ANIK MICHAUDVILLE. menace. S adapter. Le rôle deschefs du service de sécurité. à l évolution de la. De la créativité à la sécurité MAGAZINE

Dimension: px
Commencer à balayer dès la page:

Download "ANIK MICHAUDVILLE. menace. S adapter. Le rôle deschefs du service de sécurité. à l évolution de la. De la créativité à la sécurité MAGAZINE"

Transcription

1 Vol. 2 N o 1 Mars 2010 MAGAZINE POUR LES ORGANISATIONS ET LES GENS QUI S INTÉRESSENT À LA SÉCURITÉ INFORMATIQUE (www.secus.ca) S adapter à l évolution de la menace Le rôle deschefs du service de sécurité ANIK MICHAUDVILLE De la créativité à la sécurité

2

3 S O M M A I R E Vol. 2 N o 1 Mars 2010 ÉDITEURS ET PROPRIÉTAIRES Mario Audet Samuel Bonneau COLLABORATEURS Alex Bédard Michel Boutin Robert Chikarians Louis Lavoie-Caron Anick Michaudville Richard Neault David Poellhuber Jean-Philippe Racine Eric Robert DIRECTEUR DE L INFORMATION Samuel Bonneau RÉVISEURS TECHNIQUES Alex Bédard Louis Lavoie-Caron RÉVISEURE LINGUISTIQUE Amélie Lapierre GRAPHISTE Geneviève Bolduc PHOTOGRAPHES René Robichaud Annie Tremblay BÉDÉISTE Martin Bérubé VENTE ET PUBLICITÉ Mario Audet SÉCUS est un magazine électronique produit par des professionnels québécois de la sécurité de l information. Il est destiné à tous les francophones ayant un intérêt professionnel ou personnel à ce sujet. Le but de cette initiative est d offrir une tribune aux experts afin de diffuser leur savoir, de faire connaître les produits et services et, finalement, de promouvoir la sécurité informatique. Bibliothèque nationale du Canada ISSN SÉCUS, MOTS DES ÉDITEURS Samuel Bonneau et Mario Audet 6 ENTREVUE ANIK MICHAUDVILLE DE LA CRÉATIVITÉ À LA SÉCURITÉ Propos recueillis par Samuel Bonneau CONSEILS D EXPERTS 10 S ADAPTER À L ÉVOLUTION DE LA MENACE Eric Robert 12 LE RÔLE DES CHEFS DU SERVICE DE SÉCURITÉ Robert Chikarians 14 ÉTUDE DE CAS VOUS AVEZ DIT PIGISTE? Jean-Philippe Racine 17 NOUVELLES EN BREF 18 PROFIL D ENTREPRISE ZEROSPAM LA FIN DU POURRIEL ZOOM 20 L ASIMM VÉHICULE DE PROMOTION DE LA SÉCURITÉ DE L INFORMATION Michel Boutin 22 DES NOUVELLES DE L ASIQ Alex Bédard 23 DES NOUVELLES DE L ISIQ Richard Neault 24 CALENDRIER Toute reproduction, par quelque procédé que ce soit, en tout ou en partie, du présent ouvrage, sans l autorisation écrite des éditeurs, est strictement interdite.

4 M O T S D E S É D I T E U R S Innover pour mieux se démarquer PAR SAMUEL BONNEAU, éditeur, directeur de l information et copropriétaire de SÉCUS Dans cette quatrième parution du magazine SÉCUS, vous verrez une fois de plus à quel point les auteurs se démarquent. Ils traitent des problématiques actuelles et à venir. Leurs approches sont à l avant-garde de la sécurité informatique (SI). Samuel Bonneau est éditeur, directeur de l information et copropriétaire du magazine SÉCUS. Il est conseiller en technologie et sécurité de l information depuis treize ans et travailleur autonome. Il possède un baccalauréat en génie informatique et détient les certifications CISSP et CISM. Photo : Annie Tremblay CRÉATIVITÉ DE LA STRATÉGIE Un plan de SI n a rien de banal. Le secret de son efficacité réside souvent dans une approche sur mesure, voire créative. En misant davantage sur les risques réels d une entreprise et en travaillant de concert avec toutes ses ressources, les résultats peuvent être drôlement intéressants. C est ce qu Anik Michaudville démontre dans une entrevue exclusive. RÔLE CLÉ Un bon plan de SI, ce n est pas tout. Sa réussite dépendra également de l application de la stratégie par le responsable de la sécurité. Par conséquent, le rôle du chef du service de la sécurité est primordial, et ce dernier doit avoir des aptitudes particulières. Pour en savoir plus, lisez l article de Robert Chikarians. PROTECTION ADAPTÉE Eric Robert vous fait part d informations fiables pour vous adapter à la menace et il vous propose des conseils basés sur son expérience importante en réalisation de mandats en conformité de la norme PCI DSS. Découvrez aussi les services exceptionnels d impartition offerts par la compagnie ZEROSPAM. SOLUTIONS À LA PÉNURIE DE MAIN-D ŒUVRE Les ressources spécialisées en sécurité sont peu nombreuses et la demande des clients est grandissante. Jean-Philippe Racine vous explique la recrudescence du travail autonome en SI. Puis, Mario Audet propose des solutions concrètes pour résister à la pénurie de main-d œuvre dans ce domaine. «Les organisations devront notamment considérer l apport des outils de sécurité et des services d impartition pour contrer la rareté des ressources spécialisées.» RÉORGANISATION Pour contrer adéquatement les risques de SI, les organisations devront assurément faire des changements majeurs à plusieurs niveaux. Entre autres, la reconfiguration des services de la sécurité est presque impérative. Les firmes de consultation auront avantage à reconsidérer leur offre de service en sécurité afin de s adapter à cette nouvelle demande. D ailleurs, certaines ont déjà emboîté le pas... Avancer et innover, c est s adapter! Mars 2010 SÉCUS 4

5 M O T S D E S É D I T E U R S Pénurie de main d œuvre à l horizon! PAR MARIO AUDET, éditeur et copropriétaire du magazine SÉCUS Mario Audet est éditeur et copropriétaire du magazine SÉCUS. Il compte dix-sept années d expérience en technologies dont dix en sécurité de l information. Il est également architecte de solutions de sécurité chez Bell. Son intérêt pour la veille en sécurité l a amené à développer l agrégateur automatisé de nouvelles de sécurité informatique SecurNews.com. 1. Québec : pénurie de main-d oeuvre à l horizon, LaPresseAffaires.com (http://lapresseaffaires.cyberpresse.ca /economie/200901/06/ quebec-penurie-de-main-doeuvre-alhorizon.php). 2. Tendances démographiques : défis organisationnels par Réal Jacob, HEC Montréal (www.igfquebec.com/ fileadmin/docu/publ/text_conf/ /plen_rjacob.ppt). Photo : Annie Tremblay Depuis quelques années, plusieurs organisations vivent une préoccupation quotidienne : la pénurie de main-d œuvre dans le domaine de la sécurité de l information (SI). À en juger par les tendances démographiques du Conference Board of Canada 1, le taux d activité de la population active a atteint un sommet en 2007 et s effondrera progressivement d ici Durant cette période, la pénurie de travailleurs au Québec pourrait atteindre ! Malgré ces chiffres, il existe des solutions pour contrer ce phéno mène, mais quelles sont-elles? PROBLÈMES D abord, voici les principaux problèmes connus et à prévoir : la demande des organisations pour la réalisation d interventions en SI est plus forte que les ressources disponibles pour les effectuer. le départ à la retraite de plusieurs spécialistes en SI d ici 2015 est incontour nable : fonctionnaires québécois prendront leur retraite 2. le délestage des emplois opérationnels en SI par de jeunes spécialistes est concret parce que la plupart aspirent à devenir analystes ou architectes. les spécialistes en SI délaissent leur emploi pour s établir à leur compte. les jeunes étudiants s intéressent plus au multimédia et à la conception de jeux vidéo qu à la SI. SOLUTIONS Que peuvent faire les organisations par rapport à cette situation? Plusieurs pistes de solutions existent. En voici quelques-unes : accepter de changer leur modèle d affaires, recourir à des pigistes et ac cepter qu embaucher seulement des spécialistes d expérience en SI n est pas toujours possible. intéresser les jeunes à la SI dans les foires de l emploi et les lieux d enseignement. former des conseillers d autres domaines qui ont un intérêt pour la SI et les «transformer» en experts de la SI. recruter des ressources étrangères spécialisées en SI. Certains experts européens n hésiteraient pas à venir travailler au Québec. rendre les tâches opérationnelles de la SI plus captivantes et attribuer des tâches plus intéressantes aux rôles opérationnels. utiliser davantage de solutions technologiques pour faciliter l application de la SI dans les organisations. C est d ailleurs ce que les fabricants de solutions de SI essaient de faire pour simplifier l exploitation. recourir à des services gérés et impartis en SI. Cette tendance sera de plus en plus populaire au cours des prochaines années, notamment par rapport aux services de sécurité en nuage (SaaS). HORIZON La situation actuelle et à venir de pénurie dans le domaine des TI est préoccupante. Il existe toutefois des solutions pour limiter les impacts de cette rareté, mais suffiront-elles à la forte demande pour la réalisation d interventions en SI? Grâce à SÉCUS, restez informé. Mars 2010 SÉCUS 5

6 E N T R E V U E De la créativité à la sécurité avec Anik Michaudville PROPOS RECUEILLIS PAR SAMUEL BONNEAU Anik Michaudville est comptable agréée de formation. De 1997 à 2004, elle a fait partie de la firme Deloitte. Puis, elle est devenue conseillère experte en sécurité de l infor - mation (SI) chez Desjardins Groupe d assu - rances de dommages. Depuis janvier 2010, elle est membre de la direction principale de la SI du Mouvement Desjardins. Son exper - tise est intéressante. QUEL EST VOTRE PARCOURS PROFESSIONNEL? Je suis comptable agréée de formation. Lors que j étudiais, c était l une des seules formations universitaires où l on traitait des aspects de vérifications et de contrôles informatiques. Ce cheminement m a permis d approfondir les domaines du processus d affaires et de la gestion de risques. C est donc un bagage inté ressant pour quel - qu un qui évolue dans le domaine de la SI. «En 2005, j ai obtenu une certification professionnelle en SI, soit la CISSP. Elle m a donné la chance de sortir de ma zone de confort en ciblant davantage les volets tactiques et opérationnels des technologies de l information. Ce fut enrichissant!» Pendant sept ans, j ai travaillé pour la firme Deloitte. Au début, j étais vérificatrice financière. Au moment du bogue du millénaire, je colla - borais avec l équipe de vérification informatique qui avait la mission d assurer le passage à l an 2000 des systèmes financiers des clients. J ai beaucoup aimé l expérience et j ai alors rejoint le groupe de gestion de risques d entreprise. Ma spécialité est devenue la gestion des risques reliés aux techno - logies de l information (TI). J ai fait affaire avec une grande variété de clientèles avant d être promue au poste de directrice. Ce parcours chez Deloitte m a permis de participer à une multitude de projets touchant les principaux aspects de la SI. J ai ainsi pu développer mon expertise dans ce domaine large et complexe. En 2004, je suis devenue conseillère en SI auprès du premier vice-président des TI de Desjardins Groupe d assu - rances générales (DGAG). Mis en place en 2002, ce nouveau rôle dans l organisation me semblait être un beau défi. La sécurité était déjà présente dans plusieurs secteurs de l entreprise, mais il fallait assurer la mise en commun et la coordination de toutes les activités de sécurité. Une politique Suite en page 7 Photo : Annie Tremblay Mars 2010 SÉCUS 6

7 Suite de la page 6 d entreprise en SI venait d être adoptée et, dès mon arrivée, on s est affairé à planifier et à déployer la classification des actifs informationnels afin de bien identifier les ressources à protéger et leur localisation. «Mon rôle consistait à appuyer les dirigeants de Desjardins Groupe d assurances générales dans les orientations à prendre en matière de SI et à déployer un cadre de gestion.» Une autre grande étape chez DGAG fut la formation de l équipe de sécurité des TI. Chaque secteur des TI avait un certain niveau d expertise en sécurité, mais il était important d avoir un «centre de coordination» qui pouvait s assurer que toutes ces activités étaient cohérentes et axées sur les bons risques. De plus, je travaillais sur des plans d amélioration des accès, dont un projet de gestion des accès par profil, et il fallait des experts en TI pour en faire la conception détaillée et la réalisation. Le succès de ces projets, comme bien d autres en sécurité, fut possible grâce à un appui extra ordinaire de la part de Desjardins. COMMENT VOTRE PLANIFICATION STRATÉGIQUE S EST-ELLE DÉROULÉE CHEZ DGAG? Ce qui était intéressant quant à la stratégie, c est que l on a choisi l approche des «petits pas». On a favorisé les plus petits projets axés sur les principaux risques et on s est fixé un niveau de maturité réaliste. Un bon référentiel sur lequel s appuyer est l ISO. D abord, on a donc misé sur l approche d amélioration continue de la norme ISO Ensuite, on a évalué chacun des domaines de sécurité de la norme ISO pour déterminer les endroits non conformes et les risques associés. Cet exercice a permis de cibler les emplacements où il y avait des risques plus importants. Ce fut la base du plan d action. Un horizon de trois ans était visé pour corriger les risques les plus considérables, et il fallait réévaluer la situation à la fin de ce cycle. Puis, durant ce cycle, on a, entre autres, mis en place la classification des informations, une nouvelle version de la politique et le déploiement d un ensemble de directives. DEPUIS JANVIER 2010, À LA SUITE D UNE RESTRUCTURATION, VOUS FAITES PARTIE DE LA DIRECTION PRINCIPALE DE LA SI DU MOUVEMENT DESJARDINS. QUELS SONT LES CHANGEMENTS QUI EN DÉCOULENT? La gestion de risques en TI a pris de l importance ces dernières années. «Les équipes de la SI des entités de Desjardins ont été regroupées, ce qui apporte un niveau d expertise extra ordinaire. L objectif est de récupérer ce qu il y avait de meilleur dans tous les groupes maintenant réunis pour consolider l approche globale et relancer un nouveau cycle de maturité.» Évidemment, Desjardins en tient compte dans sa structure avec la première vice-présidence en gestion de risques. Elle existait déjà, mais elle regroupe maintenant tous les spécia - listes des différents domaines de la gestion de risques. ON VOUS DÉCRIT COMME UNE PERSONNE QUI ABORDE LA SÉCURITÉ AVEC CRÉATIVITÉ. POUR QUELLES RAISONS? Probablement parce que j accorde une grande importance à la création de programmes de sécurité sur mesure. Je déploie également beaucoup d énergie à rendre la sécurité attrayante, ce qui n est pas simple. On ne doit pas faire de la SI simplement pour se conformer aux normes et aux bonnes pratiques. Ces dernières sont des guides et non la finalité d un programme de SI. Tout le défi consiste à avoir une base théorique crédible et reconnue (norme ISO, COBIT, documents d organismes comme le NIST, etc.) et à faire preuve de créati vité pour intégrer ces principes dans un programme sur mesure qui limitera efficacement les risques propres à l entreprise. J essaie de toujours cibler les risques d affaires plutôt que d imposer des changements basés seulement sur le fait que «cela fait partie des bonnes pratiques». Lorsque l on parle des risques d une entreprise, les gens se sentent habituellement plus concernés et la collaboration est alors plus facile. COMMENT METTEZ-VOUS EN ŒUVRE CETTE CRÉATIVITÉ DANS LES DIFFÉRENTS ASPECTS D UN PROGRAMME SI? EN METTANT LA GESTION DES RISQUES AU CŒUR DE LA SI... La gestion des risques, c est la base de la SI. C est pourquoi une entreprise a besoin de ce service. Les risques qui préoccupent Desjardins sont ceux qui concernent de façon importante les activités et la réputation de l entreprise, dont les risques de la non-conformité réglementaire ou légale (protection des renseignements personnels), de la con currence (secret d entreprise), de l intégrité des données de masse, de la disponibilité des informations permettant d assurer la prestation de services, etc. La SI sert donc à limiter les risques par rapport aux informations de l entreprise. On le dit souvent, mais le marché de la sécurité est peu outillé pour le faire. Les méthodes d analyses de risques mériteraient d être simplifiées et gagneraient à être plus faciles à personnaliser. En ce moment, il faut être créatif, s appuyer sur la classification des informations et y appliquer des scénarios de risques qui sont probables dans un contexte d entreprise. Suite en page 8 Mars 2010 SÉCUS 7

8 Suite de la page 7 EN AYANT UNE SI BIEN PROGRAMMÉE... Chacune des activités intégrées à un programme de SI devrait être pri vilégiée en fonction des risques qu elle dimi - nuera. Cela assure un meilleur rendement du capital investi (return on investment). Ici, on ne parle pas d un calcul complexe de RCI (ROI), mais de gros bon sens. Un programme de sécurité efficace doit être organisationnel et impliquer tous les intervenants importants, soit la direction et les gestionnaires, les responsables des affaires juridiques, des TI, des communications, du bâtiment et de l aménagement, les services de ressources humaines, les vérificateurs, etc. Le défi d une équipe de SI est d être la «conseillère» et l «aiguilleuse» de tous ces intervenants afin d établir un «plan de match» cohérent et d atteindre des objectifs communs. Tous les moyens sont bons pour rejoindre les publics. La pertinence des messages, la concision et l originalité du média sont des facteurs de succès. «Le programme doit établir une communication bidirectionnelle avec tous les publics cibles, soit la direction et les gestionnaires, les gens de projets, les ressources internes et externes, etc. Cette communication passe par un bon équilibre entre l implication, la formation et la sensibilisation.» On ne vous promet que la tranquillité d esprit Orientations stratégiques en sécurité de l information 600, avenue Belvédère, bureau 200 Québec (Québec) G1S 3E5 Les publics doivent se sentir interpellés quant à leurs tâches et à leurs préoccupations. Vaut mieux avoir un seul message à la fois et le faire passer efficacement que noyer les ressources d informations. Encore là, l important est de se demander annuellement quels sont les messages qui réduiront le plus les risques de l entreprise. EN METTANT EN PLACE UNE CLASSIFICATION EFFICACE ET SURTOUT UTILE... La classification devrait être un processus d amélioration continue. Vaut mieux commencer avec une approche modeste, mais agile et capable d évoluer. Il faut en retirer suffisamment d informations sur la sensibilité en ce qui concerne la confidentialité, l intégrité et la disponibilité pour faire une bonne analyse de risques et voir où il sera le plus «payant» sur le plan de la sécurité de mettre des efforts. Il faut aussi, dès le départ, se demander qui d autre utili - sera le résultat de la classification (architecture des TI, bureau de projet, responsable de la continuité des affaires, etc.) et idéalement rencontrer ces futurs utilisateurs pour voir dans quel format cette classification leur serait utile. La classification est un projet qui demande beaucoup d efforts, alors vaut mieux s assurer que le résultat sera facilement «utilisable». EN AYANT UN CADRE DE GESTION QUI «CADRE» AVEC L ORGANISATION... Dans ma vision «créative» de la SI, il y a évidemment le cadre de gestion, soit la politique d entreprise ainsi que les directives ou normes de sécurité. Attirer les publics vers les directives qui les concernent est tout un défi. Il s agit d un travail constant. Un des éléments intéressants à explorer est la possibilité de ne donner accès aux ressources qu aux éléments du cadre qui les concerne. Ainsi, la quantité d informations sera moins impressionnante et la lecture sera plus pertinente en fonction de leurs tâches. Puis, il faut être original et efficace dans la façon de transmettre les informations. EN UTILISANT JUDICIEUSEMENT LA POLITIQUE D ENTREPRISE DE LA SI... D un point de vue personnel, je considère la politique d entreprise de la SI comme une entente entre les gestionnaires et les intervenants en sécurité afin d officialiser les rôles et responsabilités, d orienter le programme et de légi - timer les activités. C est un document vers lequel je dirige principalement les ressources mentionnées ci-dessus ainsi que l ensemble des gestionnaires. Puisque Desjardins sou - haite limiter ses communications aux employés à ce qui est important pour eux, personnellement, je les dirige rarement vers la politique, mais plutôt vers les directives qui en découlent, et ces dernières les renvoient plus clairement aux attentes propres à un domaine précis de la SI. Suite en page 9 Mars 2010 SÉCUS 8

9 Suite de la page 8 EN FOURNISSANT DES DIRECTIVES CONCISES ET PERSONNALISÉES AUX PUBLICS CIBLES... Les directives doivent être concises. Un langage commun pour le public ciblé doit être utilisé et il faut personnali ser les directives pour convenir au contexte de l entreprise. Une bonne façon d être succinct est, encore une fois, de se de man der quels sont les risques importants à limiter par ces encadrements. Sinon, il peut être tentant d inclure tous les éléments consi - dérés comme de bonnes pratiques (ce qui peut coûter cher sur le plan de la conformité). En mettant l accent sur les prati ques essentielles, on s assure que les efforts de conformité seront investis efficacement. On pourra, par la suite, bonifier ces directives pour mener l entreprise à un niveau de matu - rité de plus en plus grand, mais quelques bouchées à la fois. Idéalement, pour assurer la conformité des directives, il est bien aussi d avoir des propriétaires qui ont un niveau d autorité suffisant sur les secteurs concernés (par exemple, un vice-président qui a sous sa responsabilité l aménagement des bâtiments peut être un bon propriétaire pour les directives sur la sécurité physique). Un propriétaire, une fois convaincu, est un allié extraordinaire. Puis, il doit y avoir un lien fort entre les directives et la classification des informations. Pour une directive donnée, les «classes» d informations visées doivent être indiquées. QUELLE MENACE VOUS FAIT LE PLUS PEUR ACTUELLEMENT? Ce qui me fait le plus peur, c est la démocratisation des informations dans les systèmes de TI. Avant, il y avait très peu de manipulations de données directement par les utili - sateurs et il n y avait pas autant d interconnexions des systèmes à travers le monde. Aujourd hui, le volume de données est beaucoup plus important. Et ces informations circulent beaucoup plus facilement, par exemple d un environnement à un autre. Les utilisateurs extraient, transportent, transfèrent les données, et les contrôles ne suivent pas toujours cette évolution. À mon avis, la classification aide grandement la prise en charge de la menace, ne serait-ce que pour identifier l information la plus à risque, comme les renseignements personnels en raison du nombre élevé de vols d identité, et sa «Le défi est de protéger la donnée. Plus la sécurité est près d elle, plus le contrôle est efficace. Par contre, les outils et les processus qui permettent de contrôler l ensemble des manipulations à risque ne sont pas encore matures.» localisation. Une fois les données bien localisées dans les systèmes, il est plus facile d optimiser les mesures de sécurité et les contrôles et d implanter de bons processus et des outils pour prévenir la perte de données (data loss prevention). ON ENTEND BEAUCOUP PARLER DE LA RARETÉ DE LA MAIN-D ŒUVRE SPÉCIALISÉE EN SÉCURITÉ. VIVEZ-VOUS CETTE PROBLÉMATIQUE? Desjardins se compte privilégié d avoir d aussi bons employés spécialisés en SI. Malgré tout, le recrutement d experts dans ce domaine n est pas évident et c est d autant plus difficile en ce qui concerne les niveaux stratégique et tactique. QUEL EST LE PLUS GRAND DÉFI AUQUEL VOUS FAITES FACE? L un des défis vraiment importants, c est d avoir une approche cohérente et naturelle à tous les niveaux entre le «stratégique» et l «opé - rationnel». Une relation aidante doit exister entre les enjeux, les risques d affaires et la réalité opérationnelle pour que tous travaillent ensemble dans un même but. La création de cette relation harmonieuse se développe avec l implication mutuelle, la transparence, la communication et, évidemment, une volonté par ta gée. C est essentiel pour atteindre un bon niveau de sécurité. Et, humainement, ça rend le travail beaucoup plus intéressant! Photo : Annie Tremblay Mars 2010 SÉCUS 9

10 C O N S E I L S D E X P E R T S S adapter à l évolution de la menace PAR ERIC ROBERT, directeur de pratique, sécurité stratégique Victrix Au cours de la dernière décennie, les organisations de toutes les tailles ont dû composer avec un réseau Internet de plus en plus hostile à cause de la modernisation des attaques et de la multiplication des incidents de sécurité. Eric Robert est directeur de la pratique de Sécurité stratégique à Québec pour Victrix et possède plus de quinze années d expérience dans le domaine. Il a travaillé comme architecte expert pour des projets à fort défi technologique. Il a, de plus, évolué dans plusieurs environnements technologiques d envergure où il a développé une expertise pointue dans l implantation de la norme PCI DSS, notamment, pour la seconde chaîne de commerce de détail en importance au pays et pour des organismes publics et privés. Passionné par son travail, il participe à la promotion de la bonne gouvernance en entreprise en matière de sécurité stratégique. Devant la complexification des technologies et l éclatement du périmètre de sécurité, les approches traditionnelles de défense qui consistaient principalement à assurer la sécurité du périmètre ne suffisent plus. Les entreprises doivent donc s adapter à l évolution des menaces et des risques en adhérant à une stratégie de sécurité proactive tout en maîtrisant les différents aspects de leurs environnements technologiques. Très loin des amateurs à la recherche de défis intellectuels d il y a quelques années, plusieurs atta - quants sont maintenant motivés par l appât du gain. Ce que recherche actuellement le cybercriminel, ce sont des informations relatives à des cartes de «La cybercriminalité est devenue une industrie lucrative et structurée qui transforme l information en argent.» crédit, des renseignements personnels permettant d usurper une identité, des propriétés intellectuelles, des données d authentification et des ressources matérielles (par exemple, bande passante et temps processeur). LES NORMES DE SÉCURITÉ NE SUFFISENT PAS Bien sûr, certaines mesures ont été prévues afin de pallier la menace grandissante. Par exemple, la norme de paiement par carte de crédit PCI DSS (Payment Card Industry Data Security Standard) est requise depuis 2006 pour toute organi - sation qui stocke ou traite des numéros de cartes de crédit. Cette norme consiste en un mélange de gouvernance et de technologie visant à assurer le respect des exigences en matière de sécurité. Bien qu elle s adresse uniquement aux organisations utilisant le paiement par carte de crédit, elle est considérée par plusieurs comme l une des plus strictes parmi les normes actuellement utilisées en Amérique du Nord. La norme PCI DSS a dû elle-même s adapter à l évolution des menaces et des risques. En raison de critiques à propos du manque de contrôles de sécurité propres aux applications Web (à l origine de plus du tiers des vulnérabilités publiées), il a fallu procéder à la révision 1.2 qui a corrigé le tir en intégrant une section propre aux applications (6.6). La prochaine révision de la norme, prévue en octobre 2010, devrait quant à elle comprendre une section reliée aux environnements virtuels. Un véritable défi en soi pour plusieurs organisations! Bien que ce soit un bon guide, la conformité à une norme n est pas une garantie de sécurité. La preuve a été faite dans plusieurs cas et il devient inté - ressant de regarder de plus près les récentes intrusions subies par certaines Suite en page 11 Mars 2010 SÉCUS 10

11 Suite de la page 10 organisations qui satisfaisaient à la norme PCI DSS comme Hannaford 1, Heartland Payment Systems 2 et TJX 3 et de dégager les techniques alors uti - lisées par les cybercriminels. Dans le même ordre d idées, la firme Core Security Technologies a produit une émission Web intitulée Replicating the Gonzalez Cyber Attacks through Penetration Testing 4 afin de démontrer les moyens utilisés par les criminels pour subtiliser plus de 130 millions de cartes de crédit dans les fraudes citées précédemment. Toutes les entreprises dont il est question ici avaient fait l objet d une vérification par des évaluateurs qualifiés (QSA) et autorisés par le consortium PCI DSS. Ces précautions n ont toutefois pas empêché les malfaiteurs de perpétrer leurs crimes. Le déploiement de logiciels malveillants spécialement conçus pour l organisation ciblée et pour lesquels il n existe aucune signature de détection constitue un thème récurrent dans plusieurs incidents. Placés dans des segments réseaux internes considérés comme «sécuritaires», ces logiciels malveillants utilisent souvent des vulnérabilités présentes dans les sites ou applications Web externes, ou encore dans les points d accès sans fil insuffisamment ou aucunement sécurisés. Ce type d attaque complexe démontre la nécessité d appliquer le principe de «défense en profondeur» et la mise en place de couches de sécurité indépendantes les unes des autres mais complémentaires. «Il devient évident que la conformité à quelque norme que ce soit n est pas une garantie absolue pour préserver les informations confidentielles d une entreprise et, ainsi, en assurer la sécurité. De plus, il est clair que la sécurité du périmètre est maintenant inefficace lorsqu elle constitue le seul contrôle en place.» Puis, une stratégie de sécurité cohérente doit également tenir compte de l évolution des menaces et des risques et doit s adapter à la réalité d aujourd hui. Il est donc primordial d effectuer des vérifications indé pen - dantes telles que des tests d intrusion et des analyses de vulnérabilité, ciblant autant l infrastructure réseau que les applications stra té gi ques. Cet exercice permet à une entreprise de vali der le choix des moyens de contrôle administratifs et technologiques mis en place et, ultimement, de mesurer le degré de maturité de sa stratégie de sécurité. Chose certaine, dans un environnement en constante évolution, il est plus que jamais important de lier la sécurité stratégique, tactique et opérationnelle afin de combler l écart entre la technologie et la gouvernance d entreprise. Une approche cohérente repose nécessairement sur un juste équilibre entre budget, ressource qualifiée, technologie, valeur de l information et niveau de risque acceptable. Il s agit là d un défi de taille que devront relever plusieurs organisations. TECHNOLOGIES? OUI, MAIS PAS EXCLUSIVEMENT Bien que la mise en œuvre de solutions technologiques soit une réponse aux exigences en matière de normes et de meilleures pratiques de l industrie, elle ne représente qu une infime partie d une stratégie globale. Ces technologies doi vent se conjuguer à des processus matures de gestion d accès, de gestion de risques, de plans de réponses aux incidents et de gestion du changement. De plus, on ne peut être assuré de son degré de résistance aux menaces quand on ne les connaît pas parfaitement. Ces menaces changent et évoluent continuellement et l on doit assurer une veille technologique de celles-ci afin de demeurer à l affût. Que ce soit une vulné - rabilité d un serveur SQL ou la dernière vulnérabilité (zero day) nuisant à Microsoft Internet Explorer, le personnel en place doit se tenir informé et à jour. Il est essentiel de connaître et de comprendre non seulement les technologies, mais l ensemble de l environnement dans lequel elles sont utilisées. Cela englobe les enjeux propres à l organisation, la logique et les processus d affaires en plus des aspects purement technologiques processor_breach_may_b.html Mars 2010 SÉCUS 11

12 C O N S E I L S D E X P E R T S Le rôle deschefs du service de sécurité PAR ROBERT CHIKARIANS, spécialiste de solutions de sécurité CA Avant l arrivée d Internet, la sécurité à l intérieur des entreprises et du secteur public se résumait presque à garder sous verrous les fournitures de bureau. Aujourd hui, bien sûr, la partie est tout autre. Les professionnels de la sécurité doivent veiller à tout : menaces extérieures et conformité à la réglementation, et ce, en réduisant les coûts et en participant à la croissance de l entreprise. Robert Chikarians, titulaire d un baccalauréat en systèmes d information, œuvre dans le domaine de la technologie de l information depuis plus de quinze ans. Il a travaillé avec succès à l évaluation et à la gestion de plusieurs projets techno - logiques tels que réseautage en commerce électronique, en gestion d identité et d accès et en sécurité. Le rôle du chef du service de sécurité a évolué. Il a maintenant plus de responsabilités, de visibilité et d importance. Plus qu un simple agent veillant à l application du protocole de sécurité, il collabore avec le respon - sable des technologies de l information (TI), le directeur des services financiers et autres cadres supérieurs. Le chef du service de sécurité participe activement au développement de l organisation. Il est également un stratège et un défenseur de la sécurité qui permet à l entreprise de reconnaître le besoin d intégrer des pratiques sécuritaires dans toutes ses activités. INTERNET Pourquoi les chefs du service de sécurité ne sont-ils plus de simples «polices d entreprise»? Internet et la prolifération des appareils mobiles en sont la cause. Ces outils permettent à l information sensible de sortir des environnements qui étaient, jusque-là, fermés et sûrs. Évidemment, avec le temps, les organisations ont commencé à réaliser des transactions en ligne, ce qui a entraîné de nouveaux défis en ce qui concerne la sécurité. EXIGENCE ET CONFORMITÉ Entre-temps, de nouveaux règlements fédéraux comme la Health Insurance Portability and Accountability Act (HIPAA) et la loi Sarbanes-Oxley ont soudainement créé de nouvelles exigences reliées à la vérification, à la protection et à la transmission de données. Ces obligations sont tombées directement dans le giron des chefs du service de sécurité. La nécessité d être toujours conforme en matière de sécurité peut demander beaucoup de travail. Et, sans automatisation, ce peut devenir un cauchemar quotidien, un jour de la marmotte, pour le chef du service de sécurité! Ces changements ainsi que d autres dans la façon de fonctionner des entreprises ont fait évoluer le rôle des chefs du service de sécurité au sein des organisations. Le paradigme se limitant à l application des règles pour prendre un virage plus nuancé et subtil a été abandonné. Le chef du service de sécurité doit connaître dans les moindres détails l entreprise et ses besoins reliés «Le chef du service de sécurité est un gestionnaire possédant un savoir-faire en technologie.» à la sécu rité et il doit comprendre comment les systèmes de TI se traduisent en services d affaires. Certains responsables des TI ne sont pas cons - cients de cette évolution et n impliquent pas leur chef du service de sécurité dans un rôle stratégique. Cependant, à cause de la pression importante exercée sur les chefs du service de sécurité (surcharge du centre d assistance, gestion de l identification des employés, atteintes à la sécurité, etc.), près de la moitié d entre eux consacrent pas moins du tiers de leur journée à analyser des rapports d événements liés à la sécurité. Ce n est pas la meil - leure façon de maxi miser la valeur de l organisation. Suite en page 13 Mars 2010 SÉCUS 12

13 Suite de la page 12 SOLUTIONS : AUTOMATISATION ET CENTRALISATION Une partie de la solution réside dans la mise en œuvre d un système de gestion des identités et des accès qui aidera les professionnels du service de sécurité à réduire les coûts, à automatiser les processus importants, à assurer une conformité à la réglementation, à mettre en place de solides contrôles internes, et ce, tout en facilitant la vérification et le suivi. En automatisant et en centralisant la gestion et l approvisionnement en rapport avec l identité et en déployant un système de conformité réglementaire durable et constant, les coûts diminuent inévitablement pendant que l efficacité augmente. Ainsi, les entreprises peuvent se concen trer sur la concurrence et améliorer le service à la clientèle. Cela dit, en plus de ces précédentes solutions incontournables, les responsables des TI doivent évaluer justement le rôle du chef du service de sécurité et l exploitation informatique de leur organisation. Il ne suffit pas de réduire les risques et les coûts ou d améliorer le service. Les TI doivent être gérées comme une entreprise et être en harmonie avec le secteur d activité. «Si vous êtes responsable des technologies de l information et que vous ne connaissez pas le rôle du chef du service de sécurité de l entreprise, il manque probablement un élément essentiel à votre planification stratégique.» Mars 2010 SÉCUS 13

14 É T U D E D E C A S Vous avez dit pigiste? PAR JEAN-PHILIPPE RACINE, conseiller en sécurité de l information Jean-Philippe Racine est conseiller en SI et œuvre dans le domaine des TI depuis un peu plus de huit ans. Ayant précédemment travaillé en sécurité opérationnelle, il sait maintenant tirer profit de ses expériences pour bonifier ses interventions de niveaux tactiques et stratégiques en SI. Travailleur autonome depuis moins d un an, il détient les certifications CISA et CISSP. Dans le but de parfaire ses connaissances dans le domaine, il est à compléter le programme de maîtrise en gouvernance, audit et sécurité des TI donné par la Faculté d administration de l Université de Sherbrooke. Vous avez bien lu. Cet article traite des pigistes! En fait, les termes un peu plus appropriés qui pourraient être utilisés sont travailleur autonome. Pourquoi en parler maintenant? Au dire de certaines personnes, il semble y avoir un «je ne sais quoi» dans la région de la Vieille Capitale qui pousse plusieurs personnes en technologie de l information (TI) à faire le grand saut. Ayant moi-même décidé de m établir à mon compte en 2009, j ai voulu cerner la place du travail autonome dans les TI. QU EST-CE QU UN TRAVAILLEUR AUTONOME? Revenu Québec a établi six critères 1 qui caractérisent le travail - leur autonome. Certains sortent du lot, soit la non-subordination dans les activités que le travailleur auto - nome doit réaliser, le risque finan - cier supplémentaire à assumer par rapport à un salarié et la propriété des outils utilisés dans le cadre du travail à effectuer (ordinateur, logiciel, fournitures de bureau, etc.). Si le travailleur autonome ne respecte pas ces critères, il pourrait être obligé de verser des cotisations fiscales rétroactives aux deux paliers de gouvernement. Pour cette raison, l Association québécoise des informaticiennes et informaticiens indé - pendants (AQIII) a fait un travail ap - préciable en publiant, en novembre 2009, un contrat type 2 entre un intermédiaire et un travailleur auto - nome en TI. Ce document permet d établir des balises claires entre les parties et contribue à diminuer les démarches de contestation de la part des autorités fiscales. En pratique, ce n est pas toujours évident de modifier des clauses préétablies par certains intermédiaires. Cependant, si les travailleurs autonomes sont informés et bien conseillés au sujet des enjeux rattachés à leur statut d emploi, ce contrat type saura faire son chemin dans les prochaines années. «L Office québécois de la langue française définit le travailleur autonome comme quelqu un qui exerce une activité professionnelle pour son propre compte et sous sa propre responsabilité, et qui n a pas de lien de subordination avec un employeur.» CROISSANCE DU TRAVAIL AUTONOME : RÉELLE OU NON? Chantale Pineault, consultante en sécurité de l information (SI), affirmait dans le magazine SÉCUS de mai 2009 que «depuis quelques années, nous assistons à un exode des professionnels en SI des firmes vers le travail autonome». De plus, l enquête de TECHNOCompétences, disponible depuis 2009 au qc.ca/node/412, expose notamment différentes pistes qui permettent d expliquer l accroissement du nombre de travailleurs autonomes du domaine des TI au Québec. L une des hypothèses avancées serait la rareté anticipée de la main-d œuvre (p. 54). Le déficit des nouveaux diplômés par rapport à la demande du marché (p. 54) en plus des départs massifs à la retraite (p. 58) viennent appuyer cette hypothèse. Pour sa part, la région de Québec profite d une situation économique favorable. Selon les prévisions du Conference Board du Canada (CBC) 3 pour l année 2010, la ville aura un des plus bas taux de chômage des grandes villes canadiennes, soit de 5,8 %. C est une situation plutôt enviable si l on compare cette statistique aux prévisions du taux de chômage du reste de la province de Québec (9,3 %) et de Montréal (9,8 %). Suite en page 15 Mars 2010 SÉCUS 14

15 Suite de la page 14 AVANTAGES ET INCONVÉNIENTS Le travail autonome a ses avantages. Si l on se fie à l une des notes de recherche 4 de la Chaire de recherche du Canada (2008), il semble que la plupart des travailleurs auto - nomes du domaine des TI considèrent les éléments suivants comme les principaux avantages : meilleure rémunération, avantages fiscaux, variété des travaux et des défis, indépendance, liberté et flexibilité des horaires de travail. «Le travail autonome présente également des inconvénients tels que la contrainte d avoir à accomplir diverses tâches administratives, l absence d avantages sociaux et de vacances rémunérées en plus de l insécurité quant à la probabilité d obtenir des revenus instables.» ÊTRE BIEN INFORMÉ Vous pensez avoir un bon «esprit» d entreprise et vous ne savez pas par où commencer? D abord, assurezvous que vos compétences entrepreneuriales sont justes et fiables. Entreprises Canada a justement mis en ligne une autoévaluation 5 à ce sujet. Consultez-la. De plus, reportez-vous à deux blogues particulièrement intéressants sur l entrepreneuriat et le travail auto - nome, soit ceux de Nancy Clermont (www.mandatsti.com) et de Stéphane Guérin (www.stephguerin.com/category/ entrepreneurship/). Puis, lisez Le guide du travailleur autonome de Jean- Benoît Nadeau 6. Il vulgarise une foule de notions telles que les différentes formes juridiques possibles, le plan d entreprise, la comptabilité à réaliser, les déductions d impôt ainsi que le fonctionnement de la TPS et de la TVQ. Cet outil ne rempla cera pas votre comptable et votre avocat, mais il vous permettra d être un peu plus en contrôle. D ailleurs, pour trouver un comptable à la hauteur, informez-vous auprès de gens de confiance. Privilégiez des références solides. Afin de choisir un bon avocat, il est toujours possible de faire appel aux services de référence 7 du Barreau du Québec. Ainsi, vous pourrez obtenir une première consultation de trente minutes à prix modique ou sans frais, ce qui peut être utile au début. METTRE DE L ARGENT DE CÔTÉ Vous lancer dans les affaires comporte une part de risques. Un fonds de roulement pour subvenir à vos besoins pendant trois mois est donc un bon départ pour éviter un stress intense. Il faut également bien gérer les premiers chèques et prévoir une somme pour les impôts, les taxes et les vacances. Sachez que les institutions financières sont parfois frileuses à prêter de grosses quantités d argent au cours des 12 à 24 premiers mois suivant le changement de statut. Petite astuce si votre hypothèque est près de l échéance : renégociez-la avant de vous lancer à votre compte! AVOIR UN RÉSEAUTAGE FORT Il faut également apprendre à obtenir des mandats. Ce n est pas une mince affaire si vous n avez pas développé votre réseautage au préalable. L affichage de vos disponibi - lités sur des sites Internet tels qu AQIII.org et AgentSolo.com combiné à l utilisation de Linkedin sont des moyens à privi - légier. Il y a bien sûr des entreprises spécialisées dans le placement de ressources telles que Multipro et Procom, pour ne nommer que celles-là, qui peuvent vous aider à dénicher un contrat. Cependant, rien ne vous empêche «de faire aller vos relations» chez les différentes firmes de consultation et clients potentiels. CLIENTS ET FIRMES DE CONSULTATION Quelle devrait être la position des clients et des firmes de consultation par rapport à la recrudescence actuelle et Suite en page 16 Mars 2010 SÉCUS 15

16 Suite de la page15 future du travail autonome? Ils devront probablement développer une plus grande ouverture envers ce bassin de travailleurs spécialisés. À ce titre, certaines firmes l ont déjà compris et consacrent quotidiennement des efforts à la gestion et à la recherche de travailleurs autonomes. «Une chose est certaine, le travailleur autonome a sa place en TI et particulièrement dans le domaine de la SI. Au-delà des besoins criants de main-d œuvre, il possède souvent une expertise de pointe qui lui est propre.» INFLUENCE GÉNÉRATIONNELLE Outre les conditions économiques et démographiques mentionnées précédemment, il est possible que des facteurs générationnels puissent entrer en jeu dans les pro - chaines années. La génération Y, reconnue pour son désir de flexibilité et d autonomie, commence à avoir assez d expé rience pour décider de faire le saut dans le travail autonome. Les Y possèdent également une conception de la hiérarchie très différente, engendrant un rapport de force plus important qu auparavant avec leurs supérieurs. De plus, ces jeunes adultes hésitent moins à changer d emploi s ils ne peuvent pas relever des défis intéressants ou lorsque la rémunération ne les satisfait pas. Alors, commencezvous à voir le lien avec certaines particularités du travail autonome? 1. Revenu Québec (page consultée le 20 janvier 2010), Critères pour déterminer le statut (www.revenu.gouv.qc.ca/fr/ travailleur_autonome/affaires/statut/criteres.aspx). 2. AQIII (page consultée le 22 janvier 2010), L AQIII dévoile le contrat type final entre un intermédiaire et un travailleur autonome en TIC (www.aqiii.org/pls/htmldb/f?p=105:39:0::no::p39_id_nouvelle, LAST_PAGE:21228%2C34). 3. Ville de Québec (page consultée le 23 janvier 2010), Prévisions du Conference Board (www.ville.quebec.qc.ca/ gens_affaires/vitalite_economique/docs/previsions_conference.pdf). 4. Chaire de recherche du Canada (page consultée le 3 février 2010), Choisir le travail autonome : le cas des travailleurs indépendants de l informatique (www.teluq.uquebec.ca/chaireecosavoir/html/ notes_fs.htm). 5. Entreprises Canada (page consultée le 23 janvier 2010), Êtes-vous fait pour être entrepreneur? (www.entreprisescanada.ca/fra/125/107/). 6. Jean-Benoît Nadeau (2007), Le guide du travailleur autonome (2 e édition), Québec Amérique, 308 p. 7. Barreau du Québec (page consultée le 18 janvier 2010), Services pro bono ou à faible coût (www.barreau.qc.ca/public/ trouver-avocat/services/index.html). Mars 2010 SÉCUS 16

17 Nouvelles en bref Voici quelques extraits d articles de sécurité publiés sur Internet en janvier et en février 2010 : LE DOSSIER DE SANTÉ ÉLECTRONIQUE SE FAIT ATTENDRE «Le projet-pilote du Dossier de santé électronique est au point mort à cause de bogues informatiques majeurs dans certaines des pharmacies participantes.» Extrait de Branchez-vous.com LES CYBER-ATTAQUES COÛTERAIENT 6,3 M$ PAR JOUR «Un rapport McAfee sur la sécurité informatique révèle que plus de 54 % des infrastructures dites «hautement sensibles» sont régulièrement victimes d attaques à grande échelle ou d infiltrations furtives de la part du crime organisé, de terro - ristes ou d États.» Extrait de Lemondeinformatique.fr IPAD : UN EXPERT MET EN CAUSE LA SÉCURITÉ «[...] si l ipad utilise le même système de cryptage que l iphone, les données personnelles comme les numéros de téléphone et les adresses pourraient être récupérées et visualisées selon Daniel Hoffman, directeur technique chez SMobile Systems [...].» Extrait de Cnetfrance.fr CONTRAT DE 395 M$ US POUR CGI «[...] Groupe CGI a décroché un contrat de 10 ans pouvant atteindre jusqu à 395 millions de dollars américains auprès du Département d État américain et de l Agence américaine pour le développement international.» Extrait de Directioninformatique.com EN CHIFFRES Selon Ruder Finn, 91 % des Américains interrogés disent naviguer sur leur cellulaire dans le but d entretenir leur réseau social. Selon IDC, 53 % des entreprises disposent d un logiciel ou d un service de sauvegarde. Selon ElcomSoft, 77 % des répondants d une étude uti li - sent le même mot de passe pour des applications, des documents et des sites Web. Selon Avanade, 60 % des organisations sondées conviennent que les réseaux sociaux seront l avenir des entrepri ses en matière de collaboration et de technologie. EN VIDÉO $900 MILLION OLYMPIC SECURITY & PROSPERITY PARTNERSHIP DRILL Extrait de YouTube (www.securtube.com/consult_vid.php?no=25798) LE CANADA FERME SITES WEB VICTIMES D UN CANULAR «Un canular provoque la fermeture de plus de sites au Canada. La manipulation des Yes men à l occasion de Copenhague a dépassé les intentions des activistes.» Extrait de Silicon.fr Pour lire ces articles au complet ou pour trouver les dernières nouvelles de sécurité, consultez l agrégateur automatisé de nouvelles de sécurité informatique SecurNews.com. Mars 2010 SÉCUS 17

18 P R O F I L D E N T R E P R I S E ZEROSPAM La fin du pourriel Avec sa jeune équipe, l entreprise ZEROSPAM s est imposée comme chef de file québécois de la sécurité du courrier électronique. Lancée en 2003, elle filtre quotidiennement des millions de courriels pour des sociétés publiques et privées et des organismes gouvernementaux dans tous les secteurs d activité. ZEROSPAM protège ses clients des menaces que constituent les pourriels, les virus, l hameçonnage et les maliciels en filtrant le flux du courrier électronique en nuage, et ce, bien avant qu elles n attei - gnent le périmètre réseau. «Nous étions dans le nuage bien avant qu il devienne un endroit branché», affirme David Poellhuber, fondateur de ZEROSPAM et chef d exploitation. Bien sûr, il y a sept ans, personne ne pouvait prévoir que le volume mondial de spams atteindrait 95 % de la circulation des courriels, mais ZEROSPAM croyait fermement au modèle du logiciel service (software as a service SaaS) et aux béné - fices intrinsèques d une solution impartie, notamment l économie de ressources et la libération des équi - pes TI. Avec de tels avantages à la clé, pas surprenant que des acteurs importants comme la SAQ, VIA Rail, Oxfam, le CRIM et plusieurs autres aient emboîté le pas et souscrit au service. RÉACTIVITÉ ZEROSPAM a fait ses preuves sur un marché dominé principalement par des compétiteurs féroces étrangers. Comment alors expliquer le succès littéral de David contre Goliath? Cette réussite tient à plusieurs éléments. D abord, elle dépend de la réactivité, cette capacité dont dispose la PME à s adapter aux besoins des clients. L entreprise a su tirer profit des crises pendant lesquelles elle a activement soutenu ses clients. Le courriel est maintenant une application critique essentielle qui ne doit jamais s arrêter. Toutefois, il s agit d une longue chaîne de transmission où plusieurs maillons peuvent défaillir. Par exemple, ZEROSPAM avait remarqué que ses clients prisaient particulièrement le ser vice de mise en file des messages en cas d indisponibilité des passerelles. Elle offre donc maintenant un service de continuité du courrier électronique qui permet aux clients d avoir accès à leurs courriels en cas de désastre. Le même raisonnement s est appliqué au service de système de noms de domaine (DNS) hautement redondant maintenant offert. «Nous avons été témoins de quelques histoires d horreur entre nos clients et leurs prestataires DNS. Ces histoires se sont soldées par des pannes de site Web, de capacité de commerce électronique et de messagerie. Nous avons donc entrepris de rendre accessible notre architecture DNS blindée aux clients les plus soucieux de la disponibilité», explique M. Poellhuber. Cette réactivité n est pas l apanage des acteurs importants qui misent plutôt sur le volume. Suite en page 19 Mars 2010 SÉCUS 18

19 Suite de la page 18 SERVICE À LA CLIENTÈLE L autre aspect du succès de ZEROSPAM tient très certainement à la qualité du service à la clientèle auquel le fondateur attache une grande importance. L entreprise filtre, certes, les courriels, mais elle traite avec des humains. Devenus en quelque sorte des experts de l écosystème , les spécialistes de ZEROSPAM règlent bien souvent des pro blèmes et dépannent non seulement des clients, mais aussi leurs correspondants, ce qui dépasse l offre stricte. Ainsi, le personnel technique se fait un plaisir de guider différents intervenants dans la sécurisation de leur nom de domaine par des enregistrements SPF ou d au - tres moyens. La sécurité de toutes les activités de ZEROSPAM joue un rôle important dans la relation de confiance que l entreprise souhaite établir. Son réseau est redondant, avec une architecture de tolérance de fautes, des centres de données de classe mondiale, un cadre interne de gestion de la sécurité, un mécanisme de gestion d incidents, de multiples systèmes d alertes et de télésurveillance, des signatures antivirus constamment mises à jour et des infrastructures exclusivement situées en territoire canadien de façon à mettre les clients à l abri des indiscrétions de la section 215 du Patriot Act américain. ZEROSPAM garantit la confidentia lité des communications et la disponibilité de son service jusque dans ses processus d affaires. Tous les employés se soumettent à des enquêtes de sécurité approfondies. Ces aspects réunis forment une entreprise digne de confiance. RÉSEAU ZEROSPAM est active dans les cercles locaux de sécurité comme l ASIMM, le RSI et l ISIQ. Elle est d ailleurs Selon David Poellhuber, «la confiance accordée par un client qui place sa sécurité entre les mains de ZEROSPAM doit être méritée. Le facteur humain est le plus sensible et le plus important. Le service de courriels est si névralgique que tous les appels et toutes les demandes doivent trouver réponse sur-le-champ auprès de vrais professionnels. C est ce service, frisant l obsession, qui a fait la différence pour bon nombre de clients.» membre de la Filière PME de l ISIQ, un lieu de rencontre et de réseautage des plus riches. Des investissements continus en recherche et développement et une présence dans les forums internationaux comme le MIT Spam Conference et l APWG garantissent que l entreprise demeure à la fine pointe des avancements dans la lutte incessante contre le fléau du spam. LOI C-27 L adoption imminente du projet de loi C-27, la première loi canadienne sur le pourriel, changera-t-elle la donne pour ZEROSPAM? Eh bien tout porte à croire que l effet net de cette loi sera très certainement la révision des pratiques de la diffusion par courrier électronique pour les envoyeurs légitimes qui devront dorénavant disposer du consentement du destinataire à recevoir un message. En ce sens, la loi ne réduira pas réellement le volume actuel de pourriel, mais exigera une plus grande discipline de la part des entreprises qui avaient jusque-là des pratiques libérales en matière d envois de masse. AVENIR Comment se présente l avenir? Plutôt rose, si l on en croit l IDC, qui prévoit une croissance annuelle de 27 % des services de sécurité du courriel en nuage d ici Cette croissance se fera principalement au détriment des ap pa - reils et logiciels de filtrage qui n offrent pas autant d avan tages. ZEROSPAM concentre actuellement son dévelop pement hors Québec en ciblant le marché canadien et en accélérant le recrutement de nouveaux partenaires tout en visant la zone euro et le Royaume-Uni. De nouveaux services de sécurité, toujours en nuage, verront le jour en Mars 2010 SÉCUS 19

20 Z O O M L ASIMM : véhicule de promotion de la sécurité de l information PAR MICHEL BOUTIN, président de l ASIMM L Association de Sécurité de l Information du Montréal Métropolitain (ASIMM) vise le développement du milieu de la sécurité de l information (SI), particulièrement dans la région de Montréal, mais pas exclusivement. L association aura bientôt trente ans! L ASIMM est la plus an - cienne association canadienne de langue française consacrée à la SI. Elle accueille comme membre tout individu ou organisation ayant un intérêt pour la SI et un désir de collaborer avec la communauté. La vitalité de la communauté représente d ailleurs un facteur clé du succès de l ASIMM, que ce soit par l engagement bénévole ou la simple participation aux activités. L année dernière, l association a rejoint plus de cinq cents personnes provenant de ses effectifs ou de regroupements affiliés dans le cadre de ses acti vités, moyens privilégiés par l ASIMM pour réaliser sa mission. UNE MISSION EN CINQ AXES L ASIMM a pour mission de favoriser le développement du milieu de la SI de la région du grand Montréal. Ce but général s articule autour de cinq axes précis : 1. Rehausser le niveau de compétence des membres dans le domaine de la SI. 2. Faciliter le réseautage des membres. 3. Présenter une vitrine permettant aux membres de recevoir l information sur le milieu de la SI. 4. Favoriser le développement de la relève en SI. 5. Promouvoir la SI. Pour atteindre ses objectifs, l ASIMM chapeaute plu - sieurs activités. DES ÉVÉNEMENTS COURUS Sous la forme de déjeuners-causeries ou de cinq-à-sept techniques, l organisation de conférences constitue la principale activité de l ASIMM pour permettre aux professionnels œuvrant en SI ainsi qu aux étu diants et aux curieux d obtenir de l information sur des sujets précis. Ces activités font aussi office de forum de discussion et de réseautage. LE RSI EST POPULAIRE Le Rendez-vous de la sécurité de l information (RSI) repré sente l activité la plus populaire de l ASIMM (colloquersi.com). Cet événement unique est consacré à la SI. Son objectif est de réunir les différents spécialistes et intervenants du milieu. Ils peuvent alors partager leurs visions et leurs connaissances sur les technologies, les tendances et les meilleures pratiques dans tous les domaines de la SI : enjeux de gouvernance, gestion de la sécurité, sécurité physique, sécurité informatique, vérifications, aspects légaux et sociaux et bien d autres. «Montréal est une plateforme internationale privilégiée et bilingue. Le RSI, tout comme les autres événements de l ASIMM, attire donc des conférenciers, tant locaux qu internationaux, de qualité pour la plus grande satisfaction des participants.» Suite en page 21 Mars 2010 SÉCUS 20

La sécurité entgv. avecpatrick Boucher

La sécurité entgv. avecpatrick Boucher E N T R E V U E La sécurité entgv Photo : Michel Latulippe avecpatrick Boucher PROPOS RECUEILLIS PAR SAMUEL BONNEAU Patrick Boucher est diplômé de l UQAM en informatique. Il est président fondateur de

Plus en détail

Gestion de la sécurité de l information par la haute direction

Gestion de la sécurité de l information par la haute direction Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

Impartition réussie du soutien d entrepôts de données

Impartition réussie du soutien d entrepôts de données La force de l engagement MD POINT DE VUE Impartition réussie du soutien d entrepôts de données Adopter une approche globale pour la gestion des TI, accroître la valeur commerciale et réduire le coût des

Plus en détail

Les bonnes pratiques du recrutement en ligne

Les bonnes pratiques du recrutement en ligne POUR VOUS ÉCLAIRER DANS LE COMMERCE DE DÉTAIL Les bonnes pratiques du recrutement en ligne Avant-propos Au Québec, le commerce de détail compte près de 24 000 établissements et 300 000 employés. Les jeunes

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

UN SERVICE À VOTRE IMAGE

UN SERVICE À VOTRE IMAGE UN SERVICE À VOTRE IMAGE Un service Un service de de Mutuelles qui qui inspire inspire la fierté! la fierté! Depuis 2012, Depuis l AQEI 2012, offre l AQEI un offre outil un sur outil mesure à mesure ses

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

La Loi canadienne anti-pourriel. Séance d information 2014

La Loi canadienne anti-pourriel. Séance d information 2014 La Loi canadienne anti-pourriel Séance d information 2014 Avis Cette présentation a été préparée par le personnel de la Commission dans le but de fournir des informations générales à l égard de la Loi

Plus en détail

STEPHANE DODIER, M.B.A. Sommaire. Compétences. Formation académique 514-608- 5865. sdodier@stephanedodier.com. Stephane Dodier MBA

STEPHANE DODIER, M.B.A. Sommaire. Compétences. Formation académique 514-608- 5865. sdodier@stephanedodier.com. Stephane Dodier MBA STEPHANE DODIER, M.B.A. 514-608-5865 Sommaire J occupe le poste de Vice-Président Exécutif pour Optimum informatique, une firme de servicesconseils informatique appartenant au Groupe financier Optimum.

Plus en détail

ISBN-13 : 978-2-922325-43-0 Dépôt légal : Bibliothèque et Archives nationales du Québec, 2009

ISBN-13 : 978-2-922325-43-0 Dépôt légal : Bibliothèque et Archives nationales du Québec, 2009 REMERCIEMENTS AUX PARTENAIRES Cette étude a été réalisée grâce à la participation financière de la Commission des partenaires du marché du travail et du ministère de l Éducation, du Loisir et du Sport.

Plus en détail

22 Solut!ons pour planifier vos finances. Des stratégies éprouvées

22 Solut!ons pour planifier vos finances. Des stratégies éprouvées 22 Solut!ons pour planifier vos finances Des stratégies éprouvées pour améliorer vos finances L avenir que vous bâtissez aujourd hui est celui dont vous profiterez demain Seriez-vous rassuré de savoir

Plus en détail

Agenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions

Agenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions Agenda Le marché global entourant l infonuagique Le Cloud vs le Gouvernement du Québec Position officielle Communauté Européenne Approche globale entourant la sécurité Centre de traitement Sécurité Conformité

Plus en détail

INVESTIR À propos de Banque Nationale Courtage direct. Prenez le contrôle avec Banque Nationale Courtage direct

INVESTIR À propos de Banque Nationale Courtage direct. Prenez le contrôle avec Banque Nationale Courtage direct Prenez le contrôle avec Banque Nationale Courtage direct 01 Au service des investisseurs canadiens depuis plus de 25 ans Filiale d une des plus grandes institutions financières au pays, offre aux investisseurs

Plus en détail

Faits saillants du Cadre des profils de compétences en TIC

Faits saillants du Cadre des profils de compétences en TIC Développer aujourd hui la main-d œuvre de demain Information and Communications Technology Council Conseil des technologies de l information et des communications Faits saillants du Cadre des profils de

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Société ontarienne d assurance-dépôts

Société ontarienne d assurance-dépôts Société ontarienne d assurance-dépôts Gestion des risques liés aux technologies de l information : Rôle des conseils d administration et des comités d audit DAVID FLORIO, CPA, CA IT, PCI QSA, CRMA PARTNER,

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

Outils et ressources liés à la planification des ressources humaines

Outils et ressources liés à la planification des ressources humaines Outils et ressources liés à la planification des ressources humaines Guide ressources à l intention des gestionnaires du secteur d emploi de l économie sociale et de l action communautaire Avant-propos

Plus en détail

Un crédit d impôt pour l avenir du Québec

Un crédit d impôt pour l avenir du Québec Un crédit d impôt pour l avenir du Québec Mémoire présenté à la Commission d examen sur la fiscalité québécoise Par l Association canadienne de l enseignement coopératif, comité Québec (ACDEC-Québec) En

Plus en détail

Connaissez les risques. Protégez-vous. Protégez votre entreprise.

Connaissez les risques. Protégez-vous. Protégez votre entreprise. Protégez-vous en ligne. Connaissez les risques. Protégez-vous. Protégez votre entreprise. CONSEILS PENSEZ CYBERSÉCURITÉ POUR LES PETITES ET MOYENNES ENTREPRISES Si vous êtes comme la plupart des petites

Plus en détail

SOMMAIRE. AVRIL 2013 TECHNOLOGIE ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES

SOMMAIRE. AVRIL 2013 TECHNOLOGIE ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES AVRIL 2013 TECHNOLOGIE ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES Faits saillants du sondage 2 Contexte et méthode de sondage 3 Profil des répondants 3 Investissements

Plus en détail

Attestation de spécialisation professionnelle (ASP) LANCEMENT D UNE ENTREPRISE. www.lancement-e.com

Attestation de spécialisation professionnelle (ASP) LANCEMENT D UNE ENTREPRISE. www.lancement-e.com Attestation de spécialisation professionnelle (ASP) LANCEMENT D UNE ENTREPRISE 5264 Guide du promoteur Les étapes à suivre 2014-2015 www.lancement-e.com Prenez votre avenir en main Créez votre emploi Passez

Plus en détail

LIVRE BLANC. Migration de Magento Community Edition MD à Magento Enterprise Edition MD

LIVRE BLANC. Migration de Magento Community Edition MD à Magento Enterprise Edition MD LIVRE BLANC Migration de Magento Community Edition MD à Magento Enterprise Edition MD INTRODUCTION La plateforme de commerce électronique Magento MD offre aux commerçants une solution complète, souple

Plus en détail

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité Document de présentation technique d Allstream et de Dell SecureWorks 1 Table des matières Sommaire 1 État

Plus en détail

Demande d informationservices d aide temporaire (SAT) Questionnaire à l intention des ministères clients

Demande d informationservices d aide temporaire (SAT) Questionnaire à l intention des ministères clients Demande d informationservices d aide temporaire (SAT) Questionnaire à l intention des ministères clients Contexte Travaux publics et Services gouvernementaux Canada (TPSGC) souscrit aux principes d Approvisionnement

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Stella-Jones pilier du secteur grâce à IBM Business Analytics

Stella-Jones pilier du secteur grâce à IBM Business Analytics Stella-Jones pilier du secteur grâce à IBM Accélération et précision des rapports, budgets et prévisions au service d une entreprise en plein essor En bref Les besoins À la suite de plusieurs acquisitions

Plus en détail

Votre entreprise Le titre du poste que vous recherchez Le nom du candidat Exemple : Note concernant la candidate Tremblay (exemple)

Votre entreprise Le titre du poste que vous recherchez Le nom du candidat Exemple : Note concernant la candidate Tremblay (exemple) Votre spécialiste en acquisition de talents Symbiose Ressources humaines 514-448-5630 info@symbioserh.net Tabledesmatières NoteconcernantlacandidateTremblay(exemple)...1 Résumédelacandidature(exemple)...2

Plus en détail

Chef de file en matière de gestion des. ressources humaines, Groupe SFP. a comme mission d offrir des solutions. adaptées visant l efficacité

Chef de file en matière de gestion des. ressources humaines, Groupe SFP. a comme mission d offrir des solutions. adaptées visant l efficacité www.groupe-sfp.com 1.877.373.8208 TROIS-RIVIÈRES 2200, rue Sidbec Sud, Bureau 204 Trois-Rivières (Québec) G8Z 4H1 Tél. : 819.373.8208 Téléc. : 819.373.8165 resshum@groupe-sfp.com DRUMMONDVILLE 193, rue

Plus en détail

RÉGIMES DE RETRAITE DANS LE SECTEUR BÉNÉVOLE ET COMMUNAUTAIRE NOTIONS DE BASE AUX FINS DE DISCUSSION

RÉGIMES DE RETRAITE DANS LE SECTEUR BÉNÉVOLE ET COMMUNAUTAIRE NOTIONS DE BASE AUX FINS DE DISCUSSION RÉGIMES DE RETRAITE DANS LE SECTEUR BÉNÉVOLE ET COMMUNAUTAIRE NOTIONS DE BASE AUX FINS DE DISCUSSION Contexte L accès à une prestation de retraite ou de pension pour les employés des organismes du secteur

Plus en détail

Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage.

Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage. Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage. Comment ce guide peut vous être utile? Si vous songez à intégrer le nuage à votre entreprise sans savoir par

Plus en détail

La classification des actifs informationnels au Mouvement Desjardins

La classification des actifs informationnels au Mouvement Desjardins La classification des actifs informationnels au Mouvement Desjardins Cas vécu en grande entreprise Jean-François Allard Directeur principal Risques Informationnels Mouvement Desjardins Anick Charland Conseillère

Plus en détail

Déterminer quelle somme dépenser en matière de sécurité des TI

Déterminer quelle somme dépenser en matière de sécurité des TI Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement

Plus en détail

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

Règlement relatif à l utilisation des ressources informatiques et de télécommunication SECRÉTARIAT GÉNÉRAL Règlements, directives, politiques et procédures Règlement relatif à l utilisation des ressources informatiques et de télécommunication Adoption Instance/Autorité Date Résolution(s)

Plus en détail

NTRODUCTION. Guide de gestion des ressources humaines

NTRODUCTION. Guide de gestion des ressources humaines NTRODUCTION La rémunération est une activité ayant un impact important sur la performance de l entreprise. Une gestion efficace de la rémunération permet de contrôler les coûts liés à la main-d œuvre,

Plus en détail

S E R V I C E D E G E S T I O N P R I V É E

S E R V I C E D E G E S T I O N P R I V É E S E R V I C E D E G E S T I O N P R I V É E 2 QUAND LA GESTION DE PORTEFEUILLE SE DÉMOCRATISE 3 Le debut des activités, en 2011, de la Société de gestion privée des Fonds FMOQ inc. marque une nouvelle

Plus en détail

Situation actuelle : Sommaire d une recommandation Page 1 de 5

Situation actuelle : Sommaire d une recommandation Page 1 de 5 Le but de l entreprise est d offrir la meilleure qualité de service dans la vente de pièces automobiles. Les clients de Pintendre on besoin de se procurer les pièces automobiles rapidement afin de changer

Plus en détail

agility made possible

agility made possible DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives Comment assurer une expérience utilisateur exceptionnelle pour les applications métier

Plus en détail

> livre blanc. Mettez-vous vos données et celles de vos clients en danger?

> livre blanc. Mettez-vous vos données et celles de vos clients en danger? > livre blanc Mettez-vous vos données et celles de vos clients en danger? QU EST-CE QUE CELA SIGNIFIE? VOTRE ENTREPRISE N EST PAS TROP GRANDE NI TROP PETITE POUR ÊTRE PIRATÉE Revenons dix ans en arrière,

Plus en détail

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis ÉTUDE TECHNIQUE L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis Pour une entreprise, l informatique en nuage constitue une occasion majeure d améliorer

Plus en détail

Charte d'usage des TIC

Charte d'usage des TIC Schéma Informatique Ministériel Groupe Chartes d usage des TIC Introduction Charte d'usage des TIC Le développement et la diffusion au sein du MINEFI des nouveaux moyens de communication et d information

Plus en détail

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Table of Contents 3 10 étapes essentielles 3 Comprendre les exigences 4 Mettre en œuvre des contrôles informatiques

Plus en détail

La sécurité financière, ça se planifie!

La sécurité financière, ça se planifie! PERFECTIONNEMENT PROFESSIONNEL 2014-2015 La sécurité financière, ça se planifie! Cours d'une journée qui s adresse aux dentistes seulement DESCRIPTION Vos besoins évoluent sans cesse. Comment donc assurer

Plus en détail

Vos données sont-elles adaptées à l informatique en nuage?

Vos données sont-elles adaptées à l informatique en nuage? ÉTUDE TECHNIQUE Vos données sont-elles adaptées à l informatique en nuage? De toutes les questions à se poser avant de migrer vers le nuage, la suivante est la plus pertinente : mes données sont-elles

Plus en détail

Mesdames et messieurs, chers actionnaires,

Mesdames et messieurs, chers actionnaires, Allocution de monsieur Réal Raymond président et chef de la direction de la Banque Nationale du Canada Fairmont Le Reine Elizabeth Montréal, le 8 mars 2006 Mesdames et messieurs, chers actionnaires, Permettez-moi

Plus en détail

1. La sécurité applicative

1. La sécurité applicative ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité

Plus en détail

La situation financière des Canadiens

La situation financière des Canadiens La situation financière des Canadiens 1 Approche client Microsoft Advertising Hiver 2015 LA SITUATION FINANCIÈRE DES CANADIENS 2 Des décisions financières difficiles et importantes doivent être prises

Plus en détail

La gestion des ressources humaines, un enjeu incontournable

La gestion des ressources humaines, un enjeu incontournable Petit-Matin RH Adecco : «Les défis d avenir de la gestion des ressources humaines» par Florent Francoeur, CRHA Le premier Petit-Matin RH 2013 organisé par Adecco s est déroulé le 21 février dernier au

Plus en détail

Allocution de Mme Françoise Bertrand Présidente directrice générale Fédération des chambres de commerce du Québec

Allocution de Mme Françoise Bertrand Présidente directrice générale Fédération des chambres de commerce du Québec Allocution de Mme Françoise Bertrand Présidente directrice générale Fédération des chambres de commerce du Québec Comment les entreprises devraient-elles entrevoir l avenir en matière de régime de retraite

Plus en détail

Le ministre Oliver dépose un budget équilibré et un plan axé sur des impôts bas pour favoriser l emploi, la croissance et la sécurité

Le ministre Oliver dépose un budget équilibré et un plan axé sur des impôts bas pour favoriser l emploi, la croissance et la sécurité Ministère des Finances Communiqué Le ministre Oliver dépose un budget équilibré et un plan axé sur des impôts bas pour favoriser l emploi, la croissance et la sécurité Le Plan d action économique de 2015

Plus en détail

LE CENTRE DE SERVICES PARTAGÉS DU QUÉBEC PLAN STRATÉGIQUE 2012-2015

LE CENTRE DE SERVICES PARTAGÉS DU QUÉBEC PLAN STRATÉGIQUE 2012-2015 LE CENTRE DE SERVICES PARTAGÉS DU QUÉBEC PLAN STRATÉGIQUE 2012-2015 Dépôt légal Bibliothèque et Archives nationales du Québec, 2013 Bibliothèque et Archives Canada, 2013 ISBN 978-2-550-66875-6 (version

Plus en détail

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com Yaoundé, Palais des Congrès, du 22 au 26 Avril 2013 PRESENTATION INTRODUCTION À l heure de la mondialisation,

Plus en détail

Grâce à l investissement

Grâce à l investissement Appuyer la prospérité économique Grâce à l investissement Mémoire de l ACCC au Comité permanent des finances de la Chambre des communes Mémoire préparé par : Association des collèges communautaires du

Plus en détail

Services aux entreprises. Code de conduite et règlement des insatisfactions. C est votre satisfaction qui compte!

Services aux entreprises. Code de conduite et règlement des insatisfactions. C est votre satisfaction qui compte! Services aux entreprises Code de conduite et règlement des insatisfactions C est votre satisfaction qui compte! 02 03 Vers l harmonisation des relations avec les entreprises Dans le but de développer et

Plus en détail

GUIDE SUR LES INDICATEURS DE PERFORMANCE DANS LES UNITÉS DE VÉRIFICATION INTERNE

GUIDE SUR LES INDICATEURS DE PERFORMANCE DANS LES UNITÉS DE VÉRIFICATION INTERNE GUIDE SUR LES INDICATEURS DE PERFORMANCE DANS LES UNITÉS DE VÉRIFICATION INTERNE FRVI Mars 2009 Guide sur les indicateurs de performance dans les unités de vérification interne 2 Table des matières Introduction..04

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

Modernisation et gestion de portefeuilles d applications bancaires

Modernisation et gestion de portefeuilles d applications bancaires Modernisation et gestion de portefeuilles d applications bancaires Principaux défis et facteurs de réussite Dans le cadre de leurs plans stratégiques à long terme, les banques cherchent à tirer profit

Plus en détail

1. Logiciel ERP pour les PME d ici... 3 2. Technologies Microsoft... 4 3. Modules disponibles... 5 3.1. Finance... 5 3.2. Analyses & BI... 6 3.3.

1. Logiciel ERP pour les PME d ici... 3 2. Technologies Microsoft... 4 3. Modules disponibles... 5 3.1. Finance... 5 3.2. Analyses & BI... 6 3.3. 1. Logiciel ERP pour les PME d ici... 3 2. Technologies Microsoft... 4 3. Modules disponibles... 5 3.1. Finance... 5 3.2. Analyses & BI... 6 3.3. Vente et marketing... 7 3.3.1. Gestion de la relation Client

Plus en détail

ÉNERGISER L AVENIR Étude d information sur le marché du travail 2008

ÉNERGISER L AVENIR Étude d information sur le marché du travail 2008 Construire un avenir brillant ÉNERGISER L AVENIR Étude d information sur le marché du travail 2008 www.avenirbrillant.ca Financé par le gouvernement du Canada par l entremise du Programme des conseils

Plus en détail

Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information

Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information Bureau du surintendant des institutions financières Novembre 2012 Table des matières 1.

Plus en détail

Plan de cours Programme de leadership en entreprise pour les conseillers juridiques d entreprise

Plan de cours Programme de leadership en entreprise pour les conseillers juridiques d entreprise Plan de cours Programme de leadership en entreprise pour les conseillers juridiques d entreprise Un juriste typique qui assume un rôle de juriste d entreprise est armé d une solide formation et expérience

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Les organismes communautaires : partenaires essentiels d une véritable assurance autonomie

Les organismes communautaires : partenaires essentiels d une véritable assurance autonomie Commission de la santé et des services sociaux L autonomie pour tous Consultations particulières sur la création d une assurance autonomie Les organismes communautaires : partenaires essentiels d une véritable

Plus en détail

LA MISSION DE L APER EST DE REPRÉSENTER ET DE DÉFENDRE LES DROITS DU PERSONNEL D ENCADREMENT DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX DU QUÉBEC

LA MISSION DE L APER EST DE REPRÉSENTER ET DE DÉFENDRE LES DROITS DU PERSONNEL D ENCADREMENT DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX DU QUÉBEC LA MISSION DE L APER EST DE REPRÉSENTER ET DE DÉFENDRE LES DROITS DU PERSONNEL D ENCADREMENT DU RÉSEAU DE LA SANTÉ ET DES SERVICES SOCIAUX DU QUÉBEC SOUTIEN, DÉVELOPPEMENT, REPRÉSENTATION L APER EST LA

Plus en détail

Stratégie d assurance retraite

Stratégie d assurance retraite Stratégie d assurance retraite Département de Formation INDUSTRIELLE ALLIANCE Page 1 Table des matières : Stratégie d assurance retraite Introduction et situation actuelle page 3 Fiscalité de la police

Plus en détail

Pour débuter sur LinkedIn

Pour débuter sur LinkedIn Pour débuter sur LinkedIn Ça sert à quoi? Remplir son profil Développer et réseauter 1 LinkedIn, ça sert à quoi 1. Communication externe Oubliez les adresses courriel erronées, les CRM et les applications

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL Avertissement : LE PRÉSENT DOCUMENT CONSTITUE UN CONDENSÉ DU RAPPORT ANNUEL DU VÉRIFICATEUR GÉNÉRAL. VOUS ÊTES INVITÉ À CONSULTER LA VERSION INTÉGRALE

Plus en détail

Faire le bon choix SOLUTIONS D ÉPARGNE-RETRAITE COLLECTIVE. Laissez-vous simplement guider par nos spécialistes

Faire le bon choix SOLUTIONS D ÉPARGNE-RETRAITE COLLECTIVE. Laissez-vous simplement guider par nos spécialistes SOLUTIONS D ÉPARGNE-RETRAITE COLLECTIVE Laissez-vous simplement guider par nos spécialistes Faire le bon choix Aide-mémoire à l intention des employeurs Solutions d épargne-retraite collective Appuyés

Plus en détail

Gérer les excédents de trésorerie Épargnes et placements

Gérer les excédents de trésorerie Épargnes et placements Gérer les excédents de trésorerie Épargnes et placements SÉRIE PARTENAIRES EN AFFAIRES Établir un plan Mettre votre plan à exécution Penser à long terme SÉRIE PARTENAIRES EN AFFAIRES Votre argent doit

Plus en détail

Vos stratégies d attraction et de rétention vous permettent-elles d attirer et de fidéliser les meilleurs talents?

Vos stratégies d attraction et de rétention vous permettent-elles d attirer et de fidéliser les meilleurs talents? > pour un meilleur rendement des organisations et des personnes Vos stratégies d attraction et de rétention vous permettent-elles d attirer et de fidéliser les meilleurs talents? L optimisation du capital

Plus en détail

A. Particuliers. activités B. Sociétés Ajout d un quatrième palier à. Lutte contre l évasion fiscale. économiques RRQ et financiers

A. Particuliers. activités B. Sociétés Ajout d un quatrième palier à. Lutte contre l évasion fiscale. économiques RRQ et financiers A. Particuliers Faits saillants o Hausse progressive de la contribution des parents aux services de garde o Amélioration de la gouvernance des fonds fiscalisés o Faits Capital saillants régionale et ayant

Plus en détail

Formulaire d évaluation du stage d expérience pratique - cheminement CPA, CGA

Formulaire d évaluation du stage d expérience pratique - cheminement CPA, CGA 5, Place Ville Marie, bureau 800 Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Formulaire d évaluation du stage d expérience pratique - cheminement CPA,

Plus en détail

5.6 Concertation pour l emploi

5.6 Concertation pour l emploi 5.6 Concertation pour l emploi Soutien à la gestion des ressources humaines 5.6 CONCERTATION POUR L EMPLOI 2012-07-12 Table des matières Section 4 : p. 2 sur 13 Table des matières RÉFÉRENCE Table des matières...

Plus en détail

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées Ligne directrice Objet : Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées Date : Introduction La simulation de crise

Plus en détail

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation

Plus en détail

6 Conception de la gestion des correctifs

6 Conception de la gestion des correctifs Conception de la gestion des correctifs Par définition, la gestion des correctifs et mises à our est le processus qui permet de contrôler le déploiement et la maintenance des versions intermédiaires de

Plus en détail

Gestion des identités et des risques

Gestion des identités et des risques Gestion des identités et des risques Se préparer à un monde nouveau À PROPOS DE CETTE ARTICLE Dans le domaine de la gestion des identités et des risques, l époque du statu quo est révolue. La vitesse croissante

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

PRIORITÉS POUR LE BUDGET FÉDÉRAL DE 2012

PRIORITÉS POUR LE BUDGET FÉDÉRAL DE 2012 PRIORITÉS POUR LE BUDGET FÉDÉRAL DE 2012 DOCUMENT PRÉPARÉ PAR L ASSOCIATION CANADIENNE DES COMPAGNIES D ASSURANCE MUTUELLES À L INTENTION DU COMITÉ PERMANENT DES FINANCES DE LA CHAMBRE DES COMMUNES Août

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

IBM Tivoli Compliance Insight Manager

IBM Tivoli Compliance Insight Manager Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts

Plus en détail

Acquérir de nouveaux clients

Acquérir de nouveaux clients Acquérir de nouveaux clients Guide pratique sur l optimisation web Guide pratique sur l optimisation web... 01 Qu est-ce que l optimisation web?... 01 L importance des moteurs de recherche dans l optimisation

Plus en détail

Guide Pratique Gérez efficacement vos contacts

Guide Pratique Gérez efficacement vos contacts Guide Pratique Gérez efficacement vos contacts SOMMAIRE Avant Propos 3 Faites un bilan de votre situation actuelle 4 Quelle est la différence entre un logiciel de gestion de contacts et mon organisation

Plus en détail

Garth LARCEN, Directeur du Positive Vibe Cafe à Richmond (Etats Unis Virginie)

Garth LARCEN, Directeur du Positive Vibe Cafe à Richmond (Etats Unis Virginie) Garth LARCEN, Directeur du Positive Vibe Cafe à Richmond (Etats Unis Virginie) Commentaire du film d introduction de l intervention de Garth Larcen et son fils Max, entrepreneur aux U.S.A. Garth Larcen

Plus en détail

Le Réseau Social d Entreprise (RSE)

Le Réseau Social d Entreprise (RSE) ALTANA CABINET D AVOCATS Le Réseau Social d Entreprise (RSE) Maîtriser les risques de ce nouvel outil numérique d entreprise et déterminer sa stratégie digitale Claire BERNIER Document confidentiel Ne

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Commerçants carte absente, toutes les fonctions de données de titulaires de carte sont

Plus en détail

GENWORTH FINANCIAL CANADA PROPOSITION PRÉBUDGETAIRE OCTOBRE 2006

GENWORTH FINANCIAL CANADA PROPOSITION PRÉBUDGETAIRE OCTOBRE 2006 1211122 GENWORTH FINANCIAL CANADA PROPOSITION PRÉBUDGETAIRE OCTOBRE 2006 RAPPORT SOMMAIRE Cette proposition présente les recommandations de Genworth Financial Canada («Genworth») au Comité permanent des

Plus en détail

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS)

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Une étude personnalisée de la série Technology Adoption Profile commandée par Bell Canada Juin 2014 Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Introduction

Plus en détail

Régie des rentes du Québec 2006. En cas

Régie des rentes du Québec 2006. En cas Régie des rentes du Québec 2006 En cas Profitez de nos services en ligne Le relevé de participation au Régime de rentes du Québec ; SimulRetraite, un outil de simulation des revenus à la retraite ; La

Plus en détail

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration Bureau du surintendant des institutions financières Audit interne des Services intégrés : Services de la sécurité et de l administration Avril 2014 Table des matières 1. Contexte... 3 2. Objectif, délimitation

Plus en détail

HeliQwest passe au numérique avec un coup de pouce de Windows Mobile

HeliQwest passe au numérique avec un coup de pouce de Windows Mobile Windows Mobile Étude de cas Solutions clients HeliQwest passe au numérique avec un coup de pouce de Windows Mobile Aperçu Pays ou région : Canada Secteur industriel : Transport Profil du client HeliQwest,

Plus en détail

Actualités Administrateurs

Actualités Administrateurs ORGANISMES SANS BUT LUCRATIF Actualités Administrateurs Décembre 2013 L informatique en nuage questions que les administrateurs devraient poser Auteure : Jodie Lobana, CPA, CA, CISA, CIA, CPA (IL), PMP

Plus en détail

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information Politique de sécurité de l information et des technologies Direction des systèmes et technologies de l information Adoptée par le conseil d administration le 17 février 2015 Responsable Document préparé

Plus en détail

25 mars 2014 Hôtel Hyatt Regency, Montréal. Faire des choix stratégiques à l ère du numérique. www.lesaffaires.com/evenements/dirigeantsti

25 mars 2014 Hôtel Hyatt Regency, Montréal. Faire des choix stratégiques à l ère du numérique. www.lesaffaires.com/evenements/dirigeantsti Présenté par : Forum Big Data/BYOD/Infonuagique Faire des choix stratégiques à l ère du numérique En partenariat avec : 25 mars 2014 Hôtel Hyatt Regency, Montréal Forum Big Data/BYOD/Infonuagique 25 mars

Plus en détail