS 7

8 Suite de la page 7 EN AYANT UNE SI BIEN PROGRAMMÉE... Chacune des activités intégrées à un programme de SI devrait être pri vilégiée en fonction des risques qu elle dimi - nuera. Cela assure un meilleur rendement du capital investi (return on investment). Ici, on ne parle pas d un calcul complexe de RCI (ROI), mais de gros bon sens. Un programme de sécurité efficace doit être organisationnel et impliquer tous les intervenants importants, soit la direction et les gestionnaires, les responsables des affaires juridiques, des TI, des communications, du bâtiment et de l aménagement, les services de ressources humaines, les vérificateurs, etc. Le défi d une équipe de SI est d être la «conseillère» et l «aiguilleuse» de tous ces intervenants afin d établir un «plan de match» cohérent et d atteindre des objectifs communs. Tous les moyens sont bons pour rejoindre les publics. La pertinence des messages, la concision et l originalité du média sont des facteurs de succès. «Le programme doit établir une communication bidirectionnelle avec tous les publics cibles, soit la direction et les gestionnaires, les gens de projets, les ressources internes et externes, etc. Cette communication passe par un bon équilibre entre l implication, la formation et la sensibilisation.» On ne vous promet que la tranquillité d esprit Orientations stratégiques en sécurité de l information 600, avenue Belvédère, bureau 200 Québec (Québec) G1S 3E5 Les publics doivent se sentir interpellés quant à leurs tâches et à leurs préoccupations. Vaut mieux avoir un seul message à la fois et le faire passer efficacement que noyer les ressources d informations. Encore là, l important est de se demander annuellement quels sont les messages qui réduiront le plus les risques de l entreprise. EN METTANT EN PLACE UNE CLASSIFICATION EFFICACE ET SURTOUT UTILE... La classification devrait être un processus d amélioration continue. Vaut mieux commencer avec une approche modeste, mais agile et capable d évoluer. Il faut en retirer suffisamment d informations sur la sensibilité en ce qui concerne la confidentialité, l intégrité et la disponibilité pour faire une bonne analyse de risques et voir où il sera le plus «payant» sur le plan de la sécurité de mettre des efforts. Il faut aussi, dès le départ, se demander qui d autre utili - sera le résultat de la classification (architecture des TI, bureau de projet, responsable de la continuité des affaires, etc.) et idéalement rencontrer ces futurs utilisateurs pour voir dans quel format cette classification leur serait utile. La classification est un projet qui demande beaucoup d efforts, alors vaut mieux s assurer que le résultat sera facilement «utilisable». EN AYANT UN CADRE DE GESTION QUI «CADRE» AVEC L ORGANISATION... Dans ma vision «créative» de la SI, il y a évidemment le cadre de gestion, soit la politique d entreprise ainsi que les directives ou normes de sécurité. Attirer les publics vers les directives qui les concernent est tout un défi. Il s agit d un travail constant. Un des éléments intéressants à explorer est la possibilité de ne donner accès aux ressources qu aux éléments du cadre qui les concerne. Ainsi, la quantité d informations sera moins impressionnante et la lecture sera plus pertinente en fonction de leurs tâches. Puis, il faut être original et efficace dans la façon de transmettre les informations. EN UTILISANT JUDICIEUSEMENT LA POLITIQUE D ENTREPRISE DE LA SI... D un point de vue personnel, je considère la politique d entreprise de la SI comme une entente entre les gestionnaires et les intervenants en sécurité afin d officialiser les rôles et responsabilités, d orienter le programme et de légi - timer les activités. C est un document vers lequel je dirige principalement les ressources mentionnées ci-dessus ainsi que l ensemble des gestionnaires. Puisque Desjardins sou - haite limiter ses communications aux employés à ce qui est important pour eux, personnellement, je les dirige rarement vers la politique, mais plutôt vers les directives qui en découlent, et ces dernières les renvoient plus clairement aux attentes propres à un domaine précis de la SI. Suite en page 9 Mars 2010 SÉCUS 8

9 Suite de la page 8 EN FOURNISSANT DES DIRECTIVES CONCISES ET PERSONNALISÉES AUX PUBLICS CIBLES... Les directives doivent être concises. Un langage commun pour le public ciblé doit être utilisé et il faut personnali ser les directives pour convenir au contexte de l entreprise. Une bonne façon d être succinct est, encore une fois, de se de man der quels sont les risques importants à limiter par ces encadrements. Sinon, il peut être tentant d inclure tous les éléments consi - dérés comme de bonnes pratiques (ce qui peut coûter cher sur le plan de la conformité). En mettant l accent sur les prati ques essentielles, on s assure que les efforts de conformité seront investis efficacement. On pourra, par la suite, bonifier ces directives pour mener l entreprise à un niveau de matu - rité de plus en plus grand, mais quelques bouchées à la fois. Idéalement, pour assurer la conformité des directives, il est bien aussi d avoir des propriétaires qui ont un niveau d autorité suffisant sur les secteurs concernés (par exemple, un vice-président qui a sous sa responsabilité l aménagement des bâtiments peut être un bon propriétaire pour les directives sur la sécurité physique). Un propriétaire, une fois convaincu, est un allié extraordinaire. Puis, il doit y avoir un lien fort entre les directives et la classification des informations. Pour une directive donnée, les «classes» d informations visées doivent être indiquées. QUELLE MENACE VOUS FAIT LE PLUS PEUR ACTUELLEMENT? Ce qui me fait le plus peur, c est la démocratisation des informations dans les systèmes de TI. Avant, il y avait très peu de manipulations de données directement par les utili - sateurs et il n y avait pas autant d interconnexions des systèmes à travers le monde. Aujourd hui, le volume de données est beaucoup plus important. Et ces informations circulent beaucoup plus facilement, par exemple d un environnement à un autre. Les utilisateurs extraient, transportent, transfèrent les données, et les contrôles ne suivent pas toujours cette évolution. À mon avis, la classification aide grandement la prise en charge de la menace, ne serait-ce que pour identifier l information la plus à risque, comme les renseignements personnels en raison du nombre élevé de vols d identité, et sa «Le défi est de protéger la donnée. Plus la sécurité est près d elle, plus le contrôle est efficace. Par contre, les outils et les processus qui permettent de contrôler l ensemble des manipulations à risque ne sont pas encore matures.» localisation. Une fois les données bien localisées dans les systèmes, il est plus facile d optimiser les mesures de sécurité et les contrôles et d implanter de bons processus et des outils pour prévenir la perte de données (data loss prevention). ON ENTEND BEAUCOUP PARLER DE LA RARETÉ DE LA MAIN-D ŒUVRE SPÉCIALISÉE EN SÉCURITÉ. VIVEZ-VOUS CETTE PROBLÉMATIQUE? Desjardins se compte privilégié d avoir d aussi bons employés spécialisés en SI. Malgré tout, le recrutement d experts dans ce domaine n est pas évident et c est d autant plus difficile en ce qui concerne les niveaux stratégique et tactique. QUEL EST LE PLUS GRAND DÉFI AUQUEL VOUS FAITES FACE? L un des défis vraiment importants, c est d avoir une approche cohérente et naturelle à tous les niveaux entre le «stratégique» et l «opé - rationnel». Une relation aidante doit exister entre les enjeux, les risques d affaires et la réalité opérationnelle pour que tous travaillent ensemble dans un même but. La création de cette relation harmonieuse se développe avec l implication mutuelle, la transparence, la communication et, évidemment, une volonté par ta gée. C est essentiel pour atteindre un bon niveau de sécurité. Et, humainement, ça rend le travail beaucoup plus intéressant! Photo : Annie Tremblay Mars 2010 SÉCUS 9

10 C O N S E I L S D E X P E R T S S adapter à l évolution de la menace PAR ERIC ROBERT, directeur de pratique, sécurité stratégique Victrix Au cours de la dernière décennie, les organisations de toutes les tailles ont dû composer avec un réseau Internet de plus en plus hostile à cause de la modernisation des attaques et de la multiplication des incidents de sécurité. Eric Robert est directeur de la pratique de Sécurité stratégique à Québec pour Victrix et possède plus de quinze années d expérience dans le domaine. Il a travaillé comme architecte expert pour des projets à fort défi technologique. Il a, de plus, évolué dans plusieurs environnements technologiques d envergure où il a développé une expertise pointue dans l implantation de la norme PCI DSS, notamment, pour la seconde chaîne de commerce de détail en importance au pays et pour des organismes publics et privés. Passionné par son travail, il participe à la promotion de la bonne gouvernance en entreprise en matière de sécurité stratégique. Devant la complexification des technologies et l éclatement du périmètre de sécurité, les approches traditionnelles de défense qui consistaient principalement à assurer la sécurité du périmètre ne suffisent plus. Les entreprises doivent donc s adapter à l évolution des menaces et des risques en adhérant à une stratégie de sécurité proactive tout en maîtrisant les différents aspects de leurs environnements technologiques. Très loin des amateurs à la recherche de défis intellectuels d il y a quelques années, plusieurs atta - quants sont maintenant motivés par l appât du gain. Ce que recherche actuellement le cybercriminel, ce sont des informations relatives à des cartes de «La cybercriminalité est devenue une industrie lucrative et structurée qui transforme l information en argent.» crédit, des renseignements personnels permettant d usurper une identité, des propriétés intellectuelles, des données d authentification et des ressources matérielles (par exemple, bande passante et temps processeur). LES NORMES DE SÉCURITÉ NE SUFFISENT PAS Bien sûr, certaines mesures ont été prévues afin de pallier la menace grandissante. Par exemple, la norme de paiement par carte de crédit PCI DSS (Payment Card Industry Data Security Standard) est requise depuis 2006 pour toute organi - sation qui stocke ou traite des numéros de cartes de crédit. Cette norme consiste en un mélange de gouvernance et de technologie visant à assurer le respect des exigences en matière de sécurité. Bien qu elle s adresse uniquement aux organisations utilisant le paiement par carte de crédit, elle est considérée par plusieurs comme l une des plus strictes parmi les normes actuellement utilisées en Amérique du Nord. La norme PCI DSS a dû elle-même s adapter à l évolution des menaces et des risques. En raison de critiques à propos du manque de contrôles de sécurité propres aux applications Web (à l origine de plus du tiers des vulnérabilités publiées), il a fallu procéder à la révision 1.2 qui a corrigé le tir en intégrant une section propre aux applications (6.6). La prochaine révision de la norme, prévue en octobre 2010, devrait quant à elle comprendre une section reliée aux environnements virtuels. Un véritable défi en soi pour plusieurs organisations! Bien que ce soit un bon guide, la conformité à une norme n est pas une garantie de sécurité. La preuve a été faite dans plusieurs cas et il devient inté - ressant de regarder de plus près les récentes intrusions subies par certaines Suite en page 11 Mars 2010 SÉCUS 10

11 Suite de la page 10 organisations qui satisfaisaient à la norme PCI DSS comme Hannaford 1, Heartland Payment Systems 2 et TJX 3 et de dégager les techniques alors uti - lisées par les cybercriminels. Dans le même ordre d idées, la firme Core Security Technologies a produit une émission Web intitulée Replicating the Gonzalez Cyber Attacks through Penetration Testing 4 afin de démontrer les moyens utilisés par les criminels pour subtiliser plus de 130 millions de cartes de crédit dans les fraudes citées précédemment. Toutes les entreprises dont il est question ici avaient fait l objet d une vérification par des évaluateurs qualifiés (QSA) et autorisés par le consortium PCI DSS. Ces précautions n ont toutefois pas empêché les malfaiteurs de perpétrer leurs crimes. Le déploiement de logiciels malveillants spécialement conçus pour l organisation ciblée et pour lesquels il n existe aucune signature de détection constitue un thème récurrent dans plusieurs incidents. Placés dans des segments réseaux internes considérés comme «sécuritaires», ces logiciels malveillants utilisent souvent des vulnérabilités présentes dans les sites ou applications Web externes, ou encore dans les points d accès sans fil insuffisamment ou aucunement sécurisés. Ce type d attaque complexe démontre la nécessité d appliquer le principe de «défense en profondeur» et la mise en place de couches de sécurité indépendantes les unes des autres mais complémentaires. «Il devient évident que la conformité à quelque norme que ce soit n est pas une garantie absolue pour préserver les informations confidentielles d une entreprise et, ainsi, en assurer la sécurité. De plus, il est clair que la sécurité du périmètre est maintenant inefficace lorsqu elle constitue le seul contrôle en place.» Puis, une stratégie de sécurité cohérente doit également tenir compte de l évolution des menaces et des risques et doit s adapter à la réalité d aujourd hui. Il est donc primordial d effectuer des vérifications indé pen - dantes telles que des tests d intrusion et des analyses de vulnérabilité, ciblant autant l infrastructure réseau que les applications stra té gi ques. Cet exercice permet à une entreprise de vali der le choix des moyens de contrôle administratifs et technologiques mis en place et, ultimement, de mesurer le degré de maturité de sa stratégie de sécurité. Chose certaine, dans un environnement en constante évolution, il est plus que jamais important de lier la sécurité stratégique, tactique et opérationnelle afin de combler l écart entre la technologie et la gouvernance d entreprise. Une approche cohérente repose nécessairement sur un juste équilibre entre budget, ressource qualifiée, technologie, valeur de l information et niveau de risque acceptable. Il s agit là d un défi de taille que devront relever plusieurs organisations. TECHNOLOGIES? OUI, MAIS PAS EXCLUSIVEMENT Bien que la mise en œuvre de solutions technologiques soit une réponse aux exigences en matière de normes et de meilleures pratiques de l industrie, elle ne représente qu une infime partie d une stratégie globale. Ces technologies doi vent se conjuguer à des processus matures de gestion d accès, de gestion de risques, de plans de réponses aux incidents et de gestion du changement. De plus, on ne peut être assuré de son degré de résistance aux menaces quand on ne les connaît pas parfaitement. Ces menaces changent et évoluent continuellement et l on doit assurer une veille technologique de celles-ci afin de demeurer à l affût. Que ce soit une vulné - rabilité d un serveur SQL ou la dernière vulnérabilité (zero day) nuisant à Microsoft Internet Explorer, le personnel en place doit se tenir informé et à jour. Il est essentiel de connaître et de comprendre non seulement les technologies, mais l ensemble de l environnement dans lequel elles sont utilisées. Cela englobe les enjeux propres à l organisation, la logique et les processus d affaires en plus des aspects purement technologiques processor_breach_may_b.html Mars 2010 SÉCUS 11

12 C O N S E I L S D E X P E R T S Le rôle deschefs du service de sécurité PAR ROBERT CHIKARIANS, spécialiste de solutions de sécurité CA Avant l arrivée d Internet, la sécurité à l intérieur des entreprises et du secteur public se résumait presque à garder sous verrous les fournitures de bureau. Aujourd hui, bien sûr, la partie est tout autre. Les professionnels de la sécurité doivent veiller à tout : menaces extérieures et conformité à la réglementation, et ce, en réduisant les coûts et en participant à la croissance de l entreprise. Robert Chikarians, titulaire d un baccalauréat en systèmes d information, œuvre dans le domaine de la technologie de l information depuis plus de quinze ans. Il a travaillé avec succès à l évaluation et à la gestion de plusieurs projets techno - logiques tels que réseautage en commerce électronique, en gestion d identité et d accès et en sécurité. Le rôle du chef du service de sécurité a évolué. Il a maintenant plus de responsabilités, de visibilité et d importance. Plus qu un simple agent veillant à l application du protocole de sécurité, il collabore avec le respon - sable des technologies de l information (TI), le directeur des services financiers et autres cadres supérieurs. Le chef du service de sécurité participe activement au développement de l organisation. Il est également un stratège et un défenseur de la sécurité qui permet à l entreprise de reconnaître le besoin d intégrer des pratiques sécuritaires dans toutes ses activités. INTERNET Pourquoi les chefs du service de sécurité ne sont-ils plus de simples «polices d entreprise»? Internet et la prolifération des appareils mobiles en sont la cause. Ces outils permettent à l information sensible de sortir des environnements qui étaient, jusque-là, fermés et sûrs. Évidemment, avec le temps, les organisations ont commencé à réaliser des transactions en ligne, ce qui a entraîné de nouveaux défis en ce qui concerne la sécurité. EXIGENCE ET CONFORMITÉ Entre-temps, de nouveaux règlements fédéraux comme la Health Insurance Portability and Accountability Act (HIPAA) et la loi Sarbanes-Oxley ont soudainement créé de nouvelles exigences reliées à la vérification, à la protection et à la transmission de données. Ces obligations sont tombées directement dans le giron des chefs du service de sécurité. La nécessité d être toujours conforme en matière de sécurité peut demander beaucoup de travail. Et, sans automatisation, ce peut devenir un cauchemar quotidien, un jour de la marmotte, pour le chef du service de sécurité! Ces changements ainsi que d autres dans la façon de fonctionner des entreprises ont fait évoluer le rôle des chefs du service de sécurité au sein des organisations. Le paradigme se limitant à l application des règles pour prendre un virage plus nuancé et subtil a été abandonné. Le chef du service de sécurité doit connaître dans les moindres détails l entreprise et ses besoins reliés «Le chef du service de sécurité est un gestionnaire possédant un savoir-faire en technologie.» à la sécu rité et il doit comprendre comment les systèmes de TI se traduisent en services d affaires. Certains responsables des TI ne sont pas cons - cients de cette évolution et n impliquent pas leur chef du service de sécurité dans un rôle stratégique. Cependant, à cause de la pression importante exercée sur les chefs du service de sécurité (surcharge du centre d assistance, gestion de l identification des employés, atteintes à la sécurité, etc.), près de la moitié d entre eux consacrent pas moins du tiers de leur journée à analyser des rapports d événements liés à la sécurité. Ce n est pas la meil - leure façon de maxi miser la valeur de l organisation. Suite en page 13 Mars 2010 SÉCUS 12

13 Suite de la page 12 SOLUTIONS : AUTOMATISATION ET CENTRALISATION Une partie de la solution réside dans la mise en œuvre d un système de gestion des identités et des accès qui aidera les professionnels du service de sécurité à réduire les coûts, à automatiser les processus importants, à assurer une conformité à la réglementation, à mettre en place de solides contrôles internes, et ce, tout en facilitant la vérification et le suivi. En automatisant et en centralisant la gestion et l approvisionnement en rapport avec l identité et en déployant un système de conformité réglementaire durable et constant, les coûts diminuent inévitablement pendant que l efficacité augmente. Ainsi, les entreprises peuvent se concen trer sur la concurrence et améliorer le service à la clientèle. Cela dit, en plus de ces précédentes solutions incontournables, les responsables des TI doivent évaluer justement le rôle du chef du service de sécurité et l exploitation informatique de leur organisation. Il ne suffit pas de réduire les risques et les coûts ou d améliorer le service. Les TI doivent être gérées comme une entreprise et être en harmonie avec le secteur d activité. «Si vous êtes responsable des technologies de l information et que vous ne connaissez pas le rôle du chef du service de sécurité de l entreprise, il manque probablement un élément essentiel à votre planification stratégique.» Mars 2010 SÉCUS 13

14 É T U D E D E C A S Vous avez dit pigiste? PAR JEAN-PHILIPPE RACINE, conseiller en sécurité de l information Jean-Philippe Racine est conseiller en SI et œuvre dans le domaine des TI depuis un peu plus de huit ans. Ayant précédemment travaillé en sécurité opérationnelle, il sait maintenant tirer profit de ses expériences pour bonifier ses interventions de niveaux tactiques et stratégiques en SI. Travailleur autonome depuis moins d un an, il détient les certifications CISA et CISSP. Dans le but de parfaire ses connaissances dans le domaine, il est à compléter le programme de maîtrise en gouvernance, audit et sécurité des TI donné par la Faculté d administration de l Université de Sherbrooke. Vous avez bien lu. Cet article traite des pigistes! En fait, les termes un peu plus appropriés qui pourraient être utilisés sont travailleur autonome. Pourquoi en parler maintenant? Au dire de certaines personnes, il semble y avoir un «je ne sais quoi» dans la région de la Vieille Capitale qui pousse plusieurs personnes en technologie de l information (TI) à faire le grand saut. Ayant moi-même décidé de m établir à mon compte en 2009, j ai voulu cerner la place du travail autonome dans les TI. QU EST-CE QU UN TRAVAILLEUR AUTONOME? Revenu Québec a établi six critères 1 qui caractérisent le travail - leur autonome. Certains sortent du lot, soit la non-subordination dans les activités que le travailleur auto - nome doit réaliser, le risque finan - cier supplémentaire à assumer par rapport à un salarié et la propriété des outils utilisés dans le cadre du travail à effectuer (ordinateur, logiciel, fournitures de bureau, etc.). Si le travailleur autonome ne respecte pas ces critères, il pourrait être obligé de verser des cotisations fiscales rétroactives aux deux paliers de gouvernement. Pour cette raison, l Association québécoise des informaticiennes et informaticiens indé - pendants (AQIII) a fait un travail ap - préciable en publiant, en novembre 2009, un contrat type 2 entre un intermédiaire et un travailleur auto - nome en TI. Ce document permet d établir des balises claires entre les parties et contribue à diminuer les démarches de contestation de la part des autorités fiscales. En pratique, ce n est pas toujours évident de modifier des clauses préétablies par certains intermédiaires. Cependant, si les travailleurs autonomes sont informés et bien conseillés au sujet des enjeux rattachés à leur statut d emploi, ce contrat type saura faire son chemin dans les prochaines années. «L Office québécois de la langue française définit le travailleur autonome comme quelqu un qui exerce une activité professionnelle pour son propre compte et sous sa propre responsabilité, et qui n a pas de lien de subordination avec un employeur.» CROISSANCE DU TRAVAIL AUTONOME : RÉELLE OU NON? Chantale Pineault, consultante en sécurité de l information (SI), affirmait dans le magazine SÉCUS de mai 2009 que «depuis quelques années, nous assistons à un exode des professionnels en SI des firmes vers le travail autonome». De plus, l enquête de TECHNOCompétences, disponible depuis 2009 au qc.ca/node/412, expose notamment différentes pistes qui permettent d expliquer l accroissement du nombre de travailleurs autonomes du domaine des TI au Québec. L une des hypothèses avancées serait la rareté anticipée de la main-d œuvre (p. 54). Le déficit des nouveaux diplômés par rapport à la demande du marché (p. 54) en plus des départs massifs à la retraite (p. 58) viennent appuyer cette hypothèse. Pour sa part, la région de Québec profite d une situation économique favorable. Selon les prévisions du Conference Board du Canada (CBC) 3 pour l année 2010, la ville aura un des plus bas taux de chômage des grandes villes canadiennes, soit de 5,8 %. C est une situation plutôt enviable si l on compare cette statistique aux prévisions du taux de chômage du reste de la province de Québec (9,3 %) et de Montréal (9,8 %). Suite en page 15 Mars 2010 SÉCUS 14

15 Suite de la page 14 AVANTAGES ET INCONVÉNIENTS Le travail autonome a ses avantages. Si l on se fie à l une des notes de recherche 4 de la Chaire de recherche du Canada (2008), il semble que la plupart des travailleurs auto - nomes du domaine des TI considèrent les éléments suivants comme les principaux avantages : meilleure rémunération, avantages fiscaux, variété des travaux et des défis, indépendance, liberté et flexibilité des horaires de travail. «Le travail autonome présente également des inconvénients tels que la contrainte d avoir à accomplir diverses tâches administratives, l absence d avantages sociaux et de vacances rémunérées en plus de l insécurité quant à la probabilité d obtenir des revenus instables.» ÊTRE BIEN INFORMÉ Vous pensez avoir un bon «esprit» d entreprise et vous ne savez pas par où commencer? D abord, assurezvous que vos compétences entrepreneuriales sont justes et fiables. Entreprises Canada a justement mis en ligne une autoévaluation 5 à ce sujet. Consultez-la. De plus, reportez-vous à deux blogues particulièrement intéressants sur l entrepreneuriat et le travail auto - nome, soit ceux de Nancy Clermont (www.mandatsti.com) et de Stéphane Guérin (www.stephguerin.com/category/ entrepreneurship/). Puis, lisez Le guide du travailleur autonome de Jean- Benoît Nadeau 6. Il vulgarise une foule de notions telles que les différentes formes juridiques possibles, le plan d entreprise, la comptabilité à réaliser, les déductions d impôt ainsi que le fonctionnement de la TPS et de la TVQ. Cet outil ne rempla cera pas votre comptable et votre avocat, mais il vous permettra d être un peu plus en contrôle. D ailleurs, pour trouver un comptable à la hauteur, informez-vous auprès de gens de confiance. Privilégiez des références solides. Afin de choisir un bon avocat, il est toujours possible de faire appel aux services de référence 7 du Barreau du Québec. Ainsi, vous pourrez obtenir une première consultation de trente minutes à prix modique ou sans frais, ce qui peut être utile au début. METTRE DE L ARGENT DE CÔTÉ Vous lancer dans les affaires comporte une part de risques. Un fonds de roulement pour subvenir à vos besoins pendant trois mois est donc un bon départ pour éviter un stress intense. Il faut également bien gérer les premiers chèques et prévoir une somme pour les impôts, les taxes et les vacances. Sachez que les institutions financières sont parfois frileuses à prêter de grosses quantités d argent au cours des 12 à 24 premiers mois suivant le changement de statut. Petite astuce si votre hypothèque est près de l échéance : renégociez-la avant de vous lancer à votre compte! AVOIR UN RÉSEAUTAGE FORT Il faut également apprendre à obtenir des mandats. Ce n est pas une mince affaire si vous n avez pas développé votre réseautage au préalable. L affichage de vos disponibi - lités sur des sites Internet tels qu AQIII.org et AgentSolo.com combiné à l utilisation de Linkedin sont des moyens à privi - légier. Il y a bien sûr des entreprises spécialisées dans le placement de ressources telles que Multipro et Procom, pour ne nommer que celles-là, qui peuvent vous aider à dénicher un contrat. Cependant, rien ne vous empêche «de faire aller vos relations» chez les différentes firmes de consultation et clients potentiels. CLIENTS ET FIRMES DE CONSULTATION Quelle devrait être la position des clients et des firmes de consultation par rapport à la recrudescence actuelle et Suite en page 16 Mars 2010 SÉCUS 15

16 Suite de la page15 future du travail autonome? Ils devront probablement développer une plus grande ouverture envers ce bassin de travailleurs spécialisés. À ce titre, certaines firmes l ont déjà compris et consacrent quotidiennement des efforts à la gestion et à la recherche de travailleurs autonomes. «Une chose est certaine, le travailleur autonome a sa place en TI et particulièrement dans le domaine de la SI. Au-delà des besoins criants de main-d œuvre, il possède souvent une expertise de pointe qui lui est propre.» INFLUENCE GÉNÉRATIONNELLE Outre les conditions économiques et démographiques mentionnées précédemment, il est possible que des facteurs générationnels puissent entrer en jeu dans les pro - chaines années. La génération Y, reconnue pour son désir de flexibilité et d autonomie, commence à avoir assez d expé rience pour décider de faire le saut dans le travail autonome. Les Y possèdent également une conception de la hiérarchie très différente, engendrant un rapport de force plus important qu auparavant avec leurs supérieurs. De plus, ces jeunes adultes hésitent moins à changer d emploi s ils ne peuvent pas relever des défis intéressants ou lorsque la rémunération ne les satisfait pas. Alors, commencezvous à voir le lien avec certaines particularités du travail autonome? 1. Revenu Québec (page consultée le 20 janvier 2010), Critères pour déterminer le statut (www.revenu.gouv.qc.ca/fr/ travailleur_autonome/affaires/statut/criteres.aspx). 2. AQIII (page consultée le 22 janvier 2010), L AQIII dévoile le contrat type final entre un intermédiaire et un travailleur autonome en TIC (www.aqiii.org/pls/htmldb/f?p=105:39:0::no::p39_id_nouvelle, LAST_PAGE:21228%2C34). 3. Ville de Québec (page consultée le 23 janvier 2010), Prévisions du Conference Board (www.ville.quebec.qc.ca/ gens_affaires/vitalite_economique/docs/previsions_conference.pdf). 4. Chaire de recherche du Canada (page consultée le 3 février 2010), Choisir le travail autonome : le cas des travailleurs indépendants de l informatique (www.teluq.uquebec.ca/chaireecosavoir/html/ notes_fs.htm). 5. Entreprises Canada (page consultée le 23 janvier 2010), Êtes-vous fait pour être entrepreneur? (www.entreprisescanada.ca/fra/125/107/). 6. Jean-Benoît Nadeau (2007), Le guide du travailleur autonome (2 e édition), Québec Amérique, 308 p. 7. Barreau du Québec (page consultée le 18 janvier 2010), Services pro bono ou à faible coût (www.barreau.qc.ca/public/ trouver-avocat/services/index.html). Mars 2010 SÉCUS 16

17 Nouvelles en bref Voici quelques extraits d articles de sécurité publiés sur Internet en janvier et en février 2010 : LE DOSSIER DE SANTÉ ÉLECTRONIQUE SE FAIT ATTENDRE «Le projet-pilote du Dossier de santé électronique est au point mort à cause de bogues informatiques majeurs dans certaines des pharmacies participantes.» Extrait de Branchez-vous.com LES CYBER-ATTAQUES COÛTERAIENT 6,3 M$ PAR JOUR «Un rapport McAfee sur la sécurité informatique révèle que plus de 54 % des infrastructures dites «hautement sensibles» sont régulièrement victimes d attaques à grande échelle ou d infiltrations furtives de la part du crime organisé, de terro - ristes ou d États.» Extrait de Lemondeinformatique.fr IPAD : UN EXPERT MET EN CAUSE LA SÉCURITÉ «[...] si l ipad utilise le même système de cryptage que l iphone, les données personnelles comme les numéros de téléphone et les adresses pourraient être récupérées et visualisées selon Daniel Hoffman, directeur technique chez SMobile Systems [...].» Extrait de Cnetfrance.fr CONTRAT DE 395 M$ US POUR CGI «[...] Groupe CGI a décroché un contrat de 10 ans pouvant atteindre jusqu à 395 millions de dollars américains auprès du Département d État américain et de l Agence américaine pour le développement international.» Extrait de Directioninformatique.com EN CHIFFRES Selon Ruder Finn, 91 % des Américains interrogés disent naviguer sur leur cellulaire dans le but d entretenir leur réseau social. Selon IDC, 53 % des entreprises disposent d un logiciel ou d un service de sauvegarde. Selon ElcomSoft, 77 % des répondants d une étude uti li - sent le même mot de passe pour des applications, des documents et des sites Web. Selon Avanade, 60 % des organisations sondées conviennent que les réseaux sociaux seront l avenir des entrepri ses en matière de collaboration et de technologie. EN VIDÉO $900 MILLION OLYMPIC SECURITY & PROSPERITY PARTNERSHIP DRILL Extrait de YouTube (www.securtube.com/consult_vid.php?no=25798) LE CANADA FERME SITES WEB VICTIMES D UN CANULAR «Un canular provoque la fermeture de plus de sites au Canada. La manipulation des Yes men à l occasion de Copenhague a dépassé les intentions des activistes.» Extrait de Silicon.fr Pour lire ces articles au complet ou pour trouver les dernières nouvelles de sécurité, consultez l agrégateur automatisé de nouvelles de sécurité informatique SecurNews.com. Mars 2010 SÉCUS 17

18 P R O F I L D E N T R E P R I S E ZEROSPAM La fin du pourriel Avec sa jeune équipe, l entreprise ZEROSPAM s est imposée comme chef de file québécois de la sécurité du courrier électronique. Lancée en 2003, elle filtre quotidiennement des millions de courriels pour des sociétés publiques et privées et des organismes gouvernementaux dans tous les secteurs d activité. ZEROSPAM protège ses clients des menaces que constituent les pourriels, les virus, l hameçonnage et les maliciels en filtrant le flux du courrier électronique en nuage, et ce, bien avant qu elles n attei - gnent le périmètre réseau. «Nous étions dans le nuage bien avant qu il devienne un endroit branché», affirme David Poellhuber, fondateur de ZEROSPAM et chef d exploitation. Bien sûr, il y a sept ans, personne ne pouvait prévoir que le volume mondial de spams atteindrait 95 % de la circulation des courriels, mais ZEROSPAM croyait fermement au modèle du logiciel service (software as a service SaaS) et aux béné - fices intrinsèques d une solution impartie, notamment l économie de ressources et la libération des équi - pes TI. Avec de tels avantages à la clé, pas surprenant que des acteurs importants comme la SAQ, VIA Rail, Oxfam, le CRIM et plusieurs autres aient emboîté le pas et souscrit au service. RÉACTIVITÉ ZEROSPAM a fait ses preuves sur un marché dominé principalement par des compétiteurs féroces étrangers. Comment alors expliquer le succès littéral de David contre Goliath? Cette réussite tient à plusieurs éléments. D abord, elle dépend de la réactivité, cette capacité dont dispose la PME à s adapter aux besoins des clients. L entreprise a su tirer profit des crises pendant lesquelles elle a activement soutenu ses clients. Le courriel est maintenant une application critique essentielle qui ne doit jamais s arrêter. Toutefois, il s agit d une longue chaîne de transmission où plusieurs maillons peuvent défaillir. Par exemple, ZEROSPAM avait remarqué que ses clients prisaient particulièrement le ser vice de mise en file des messages en cas d indisponibilité des passerelles. Elle offre donc maintenant un service de continuité du courrier électronique qui permet aux clients d avoir accès à leurs courriels en cas de désastre. Le même raisonnement s est appliqué au service de système de noms de domaine (DNS) hautement redondant maintenant offert. «Nous avons été témoins de quelques histoires d horreur entre nos clients et leurs prestataires DNS. Ces histoires se sont soldées par des pannes de site Web, de capacité de commerce électronique et de messagerie. Nous avons donc entrepris de rendre accessible notre architecture DNS blindée aux clients les plus soucieux de la disponibilité», explique M. Poellhuber. Cette réactivité n est pas l apanage des acteurs importants qui misent plutôt sur le volume. Suite en page 19 Mars 2010 SÉCUS 18

19 Suite de la page 18 SERVICE À LA CLIENTÈLE L autre aspect du succès de ZEROSPAM tient très certainement à la qualité du service à la clientèle auquel le fondateur attache une grande importance. L entreprise filtre, certes, les courriels, mais elle traite avec des humains. Devenus en quelque sorte des experts de l écosystème , les spécialistes de ZEROSPAM règlent bien souvent des pro blèmes et dépannent non seulement des clients, mais aussi leurs correspondants, ce qui dépasse l offre stricte. Ainsi, le personnel technique se fait un plaisir de guider différents intervenants dans la sécurisation de leur nom de domaine par des enregistrements SPF ou d au - tres moyens. La sécurité de toutes les activités de ZEROSPAM joue un rôle important dans la relation de confiance que l entreprise souhaite établir. Son réseau est redondant, avec une architecture de tolérance de fautes, des centres de données de classe mondiale, un cadre interne de gestion de la sécurité, un mécanisme de gestion d incidents, de multiples systèmes d alertes et de télésurveillance, des signatures antivirus constamment mises à jour et des infrastructures exclusivement situées en territoire canadien de façon à mettre les clients à l abri des indiscrétions de la section 215 du Patriot Act américain. ZEROSPAM garantit la confidentia lité des communications et la disponibilité de son service jusque dans ses processus d affaires. Tous les employés se soumettent à des enquêtes de sécurité approfondies. Ces aspects réunis forment une entreprise digne de confiance. RÉSEAU ZEROSPAM est active dans les cercles locaux de sécurité comme l ASIMM, le RSI et l ISIQ. Elle est d ailleurs Selon David Poellhuber, «la confiance accordée par un client qui place sa sécurité entre les mains de ZEROSPAM doit être méritée. Le facteur humain est le plus sensible et le plus important. Le service de courriels est si névralgique que tous les appels et toutes les demandes doivent trouver réponse sur-le-champ auprès de vrais professionnels. C est ce service, frisant l obsession, qui a fait la différence pour bon nombre de clients.» membre de la Filière PME de l ISIQ, un lieu de rencontre et de réseautage des plus riches. Des investissements continus en recherche et développement et une présence dans les forums internationaux comme le MIT Spam Conference et l APWG garantissent que l entreprise demeure à la fine pointe des avancements dans la lutte incessante contre le fléau du spam. LOI C-27 L adoption imminente du projet de loi C-27, la première loi canadienne sur le pourriel, changera-t-elle la donne pour ZEROSPAM? Eh bien tout porte à croire que l effet net de cette loi sera très certainement la révision des pratiques de la diffusion par courrier électronique pour les envoyeurs légitimes qui devront dorénavant disposer du consentement du destinataire à recevoir un message. En ce sens, la loi ne réduira pas réellement le volume actuel de pourriel, mais exigera une plus grande discipline de la part des entreprises qui avaient jusque-là des pratiques libérales en matière d envois de masse. AVENIR Comment se présente l avenir? Plutôt rose, si l on en croit l IDC, qui prévoit une croissance annuelle de 27 % des services de sécurité du courriel en nuage d ici Cette croissance se fera principalement au détriment des ap pa - reils et logiciels de filtrage qui n offrent pas autant d avan tages. ZEROSPAM concentre actuellement son dévelop pement hors Québec en ciblant le marché canadien et en accélérant le recrutement de nouveaux partenaires tout en visant la zone euro et le Royaume-Uni. De nouveaux services de sécurité, toujours en nuage, verront le jour en Mars 2010 SÉCUS 19

20 Z O O M L ASIMM : véhicule de promotion de la sécurité de l information PAR MICHEL BOUTIN, président de l ASIMM L Association de Sécurité de l Information du Montréal Métropolitain (ASIMM) vise le développement du milieu de la sécurité de l information (SI), particulièrement dans la région de Montréal, mais pas exclusivement. L association aura bientôt trente ans! L ASIMM est la plus an - cienne association canadienne de langue française consacrée à la SI. Elle accueille comme membre tout individu ou organisation ayant un intérêt pour la SI et un désir de collaborer avec la communauté. La vitalité de la communauté représente d ailleurs un facteur clé du succès de l ASIMM, que ce soit par l engagement bénévole ou la simple participation aux activités. L année dernière, l association a rejoint plus de cinq cents personnes provenant de ses effectifs ou de regroupements affiliés dans le cadre de ses acti vités, moyens privilégiés par l ASIMM pour réaliser sa mission. UNE MISSION EN CINQ AXES L ASIMM a pour mission de favoriser le développement du milieu de la SI de la région du grand Montréal. Ce but général s articule autour de cinq axes précis : 1. Rehausser le niveau de compétence des membres dans le domaine de la SI. 2. Faciliter le réseautage des membres. 3. Présenter une vitrine permettant aux membres de recevoir l information sur le milieu de la SI. 4. Favoriser le développement de la relève en SI. 5. Promouvoir la SI. Pour atteindre ses objectifs, l ASIMM chapeaute plu - sieurs activités. DES ÉVÉNEMENTS COURUS Sous la forme de déjeuners-causeries ou de cinq-à-sept techniques, l organisation de conférences constitue la principale activité de l ASIMM pour permettre aux professionnels œuvrant en SI ainsi qu aux étu diants et aux curieux d obtenir de l information sur des sujets précis. Ces activités font aussi office de forum de discussion et de réseautage. LE RSI EST POPULAIRE Le Rendez-vous de la sécurité de l information (RSI) repré sente l activité la plus populaire de l ASIMM (colloquersi.com). Cet événement unique est consacré à la SI. Son objectif est de réunir les différents spécialistes et intervenants du milieu. Ils peuvent alors partager leurs visions et leurs connaissances sur les technologies, les tendances et les meilleures pratiques dans tous les domaines de la SI : enjeux de gouvernance, gestion de la sécurité, sécurité physique, sécurité informatique, vérifications, aspects légaux et sociaux et bien d autres. «Montréal est une plateforme internationale privilégiée et bilingue. Le RSI, tout comme les autres événements de l ASIMM, attire donc des conférenciers, tant locaux qu internationaux, de qualité pour la plus grande satisfaction des participants.» Suite en page 21 Mars 2010 SÉCUS 20

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Gestion de la sécurité de l information par la haute direction

Gestion de la sécurité de l information par la haute direction Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

La sécurité entgv. avecpatrick Boucher

La sécurité entgv. avecpatrick Boucher E N T R E V U E La sécurité entgv Photo : Michel Latulippe avecpatrick Boucher PROPOS RECUEILLIS PAR SAMUEL BONNEAU Patrick Boucher est diplômé de l UQAM en informatique. Il est président fondateur de

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

À qui confier ses impôts? Mais examinons pour commencer 1)Les grandes lignes de notre système fiscal

À qui confier ses impôts? Mais examinons pour commencer 1)Les grandes lignes de notre système fiscal JEAN PELLETIER, COMPTABLE PROFESSIONNEL AGRÉÉ (CA) À qui confier ses impôts? Mais examinons pour commencer 1)Les grandes lignes de notre système fiscal Au Canada, l impôt sur le revenu est prélevé sur

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

Exemples de description de poste

Exemples de description de poste Exemples de description de poste Conseiller(ère), dotation et développement organisationnel Responsabilités Effectuer le recrutement interne et externe pour des postes de niveau varié et agir à titre de

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

Président et chef de la direction

Président et chef de la direction Sommaire descriptif du rôle et responsabilités Président et chef de la direction Novembre 2015 Pour de plus amples renseignements, contactez: Nathalie Francisci, CRHA, IAS. A Associée nathalie.francisci@odgersberndtson.ca

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

22 Solut!ons pour planifier vos finances. Des stratégies éprouvées

22 Solut!ons pour planifier vos finances. Des stratégies éprouvées 22 Solut!ons pour planifier vos finances Des stratégies éprouvées pour améliorer vos finances L avenir que vous bâtissez aujourd hui est celui dont vous profiterez demain Seriez-vous rassuré de savoir

Plus en détail

Fiche 1 Le résumé du projet

Fiche 1 Le résumé du projet Fiche 1 Le résumé du projet Le résumé présente les grandes lignes du plan en un seul coup d oeil. Aussi, il doit être concis et s énoncer dans peu de pages. Deux pages c est bien, mais une page, c est

Plus en détail

Chapitre 1 : Vérification des heures supplémentaires

Chapitre 1 : Vérification des heures supplémentaires Chapitre 1 : Vérification des heures supplémentaires Besoin d une gestion plus serrée des heures supplémentaires Ottawa, le 2 mai 2006 La Ville d Ottawa devrait mettre en place une série de mesures dans

Plus en détail

LE CERCLE CANADIEN DE MONTRÉAL. Le Fonds de solidarité FTQ : son impact sur la société et sur l économie

LE CERCLE CANADIEN DE MONTRÉAL. Le Fonds de solidarité FTQ : son impact sur la société et sur l économie LE CERCLE CANADIEN DE MONTRÉAL Le Fonds de solidarité FTQ : son impact sur la société et sur l économie Allocution de M. Yvon Bolduc, Président-directeur général Fonds de solidarité FTQ Montréal, le lundi

Plus en détail

2014-2017 Approche stratégique gouvernementale

2014-2017 Approche stratégique gouvernementale Avis au lecteur sur l accessibilité : Ce document est conforme au standard du gouvernement du Québec SGQRI 008 02 (SGQRI 008 03, multimédia : capsules d information et de sensibilisation vidéo) afin d

Plus en détail

Les bonnes pratiques du recrutement en ligne

Les bonnes pratiques du recrutement en ligne POUR VOUS ÉCLAIRER DANS LE COMMERCE DE DÉTAIL Les bonnes pratiques du recrutement en ligne Avant-propos Au Québec, le commerce de détail compte près de 24 000 établissements et 300 000 employés. Les jeunes

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

SOMMAIRE. FÉVRIER 2013 RESSOURCES HUMAINES ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES

SOMMAIRE. FÉVRIER 2013 RESSOURCES HUMAINES ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES FÉVRIER 2013 RESSOURCES HUMAINES ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES Faits saillants du sondage 2 Contexte et méthode de sondage 3 Profil des répondants

Plus en détail

Impartition réussie du soutien d entrepôts de données

Impartition réussie du soutien d entrepôts de données La force de l engagement MD POINT DE VUE Impartition réussie du soutien d entrepôts de données Adopter une approche globale pour la gestion des TI, accroître la valeur commerciale et réduire le coût des

Plus en détail

UN SERVICE À VOTRE IMAGE

UN SERVICE À VOTRE IMAGE UN SERVICE À VOTRE IMAGE Un service Un service de de Mutuelles qui qui inspire inspire la fierté! la fierté! Depuis 2012, Depuis l AQEI 2012, offre l AQEI un offre outil un sur outil mesure à mesure ses

Plus en détail

Déterminer quelle somme dépenser en matière de sécurité des TI

Déterminer quelle somme dépenser en matière de sécurité des TI Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement

Plus en détail

Diriger une association dans le secteur culturel

Diriger une association dans le secteur culturel Diriger une association dans le secteur culturel une affaire de compétence et d'engagement Les faits saillants du résultat de l analyse de la profession Dirigeante ou dirigeant d association Avec la collaboration

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Un crédit d impôt pour l avenir du Québec

Un crédit d impôt pour l avenir du Québec Un crédit d impôt pour l avenir du Québec Mémoire présenté à la Commission d examen sur la fiscalité québécoise Par l Association canadienne de l enseignement coopératif, comité Québec (ACDEC-Québec) En

Plus en détail

COMPTES PUBLICS DU CANADA 2005-2006

COMPTES PUBLICS DU CANADA 2005-2006 INFORMATION SUPPLÉMENTAIRE OBSERVATIONS DE LA VÉRIFICATRICE GÉNÉRALE SUR LES ÉTATS FINANCIERS DU GOUVERNEMENT DU CANADA DE L EXERCICE CLOS LE 31 MARS 2006 Dans ces observations, j aimerais expliquer certains

Plus en détail

L expertise a un visage

L expertise a un visage L expertise a un visage Une équipe d experts à l écoute de vos besoins Informatique ProContact, c est plus de 200 experts passionnés prêts à innover qui sont à votre service jour après jour afin de vous

Plus en détail

D ACTION L A N. Plan d action. sur les infrastructures essentielles

D ACTION L A N. Plan d action. sur les infrastructures essentielles D ACTION L A N Plan d action sur les infrastructures essentielles Sa Majesté la Reine du Chef du Canada, 2009 No de cat. : PS4-66/2009F-PDF ISBN : 978-1-100-90319-4 Imprimé au Canada Table des matières

Plus en détail

MOT DU PRÉSIDENT-DIRECTEUR GÉNÉRAL

MOT DU PRÉSIDENT-DIRECTEUR GÉNÉRAL Plan d action de développement durable 2009-2013 MOT DU PRÉSIDENT-DIRECTEUR GÉNÉRAL Il me fait plaisir de présenter le plan d action de développement durable du Centre de la francophonie des Amériques

Plus en détail

INVESTIR À propos de Banque Nationale Courtage direct. Prenez le contrôle avec Banque Nationale Courtage direct

INVESTIR À propos de Banque Nationale Courtage direct. Prenez le contrôle avec Banque Nationale Courtage direct Prenez le contrôle avec Banque Nationale Courtage direct 01 Au service des investisseurs canadiens depuis plus de 25 ans Filiale d une des plus grandes institutions financières au pays, offre aux investisseurs

Plus en détail

LA FORMATION CONTINUE BÉNÉFIQUE POUR VOUS?

LA FORMATION CONTINUE BÉNÉFIQUE POUR VOUS? LA FORMATION CONTINUE BÉNÉFIQUE POUR VOUS? Questions Vrai Faux J ai suivi un cours ou lu un livre traitant de mon secteur d activité au 1 cours des trois dernières années. 0 1 Mon secteur d activité a

Plus en détail

Montréal, le 12 juillet 2013. Cap Finance 4200, rue Adam, Montréal (QC), H1V 1S9

Montréal, le 12 juillet 2013. Cap Finance 4200, rue Adam, Montréal (QC), H1V 1S9 MÉMOIRE DÉPOSÉ AUPRÈS DU GOUVERNEMENT FÉDÉRAL DANS LE CADRE DE LA CONSULTATION PORTANT SUR LA SUPPRESSION PROGRESSIVE DES CRÉDITS D IMPÔT ATTACHÉS AUX FONDS DE TRAVAILLEURS CAP finance appuie les fonds

Plus en détail

Investir dans la prospérité future du Canada. Présentation de l Université McGill au Comité permanent des finances de la Chambre des communes

Investir dans la prospérité future du Canada. Présentation de l Université McGill au Comité permanent des finances de la Chambre des communes Investir dans la prospérité future du Canada Présentation de l Université McGill au Comité permanent des finances de la Chambre des communes Le 12 août 2011 Aperçu Depuis quelques années, notre pays s

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

Règlement relatif à l utilisation des ressources informatiques et de télécommunication SECRÉTARIAT GÉNÉRAL Règlements, directives, politiques et procédures Règlement relatif à l utilisation des ressources informatiques et de télécommunication Adoption Instance/Autorité Date Résolution(s)

Plus en détail

Chef de file en matière de gestion des. ressources humaines, Groupe SFP. a comme mission d offrir des solutions. adaptées visant l efficacité

Chef de file en matière de gestion des. ressources humaines, Groupe SFP. a comme mission d offrir des solutions. adaptées visant l efficacité www.groupe-sfp.com 1.877.373.8208 TROIS-RIVIÈRES 2200, rue Sidbec Sud, Bureau 204 Trois-Rivières (Québec) G8Z 4H1 Tél. : 819.373.8208 Téléc. : 819.373.8165 resshum@groupe-sfp.com DRUMMONDVILLE 193, rue

Plus en détail

Politique de gouvernance et de gestion des ressources informationnelles

Politique de gouvernance et de gestion des ressources informationnelles Politique de gouvernance et de gestion des ressources informationnelles 1. Introduction La gouvernance et la gestion des ressources informationnelles au sein du gouvernement soulèvent des enjeux majeurs

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

STEPHANE DODIER, M.B.A. Sommaire. Compétences. Formation académique 514-608- 5865. sdodier@stephanedodier.com. Stephane Dodier MBA

STEPHANE DODIER, M.B.A. Sommaire. Compétences. Formation académique 514-608- 5865. sdodier@stephanedodier.com. Stephane Dodier MBA STEPHANE DODIER, M.B.A. 514-608-5865 Sommaire J occupe le poste de Vice-Président Exécutif pour Optimum informatique, une firme de servicesconseils informatique appartenant au Groupe financier Optimum.

Plus en détail

LAN Intégré : accéder

LAN Intégré : accéder LAN Intégré : accéder accédez à votre réseau local sans contrainte de lieu ni de temps La solution WLAN (Wireless Local Area Network) pour réseaux locaux sans fil fonctionne de la même manière que les

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

L industrie minière en 2013 : transformer un risque élevé en un très grand potentiel pour le Québec

L industrie minière en 2013 : transformer un risque élevé en un très grand potentiel pour le Québec L industrie minière en 2013 : transformer un risque élevé en un très grand potentiel pour le Québec Emilio B. Imbriglio Associé, président et chef de la direction de Raymond Chabot Grant Thornton Emilio

Plus en détail

Création d un programme de. Baccalauréat en communication marketing

Création d un programme de. Baccalauréat en communication marketing Création d un programme de Préparé par Hana Cherif, professeure, Département de stratégie des affaires Danielle Maisonneuve, professeure, Département de communication sociale et publique Francine Charest,

Plus en détail

2014 Sondage d AGF sur les perspectives des investisseurs. Revoir la notion des placements

2014 Sondage d AGF sur les perspectives des investisseurs. Revoir la notion des placements 2014 Sondage d AGF sur les perspectives des investisseurs Revoir la notion des placements Un message de Blake C. Goldring, m.s.m., ll.d., cfa PRÉSIDENT DU CONSEIL ET CHEF DE LA DIRECTION, LA SOCIÉTÉ DE

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Document d orientation aux organismes publics Annexe A Rôles et responsabilités détaillés des

Plus en détail

Connaissez les risques. Protégez-vous. Protégez votre entreprise.

Connaissez les risques. Protégez-vous. Protégez votre entreprise. Protégez-vous en ligne. Connaissez les risques. Protégez-vous. Protégez votre entreprise. CONSEILS PENSEZ CYBERSÉCURITÉ POUR LES PETITES ET MOYENNES ENTREPRISES Si vous êtes comme la plupart des petites

Plus en détail

Brochure d information. Santé psychologique. Faciliter le changement : une approche humaine

Brochure d information. Santé psychologique. Faciliter le changement : une approche humaine Brochure d information Santé psychologique Faciliter le changement : une approche humaine FACILITER LE : UNE APPROCHE HUMAINE Selon Pierre Lainey, quatre croyances erronées peuvent miner la conduite des

Plus en détail

Situation actuelle : Sommaire d une recommandation Page 1 de 5

Situation actuelle : Sommaire d une recommandation Page 1 de 5 Le but de l entreprise est d offrir la meilleure qualité de service dans la vente de pièces automobiles. Les clients de Pintendre on besoin de se procurer les pièces automobiles rapidement afin de changer

Plus en détail

Vous êtes AUSSI des gens d affaires

Vous êtes AUSSI des gens d affaires Vous êtes AUSSI des gens d affaires Présentation au congrès de l OTTIAQ 2013 Vendredi 22 novembre 2013 Simon Gaudreault, économiste Qui sommes-nous? Association de PME fondée en 1971, 42 ans d existence

Plus en détail

Agenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions

Agenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions Agenda Le marché global entourant l infonuagique Le Cloud vs le Gouvernement du Québec Position officielle Communauté Européenne Approche globale entourant la sécurité Centre de traitement Sécurité Conformité

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

Bibliothèque et Archives nationales du Québec Bibliothèque nationale du Canada 3e trimestre 2015. www.cpq.qc.ca

Bibliothèque et Archives nationales du Québec Bibliothèque nationale du Canada 3e trimestre 2015. www.cpq.qc.ca Commentaires du CPQ sur le projet de loi n 58 Loi regroupant la Commission administrative des régimes de retraite et d assurances et la Régie des rentes du Québec - Septembre 2015 - Le CPQ a pour mission

Plus en détail

Plan d action de développement durable 2009-2015 modifié le 19 juin 2013. Commission des services juridiques

Plan d action de développement durable 2009-2015 modifié le 19 juin 2013. Commission des services juridiques Plan d action de développement durable 2009-2015 modifié le 19 juin 2013 Commission des services juridiques Mot du Président Au nom du personnel et de la direction de la Commission des services juridiques,

Plus en détail

Mémoire. La littératie financière. en perspective avec la planification financière. l Institut québécois de planification financière

Mémoire. La littératie financière. en perspective avec la planification financière. l Institut québécois de planification financière Mémoire La littératie financière en perspective avec la planification financière présenté par l Institut québécois de planification financière au Groupe de travail sur la littératie financière le 31 mai

Plus en détail

5.6 Concertation pour l emploi

5.6 Concertation pour l emploi 5.6 Concertation pour l emploi Soutien à la gestion des ressources humaines 5.6 CONCERTATION POUR L EMPLOI 2012-07-12 Table des matières Section 4 : p. 2 sur 13 Table des matières RÉFÉRENCE Table des matières...

Plus en détail

PROJET PROJET LIGNE DIRECTRICE SUR L AGRÉGATION DES DONNÉES SUR LES RISQUES ET LA DIVULGATION DES RISQUES

PROJET PROJET LIGNE DIRECTRICE SUR L AGRÉGATION DES DONNÉES SUR LES RISQUES ET LA DIVULGATION DES RISQUES PROJET LIGNE DIRECTRICE SUR L AGRÉGATION DES DONNÉES SUR LES RISQUES ET LA DIVULGATION DES RISQUES Février 2016 TABLE DES MATIÈRES Préambule... 3 Champ d application... 4 Prise d effet et processus de

Plus en détail

S E R V I C E D E G E S T I O N P R I V É E

S E R V I C E D E G E S T I O N P R I V É E S E R V I C E D E G E S T I O N P R I V É E 2 QUAND LA GESTION DE PORTEFEUILLE SE DÉMOCRATISE 3 Le debut des activités, en 2011, de la Société de gestion privée des Fonds FMOQ inc. marque une nouvelle

Plus en détail

La classification des actifs informationnels au Mouvement Desjardins

La classification des actifs informationnels au Mouvement Desjardins La classification des actifs informationnels au Mouvement Desjardins Cas vécu en grande entreprise Jean-François Allard Directeur principal Risques Informationnels Mouvement Desjardins Anick Charland Conseillère

Plus en détail

Stella-Jones pilier du secteur grâce à IBM Business Analytics

Stella-Jones pilier du secteur grâce à IBM Business Analytics Stella-Jones pilier du secteur grâce à IBM Accélération et précision des rapports, budgets et prévisions au service d une entreprise en plein essor En bref Les besoins À la suite de plusieurs acquisitions

Plus en détail

STRATÉGIE DE LA COPROPRIÉTÉ. Aidez les propriétaires d entreprise à protéger leur avoir commercial et personnel tout en maximisant leur épargne!

STRATÉGIE DE LA COPROPRIÉTÉ. Aidez les propriétaires d entreprise à protéger leur avoir commercial et personnel tout en maximisant leur épargne! STRATÉGIE DE LA COPROPRIÉTÉ Aidez les propriétaires d entreprise à protéger leur avoir commercial et personnel tout en maximisant leur épargne! La situation Jacques Robichaud et Richard Larivée sont actionnaires

Plus en détail

Concilier le travail et les études : parce que tous y gagnent!

Concilier le travail et les études : parce que tous y gagnent! Concilier le travail et les études : parce que tous y gagnent! Image : Jscreationzs/ Texte à l intention des intervenants scolaires et des commissaires qui font la promotion du programme 6-9-15 Par Renée

Plus en détail

Faits saillants du Cadre des profils de compétences en TIC

Faits saillants du Cadre des profils de compétences en TIC Développer aujourd hui la main-d œuvre de demain Information and Communications Technology Council Conseil des technologies de l information et des communications Faits saillants du Cadre des profils de

Plus en détail

DIRECTIVE 2600-027. ADOPTION : Comité de direction Résolution : CD-2006-02-14-08 TABLE DES MATIÈRES

DIRECTIVE 2600-027. ADOPTION : Comité de direction Résolution : CD-2006-02-14-08 TABLE DES MATIÈRES DIRECTIVE 2600-027 TITRE : ADOPTION : Comité de direction Résolution : CD-2006-02-14-08 ENTRÉE EN VIGUEUR : 14 février 2006 TABLE DES MATIÈRES Préambule... 2 1. Objet... 2 2. Cadre juridique... 2 3. Champ

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

10 conseils infaillibles pour garantir la sécurité de votre activité. your

10 conseils infaillibles pour garantir la sécurité de votre activité. your 10 conseils infaillibles pour garantir la sécurité de votre activité on en keep top your 10 conseils infaillibles pour garantir la sécurité de votre activité Avec l évolution et le développement constant

Plus en détail

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION ~ ~ Superviser la qualité et l intégrité de l information financière de la Banque ~ ~ Principales responsabilités assurer

Plus en détail

Recruter Chercher Intégrer Évaluer les coûts Retenir Soutien additionnel

Recruter Chercher Intégrer Évaluer les coûts Retenir Soutien additionnel Recruter Chercher Intégrer Évaluer les coûts Retenir Soutien additionnel OBJECTIFS Les Clés du recrutement d Emploi-Québec de l Île-de-Montréal ont pour objectif de renforcer la capacité des PME à élaborer,

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

RÔLES ET RESPONSABILITÉS SUGGÉRÉES POUR LE COORDONNATEUR COMMUNAUTAIRE DU SISA

RÔLES ET RESPONSABILITÉS SUGGÉRÉES POUR LE COORDONNATEUR COMMUNAUTAIRE DU SISA RÔLES ET RESPONSABILITÉS SUGGÉRÉES POUR LE COORDONNATEUR COMMUNAUTAIRE DU SISA Le présent document a pour but de servir de guide pour ce qui est des rôles et des responsabilités du coordonnateur communautaire

Plus en détail

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION ~ ~ Superviser la qualité et l intégrité de l information financière de la Banque ~ ~ Principales responsabilités Assurer

Plus en détail

Vue d ensemble. Initiatives des données. Gestion de la trésorerie. Gestion du risque. Gestion des fournisseurs 2 >>

Vue d ensemble. Initiatives des données. Gestion de la trésorerie. Gestion du risque. Gestion des fournisseurs 2 >> Access MD Online Vue d ensemble Access MD Online fournit aux organisations un accès en temps réel à leurs programmes de carte commerciale au sein d un environnement sécurisé, n importe où et n importe

Plus en détail

1. La sécurité applicative

1. La sécurité applicative ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité

Plus en détail

Journée des CPA 2012

Journée des CPA 2012 Journée des CPA 2012 L INFORMATIQUE EN NUAGE EN PME Démystifier Évaluer Aligner Hugo Boutet, B.A.A., Adm.A. Contenu de la présentation Pourquoi? Démystifier Avantages Risques Comparaisons Votre rôle Évolution

Plus en détail

GUIDE D IMPLANTATION D UN PROGRAMME D APPRENTISSAGE EN MILIEU DE TRAVAIL (PAMT)

GUIDE D IMPLANTATION D UN PROGRAMME D APPRENTISSAGE EN MILIEU DE TRAVAIL (PAMT) GUIDE D IMPLANTATION D UN PROGRAMME D APPRENTISSAGE EN MILIEU DE TRAVAIL (PAMT) MARS 2011 Conseil québécois des ressources humaines en tourisme 1 AVANT-PROPOS Ce guide d implantation s adresse spécifiquement

Plus en détail

NTRODUCTION. Guide de gestion des ressources humaines

NTRODUCTION. Guide de gestion des ressources humaines NTRODUCTION La rémunération est une activité ayant un impact important sur la performance de l entreprise. Une gestion efficace de la rémunération permet de contrôler les coûts liés à la main-d œuvre,

Plus en détail

LIVRE BLANC. Migration de Magento Community Edition MD à Magento Enterprise Edition MD

LIVRE BLANC. Migration de Magento Community Edition MD à Magento Enterprise Edition MD LIVRE BLANC Migration de Magento Community Edition MD à Magento Enterprise Edition MD INTRODUCTION La plateforme de commerce électronique Magento MD offre aux commerçants une solution complète, souple

Plus en détail

MÉMOIRE sur le Projet de Loi 77 sur l équité salariale

MÉMOIRE sur le Projet de Loi 77 sur l équité salariale MÉMOIRE sur le Projet de Loi 77 sur l équité salariale Présenté au Comité permanent de modification des lois de l Assemblée législative le 26 novembre 2004 Fredericton, Nouveau-Brunswick Le Conseil économique

Plus en détail

Le ministre Oliver dépose un budget équilibré et un plan axé sur des impôts bas pour favoriser l emploi, la croissance et la sécurité

Le ministre Oliver dépose un budget équilibré et un plan axé sur des impôts bas pour favoriser l emploi, la croissance et la sécurité Ministère des Finances Communiqué Le ministre Oliver dépose un budget équilibré et un plan axé sur des impôts bas pour favoriser l emploi, la croissance et la sécurité Le Plan d action économique de 2015

Plus en détail

Avis du Comité consultatif sur le rapport de la Commission nationale sur la participation au marché du travail des travailleuses et travailleurs

Avis du Comité consultatif sur le rapport de la Commission nationale sur la participation au marché du travail des travailleuses et travailleurs Avis du Comité consultatif sur le rapport de la Commission nationale sur la participation au marché du travail des travailleuses et travailleurs expérimentés de 55 ans et plus Novembre 2011 Introduction

Plus en détail

agility made possible

agility made possible DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives Comment assurer une expérience utilisateur exceptionnelle pour les applications métier

Plus en détail

L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i n f r a m e, un b e s o i n c r u c i a l

L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i n f r a m e, un b e s o i n c r u c i a l Siège social : 5 Speen Street Framingham, MA 01701, É.-U. T.508.872.8200 F.508.935.4015 www.idc.com L I V R E B L A N C P r o t ég e r l e s a p p l i c a t i o n s m ét i e r s c r i t i q u e s M a i

Plus en détail

La sécurité dans le Cloud v.8

La sécurité dans le Cloud v.8 La sécurité dans le Cloud v.8 Octobre 2011 Présenté au CQSI 2011 Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika Contenu de la conférence 1. Concept du Cloud Computing 2. Risques : menaces,

Plus en détail

GROUPE GIROUX MÉNARD. Roger Giroux, CPA, CA Associé fondateur. Éric Laprés, CPA, CA Associé fondateur. Josée Charbonneau, CPA, CA Associée fondatrice

GROUPE GIROUX MÉNARD. Roger Giroux, CPA, CA Associé fondateur. Éric Laprés, CPA, CA Associé fondateur. Josée Charbonneau, CPA, CA Associée fondatrice GROUPE GIROUX MÉNARD Le Groupe Giroux Ménard vous offre des services en certification, en fiscalité et en financement ainsi que des services-conseils. La firme peut également vous conseiller en matière

Plus en détail

GESTION DE LA PERFORMANCE

GESTION DE LA PERFORMANCE GESTION DE LA PERFORMANCE RÉDUISEZ L'ÉCART ENTRE VOTRE STRATÉGIE ET SON EXÉCUTION GESTION PERFORMANCE GESTION PROJETS GESTION RESSOURCES HUMAINES gestion PerformAnce GESTION PROJETS GESTION RESSOURCES

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Liste usuelle des conseillers Les buts de cet outil sont de : Instructions :

Liste usuelle des conseillers Les buts de cet outil sont de : Instructions : Outil Liste usuelle des conseillers L outil Liste usuelle des conseillers vous aidera à faire du transfert de votre entreprise un projet collectif et favorisera le travail d équipe entre vos différents

Plus en détail

Le Fonds de solidarité FTQ : trente ans plus tard, une innovation sociale toujours aussi pertinente

Le Fonds de solidarité FTQ : trente ans plus tard, une innovation sociale toujours aussi pertinente Page1 Volume 4, numéro 3 Le Fonds de solidarité FTQ : trente ans plus tard, une innovation sociale toujours aussi pertinente Mario Tremblay, Vice-président aux affaires publiques et corporatives, et secrétaire

Plus en détail

Utiliser l informatique en nuage pour stimuler les revenus des détaillants Alliance Fujitsu-salesforce.com

Utiliser l informatique en nuage pour stimuler les revenus des détaillants Alliance Fujitsu-salesforce.com Utiliser l informatique en nuage pour stimuler les revenus des détaillants Alliance Fujitsu-salesforce.com Pourquoi Fujitsu? Fujitsu est une grande société qui a réussi à l échelle mondiale... sans en

Plus en détail

Cloud Computing*: questions juridiques

Cloud Computing*: questions juridiques 07 Juin 2011 CERT Ist - Forum 2011 Cloud Computing*: questions juridiques Jean-Marie Job Avocat associé de Gaulle Fleurance & Associés jmjob@dgfla.com * Informatique en nuage Ateliers ADIJ Solutions aux

Plus en détail

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité Document de présentation technique d Allstream et de Dell SecureWorks 1 Table des matières Sommaire 1 État

Plus en détail

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS)

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Une étude personnalisée de la série Technology Adoption Profile commandée par Bell Canada Juin 2014 Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Introduction

Plus en détail

GESTION DE PROJETS UNE GESTION DE PROJETS EFFICACE OFFRE UN POTENTIEL DE GAINS IMPORTANTS

GESTION DE PROJETS UNE GESTION DE PROJETS EFFICACE OFFRE UN POTENTIEL DE GAINS IMPORTANTS GESTION DE PROJETS UNE GESTION DE PROJETS EFFICACE OFFRE UN POTENTIEL DE GAINS IMPORTANTS GESTION PERFORMANCE GESTION PROJETS GESTION RESSOURCES HUMAINES GESTION PErFOrMANCE gestion projets GESTION ressources

Plus en détail

La sécurité de l'information

La sécurité de l'information Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus

Plus en détail

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français L opinion des consommateurs français sur : Le niveau de sécurité des données personnelles pour chaque industrie Les organisations collectant des données personnelles via les appareils connectés Les recherches

Plus en détail