Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Dimension: px
Commencer à balayer dès la page:

Download "Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité"

Transcription

1 Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité Document de présentation technique d Allstream et de Dell SecureWorks 1

2 Table des matières Sommaire 1 État actuel de la gestion des journaux 2 Cinq étapes pour élaborer une stratégie de gestion des journaux 2 Matrice type sur les exigences liées à la gestion des journaux 5 Une approche de mise en œuvre progressive 8 Chercher une aiguille dans une botte de foin 8 Journaliser les résultats pour améliorer la visibilité 8 Conclusion 9

3 Ce document de présentation technique a pour but de fournir des conseils au lecteur quant à l élaboration d une approche stratégique adéquate de gestion et de surveillance des journaux, qui permette une meilleure conformité aux mandats des organismes de réglementation et une défense plus efficace face aux menaces informatiques. Sommaire Des exigences en matière de conformité à la collecte de données à des fins de vérification juricomptable, les entreprises ont ouvert les portes aux données de journaux. En se fondant sur les conclusions de vérifications et les enquêtes internes, les entreprises ont mis en œuvre des technologies coûteuses et ont affecté un grand nombre d employés à la gestion des journaux sans toutefois saisir pleinement ce qu elles devaient enregistrer ni pourquoi. Les entreprises et les organismes ont besoin d une stratégie de gestion des journaux qui combine à la fois les exigences imposées par les vérificateurs et un processus à l intention de l équipe de sécurité établi en fonction des risques afin d acquérir une meilleure visibilité des données de journaux. Ce type d approche plus stratégique réduit les tâches manuelles associées à ce processus, assure une conformité accrue et plus transparente aux exigences réglementaires et permet de déterminer les menaces informatiques et d atténuer les risques de façon plus efficace. La centralisation de la journalisation et de la surveillance des incidents touchant les applications se trouve actuellement favorisée par plusieurs facteurs : la conformité aux réglementations, les incidents de vol de données largement médiatisés, la nature changeante des faiblesses informatiques et les attaques ciblant les applications. Les entreprises devraient mettre en œuvre des solutions visant à appuyer la centralisation de la journalisation et de la surveillance au niveau des applications. Recommandations en matière d administration de la sécurité, Amrit T. Williams et al, Février 2006 Par ailleurs, les méthodes actuelles de surveillance de la sécurité accordent trop d importance à la collecte des données au niveau de la couche réseau, générant ainsi un grand volume de données, tout en exposant la couche application à des risques. La surveillance du réseau peut compléter et améliorer la surveillance touchant les applications ou les systèmes hôtes, mais rarement s y substituer. Après tout, une attaque informatique se traduit souvent par l accès à un hôte ou à une application, comme une base de données sur les cartes de crédit. La surveillance touchant les applications ou les systèmes hôtes décèle les incidents qui se sont véritablement produits et non les incidents qui pourraient se produire. L analyse combinant les incidents du réseau et les données de journaux générées par les serveurs hébergés et les applications essentielles peut indiquer une activité à risque élevé qui pourrait passer inaperçue avec une simple analyse du réseau. Il suffit de savoir quels sont les systèmes à surveiller, pour quelles raisons et à quelle fréquence, et quoi faire quant aux exceptions et aux anomalies. Ce document de présentation technique vise à aider les directeurs des TI et de la sécurité à concevoir une stratégie de gestion des journaux plus efficace grâce à un processus en cinq étapes : Définir les facteurs clés qui justifient une gestion des journaux au sein de votre entreprise. Définir les systèmes et les applications qui doivent faire l objet d une surveillance. 1

4 Déterminer les exigences de sécurité et de conservation quant à la surveillance des journaux. Déterminer les types d incidents et de transactions qui nécessitent une surveillance. Définir les exigences en matière d examen et d intervention relativement à la détection et à la prévention des menaces. Une matrice sur la stratégie de gestion des journaux visant les entreprises vous aidera à prendre des décisions éclairées en matière de technologie, de processus et de services, plutôt que l inverse. Il en découlera une meilleure conformité aux réglementations de sécurité de l information grâce à une collecte et à une conservation des données mieux ciblées, ainsi qu à la présence de pistes de vérification ou de preuves d examen et d intervention. État actuel de la gestion des journaux La sécurité des applications et des données d entreprise qui se trouvent dans le pare-feu est compromise par plusieurs facteurs. Tout d abord, il faut mentionner que l utilisation croissante d applications Web pour les transactions entre entreprises ou entre entreprises et particuliers a contribué à augmenter le volume du trafic aux fins de la surveillance. Deuxièmement, les attaques informatiques sont de plus en plus élaborées et vont au-delà de simples attaques perturbatrices, comme les virus ou les refus de service, ciblant les applications et le vol de données importantes. Comme les applications se sont avérées difficiles à surveiller, les entreprises n en ont pas tenu compte dans leurs activités de surveillance des journaux, espérant déceler une intrusion au niveau de la couche réseau. La journalisation des applications est effectuée selon différents modes et sous divers formats et les variables saisies sont différentes, ce qui rend difficile la centralisation de l information aux fins de l analyse et de l établissement de rapports. Certaines applications ne sont pas du tout configurées pour générer des journaux de sécurité. En revanche, celles qui le sont peuvent générer des journaux qui ne sont pertinents qu au sein de ces applications ellesmêmes et ne peuvent être lus par un outil d analyse centralisé. Cette complexité a empêché jusqu à maintenant les vérificateurs de se concentrer sur la journalisation des applications. «La plupart des professionnels de la sécurité passent encore beaucoup de temps à analyser les menaces techniques et à essayer de trouver des moyens technologiques pour y remédier. Le personnel de sécurité doit néanmoins s assurer d examiner les journaux, de déceler les faiblesses et de protéger les systèmes.» Bridging the Security Divide, Forrester Research, Janvier 2006 Les préoccupations en matière de contrôle de l information financière, de l accès non autorisé aux renseignements confidentiels et de l usurpation d identité sont à l origine des réglementations de la sécurité de l information comme la loi Sarbanes-Oxley (SOX), la loi Health Information Portability and Accountability Act (HIPAA), la loi Gramm-Leach-Bliley Act (GLBA) et des normes de l industrie, comme la norme pour le traitement sécurisé des paiements par carte de crédit (PCI DSS). Ces lois et ces normes de l industrie nécessitent la surveillance des journaux des systèmes qui recueillent ou conservent des renseignements personnels et des dossiers financiers, mais donnent rarement des conseils précis sur les 2

5 divers types de données à recueillir et la durée de conservation exigée. Même si la norme de sécurité PCI comporte quelques caractéristiques, les lois HIPAA, GLBA et SOX proposent toutes une approche basée sur les risques et l importance relative, ce qui fait finalement varier les contrôles d une entreprise à l autre. Dans bon nombre de cas, les entreprises ont réussi les vérifications dont elles ont fait l objet en conservant les journaux de plusieurs systèmes, en enregistrant une grande quantité de données et en embauchant du personnel afin de déceler les anomalies un processus manuel fastidieux. Cinq étapes pour élaborer une stratégie de gestion des journaux Le sondage sur la sécurité à l intention des chefs des Services informatiques a révélé que 41 pour cent d entre eux croient que leur entreprise met trop l accent sur les tactiques de sécurité au lieu de se concentrer sur la stratégie de sécurité. Cela est vrai pour tous les aspects de la sécurité, de la prévention des intrusions à la surveillance des journaux, en passant par la protection des faiblesses informatiques. Le processus par étapes décrit ci-après vous permettra de créer une matrice sur la stratégie de gestion des journaux, un outil de planification essentiel pour votre entreprise. 1) Définir les facteurs clés qui justifient une gestion des journaux au sein de votre entreprise Une stratégie de gestion des journaux met l accent sur les priorités de l entreprise, comme le service à la clientèle, l exploitation, la protection juridique et la propriété intellectuelle. Pour élaborer une matrice, vous devez d abord dresser une liste des facteurs clés, c est-à-dire des raisons qui justifient la collecte, la conservation et la surveillance des données de journaux : Les exigences en matière de conformité, comme la loi SOX ou la norme de sécurité PCI. Les objectifs de l entreprise, comme l amélioration du service à la clientèle ou de la productivité. Les exigences en matière d intervention, comme des mesures correctives rapides ou des avis envoyés aux clients. 2) Définir les systèmes et les applications qui doivent faire l objet d une surveillance Une approche facile en matière de surveillance des journaux consiste à saisir ce qui peut être saisi facilement et à sauvegarder le tout. Une approche stratégique, quant à elle, limite la portée et s applique à l ensemble des systèmes et des applications qui contribueront à surveiller les incidents de sécurité en fonction des facteurs clés. Par exemple : La conformité à la loi SOX nécessite la surveillance des journaux des états financiers et des systèmes de traitement. La conformité à la norme de sécurité PCI nécessite la surveillance des journaux des systèmes de traitement par carte de crédit et de stockage de données. La conformité à la loi GLBA nécessite la surveillance des journaux des systèmes qui conservent des données financières personnelles. La conformité à la loi HIPAA nécessite la surveillance des journaux des systèmes protégés qui conservent des renseignements médicaux personnels. 3

6 Outre les exigences en matière de conformité, une approche de surveillance stratégique doit inclure les systèmes présentant un risque élevé pour l entreprise, en raison de leur valeur intrinsèque, ainsi que les systèmes relatifs aux biens en matière de propriété intellectuelle. Les chefs des Services juridiques et de la Conformité sont souvent consultés à cette étape du processus de collecte des données. 3 ) Déterminer les exigences de sécurité et de conservation quant à la surveillance des journaux Bon nombre de réglementations requièrent la conservation d une quantité raisonnable de données pendant une période raisonnable, laissant ainsi les chefs de la Sécurité informatique et les vérificateurs libres d interpréter la loi comme ils l entendent. La création d une matrice en fonction des exigences de conformité et des objectifs de l entreprise, comme ses besoins en matière de propriété intellectuelle, offre une définition claire du terme «raisonnable». Une façon de limiter la quantité de données à conserver consiste à différencier les données brutes des incidents exceptionnels. Comme les données des journaux peuvent renfermer des renseignements confidentiels, la norme de sécurité PCI et les autres réglementations en la matière requièrent la protection des journaux eux-mêmes, ainsi que leur conservation. Les exigences relatives à la sécurité des journaux peuvent nécessiter des contrôles d accès, le chiffrement de données, la vérification de l intégrité et des avis de modifications. Par exemple, le paragraphe 10.5 de la norme de sécurité PCI oblige les entreprises à protéger les pistes de vérification afin que celles-ci ne puissent pas être modifiées. Cela comprend une restriction d accès afin d empêcher que les journaux ne soient modifiés et un moyen de savoir s ils ont été modifiés, le cas échéant. 4) Déterminer les types d incidents et de transactions qui nécessitent une surveillance La quantité de renseignements générés par la plupart des outils de surveillance des journaux peut submerger un service de sécurité. Le fait de limiter les types d incidents et de transactions devant être conservés et examinés en fonction des facteurs clés facilite la gestion du processus. Les exigences réglementaires et les pratiques exemplaires en matière de sécurité fournissent là encore un point de départ. Parmi les incidents potentiels, citons certaines tentatives de connexion, des modifications du compte, des connexions à distance, des modifications visant les politiques et les autorisations ainsi que des connexions aux pare-feu. Les combinaisons d incidents jouent un rôle majeur dans le contrôle des intrusions au sein de l infrastructure propre à chaque entreprise. L ouverture de session d une source inattendue indique peut-être qu un imposteur utilise des authentifiants non autorisés. Le trafic malveillant suivi de la création d un compte dans un délai préétabli peut indiquer la source d une attaque et permettre une intervention rapide et ciblée. Les méta-incidents peuvent se produire au sein des applications ou par l intermédiaire d applications, de plates-formes et de systèmes de réseau. 5) Définir les exigences en matière d examen et d intervention relativement à la détection et à la prévention des menaces Pour chaque incident, vous devez disposer d exigences définies en matière de surveillance et d intervention. Vous pouvez simplement recueillir les données des incidents afin de les examiner ultérieurement ou effectuer un examen périodique et 4

7 approuver la conformité des données. Les incidents de sécurité qui indiquent une menace probable pour les systèmes essentiels doivent générer une alerte afin qu un examen soit effectué sur-le-champ. Le processus d intervention doit clairement indiquer les différentes étapes, de la détection à la phase d intervention, sans oublier l établissement approprié d une fiche et la documentation du déroulement des tâches. La matrice sur les exigences liées à la gestion des journaux se veut un document de référence qui regroupe l ensemble des besoins de l entreprise relativement à la gestion des journaux. Les entreprises doivent régulièrement passer en revue cette matrice afin de mettre à jour les normes et de tenir compte des nouvelles applications et des nouveaux systèmes. Elles devraient notamment utiliser cet outil pour orienter leurs achats technologiques et leurs autres méthodes tactiques si elles tiennent à atteindre leurs objectifs d affaires. La technologie ne devrait pas dicter la stratégie de gestion des journaux. Matrice type sur les exigences liées à la gestion des journaux Vous trouverez ci-après une matrice type sur les exigences liées à la gestion des journaux visant une entreprise qui traite les paiements par carte de crédit. Partie I : Contexte ou facteurs justificatifs L entreprise X a déterminé ci-après les facteurs clés qui justifient une stratégie de gestion des journaux : Protection des données, notamment des renseignements confidentiels de l entreprise. Conservation des données à l égard des enquêtes judiciaires en cas d incident. Conformité à la norme pour le traitement sécurisé des paiements par carte de crédit (PCI DSS), ainsi qu aux lois Sarbanes-Oxley (SOX) et Gramm-Leach-Bliley Act (GLBA). Partie II : Portée de la surveillance L entreprise X a privilégié la surveillance des applications et des systèmes suivants : Systèmes financiers : logiciels de comptabilité, environnement de base de données Oracle et serveurs de fichiers du service des Finances. Systèmes de traitement par carte de crédit : applications et bases de données au point de vente (POS), et serveurs AS- 400 où sont conservés les numéros de carte. Partie III : Exigences en matière de conservation Après avoir examiné les réglementations et les normes de l industrie qui s appliquent, ainsi que sa politique sur la propriété intellectuelle, l entreprise X a établi les exigences suivantes en matière de conservation : 5

8 Source PCI SOX GLBA Bonne pratique de la sécurité Propriété intellectuelle Durée de conservation minimum exigée Journaux bruts 90 jours en ligne et 1 an hors ligne Souvent 1 an* jours en ligne et 1 an hors ligne -- 1 an en ligne Incidents exceptionnels 90 jours en ligne et 1 an hors ligne 7 ans** -- De 3 à 5 ans 1 an 3 ans hors ligne Rapports 1 an 7 ans -- De 3 à 5 ans 7 ans 7 ans hors ligne Fiches 1 an 7 ans -- De 3 à 5 ans 7 ans 7 ans hors ligne * Varie selon les vérificateurs. ** À moins que les données ne soient saisies dans des rapports qui sont conservés pendant sept ans. Partie IV : Exigences en matière de sécurité Après avoir examiné les réglementations et les normes de l industrie qui s appliquent, ainsi que sa politique sur la propriété intellectuelle, l entreprise X a établi les exigences suivantes en matière de sécurité : Exigence PCI SOX GLBA Bonne pratique de la sécurité Propriété intellectuelle Entreprise X Contrôle d accès E E* E E -- E Accès aux journaux bruts en lecture seule E E E E -- E Vérification de l intégrité E E E E -- E Avis de modification des fichiers journaux E E E E -- E Chiffrement des fichiers journaux E F E F F E = Exigé F = Facultatif Partie V : Exigences en matière de collecte de données sur les incidents D après les exigences en matière de conservation et de sécurité, l entreprise X a établi ci-après une liste d incidents devant faire l objet d une collecte de données et a attribué une période d examen appropriée pour chaque incident : 6

9 Incident PCI SOX GLBA Bonne pratique de la sécurité Entreprise X Accès Connexion réussie C C C CP CP Connexion échouée CP CP CP CP CP Connexion privilégiée réussie CP CP CP CP CP Connexion privilégiée échouée CP CP CP CP CP Accès à un objet CP CP CP CP CP Comptes Création/modification/suppression d un compte C CP C CP CP Création/modification/suppression d un compte privilégié CP CP CP CP CP Connexions à distance Accès à distance (RPV, SSH, etc.) CP C CP C CP Connexion au site Web C C C C C Modifications de la configuration Modifications visant la politique de sécurité CP CPA CP CPA CPA Modifications visant les autorisations CP CP CP CP CP Pare-feu/systèmes de détection des intrusions Trafic malveillant (failles) CPA CPA CPA CPA CPA Connexions refusées CP CP CP CP CP Connexions acceptées C C C C C Trafic anormal CPA CP CP CP CP Méta-incidents (combinaison d incidents) Multiples connexions échouées (cinq dans un délai de 30 minutes) CPA CP CP CPA CPA Connexions réussies à partir de différentes sources CPA CP CP CPA CPA Trafic malveillant suivi par la création d un compte dans un délai d une heure Activité administrative exécutée par une personne qui n est pas définie comme l administrateur CPA CPA CPA CPA CPA CP CP CP CPA CPA C = Collecte pour examen ultérieur P = Examen périodique A = Alerte pour examen immédiat Nota : La plupart des exigences réglementaires et des normes de l industrie ne précisent pas les types d incidents devant faire l objet d une surveillance. Les incidents énumérés ci-dessus ne sont que des interprétations établies en fonction du but des exigences de contrôle. 7

10 Une approche de mise en œuvre progressive La matrice sur les exigences liées à la gestion des journaux définit les données que vous devez surveiller et comment utiliser ces renseignements en fonction des objectifs de votre entreprise. La prochaine étape consiste à déterminer les services et les outils technologiques connexes qui vous aideront à mettre en œuvre la stratégie de gestion des journaux avec suffisamment de souplesse pour répondre à vos besoins de demain. Les plates-formes courantes comme Windows et Unix ainsi que les dispositifs technologiques de réseautage standard peuvent nécessiter quelques modifications si vous souhaitez commencer la journalisation des données rapidement. Leurs journaux s intègrent facilement à la plupart des systèmes de surveillance et d analyse. Les bases de données et les ordinateurs centraux personnalisés requièrent plus de souplesse et de créativité. Certaines applications ne sont pas configurées pour générer des journaux de sécurité, tandis que d autres génèrent des journaux qui ne peuvent être lus que par les applications elles-mêmes, et non par un outil d analyse centralisé. Plus compliqué encore, il y a les applications qui comportent des données de divers types et formats avec une organisation et signification différentes. Il peut exister plusieurs moyens de récupérer des journaux qui doivent être ajustés en fonction du rendement et des exigences de gestion en vigueur, grâce à une étroite collaboration avec les administrateurs du système. 10 étapes pour une surveillance des journaux efficace au niveau des applications personnalisées Les services de sécurité des TI ne tiennent souvent pas compte des applications personnalisées lorsqu ils mettent en œuvre un processus de surveillance des journaux. Une stratégie de gestion des journaux aide les chefs de la Sécurité à restreindre leurs exigences en matière de collecte des données afin d assurer le bon fonctionnement des applications essentielles et de protéger les renseignements importants. 1. Faire l inventaire des applications de l entreprise qui nécessitent une surveillance pour des raisons de conformité ou parce qu elles font partie d une infrastructure essentielle. 2. Déterminer le type (binaire ou texte) et l emplacement (fichier séquentiel, base de données, journal d exploitation ou autre) des données devant faire l objet d une surveillance ainsi que les capacités de journalisation pour chacune des applications. Les données binaires nécessiteront un agent de conversion ou un moyen de modifier le code. 3. Définir les types d incidents devant être saisis en fonction de votre stratégie de gestion des journaux. 4. Produire des journaux types qui renferment les incidents devant être saisis. 5. Travailler avec les administrateurs et les responsables des applications pour comprendre les différents types d incidents et les descriptions qui s y rapportent. 6. Adopter une terminologie plus courante pour les données sur les incidents (par ex., «échec pour accéder au système» devient «connexion échouée») 7. Inscrire les filtres de collecte des données pour la saisie des données sur les incidents et la normalisation des journaux. 8. Mettre en œuvre la stratégie dans un environnement d essai ou en utilisant les données types. 9. Mettre en œuvre la stratégie à l étape de la production. 10. Effectuer une surveillance et des mises à jour régulières lorsque des modifications sont apportées à une application. 8

11 Chercher une aiguille dans une botte de foin Affecter des administrateurs de système inexpérimentés au triage des données dans le but de déceler les anomalies n est pas une stratégie particulièrement efficace pour assurer la surveillance permanente. Les outils d analyse et de corrélation filtrent les journaux bruts afin de déceler les incidents exceptionnels en fonction des conditions définies dans la matrice. Ces outils peuvent également permettre de déceler les combinaisons d incidents ou les méta-incidents qui surviennent dans une application ou par l intermédiaire d applications, de plates-formes et de dispositifs de sécurité. Les alertes anticipées qui signalent les exceptions et les incidents devant faire l objet d un examen plus approfondi fournissent aux experts les renseignements dont ils ont besoin pour intervenir plus rapidement et discrètement, afin de contrer les menaces et les incidents potentiels. Journaliser les résultats pour améliorer la visibilité Il est important de recueillir les données et d analyser les journaux, mais quelles sont les décisions et les mesures commerciales clés prises par suite de l examen des résultats? Le fait de disposer d une matrice qui indique clairement les divers types de rapports requis et leur fréquence, ainsi que le processus d examen et d intervention, aide les entreprises à gérer le déroulement de la surveillance des journaux de façon plus uniforme. De nombreux outils d analyse possèdent des filtres et des outils d établissement de rapports personnalisables permettant de produire des rapports en fonction du type d incident ou du groupe de gestion des actifs. Par exemple, un vérificateur de conformité à la norme PCI peut avoir besoin de voir un journal de vérification du traitement des paiements par carte de crédit. Un chef de la Sécurité responsable de la conformité à la loi SOX peut examiner les journaux de contrôle des états financiers. Des examinateurs doivent être affectés aux rapports de journaux afin que ces rapports soient examinés, approuvés ou signalés, le cas échéant, aux fins d une enquête plus approfondie. Enfin et surtout, un dossier sur la collecte des données et l examen des journaux permet à une entreprise de fournir des preuves aux vérificateurs attestant que les évaluations sont bien effectuées et que des mesures adéquates ont été prises pour remédier aux incidents. Conclusion Le terme «stratégique» n est pas souvent associé à la sécurité de l information, et encore moins à la conformité. Les entreprises satisfont trop souvent aux exigences de sécurité et de conformité en matière de surveillance des journaux en achetant des outils technologiques ou en augmentant leur personnel. Il est évident que les coûts et la complexité liés à l élaboration et au maintien d un système efficace de gestion des journaux détournent l attention et les ressources des principaux besoins de l entreprise. Une solution plus rentable consisterait à aborder la gestion des journaux comme n importe quel exercice de planification stratégique. En commençant par définir les facteurs clés et les besoins de l entreprise et en respectant leurs objectifs, les entreprises disposeront d une capacité de surveillance accrue de leurs systèmes et de leurs applications, tout en concentrant leurs ressources là où les risques sont les plus élevés. 9

12 Communiquez en toute confiance grâce à Allstream et Dell SecureWorks Allstream et Dell SecureWorks proposent ensemble un éventail unique de services de sécurité gérés et résidant dans le réseau, sans égal sur le marché canadien. Leur expertise pointue en réseautage de voix, de données et IP, combinée à un souci constant de protéger les renseignements et d accroître la visibilité des menaces, permettent aux clients de communiquer en toute confiance. Allstream est reconnue comme un chef de file du secteur de la prestation de services de communications aux sociétés canadiennes du classement Fortune 100 et aux entreprises du marché intermédiaire. Dell SecureWorks est un chef de file mondial dans la prestation de services de sécurité de l information aux sociétés du classement Fortune 500 et aux moyennes entreprises. Pour en savoir plus sur les solutions de sécurité gérées, appelez-nous au visitez le site allstream.com/fr/services/security ou écrivez-nous à l adresse À propos d Allstream Allstream est l un des plus importants fournisseurs de solutions de communications au pays qui se consacre exclusivement à la clientèle des entreprises de toute taille. Chef de file en matière d innovation, Allstream s attache principalement à unifier et à améliorer l ensemble des outils de connexion et de collaboration que les entreprises utilisent afin de servir leurs clients, d accroître la productivité de leur personnel et de leurs partenaires et de tirer le maximum des ressources de réseautage et de TI. À propos de Dell SecureWorks SecureWorks fait maintenant partie de Dell. Dell SecureWorks est reconnue comme un chef de file de l industrie en raison des services de premier ordre en matière de sécurité de l information qu elle fournit afin d aider les entreprises de toutes tailles à protéger leurs ressources de TI, à se conformer à la réglementation et à réduire les coûts inhérents à la sécurité. Pour en savoir plus, prière de visiter le site Copyright SecureWorks, Inc. Tous droits réservés. Tous les autres produits et services mentionnés aux présentes sont des marques de commerce de leurs détenteurs respectifs. WP_22170FR 01/11 MD Manitoba Telecom Services Inc. Utilisé en vertu d une licence.

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Rapport de suivi de 2007 sur la vérification de la technologie de l information de janvier 2005

Rapport de suivi de 2007 sur la vérification de la technologie de l information de janvier 2005 Rapport de suivi de 2007 sur la vérification de la technologie de l information de janvier 2005 Conseil de recherches en sciences naturelles et en génie du Canada et Conseil de recherches en sciences humaines

Plus en détail

CHARTE DU COMITÉ DE GESTION DES RISQUES

CHARTE DU COMITÉ DE GESTION DES RISQUES CHARTE DU COMITÉ DE GESTION DES RISQUES MANDAT Le Comité de gestion des risques (le «Comité») du Conseil d administration (le «Conseil») a pour mandat d assister le Conseil de la Société canadienne d hypothèques

Plus en détail

Informatique en nuage

Informatique en nuage Services d infrastructure, solutions et services-conseils Solutions Informatique en nuage Jusqu à maintenant, la gestion de l infrastructure des TI consistait à négocier les limites : puissance de traitement,

Plus en détail

FINANCE CRITÈRES D ÉVALUATION (Les critères d évaluation doivent être pris en compte de pair avec le Cadre de surveillance du BSIF)

FINANCE CRITÈRES D ÉVALUATION (Les critères d évaluation doivent être pris en compte de pair avec le Cadre de surveillance du BSIF) RÔLE DE LA FONCTION Finance est une fonction autonome qui rend compte avec exactitude et en temps utile du rendement des unités opérationnelles (y compris les secteurs d activité) de l institution financière

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

Procédures de traitement des plaintes relatives à la comptabilité et à la vérification

Procédures de traitement des plaintes relatives à la comptabilité et à la vérification Procédures de traitement des plaintes relatives à la comptabilité et à la vérification Secrétariat Corporate Service corporatif August 7, 2014 V1.0 7 août 2014 V9.0 Pour usage interne Table des matières

Plus en détail

VÉRIFICATION DE L INTÉGRITÉ DE L INFORMATION DU SYSTÈME HERMÈS FINANCES RAPPORT. Juin 2011

VÉRIFICATION DE L INTÉGRITÉ DE L INFORMATION DU SYSTÈME HERMÈS FINANCES RAPPORT. Juin 2011 VÉRIFICATION DE L INTÉGRITÉ DE L INFORMATION DU SYSTÈME HERMÈS FINANCES RAPPORT Juin 2011 PRÉPARÉ PAR LA DIRECTION GÉNÉRALE DE LA VÉRIFICATION INTERNE (DGVI) Projet no : 2011-08 AGENCE DE DÉVELOPPEMENT

Plus en détail

TIM HORTONS INC. POLITIQUE SUR LES CONTRÔLES ET PROCÉDURES DE COMMUNICATION DE L INFORMATION

TIM HORTONS INC. POLITIQUE SUR LES CONTRÔLES ET PROCÉDURES DE COMMUNICATION DE L INFORMATION A. Objet général TIM HORTONS INC. POLITIQUE SUR LES CONTRÔLES ET PROCÉDURES DE COMMUNICATION DE L INFORMATION Adoptée le 27 octobre 2009 (dernière mise à jour le 6 novembre 2013) L adoption de la présente

Plus en détail

RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS

RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS Dernière modification en vigueur le 1 er mars 2014 Ce document a valeur officielle chapitre V-1.1, r. 7.1 RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS A.M.

Plus en détail

Norme ISA 600, Audits d états financiers de groupe (y compris l utilisation des travaux des auditeurs des composantes) Considérations particulières

Norme ISA 600, Audits d états financiers de groupe (y compris l utilisation des travaux des auditeurs des composantes) Considérations particulières IFAC Board Prise de position définitive 2009 Norme internationale d audit (ISA) Norme ISA 600, Audits d états financiers de groupe (y compris l utilisation des travaux des auditeurs des composantes) Considérations

Plus en détail

RAPPORT DE VÉRIFICATION FINALE D ATTESTATION DE QUALITÉ

RAPPORT DE VÉRIFICATION FINALE D ATTESTATION DE QUALITÉ AFFAIRES ÉTRANGÈRES ET COMMERCE INTERNATIONAL BUREAU DE L INSPECTEUR GÉNÉRAL VÉRIFICATION DES SERVICES FINANCIERS DÉPENSES PAYÉES D AVANCE RAPPORT DE VÉRIFICATION FINALE D ATTESTATION DE QUALITÉ Octobre

Plus en détail

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence

Plus en détail

La cybersécurité dans les petits cabinets comptables

La cybersécurité dans les petits cabinets comptables La cybersécurité dans les petits cabinets comptables VISER DE MEILLEURES PRATIQUES ET MESURES DE PROTECTION Prêter attention à la sécurité informationnelle CPA Canada a récemment fait appel à Nielsen pour

Plus en détail

Classification des risques Rapport d audit Rapport n o 7/14 20 novembre 2014

Classification des risques Rapport d audit Rapport n o 7/14 20 novembre 2014 Classification des risques Rapport d audit Rapport n o 7/14 20 novembre 2014 Diffusion Destinataires : Président et chef de la direction Premier vice-président et chef de la direction financière Premier

Plus en détail

DIRECTIVE DU COMMISSAIRE

DIRECTIVE DU COMMISSAIRE DIRECTIVE DU COMMISSAIRE SUJET: PROCESSUS INTERNE DE RÈGLEMENT DES DIFFÉRENDS N O: DC-12 DATE DE PUBLICATION: 10 AVRIL 2013 DATE D ENTRÉE EN VIGUEUR : 2 SEPTEMBRE 2013 INTRODUCTION Le gouvernement du Canada

Plus en détail

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager Solution complète de gestion des adresses IP et de bout en bout basée sur des appliances Rationalisez vos processus de gestion et réduisez vos coûts d administration avec

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014 OFFICE D INVESTISSEMENT DES RÉGIMES DE PENSION («INVESTISSEMENTS PSP») Approuvé par le conseil d administration le 13 novembre 2014 13 novembre 2014 PSP-Legal 1633578-1 Page 2 INTRODUCTION Le conseil d

Plus en détail

PROFIL DU CONSEIL D ADMINISTRATION APPROUVÉ PAR LE CONSEIL D ADMINISTRATION DE CDC LE 8 DÉCEMBRE 2015 (Modifie le profil en date du 30 mars 2009)

PROFIL DU CONSEIL D ADMINISTRATION APPROUVÉ PAR LE CONSEIL D ADMINISTRATION DE CDC LE 8 DÉCEMBRE 2015 (Modifie le profil en date du 30 mars 2009) CONSTRUCTION DE DÉFENSE (1951) LIMITÉE PROFIL DU CONSEIL D ADMINISTRATION APPROUVÉ PAR LE CONSEIL D ADMINISTRATION DE CDC LE 8 DÉCEMBRE 2015 (Modifie le profil en date du 30 mars 2009) Mission de la Société

Plus en détail

Protection du service de lignes groupées SIP aux fins de la poursuite des activités

Protection du service de lignes groupées SIP aux fins de la poursuite des activités Protection du service de lignes groupées SIP aux fins de la poursuite des activités Document de présentation technique d Allstream 1 Table des matières L importance des lignes groupées SIP 1 La question

Plus en détail

ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE COMITÉ DU DÉVELOPPEMENT ET DE LA PROPRIÉTÉ INTELLECTUELLE (CDIP)

ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE COMITÉ DU DÉVELOPPEMENT ET DE LA PROPRIÉTÉ INTELLECTUELLE (CDIP) OMPI CDIP/5/5 Corr. ORIGINAL : anglais DATE : 21 juillet 2010 ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE F COMITÉ DU DÉVELOPPEMENT ET DE LA PROPRIÉTÉ INTELLECTUELLE (CDIP) Cinquième session

Plus en détail

MODIFICATION AU PLAN DE LA SOCIÉTÉ 2009-2013. Se rapprocher Faciliter Optimiser

MODIFICATION AU PLAN DE LA SOCIÉTÉ 2009-2013. Se rapprocher Faciliter Optimiser MODIFICATION AU PLAN DE LA SOCIÉTÉ 2009-2013 Se rapprocher Faciliter Optimiser Voici un résumé de la modification au Plan de la Société 2009-2013 approuvée par le Conseil d administration d EDC en mai

Plus en détail

PROTOCOLE DE COORDINATION DES CAS URGENTS D INTIMIDATION OU DE VIOLENCE Selon le Code des droits et des responsabilités (BD-3)

PROTOCOLE DE COORDINATION DES CAS URGENTS D INTIMIDATION OU DE VIOLENCE Selon le Code des droits et des responsabilités (BD-3) Selon le Code des droits et des responsabilités (BD-3) Remarque : Le masculin est utilisé pour faciliter la lecture. PRINCIPES FONDAMENTAUX Les incidents provoqués par des conduites intimidantes ou violentes

Plus en détail

Groupe SNC-Lavalin inc. Rév. 6 août 2015 Page 1 MANDAT DU COMITÉ DE GOUVERNANCE ET D ÉTHIQUE

Groupe SNC-Lavalin inc. Rév. 6 août 2015 Page 1 MANDAT DU COMITÉ DE GOUVERNANCE ET D ÉTHIQUE Page 1 MANDAT DU COMITÉ DE GOUVERNANCE ET D ÉTHIQUE Le comité de gouvernance et d éthique («comité») est un comité du conseil d administration de Groupe SNC-Lavalin inc. («Société») qui aide le conseil

Plus en détail

Changement dans les achats de solutions informatiques

Changement dans les achats de solutions informatiques Changement dans les achats de solutions informatiques Ce que cela signifie pour l informatique et les Directions Métiers Mai 2014 Le nouvel acheteur de technologies et la nouvelle mentalité d achat Un

Plus en détail

Récapitulatif des modifications entre les versions 2.0 et 3.0

Récapitulatif des modifications entre les versions 2.0 et 3.0 Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Récapitulatif des modifications entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte

Plus en détail

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES A PROPOS DE NOUS Conscio Technologies développe des solutions complètes de formation et de communication afin de

Plus en détail

MediCal QAWeb. Service en ligne sécurisé pour l Assurance Qualité des Systèmes d Affichage Médicaux

MediCal QAWeb. Service en ligne sécurisé pour l Assurance Qualité des Systèmes d Affichage Médicaux MediCal QAWeb Service en ligne sécurisé pour l Assurance Qualité des Systèmes d Affichage Médicaux Le premier service en ligne sécurisé pour une assurance qualité de haut niveau MediCal QAWeb est le premier

Plus en détail

Aucun plan ne peut être considéré comme achevé avant d avoir été mis à l essai.

Aucun plan ne peut être considéré comme achevé avant d avoir été mis à l essai. Lignes directrices sur les mises à l essai 1 Les lignes directrices sur la mise à l essai des plans de continuité d activité (PCA) présentées ci-après ont été établies par le sous-comité des plans d'urgence

Plus en détail

PLAN D ACTION POUR ASSURER LA SALUBRITÉ DES ALIMENTS AU CANADA. Renforcer notre système de la salubrité des aliments de renommée internationale

PLAN D ACTION POUR ASSURER LA SALUBRITÉ DES ALIMENTS AU CANADA. Renforcer notre système de la salubrité des aliments de renommée internationale PLAN D ACTION POUR ASSURER LA SALUBRITÉ DES ALIMENTS AU CANADA Renforcer notre système de la salubrité des aliments de renommée internationale www.inspection.gc.ca/alimentssalubres Balayer le code de réponse

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique La gestion Citrix Du support technique. Désignation d un Responsable de la relation technique Dans les environnements informatiques complexes, une relation de support technique proactive s avère essentielle.

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

Groupe SNC-Lavalin inc. Rév. 6 août 2015 Page 1 MANDAT DU COMITÉ DES RISQUES ASSOCIÉS À LA SÉCURITÉ, AU MILIEU DE TRAVAIL ET AUX PROJETS

Groupe SNC-Lavalin inc. Rév. 6 août 2015 Page 1 MANDAT DU COMITÉ DES RISQUES ASSOCIÉS À LA SÉCURITÉ, AU MILIEU DE TRAVAIL ET AUX PROJETS Page 1 MANDAT DU COMITÉ DES RISQUES ASSOCIÉS À LA SÉCURITÉ, AU MILIEU DE TRAVAIL ET AUX PROJETS Le comité des risques associés à la sécurité, au milieu de travail et aux projets («comité») est un comité

Plus en détail

Le Programme de licences multipostes pour entreprises de l App Store

Le Programme de licences multipostes pour entreprises de l App Store Le Programme de licences multipostes pour entreprises de l App Store L App Store offre des milliers applications d affaires conçues pour améliorer la productivité de votre entreprise. Grâce au Programme

Plus en détail

Connaissez les risques. Protégez-vous. Protégez votre entreprise.

Connaissez les risques. Protégez-vous. Protégez votre entreprise. Protégez-vous en ligne. Connaissez les risques. Protégez-vous. Protégez votre entreprise. CONSEILS PENSEZ CYBERSÉCURITÉ POUR LES PETITES ET MOYENNES ENTREPRISES Si vous êtes comme la plupart des petites

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

CA Oblicore Guarantee On Demand

CA Oblicore Guarantee On Demand FICHE PRODUIT : CA Oblicore Guarantee on Demand CA Oblicore Guarantee On Demand agility made possible CA Oblicore Guarantee On Demand est une solution de SaaS (Software-as-a-Service) extensible pour la

Plus en détail

Comment préparer un dossier d affaires pour système ERP. Un guide étape par étape pour les décideurs de l industrie du plastique

Comment préparer un dossier d affaires pour système ERP. Un guide étape par étape pour les décideurs de l industrie du plastique Comment préparer un dossier d affaires pour système ERP Un guide étape par étape pour les décideurs de l industrie du plastique Comment préparer un dossier d affaires pour système ERP // Introduction Introduction

Plus en détail

RAPPORT DE VÉRIFICATION INTERNE DU CADRE DE CONTRÔLE DE GESTION FINANCIÈRE DES INITIATIVES LIÉES AU PLAN D ACTION ÉCONOMIQUE DU CANADA (PAE) RAPPORT

RAPPORT DE VÉRIFICATION INTERNE DU CADRE DE CONTRÔLE DE GESTION FINANCIÈRE DES INITIATIVES LIÉES AU PLAN D ACTION ÉCONOMIQUE DU CANADA (PAE) RAPPORT RAPPORT DE VÉRIFICATION INTERNE DU CADRE DE CONTRÔLE DE GESTION FINANCIÈRE DES INITIATIVES LIÉES AU PLAN D ACTION ÉCONOMIQUE DU CANADA (PAE) RAPPORT Juillet 2010 PRÉPARÉ PAR LA DIRECTION GÉNÉRALE DE LA

Plus en détail

INTRODUCTION AU PROGRAMME D ASSURANCE DE LA QUALITÉ

INTRODUCTION AU PROGRAMME D ASSURANCE DE LA QUALITÉ JUIN 2009 INTRODUCTION AU PROGRAMME D ASSURANCE DE LA QUALITÉ Placez dans l onglet no 5 de votre classeur des ressources des membres Le programme d assurance de la qualité de l Ordre des ergothérapeutes

Plus en détail

Service de reproduction en nuage d Allstream. Solution clés en main de poursuite des activités et de reprise après sinistre

Service de reproduction en nuage d Allstream. Solution clés en main de poursuite des activités et de reprise après sinistre Service de reproduction en nuage d Allstream Solution clés en main de poursuite des activités et de reprise après sinistre Service de reproduction en nuage d Allstream De nos jours, dans un contexte d

Plus en détail

BIBLIOTHÈQUE ET ARCHIVES CANADA PLAN D ÉVALUATION 2008-2009

BIBLIOTHÈQUE ET ARCHIVES CANADA PLAN D ÉVALUATION 2008-2009 BIBLIOTHÈQUE ET ARCHIVES CANADA PLAN D ÉVALUATION 2008-2009 Division du rendement et de l information institutionnels Direction générale de la gestion intégrée Présenté au : Comité d évaluation de Bibliothèque

Plus en détail

Rapport annuel au Parlement 2005-2006 L application de la Loi sur l accès à l information et de la Loi sur la protection des renseignements personnels

Rapport annuel au Parlement 2005-2006 L application de la Loi sur l accès à l information et de la Loi sur la protection des renseignements personnels Rapport annuel au Parlement 2005-2006 L application de la Loi sur l accès à l information et de la Loi sur la protection des renseignements personnels RC4415(F) Avant-propos Le présent rapport annuel au

Plus en détail

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec Contrôles informatiques dans le cadre de l audit l des états financiers Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec 1 Objectifs de la présentation Identifier le rôle de

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

L Approche CPA 3 - Évaluation de la situation

L Approche CPA 3 - Évaluation de la situation L Approche CPA 3 - Évaluation de la situation La présente fiche d information porte sur l évaluation de la situation, qui, comme le montre le diagramme ci-dessous, constitue le deuxième volet de l Approche

Plus en détail

onesource workflow manager

onesource workflow manager onesource workflow manager md FISCALITÉ ET COMPTABILITÉ MC Orchestrez vos processus fiscaux ONESOURCE WorkFlow Manager est une solution hébergée sur Internet hautes performances qui vous permet de gérer

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité des évaluations sur site Prestataires de services Version 3.0 Février 2014 Section 1 : Informations relatives

Plus en détail

Mandat du Comité sur la gouvernance, le risque et la stratégie VIA Rail Canada inc.

Mandat du Comité sur la gouvernance, le risque et la stratégie VIA Rail Canada inc. Mandat du Comité sur la gouvernance, le risque et la stratégie VIA Rail Canada inc. 1. OBJET Le conseil d administration a délégué au Comité sur la gouvernance, le risque et la stratégie les fonctions

Plus en détail

Guide de démarrage rapide

Guide de démarrage rapide Guide de démarrage rapide Microsoft Windows Seven/Vista / XP / 2000 ESET Smart Security offre la vitesse et la précision d ESET NOD32 Antivirus et de son puissant moteur ThreatSense, allié à un pare-feu

Plus en détail

Security Center Plate-forme de sécurité unifiée

Security Center Plate-forme de sécurité unifiée Security Center Plate-forme de sécurité unifiée Reconnaissance automatique de plaques d immatriculation Vidéosurveillance Contrôle d accès Solutions innovatrices Tout simplement puissant. Le Security Center

Plus en détail

Bureau du vérificateur général du Canada. Rapport de la revue des pratiques de vérification annuelle. Revues des pratiques effectuées en 2010-2011

Bureau du vérificateur général du Canada. Rapport de la revue des pratiques de vérification annuelle. Revues des pratiques effectuées en 2010-2011 Bureau du vérificateur général du Canada Rapport de la revue des pratiques de vérification annuelle Revues des pratiques effectuées en 2010-2011 Janvier 2011 Revue des pratiques et vérification interne

Plus en détail

Solution de gestion des journaux pour le Big Data

Solution de gestion des journaux pour le Big Data Solution de gestion des journaux pour le Big Data PLATE-FORME ÉVOLUTIVE D INFORMATIONS SUR LES JOURNAUX POUR LA SÉCURITÉ, LA CONFORMITÉ ET LES OPÉRATIONS INFORMATIQUES Plus de 1 300 entreprises de secteurs

Plus en détail

CONSEIL D ADMINISTRATION MANDAT

CONSEIL D ADMINISTRATION MANDAT Décembre 2014 CONSEIL D ADMINISTRATION MANDAT 1. CRÉATION Le Conseil d administration de la Banque du Canada (le «Conseil») est constitué en vertu de l article 5 de la Loi sur la Banque du Canada (la «Loi»).

Plus en détail

Security Center Plate-forme de sécurité unifiée

Security Center Plate-forme de sécurité unifiée Security Center Plate-forme de sécurité unifiée Reconnaissance automatique de plaques d immatriculation Vidéosurveillance Contrôle d accès Solutions innovatrices Tout simplement puissant. Le Security Center

Plus en détail

Organisation de l aviation civile internationale RÉUNION RÉGIONALE SPÉCIALE DE NAVIGATION AÉRIENNE (RAN) AFRIQUE-OCÉAN INDIEN (AFI)

Organisation de l aviation civile internationale RÉUNION RÉGIONALE SPÉCIALE DE NAVIGATION AÉRIENNE (RAN) AFRIQUE-OCÉAN INDIEN (AFI) Organisation de l aviation civile internationale NOTE DE TRAVAIL SP AFI/08-WP/45 17/10/08 RÉUNION RÉGIONALE SPÉCIALE DE NAVIGATION AÉRIENNE (RAN) AFRIQUE-OCÉAN INDIEN (AFI) Durban (Afrique du Sud), 24

Plus en détail

CHARTE DU COMITÉ D AUDIT

CHARTE DU COMITÉ D AUDIT CHARTE DU COMITÉ D AUDIT Comité d audit 1.1 Membres et quorom Au moins quatre administrateurs, qui seront tous indépendants. Tous les membres du comité d audit doivent posséder des compétences financières

Plus en détail

Découverte et investigation des menaces avancées INFRASTRUCTURE

Découverte et investigation des menaces avancées INFRASTRUCTURE Découverte et investigation des menaces avancées INFRASTRUCTURE AVANTAGES CLÉS Infrastructure RSA Security Analytics Collecte distribuée grâce à une architecture modulaire Solution basée sur les métadonnées

Plus en détail

Traitement comptable des instruments financiers Rapport de vérification final Rapport n o 23/12 Le 6 mars 2013

Traitement comptable des instruments financiers Rapport de vérification final Rapport n o 23/12 Le 6 mars 2013 Diffusion Traitement comptable des instruments financiers Rapport de vérification final Rapport n o 23/12 Le 6 mars 2013 Destinataires : Président et chef de la direction Premier vice-président et chef

Plus en détail

Proposition. Obtenir l approbation du conseil concernant les modifications proposées à la charte du Comité d audit

Proposition. Obtenir l approbation du conseil concernant les modifications proposées à la charte du Comité d audit Proposition N o : 2015-S05f Au : Conseil d administration Pour : DÉCISION Date : 2015-04-22 1. TITRE Modifications à la charte du Comité d audit 2. BUT DE LA PROPOSITION Obtenir l approbation du conseil

Plus en détail

La Société dispose d un pouvoir d enquête sur toute matière qui relève de sa compétence.

La Société dispose d un pouvoir d enquête sur toute matière qui relève de sa compétence. 1 CHAMP D APPLICATION La Société dispose d un pouvoir d enquête sur toute matière qui relève de sa compétence. La présente directive s applique à l ensemble du personnel du Fonds d assurance dans l exercice

Plus en détail

POLITIQUE SUR LE SIGNALEMENT ET

POLITIQUE SUR LE SIGNALEMENT ET LA BANQUE DE NOUVELLE ÉCOSSE POLITIQUE SUR LE SIGNALEMENT ET PROCÉDURES Y AFFÉRENTES Supplément au Code d éthique Octobre 2015 BANQUE SCOTIA Table des matières SECTION 1 INTRODUCTION... 3 SECTION 2 RAISON

Plus en détail

Juin 2013 COMPTE RENDU SUR L'ÉTAT DE LA MISE EN OEUVRE DU PLAN D'ACTION RAPPORT AU COMITÉ DE VÉRIFICATION EN DATE DU 30 SEPTEMBRE 2013

Juin 2013 COMPTE RENDU SUR L'ÉTAT DE LA MISE EN OEUVRE DU PLAN D'ACTION RAPPORT AU COMITÉ DE VÉRIFICATION EN DATE DU 30 SEPTEMBRE 2013 Vérification des pratiques de gestion du Secteur du dirigeant principal des finances () 1. Le dirigeant principal des finances () doit s assurer qu on dispose d une vue consolidée et intégrée des structures

Plus en détail

Le Programme d achat en volume pour les entreprises de l App Store

Le Programme d achat en volume pour les entreprises de l App Store Le Programme d achat en volume pour les entreprises de l App Store L App Store comporte des milliers d apps professionnelles conçues pour améliorer la productivité de votre entreprise. Grâce au Programme

Plus en détail

Augmentez votre efficacité, réduisez vos coûts et restez conforme à la réglementation grâce à la gamme de services d Iron Mountain

Augmentez votre efficacité, réduisez vos coûts et restez conforme à la réglementation grâce à la gamme de services d Iron Mountain UNE SEULE SOLUTION Optimisez la valeur commerciale de votre information Augmentez votre efficacité, réduisez vos coûts et restez conforme à la réglementation grâce à la gamme de services d Iron Mountain

Plus en détail

Base de Données Economiques & Sociales (dite UNIQUE) des entreprises

Base de Données Economiques & Sociales (dite UNIQUE) des entreprises Base de Données Economiques & Sociales (dite UNIQUE) des entreprises SOLUTION DÉDIÉE, HAUTEMENT SÉCURISÉE ET FORTEMENT PERSONNALISABLE À MOINDRE COÛT AVEC OFFRE DE DÉVELOPPEMENTS SPÉCIFIQUES A PRIX FORFAITAIRES.

Plus en détail

Comité sur le professionnalisme de l AAI Reconnaissance mutuelle et autres questions transfrontalières

Comité sur le professionnalisme de l AAI Reconnaissance mutuelle et autres questions transfrontalières Comité sur le professionnalisme de l AAI Reconnaissance mutuelle et autres questions transfrontalières 1. À mesure que la profession actuarielle se mondialise et que les clients que nous servons élargissent

Plus en détail

Gestion des incidents

Gestion des incidents Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de

Plus en détail

GARANTIR LE SUCCÈS GRÂCE À LA TECHNOLOGIE

GARANTIR LE SUCCÈS GRÂCE À LA TECHNOLOGIE BROCHURE DE PRODUIT APPLIED TAMOnline GARANTIR LE SUCCÈS GRÂCE À LA TECHNOLOGIE L ACCÈS INSTANTANÉ À L INFORMATION a établi de nouvelles attentes pour le service à la clientèle. De plus en plus de clients

Plus en détail

Les métiers de l assistanat Evolutions Compétences - Parcours

Les métiers de l assistanat Evolutions Compétences - Parcours Les métiers de l assistanat Evolutions Compétences - Parcours Neuf pôles d activité La majorité des assistantes ont des activités couvrant ces différents pôles, à des niveaux différents, à l exception

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

CORPORATION CANADIENNE DE COMPENSATION DE PRODUITS DÉRIVÉS (la «société») CHARTE DU CONSEIL

CORPORATION CANADIENNE DE COMPENSATION DE PRODUITS DÉRIVÉS (la «société») CHARTE DU CONSEIL CORPORATION CANADIENNE DE COMPENSATION DE PRODUITS DÉRIVÉS (la «société») 1. Généralités CHARTE DU CONSEIL Le conseil d administration de la société (le «conseil») a pour principale responsabilité la gouvernance

Plus en détail

L impact d un incident de sécurité pour le citoyen et l entreprise

L impact d un incident de sécurité pour le citoyen et l entreprise L impact d un incident de sécurité pour le citoyen et l entreprise M e Jean Chartier Président Carrefour de l industrie de la sécurité 21 octobre 2013 - La Malbaie (Québec) Présentation générale La Commission

Plus en détail

Traitement transfrontalier des données personnelles Lignes directrices

Traitement transfrontalier des données personnelles Lignes directrices Commissariat à la protection de la vie privée du Canada LPRPDE Traitement transfrontalier des données personnelles Lignes directrices OBJET Le Commissariat à la protection de la vie privée du Canada a

Plus en détail

MANDAT ET CHARTE DU COMITÉ D AUDIT. Mandat du comité d audit établi par le conseil d administration

MANDAT ET CHARTE DU COMITÉ D AUDIT. Mandat du comité d audit établi par le conseil d administration MANDAT ET CHARTE DU COMITÉ D AUDIT I Mandat du comité d audit établi par le conseil d administration 1. Le conseil d administration (le conseil) est responsable de la gérance de La Société Canadian Tire

Plus en détail

CHARTE DU COMITÉ D AUDIT

CHARTE DU COMITÉ D AUDIT CHARTE DU COMITÉ D AUDIT I. OBJECTIF GÉNÉRAL ET PRINCIPAL MANDAT Le comité d audit (le «comité») est établi par le conseil d administration (le «conseil») d Ovivo Inc. (la «Société») pour l aider à s acquitter

Plus en détail

Ordonnance de télécom CRTC 2014-364

Ordonnance de télécom CRTC 2014-364 Ordonnance de télécom CRTC 2014-364 Version PDF Ottawa, le 11 juillet 2014 Numéros de dossiers : Avis de modification tarifaire 466 de Bell Aliant et 7412 de Bell Canada Bell Aliant Communications régionales,

Plus en détail

Conseil d administration Genève, novembre 2007 LILS POUR DÉCISION

Conseil d administration Genève, novembre 2007 LILS POUR DÉCISION BUREAU INTERNATIONAL DU TRAVAIL GB.300/LILS/9 300 e session Conseil d administration Genève, novembre 2007 Commission des questions juridiques et des normes internationales du travail LILS POUR DÉCISION

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

Norme ISA 701, Communication des questions clés de l audit dans le rapport de l auditeur indépendant

Norme ISA 701, Communication des questions clés de l audit dans le rapport de l auditeur indépendant Prise de position définitive 2015 Norme internationale d audit (ISA) Norme ISA 701, Communication des questions clés de l audit dans le rapport de l auditeur indépendant Élaborée par : Élaborée par : Traduite

Plus en détail

Vue d ensemble. Initiatives des données. Gestion de la trésorerie. Gestion du risque. Gestion des fournisseurs 2 >>

Vue d ensemble. Initiatives des données. Gestion de la trésorerie. Gestion du risque. Gestion des fournisseurs 2 >> Access MD Online Vue d ensemble Access MD Online fournit aux organisations un accès en temps réel à leurs programmes de carte commerciale au sein d un environnement sécurisé, n importe où et n importe

Plus en détail

NORME INTERNATIONALE D AUDIT 320 CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT

NORME INTERNATIONALE D AUDIT 320 CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT NORME INTERNATIONALE D AUDIT 320 CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE

Plus en détail

Politique de gestion des plaintes. La CSST place la satisfaction de sa clientèle au coeur de ses priorités

Politique de gestion des plaintes. La CSST place la satisfaction de sa clientèle au coeur de ses priorités Politique de gestion des plaintes La CSST place la satisfaction de sa clientèle au coeur de ses priorités PRÉAMBULE L administration gouvernementale québécoise place au cœur de ses priorités la qualité

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

TRACABILITE DANS LE SECTEUR AGROALIMENTAIRE, J-4 mois : ÊTES-VOUS PRÊTS?

TRACABILITE DANS LE SECTEUR AGROALIMENTAIRE, J-4 mois : ÊTES-VOUS PRÊTS? TRACABILITE DANS LE SECTEUR AGROALIMENTAIRE, J-4 mois : ÊTES-VOUS PRÊTS? INTRODUCTION Aujourd hui, dans un contexte de crises sanitaires et de concurrence internationale croissante au niveau du secteur

Plus en détail

Fonds des médias du Canada/Canada Media Fund

Fonds des médias du Canada/Canada Media Fund Fonds des médias du Canada/Canada Media Fund Statuts du Comité d audit A. Mandat La fonction principale du Comité d audit (le «Comité») est d aider le Fonds des médias du Canada/Canada Media Fund (la «Société»)

Plus en détail

POLITIQUE 2500-031. ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11. MODIFICATION : Conseil d administration Résolution :

POLITIQUE 2500-031. ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11. MODIFICATION : Conseil d administration Résolution : POLITIQUE 2500-031 TITRE : Politique de gestion intégrée des risques ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11 MODIFICATION : Conseil d administration Résolution : ENTRÉE EN

Plus en détail

Installation de Windows XP www.ofppt.info

Installation de Windows XP www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail XP DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC XP Sommaire 1 Introduction... 2 2 Vérification de la

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures de balayage de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Niveau 5... 6 Niveau 4... 6

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation C-VT Version 3.0 Février 2014 Section 1 : Informations relatives à l évaluation

Plus en détail

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302*

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Transports Canada Transport Canada TP 14693F (05/2007) Aviation civile Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Imprimé au Canada Veuillez acheminer vos commentaires, vos commandes

Plus en détail

La gestion intégrée du risque, de la planification et du rendement au ministère des Finances Canada

La gestion intégrée du risque, de la planification et du rendement au ministère des Finances Canada La gestion intégrée du risque, de la planification et du rendement au ministère des Finances Canada IGF Québec : Journée thématique sur la gestion des risques Philippe Lajeunesse, Directeur principal Planification

Plus en détail

POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DE BBA GROUPE FINANCIER

POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DE BBA GROUPE FINANCIER -+ POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DE BBA GROUPE FINANCIER En tant qu entreprise de services, BBA se conforme à la Loi sur la protection des renseignements personnels dans le secteur

Plus en détail

Gestion de l information sur les entreprises (CIM) Rapport d audit Rapport n o 2/15 11 mars 2015

Gestion de l information sur les entreprises (CIM) Rapport d audit Rapport n o 2/15 11 mars 2015 Gestion de l information sur les entreprises (CIM) Rapport d audit Rapport n o 2/15 11 mars 2015 Diffusion Destinataires : Président et chef de la direction Premier vice-président et chef de la direction

Plus en détail

Outil d évaluation de la FC pour les CIM MD

Outil d évaluation de la FC pour les CIM MD Façon d utiliser le présent document Cet outil est fourni pour aider les candidats aspirant au titre de (CIM MD ) à évaluer la pertinence de leurs activités de formation continue en ce qui a trait aux

Plus en détail

RÈGLE 3400 RESTRICTIONS ET INFORMATIONS À FOURNIR RELATIVES À LA RECHERCHE

RÈGLE 3400 RESTRICTIONS ET INFORMATIONS À FOURNIR RELATIVES À LA RECHERCHE RÈGLE 3400 RESTRICTIONS ET INFORMATIONS À FOURNIR RELATIVES À LA RECHERCHE Introduction La présente Règle établit les règles que les analystes doivent suivre lorsqu ils publient des rapports de recherche

Plus en détail

La SOAD déterminera qu une caisse populaire a commis une faute grave de non-conformité au présent Règlement administratif si celle-ci :

La SOAD déterminera qu une caisse populaire a commis une faute grave de non-conformité au présent Règlement administratif si celle-ci : SOCIÉTÉ ONTARIENNE D ASSURANCE-DÉPÔTS RÈGLEMENT N o 5 NORMES DE SAINES PRATIQUES COMMERCIALES ET FINANCIÈRES Règlement administratif pris en vertu de l alinéa 264(1)g) de la Loi de 1994 sur les caisses

Plus en détail