ÉRIC PARENT. Menace. Êtes-vous protégé? à l interne. unerévolution pour la sécurité de l information? LASABSA: Aux commandes de la sécurité AVEC

Dimension: px
Commencer à balayer dès la page:

Download "ÉRIC PARENT. Menace. Êtes-vous protégé? à l interne. unerévolution pour la sécurité de l information? LASABSA: Aux commandes de la sécurité AVEC"

Transcription

1 Vol. 1 n o 2 Septembre 2009 Le comportement humain De la gestion du risque à la gestion du changement MAGAZINE POUR LES ORGANISATIONS ET LES GENS QUI S INTÉRESSENT À LA SÉCURITÉ INFORMATIQUE (www.secus.ca) Menace à l interne Êtes-vous protégé? LASABSA: unerévolution pour la sécurité de l information? Aux commandes de la sécurité AVEC ÉRIC PARENT

2 «80% des organisations auront un incident de sécurité sur leurs applications Web d ici 2010.» (Source: Gartner) «75% des menaces et des vulnérabilités sont situées au niveau de la couche applicative.» (Source: Gartner) «91% des sites Web ont au moins une vulnérabilité.» (Source: WhiteHat Security) «78% des applications Web affectées de vulnérabilités sont facilement exploitables.» (Source: Symantec) «64% des développeurs ne sont pas confiants de leurs habiletés à élaborer des applications sécurisées.» (Source: Microsoft Developer Research) Alors que la majorité des organisations concentrent toujours leurs efforts de sécurisation au niveau de la couche réseau, les tendances observées au cours des dernières années indiquent que les menaces et risques sont maintenant situés au niveau des applications et sites Web vulnérables. De plus, si on considère que le développement applicatif est souvent en retard sur les prévisions, dépasse les budgets et intègre rarement les meilleures pratiques de sécurité, force est de constater que la sécurité applicative n est pas prise en charge de façon adéquate par la majorité des organisations. Que ce soit pour un test d intrusion, une revue d architecture, une analyse de menaces et risques, des conseils stratégiques ou encore la formation et la sensibilisation des développeurs, les professionnels en sécurité applicative de Victrix sont en mesure de vous appuyer et de vous conseiller dans vos démarches de sécurisation d applications et de sites Web stratégiques. Contactez-nous pour obtenir plus de détails concernant notre offre de services. Montréal 625, avenue du Président-Kennedy Bureau 1100 Montréal (Québec) H3A 1K2 Téléphone: Québec 1670, rue Semple Bureau 240 Québec (Québec) G1N 4B8 Téléphone:

3 S O M M A I R E Vol. 1 n o 2 Septembre 2009 ÉDITEURS ET PROPRIÉTAIRES Mario Audet Samuel Bonneau COLLABORATEURS Alex Bédard Brett Beranek Louis Lavoie-Caron Patrick Chouinard Michel Cusin Marc-André Fortier Sébastien Lapointe Marc Le Brun Yannick Lepage Nanette Maestre Éric Parent Michel Perreault Roland Pintal DIRECTEUR DE L INFORMATION Samuel Bonneau RÉVISEURS TECHNIQUES Alex Bédard Louis Lavoie-Caron RÉVISEURE LINGUISTIQUE Amélie Lapierre GRAPHISTE Geneviève Bolduc PHOTOGRAPHES René Robichaud Annie Tremblay BÉDÉISTE Martin Bérubé VENTE ET PUBLICITÉ Mario Audet SÉCUS est un magazine électronique produit par des professionnels québécois de la sécurité de l information. Il est destiné à tous les francophones ayant un intérêt professionnel ou personnel à ce sujet. Le but de cette initiative est d offrir une tribune aux experts afin de diffuser leur savoir, de faire connaître les produits et services et, finalement, de promouvoir la sécurité informatique. Bibliothèque nationale du Canada ISSN SÉCUS, Toute reproduction, par quelque procédé que ce soit, en tout ou en partie, du présent ouvrage, sans l autorisation écrite des éditeurs, est strictement interdite. 4 MOTS DES ÉDITEURS Mario Audet et Samuel Bonneau 6 ENTREVUE AUX COMMANDES DE LA SÉCURITÉ AVEC ÉRIC PARENT Propos recueillis par Samuel Bonneau 10 ASPECT LÉGAL DIVULGATION OBLIGATOIRE : QUAND LA DÉTENTION DE RENSEIGNEMENTS OBLIGE LES ENTREPRISES À DIVULGUER LEURS PROBLÈMES DE SÉCURITÉ Sébastien Lapointe 14 COMMUNICATION STRATÉGIQUE LE COMPORTEMENT HUMAIN DE LA GESTION DU RISQUE À LA GESTION DU CHANGEMENT Marc-André Fortier 18 ENQUÊTE MENACE À L INTERNE ÊTES-VOUS PROTÉGÉ? Brett Beranek 22 SOLUTION COMMENT CHOISIR UNE SOLUTION DE GESTION DES INFORMATIONS ET DES ÉVÉNEMENTS DE SÉCURITÉ? Michel Perreault 26 CONSEILS D EXPERT UN PLAN DE RELÈVE TECHNOLOGIQUE SOLIDE Marc Le Brun 28 MÉTHODOLOGIE LA SABSA : UNE RÉVOLUTION POUR LA SÉCURITÉ DE L INFORMATION? Yannick Lepage 32 EXPERTISE LE DÉVELOPPEMENT APPLICATIF SÉCURITAIRE Nanette Maestre 35 ÉTUDE DE CAS RÉUSSIR À IMPLANTER UN SYSTÈME DE GESTION D IDENTITÉ Louis Lavoie-Caron 37 CONSEILS TECHNIQUES CONSEILS POUR UNE PRÉSENCE SÉCURITAIRE SUR LE WEB Roland Pintal 40 INVESTIGATION MÊME CHIFFRÉES, VOS DONNÉES SONT-ELLES VRAIMENT EN SÉCURITÉ? Michel Cusin 45 REPORTAGE COLLOQUE QUÉBÉCOIS DE LA CYBERCRIMINALITÉ 2009 Alex Bédard 48 ZOOM DES NOUVELLES DE L ASIQ 50 CALENDRIER DES ÉVÉNEMENTS Septembre 2009 SÉCUS 3

4 M O T S D E S É D I T E U R S Et la fraude continue PAR SAMUEL BONNEAU, éditeur, directeur de l information et copropriétaire de SÉCUS Samuel Bonneau est éditeur, directeur de l information et copropriétaire du magazine SÉCUS. Il est également conseiller en sécurité de l information et directeur de la sécurité pour la firme TechnoConseil. Il possède un baccalauréat en génie informatique et détient les certifications CISSP et CISM. 1. Consultez le texte de M e Sébastien Lapointe. 2. Consultez le texte de Louis Lavoie-Caron. 3. Consultez le texte d Éric Parent. 4. Consultez le texte de Roland Pintal. 5. Consultez le texte de Nanette Maestre. 6. Consultez le texte de Yannick Lepage. 7. Consultez le texte de Michel Perreault. 8. Consultez le texte de Michel Cusin. 9. Consultez le texte de Marc-André Fortier. 10.Consultez le texte d Alex Bédard. 11. Consultez le texte d Alex Bédard. 12. Consultez le texte de Brett Beranek. 13. Consultez le texte de Marc Le Brun. Photo : Annie Tremblay L affaire Earl Jones nous a démontré à quel point ce peut être simple de frauder. Allègrement! Et ce ne sont sûrement pas les lois canadiennes qui vont freiner les arnaqueurs. Qu ils soient en ligne ou non, ils s en sortent plutôt bien. Connaissez-vous Vincent Lacroix? Ces actes démasqués ne représentent que la pointe de l iceberg de la fraude québécoise et canadienne. L absence de lois et la clémence des peines de la législation canadienne 1 ne permettent pas aux autorités d épingler ou de décourager les escrocs tenaces. Certains d entre eux sont des pirates en ligne redoutables. Ils naviguent habilement dans l «insécurité» informatique de nos entreprises. Le danger est réel. Bien sûr, des lois comme SOX (Sarbanes-Oxley) et C-198, instaurées à la suite du scandale Enron et axées sur les aspects financiers, s adressent aux entreprises cotées en Bourse. Mais qu advient-il des autres organisations publiques et privées? Rien ne les protège des risques reliés à la sécurité de l information. La survie de certaines d entre elles est menacée. D un autre côté, les entreprises canadiennes n ont pas à se conformer à des normes de sécurité exigeantes. Il y a tout de même le contrôle PCI DSS (Payment Card Industry Data Security Standard) qui est applicable pour toute organisation manipulant des transactions en lien avec les cartes de crédit. Néanmoins, respecter ses critères généraux n est pas un gage de sécurité. Alors, ce laxisme n est pas rassurant. Cependant, la norme ISO s avère prometteuse, mais, jusqu à présent, les entreprises du pays n y attribuent pas encore une valeur respectable et respectée, comme c est le cas avec la norme ISO Si ces organisations font face à des menaces potentielles puissantes, comment peuvent-elles donc efficacement protéger leurs actifs informationnels? SÉCUS RENFERME DES SOLUTIONS CONCRÈTES Les entreprises doivent considérer la sécurité de l information comme une condition sine qua non pour se protéger des attaques informatiques. Les dirigeants 2 doivent faire appel à des responsables compétents des technologies de l information et leur donner la latitude nécessaire afin qu ils puissent viser essentiellement la sécurité informatique. Il est également fondamental que les gestionnaires en sécurité de l information reçoivent une formation 3 adéquate et continue dans ce domaine. Puis, les erreurs 4 les plus fréquentes doivent être évitées à tout prix. Et la sécurité des applications 5, les nouvelles méthodologies 6, les solutions de gestion des informations 7, les données chiffrées 8, la gestion du changement 9, la consultation d organismes 10, la participation à des événements clés 11, l implantation de normes rigoureuses et une riposte contre la menace interne 12 doivent faire partie d un plan 13 solide en sécurité de l information. Le minimum requis ne suffit plus. Les entreprises, et tous les internautes, sont responsables de leur sécurité informatique. En lisant SÉCUS, chacun saura mieux se protéger contre la fraude en ligne. Faute de la voir disparaître complètement... Septembre 2009 SÉCUS 4

5 M O T S D E S É D I T E U R S : collaboration une professionnelle gagnante À la suite du premier magazine SÉCUS, nous avons reçu plusieurs félicitations. Merci à vous, lecteurs! La qualité du contenu et de la forme de notre première publication a certainement assuré son succès, mais ce sont évidemment des gens de choix qui portent fièrement ce projet. Merci à vous, collaborateurs! Photo : Annie Tremblay PAR MARIO AUDET, éditeur et copropriétaire du magazine SÉCUS Mario Audet est éditeur et copropriétaire du magazine SÉCUS. Il compte dix-sept années d expérience en technologies dont dix en sécurité de l information. Il est également architecte de solutions de sécurité chez Bell. Son intérêt pour la veille en sécurité l a amené à développer l agrégateur automatisé de nouvelles de sécurité informatique SecurNews.com. AU CŒUR DU PROJET : LES AUTEURS Pour le premier numéro de SÉCUS, Samuel Bonneau et moi avons fait appel à des professionnels remarquables du domaine de la sécurité de l information pour écrire dans le magazine SÉCUS. Ils ont été assidus et à la hauteur de toutes nos attentes. Pour cette deuxième parution, d autres auteurs de choix se sont greffés à l équipe. Ce fut un réel plaisir et un honneur de travailler avec tous ces gens compétents et passionnés. À LA BASE DU PROJET : LES PARTENAIRES Nous devons en grande partie la popularité du magazine SÉCUS à l Association de la sécurité de l information du Québec (ASIQ) et à l Association de Sécurité de l Information du Montréal Métropolitain (ASIMM). Elles ont su distribuer judicieusement le magazine SÉCUS, notamment : en insérant des encarts de SÉCUS dans les trousses des invités lors du Rendez-vous de la sécurité de l information 2009 (RSI 2009) ; en insérant des exemplaires imprimés du magazine dans les trousses des invités lors du Colloque québécois de la sécurité de l information 2009 (CQSI 2009). Les échanges de bons procédés avec nos partenaires et la notion de gagnant-gagnant sont pour nous d une importance capitale! DES ANNONCEURS DE CONFIANCE Nous remercions vivement les annonceurs du premier numéro de SÉCUS, soit TechnoConseil et AGRM-PI. Au départ, ils ne savaient pas dans quoi ils s embarquaient. En mai dernier, lors du lancement de SÉCUS, ils ont constaté la pertinence de la publication et la justesse de cette collaboration. Nous sommes reconnaissants de cette confiance. «Un pour tous, tous pour SÉCUS!» «Il y a de vraies bonnes plumes en sécurité de l information au Québec. Et nous les rassemblons toutes pour vous dans SÉCUS!» Le succès du magazine SÉCUS repose donc sur une initiative simple qui permet à tous les participants d être gagnants et de trouver leur compte. SÉCUS est l exemple parfait d une collaboration professionnelle efficace en sécurité de l information au Québec. Surtout, nous souhaitons que vous, chers lecteurs, puisiez dans SÉCUS des informations à la page sur la sécurité de l information. Septembre 2009 SÉCUS 5

6 E N T R E V U E Aux commandes de la sécurité avec Éric Parent PROPOS RECUEILLIS PAR SAMUEL BONNEAU Éric Parent possède plus de vingt ans d expérience en informatique et en sécurité de l information. Il est, entre autres, président de LogicNet et vice-président de l ASIMM. Il se dit transparent, engagé et passionné par la sécurité de l information. L expertise d Éric Parent est diversifiée et touche les domaines suivants : gestion de crise, médiation technologique, préparation et accompagnement de pré-audit, conception et révision d architecture technologique, normes et lois ISO , COBIT, ITIL, SOX, 5970-SAS70, conformité, déploiement et opération de solutions de gestion de sécurité, analyse et sélection de solutions technologiques, classification d actifs, analyse «Éric Parent détient les certifications suivantes : IMITI, CISSP-ISSAP, CGEIT, CISM, CNE, MCSE, CCSE, CCDA.» de risques et identification de contremesure, audit de sécurité, élaboration de normes et procédures, etc. DESCRIPTION DE LOGICNET Fondée en 1996, LogicNet 1 est une entreprise dynamique qui offre des services-conseils technologiques de pointe. Spécialisée en sécurité informatique, elle regroupe des experts reconnus mondialement qui aident ses clients dans la réalisation de leurs plus grands défis. LogicNet a une philosophie de transparence ainsi qu une réelle préoccupation du bien-être de ses clients. Ces derniers sont des partenaires et ils sont les meilleures références. LogicNet, étant toujours à la fine pointe de l innovation, offre un service de réponses aux questions de sécurité des dirigeants d entreprise. LogicNet maîtrise la prise en charge des problématiques technologiques. Ses experts-conseils et experts médiateurs sont habilités dans l accompagnement de cadres à tous les niveaux. La mission de LogicNet se résume en quelques points : Réunir les expertises requises et reconnues pour voir à l accompagnement compétent de ses clients et s assurer qu ils évoluent avec des solutions optimales. Explorer les défis et leur complexité afin d élaborer des stratégies de prise en charge et de résolution optimale en ligne avec les objectifs d affaires de ses clients. Agir comme «chien de garde» pour défendre les intérêts de ses clients en utilisant son expertise technique et ses connaissances intimes des affaires pour garantir le meilleur chemin à parcourir. Suite en page 7 Septembre 2009 SÉCUS 6

7 Suite de la page 6 E N T R E V U E QUEL A ÉTÉ VOTRE PARCOURS AVANT DE DEVENIR SPÉCIALISTE EN SÉCURITÉ DE L INFORMATION? Tout a commencé par une grande passion pour l électronique, qui s est dirigée, par la suite, vers l informatique. Déjà, au secondaire, je m impliquais dans tout plein de projets et je participais à des concours. J ai même remporté des prix remis par IBM pour l innovation technologique. Par la suite, j ai fait partie de l armée et je l ai quittée quelques années plus tard pour atterrir en consultation informatique pour la firme Girard, Roy et Associés, où j ai travaillé, entre autres, dans les services médicaux, notamment pour de grands hôpitaux. C est là où j ai réussi à me démarquer, surtout sur le plan de la plateforme Novell. Nos services se qualifiaient de consultations de pointe en considérant le haut niveau de spécialisation des services offerts. QUELS SONT VOS PASSE-TEMPS? Je suis avant tout un passionné. Peu importe le projet, j aime m investir à fond. Comme passe-temps, j adore l aviation. J ai ma licence de pilote. À l occasion, il m arrive même de me déplacer avec mon avion pour aller travailler chez certains clients en région. C est cette passion qui m a entre autres amené à démarrer le projet Internet Warflyers (www.warflyers.com). Il répertorie les points d accès sans fil. La région de Montréal a déjà été survolée et d autres villes le seront. Venez voir les résultats, c est impressionnant! VOTRE APPROCHE CLIENTÈLE SEMBLE ÊTRE PARTICULIÈRE. POURRIEZ-VOUS NOUS LA DÉCRIRE? Je suis un gars très simple et, surtout, transparent. Mon attitude, et même celle de ma compagnie, c est d aider le client avant tout. Ça paraît cliché, mais ça vient de ma formation dans l armée où, lorsqu il y a un problème, il faut tout faire pour le régler. C est la réussite des initiatives qui compte. Par exemple, si, pour aider un client, je dois m exclure de l équation, alors je le fais. Donc, si un projet est bien parti et que je considère que le client n a plus besoin de mon expertise, je vais lui suggérer de mettre fin au contrat pour investir dans les endroits plus judicieux. De plus, j ai la vision qu un client doit être autonome. Dès mon arrivée chez un nouveau client, je m organise pour qu il puisse se passer rapidement de mes services. Ceci passe par la formation de ses employés, la refonte de processus, l ajout de technologies, etc. C est différent de certaines firmes qui, dès qu elles entrent chez un client, ne cherchent qu à rester le plus longtemps possible et à faire entrer le plus de ressources pour tirer profit de la situation. Mon attitude est souvent bouleversante pour les clients, mais ils apprécient ma franchise et ça permet de bâtir sur du long terme. Je considère qu une bonne réputation garantit de l emploi, et je place ma confiance en ma réputation. LE 19 AVRIL 2009, À SAN FRANCISCO, VOUS AVEZ ÉTÉ HONORÉ 2 PAR L ISC 2 (INTERNATIONAL INFORMATION SYSTEMS SECURITY CERTIFICATION CONSORTIUM). POURRIEZ-VOUS NOUS EXPLIQUER DE QUOI IL S AGISSAIT? En fait, je m implique dans l ISC 2 depuis plusieurs années et, le 19 avril 2009, lors des cérémonies du 20 e anniversaire de l organisation, cette dernière a procédé à des remerciements spéciaux en reconnaissance des pionniers pour «excellente contribution dans l industrie». Actuellement, je siège à un comité responsable des questions pour les examens, notamment celui menant à la certification CISSP (Certified Information System Security Professional). J ai réussi à me démarquer en raison du nombre élevé de questions soumises, de mes idées et de mon implication dans la francisation des questions. La qualité des examens en français s est beaucoup améliorée dans les dernières années. FÉLICITATIONS ET MERCI DE REPRÉSENTER LE QUÉBEC SUR LA SCÈNE INTERNATIONALE! PARLEZ-NOUS DONC DE LA SI POPULAIRE CERTIFICATION CISSP. Ceux qui pensent qu ils seront considérés comme des «dieux en sécurité» après avoir réussi leur CISSP sont carrément à côté de la track. Le CISSP ne creuse pas profond, il couvre plutôt large. Il y a actuellement plus de personnes possédant la certification CISSP dans le monde, alors c est moins une façon de se démarquer qu une connaissance qui est requise. Malgré tout, chaque informaticien devrait au moins avoir lu le volume. Ça permettrait un certain niveau de connaissance générale en sécurité et notre posture de sécurité, en serait de beaucoup améliorée. VOUS ÊTES AUSSI IMPLIQUÉ DANS L ASIMM 3 (ASSOCIATION DE SÉCURITÉ DE L INFORMATION DU MONTRÉAL MÉTROPOLITAIN). POURRIEZ-VOUS NOUS DÉCRIRE LE RÔLE QUE VOUS Y JOUEZ? L une de mes responsabilités, l année passée, était la programmation. Étant moi-même un grand «consommateur» de conférences, j aime bien m impliquer dans cette partie. C est toujours un défi d établir une programmation pouvant plaire à tous nos membres. Je vous invite à consulter régulièrement notre site pour connaître les activités (www.asimm.org). Cette année, je prends le siège de vice-président et j assurerai la présidence en Très bientôt, le site Web sera retouché. De plus, nous désirons aller chercher une nouvelle clientèle, celle du domaine technique de la sécurité informatique. Alors, plusieurs initiatives seront lancées dans cette direction. Nous avons des nouveaux membres au CA qui reprendront en charge la programmation pour en faire un énorme succès. Suite en page 8 Septembre 2009 SÉCUS 7

8 Suite de la page 7 POURRIEZ-VOUS NOUS RÉSUMER LA SITUATION DU DOMAINE DE LA SÉCURITÉ DE L INFORMATION DURANT LA PRÉSENTE CRISE ÉCONOMIQUE? Tout dépend de l industrie. Par exemple, à Québec, c est principalement un marché du secteur gouvernemental. L impact sera légèrement moins ressenti que dans le secteur privé. Dans le secteur bancaire, un ménage, à la fin de l année 2008, a libéré plusieurs centaines d employés. Ces postes seront graduellement occupés durant les dix-huit prochains mois. Le résultat a permis d avoir bonne presse auprès des actionnaires pour la fin de l année À Montréal, bien qu il y ait eu des compressions dans plusieurs secteurs, je constate que la demande est toujours aussi élevée pour les ressources de qualité et avec de l expérience. Ceci nous apporte comme problème de savoir comment départir les bonnes ressources, des imposteurs. Lorsque l économie va mal, le crime augmente. Ainsi, si la crise persiste, nous aurons sans doute de sérieux problèmes de sécurité, ce qui risque de nous tenir assez occupés. QUE PENSEZ-VOUS DES NORMES ET DES STANDARDS? Le PCI DSS 4 (Payment Card Industry Data Security Standard) est principalement un transfert de responsabilités. Il n est pas nécessairement clair et il est de très haut niveau. Je préfère ISO ou COBIT 6 (contrôle de l information et des technologies associées), pourvu que ces normes et standards soient appliqués par des gens qui ont la compétence pour le faire. Autrement, ça ne sert à rien. La qualité de l auditeur a aussi un grand rôle à jouer. Ce dernier doit être en mesure de poser les bonnes questions et ne pas s arrêter à des réponses évasives. Du côté de la méthode Méhari, certains l aiment, d autres non. Ce qu il faut retenir, c est qu une fois qu elle est adaptée, elle devient un excellent outil. La clé, c est l adaptation. L utilisation bornée d un outil, sans le personnaliser à ses besoins et à son contexte d affaires est une très grande erreur. VOUS ÊTES SPÉCIALISTE EN SÉCURITÉ DE L INFORMATION. QUELLES SONT LES PROBLÉMATIQUES QUE VOUS CONSTATEZ DANS LE MARCHÉ? Les premiers problèmes sont attribuables aux gestionnaires en sécurité de l information. Les ego démesurés des gestionnaires sont la source de plusieurs problèmes. À la base, un gestionnaire veut changer les choses. Pour démontrer qu ils sont bien les patrons, ils font des changements quasi aléatoires qui n apportent aucun vrai résultat de valeur. C est ce que j appelle de la mauvaise qualité de gestion, et c est très fréquent. Un autre problème, c est que des gestionnaires prennent des décisions reliées à la sécurité de l organisation, mais elles sont basées uniquement sur leur ego et sur la protection de leur carrière. Ces derniers veulent tellement paraître intelligents qu ils ne disent pas la vérité à la couche du haut, et s il arrive quelque chose aux actifs de l entreprise, vous pouvez être assuré qu ils rejetteront le blâme. Malheureusement, ces gestionnaires ne travaillent pas pour le bien-être de l entreprise, mais plutôt pour le leur. Les hauts gestionnaires se plantent et ils ne le savent même pas. Plusieurs organisations, même de très grandes entreprises, courent des risques importants sur le plan de la sécurité de leurs actifs et elles ne sont même pas au courant. Ceci en raison des gestionnaires qui ne sont pas du tout à leur place et qui ne communiquent pas vers le haut. La sécurité de l information est un sujet abstrait, où les statistiques ne sont pas précises, et où de nombreuses zones grises peuvent apparaître. Mon conseil à ce sujet est d être transparent. «Le problème, c est que trop souvent les gestionnaires en sécurité n ont pas de formation ni d expérience en sécurité.» «Si une situation n est pas maîtrisée, alors on doit l améliorer. C est blanc ou noir, surtout pas gris.» Dans le processus des entrevues de recrutement, malheureusement, les entreprises sont TRÈS paresseuses. Celles-ci font affaire avec des chasseurs de têtes au lieu de laisser leurs responsables des ressources humaines faire leur job. Le problème, avec les chasseurs de têtes, c est qu ils cherchent la plupart du temps des acronymes de certification, et ce critère n est pas nécessairement un gage de qualité. Mon conseil à ces gestionnaires est le suivant : considérant que l objectif premier de l entreprise n est pas de vous fournir un emploi, vous devez prendre des décisions menant à protéger l entreprise. Ça semble évident, mais c est rarement le résultat observé. Un bel exemple à citer est un de nos clients (un important fournisseur hydro-électrique). La directrice du groupe des finances a été très encline à revoir en entier le programme de gestion de risques. L initiative a donné de la valeur à ce programme qui se veut maintenant très efficace. Il ne faut pas avoir peur de s interroger ouvertement et de se poser la question suivante : «Pouvons-nous faire mieux?». L autre problème est relié à la qualité des ressources. Certains consultants seniors en sécurité sont des imposteurs. À preuve, ils ne détiennent parfois que deux ans d expérience. Une des problématiques de ce Suite en page 9 Septembre 2009 SÉCUS 8

9 Suite de la page 8 domaine très pointu est qu il existe très peu de formations menant à une spécialisation. Je vous raconte une anecdote à ce sujet. J ai connu une ressource qui s improvisait «spécialiste en ISO 27001» et «consultante senior en sécurité». Ce qui est amusant, c est que pas plus de deux ans plus tôt, cette personne travaillait en administration avec un bagage en science politique. Je ne savais pas «Par conséquent, seulement l expérience est garante de qualité dans ce domaine et elle s acquiert après plusieurs années d interventions à tout niveau.» qu on pouvait s octroyer ces prestigieux titres en quelques mois. Ce genre de comportement est dangereux pour l industrie. Ultimement, si des gens avec deux ans d expérience se donnent le titre de senior en sécurité, alors moi, je ne suis pas sûr de mon titre... peut-être «fossile en sécurité»? Des ressources, il y en a pas mal, mais des ressources de qualité, il n y en a pas tant que ça. La sécurité informatique, il faut voir ça comme une maîtrise. Ça s acquiert à la suite d une solide formation et d une grande expérience en informatique. La certification n égale pas nécessairement qualité. Une certification n est rien de plus qu une confirmation que certains éléments précis sont maîtrisés, mais elle ne garantit en rien la qualité de la ressource. À mon avis, la certification la plus juste pour évaluer une ressource est la IMITI 7 (International Master of Information Technology Institute), car elle est acquise à la suite d examens et d entrevues évaluant à la fois les compétences techniques et les qualités humaines d un individu. Après cette très sévère évaluation, vous pouvez être qualifié de maître dans votre domaine. Pour IMITI, ce qui fait un excellent professionnel, ce n est pas uniquement ses compétences, et ce n est pas uniquement sa personnalité, c est plutôt l ensemble de toutes ses caractéristiques et de ses aptitudes. CONCERNANT LA SÉCURITÉ DES ENTREPRISES, OÙ SONT LES MANQUES ET QUELS INVESTISSEMENTS DEVRAIENT-ELLES PRIORISER? Généralement, la maturité du plan de sécurité n est pas atteinte. J utilise souvent une grille d évaluation de maturité de la sécurité d une entreprise basée sur le CMM 8 (Capability Maturity Model) et adaptée pour évaluer la maturité du plan de sécurité d une entreprise. Il s agit d une échelle de 0 à 4 : 0 = L entreprise n a aucune idée de ses problèmes de sécurité. 1= L entreprise a une idée de ses problèmes de sécurité, mais elle ne fait rien. 2 = L entreprise a une idée de ses problèmes de sécurité et elle en règle quelques-uns. 3 = L entreprise a une idée de ses problèmes de sécurité et les prend en charge. 4 = L entreprise est proactive et prévient d éventuels problèmes de sécurité. La majorité des organisations que j ai eu la chance de voir sont situées entre les niveaux 1 et 2. Je ne peux pas affirmer qu elles sont au niveau 2 lorsqu elles ne prennent en charge qu une partie des problèmes. Ce qui est étonnant, c est que lorsque je les rencontre avant une évaluation, elles pensent être au niveau 3, ou encore entre les niveaux 2 et 3. Un gros problème, actuellement, c est la conformité. C est ça qui a bouleversé l industrie dans les dernières années, avec l arrivée, entre autres, de SOX 9 (loi Sarbanes-Oxley) et compagnie. De mon côté, j accompagne souvent des entreprises à «passer» leur premier audit. Par la suite, elles doivent forcément continuer à avancer par ellesmêmes en fonction des plans d action élaborés lors du premier audit. «Malheureusement, les entreprises ne se conforment pas pour être dans une meilleure posture de sécurité, mais plutôt pour paraître conformes.» Du côté de la sécurité, l industrie est toujours en retard. Elle réagit lorsque des problèmes surviennent. Les universités font de même. Ça fait longtemps que le marché est en manque de ressources de qualité, et ce, en grande partie en raison du manque de formations dans tous les secteurs de l informatique. Les entreprises et nos hauts gestionnaires devraient s assurer d avoir une vraie vision de leur maturité ainsi qu un plan réaliste avec des étapes concrètes pour faire croître leur maturité. Pour nos dirigeants, ceci commence donc par savoir s entourer de gens compétents et ne pas avoir peur de les laisser faire leur boulot, en laissant les vrais experts dire ce qu ils pensent, et non pas uniquement ce que les gestionnaires veulent entendre Septembre 2009 SÉCUS 9

10 A S P E C T L É G A L Divulgation obligatoire: quand la détention de renseignements oblige les entreprises à divulguer leurs problèmes de sécurité PAR M e SÉBASTIEN LAPOINTE, avocat Holmested & Associés SENC M e Sébastien Lapointe est avocat à Montréal. Il pratique depuis une dizaine d années en droit des TI, en droit de la propriété intellectuelle et en droit commercial. Il est passionné par le numérique, conseille une clientèle variée composée notamment d entreprises de TI et du secteur tertiaire. LA PROTECTION NAISSANTE DES RENSEIGNEMENTS PERSONNELS La fin du XX e siècle voit naître une nouvelle problématique relative au traitement de l information par le droit. Avec l importance pratique grandissante des données et de l information à caractère «personnel», on constate que les individus peuvent facilement se voir transformer en victimes si les renseignements à leur sujet ne sont pas protégés adéquatement. L avènement de l ère du numérique augmente en effet le risque et les possibilités pour les malfaiteurs de s adonner à des pratiques comme le vol d identité, l accès non autorisé aux bases de données et aux services en ligne, la fraude, et nombre d autres crimes que peut faciliter l usurpation des renseignements d un individu. Le droit en vient ainsi à prendre conscience de toute l importance que peuvent avoir certains types de renseignements dans l ère de la «société de l information», alors que les technologies de l information permettent une cueillette, un usage et un partage de renseignements à une échelle sans précédent dans l histoire de l humanité. Dès lors, les renseignements dits «personnels» sont ciblés comme un type d information ayant un statut juridique particulier. Un nombre grandissant Par définition, le développement de la société de l information accroît l importance de la création, du partage et de l utilisation de l information, et ce, à tous les niveaux de notre société. L un des résultats directs de ce phénomène a trait au fait que nous devons maintenant apprendre à composer avec le défi que pose pour notre droit l encadrement du partage et de l utilisation d information à caractère particulièrement sensible, comme les renseignements personnels. de juridictions imposent ainsi dorénavant une norme plus rigoureuse quant à la cueillette, à la conservation, à l utilisation et à la divulgation de ces renseignements personnels. Pour simplifier, en droit, on peut dire que l on considère les «renseignements personnels 1» comme incluant tout renseignement nominatif ou concernant un individu identifiable, qui serait, par exemple, lié à sa fiche dans une base de données 2. On comprend qu une telle conception de ce que constitue un renseignement personnel peut englober un grand nombre de renseignements, allant de l information relative aux caractéristiques physiques (des données biométriques, par exemple) à l information relative à la santé ou aux finances, jusqu aux coordonnées ou à l adresse IP d une personne. Fort d une conception large de ce qui entre dans le champ des renseignements personnels, on adopte ainsi, autour de l année 2000 (dans un nombre grandissant de juridictions à travers le monde), un nouveau type de lois visant à protéger les renseignements se rapportant aux individus. À l ère de la société de l information, on conçoit que, contrairement à la situation qui existe jusqu alors, il faut dorénavant se munir de mécanismes juridiques pour régir les renseignements personnels, à défaut de quoi les droits de l individu quant à sa vie privée (privacy rights) pourront se voir sérieusement bafoués, même d un seul clic de souris. Suite en page 11 Septembre 2009 SÉCUS 10

Gestion de la sécurité de l information par la haute direction

Gestion de la sécurité de l information par la haute direction Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut

Plus en détail

La situation financière des Canadiens

La situation financière des Canadiens La situation financière des Canadiens 1 Approche client Microsoft Advertising Hiver 2015 LA SITUATION FINANCIÈRE DES CANADIENS 2 Des décisions financières difficiles et importantes doivent être prises

Plus en détail

Déterminer quelle somme dépenser en matière de sécurité des TI

Déterminer quelle somme dépenser en matière de sécurité des TI Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement

Plus en détail

Gestion du risque opérationnel

Gestion du risque opérationnel Comité de Bâle sur le contrôle bancaire Gestion du risque opérationnel Le Comité de Bâle sur le contrôle bancaire a récemment entamé des travaux relatifs au risque opérationnel, dont la gestion tend à

Plus en détail

CEPB. Le système de protection de la jeunesse de Terre-Neuve et du Labrador 1. Un aperçu de la protection de la jeunesse de Terre-Neuve et du Labrador

CEPB. Le système de protection de la jeunesse de Terre-Neuve et du Labrador 1. Un aperçu de la protection de la jeunesse de Terre-Neuve et du Labrador Le système de protection de la jeunesse de Terre-Neuve et du Labrador 1 2007 2006 #49F #42E CEPB Pamela Gough Un aperçu de la protection de la jeunesse de Terre-Neuve et du Labrador La responsabilité première

Plus en détail

Les règles d utilisation de la vidéosurveillance avec enregistrement dans les lieux publics par les organismes publics

Les règles d utilisation de la vidéosurveillance avec enregistrement dans les lieux publics par les organismes publics Les règles d utilisation de la vidéosurveillance avec enregistrement dans les lieux publics par les organismes publics Juin 2004 TABLE DES MATIÈRES PRÉSENTATION... 1 LE CHAMP D APPLICATION... 1 LA JUSTIFICATION...

Plus en détail

La sécurité entgv. avecpatrick Boucher

La sécurité entgv. avecpatrick Boucher E N T R E V U E La sécurité entgv Photo : Michel Latulippe avecpatrick Boucher PROPOS RECUEILLIS PAR SAMUEL BONNEAU Patrick Boucher est diplômé de l UQAM en informatique. Il est président fondateur de

Plus en détail

Traitement transfrontalier des données personnelles Lignes directrices

Traitement transfrontalier des données personnelles Lignes directrices Commissariat à la protection de la vie privée du Canada LPRPDE Traitement transfrontalier des données personnelles Lignes directrices OBJET Le Commissariat à la protection de la vie privée du Canada a

Plus en détail

2014 Sondage d AGF sur les perspectives des investisseurs. Revoir la notion des placements

2014 Sondage d AGF sur les perspectives des investisseurs. Revoir la notion des placements 2014 Sondage d AGF sur les perspectives des investisseurs Revoir la notion des placements Un message de Blake C. Goldring, m.s.m., ll.d., cfa PRÉSIDENT DU CONSEIL ET CHEF DE LA DIRECTION, LA SOCIÉTÉ DE

Plus en détail

Consultation sur le référencement entre assureurs de dommages et carrossiers. Commentaires présentés à L Autorité des marchés financiers

Consultation sur le référencement entre assureurs de dommages et carrossiers. Commentaires présentés à L Autorité des marchés financiers entre assureurs de dommages et carrossiers Commentaires présentés à L Autorité des marchés financiers Novembre 2006 entre assureurs de dommages et carrossiers 2 PRÉAMBULE Le Groupement des assureurs automobiles

Plus en détail

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français L opinion des consommateurs français sur : Le niveau de sécurité des données personnelles pour chaque industrie Les organisations collectant des données personnelles via les appareils connectés Les recherches

Plus en détail

CORPORATION CANADIENNE DE COMPENSATION DE PRODUITS DÉRIVÉS CODE DE CONDUITE DU CONSEIL

CORPORATION CANADIENNE DE COMPENSATION DE PRODUITS DÉRIVÉS CODE DE CONDUITE DU CONSEIL CORPORATION CANADIENNE DE COMPENSATION DE PRODUITS DÉRIVÉS CODE DE CONDUITE DU CONSEIL APPLICATION Le présent code de conduite (le «code du conseil») s applique à vous si vous êtes membre du conseil d

Plus en détail

INVESTIR À propos de Banque Nationale Courtage direct. Prenez le contrôle avec Banque Nationale Courtage direct

INVESTIR À propos de Banque Nationale Courtage direct. Prenez le contrôle avec Banque Nationale Courtage direct Prenez le contrôle avec Banque Nationale Courtage direct 01 Au service des investisseurs canadiens depuis plus de 25 ans Filiale d une des plus grandes institutions financières au pays, offre aux investisseurs

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Améliorer durablement la qualité de l audit. Juin 2014

Améliorer durablement la qualité de l audit. Juin 2014 Améliorer durablement la qualité de l audit Juin 2014 L enjeu Selon les résultats du plus récent cycle d inspection du Conseil canadien sur la reddition de comptes (CCRC), sur le plan de la qualité de

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

SOUS RÉSERVE DE MODIFICATIONS

SOUS RÉSERVE DE MODIFICATIONS DÉCLARATION AUX MÉDIAS POUR LA PUBLICATION DU Rapport annuel 2013-2014 par François Boileau Commissaire aux services en français de l Ontario Jeudi 10 juillet 2014 11 h 00 Salle des médias Édifice de l

Plus en détail

Rapport de suivi relatif à l examen de l utilisation des cartes d achat 2005-2006

Rapport de suivi relatif à l examen de l utilisation des cartes d achat 2005-2006 Rapport de suivi relatif à l examen de l utilisation des cartes d achat 2005-2006 Commission canadienne des grains Service de la vérification et de l évaluation Rapport final Mai 2011 Commission canadienne

Plus en détail

CHARTE DU CONSEIL D ADMINISTRATION. FORAGE ORBIT GARANT INC. (Orbit Garant ou la Société)

CHARTE DU CONSEIL D ADMINISTRATION. FORAGE ORBIT GARANT INC. (Orbit Garant ou la Société) CHARTE DU CONSEIL D ADMINISTRATION 1. Objectifs FORAGE ORBIT GARANT INC. (Orbit Garant ou la Société) L intendance générale de la Société relève de la responsabilité du conseil d administration (les «administrateurs»).

Plus en détail

Agence de rénovation du bâtiment Inc. (ARB)

Agence de rénovation du bâtiment Inc. (ARB) Agence de rénovation du bâtiment Inc. (ARB) Veuillez lire attentivement ces conditions d'utilisation avant toute navigation. Avis légal et Conditions d'utilisation Renseignements généraux Le présent Site

Plus en détail

CODE DE DÉONTOLOGIE DU CONSEIL. Le 30 octobre 2012

CODE DE DÉONTOLOGIE DU CONSEIL. Le 30 octobre 2012 CODE DE DÉONTOLOGIE DU CONSEIL Le 30 octobre 2012 GROUPE TMX LIMITÉE (auparavant, Corporation d Acquisition Groupe Maple) ET SES FILIALES DÉSIGNÉES CODE DE DÉONTOLOGIE DU CONSEIL APPLICATION Ce code de

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

V É R I F I C A T I O N D E S R É F É R E N C E S - G U I D E D U G E S T I O N N A I R E -

V É R I F I C A T I O N D E S R É F É R E N C E S - G U I D E D U G E S T I O N N A I R E - V É R I F I C A T I O N D E S R É F É R E N C E S - G U I D E D U G E S T I O N N A I R E - + P O U R Q U O I V É R I F I E R L E S R É F É R E N C E S + A S P E C T S J U R I D I Q U E S + P R O C E S

Plus en détail

CONSEIL DE L EUROPE COMITE DES MINISTRES

CONSEIL DE L EUROPE COMITE DES MINISTRES CONSEIL DE L EUROPE COMITE DES MINISTRES Recommandation Rec(2006)8 du Comité des Ministres aux Etats membres sur l assistance aux victimes d infractions (adoptée par le Comité des Ministres le 14 juin

Plus en détail

MODALITÉS ET CONDITIONS D UTILISATION DU SITE INTERNET. www.carrefourfrontenac.com

MODALITÉS ET CONDITIONS D UTILISATION DU SITE INTERNET. www.carrefourfrontenac.com MODALITÉS ET CONDITIONS D UTILISATION DU SITE INTERNET www.carrefourfrontenac.com L'accès au site internet du Carrefour Frontenac www.carrefourfrontenac.com («le site internet») vous est offert sous réserves

Plus en détail

POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010)

POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010) POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010) Note : Le générique masculin est utilisé sans discrimination uniquement dans le but d alléger le texte. 1. Introduction La Commission

Plus en détail

L Évaluation des impacts des mesures de sécurité sur les droits de la personne

L Évaluation des impacts des mesures de sécurité sur les droits de la personne L Évaluation des impacts des mesures de sécurité sur les droits de la personne Développement de mesures de sécurité respectueuses des droits de la personne Pour obtenir de plus amples renseignements sur

Plus en détail

Projet des affaires électroniques Vérification du système en développement 2004 Réponses de la gestion (plans d action)

Projet des affaires électroniques Vérification du système en développement 2004 Réponses de la gestion (plans d action) Réponses de la gestion préparées par : Christiane Villemure, directrice de l Initiative des En date du : 14 juin 2004 Suivi des évaluations antérieures 3.1 Vérification de suivi de l Initiative des Septembre

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Politique relative à l utilisation de la vidéosurveillance dans les lieux publics exploités par l AMT ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 18

Politique relative à l utilisation de la vidéosurveillance dans les lieux publics exploités par l AMT ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 18 Politique relative à l utilisation de la vidéosurveillance dans les lieux publics exploités par l AMT ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 18 DÉCEMBRE 2009 PAR VOIE DE RÉSOLUTION N O 09-CA(AMT)-348

Plus en détail

La situation est bien pire qu on ne le pense: De la mauvaise qualité des processus documentaires découle des risques majeurs pour les entreprises

La situation est bien pire qu on ne le pense: De la mauvaise qualité des processus documentaires découle des risques majeurs pour les entreprises Un livre blanc d IDC sponsorisé par Ricoh Juin 2012 Points Clés La situation est bien pire qu on ne le pense: De la mauvaise qualité des processus documentaires découle des risques majeurs pour les entreprises

Plus en détail

Allocution de Mme Françoise Bertrand Présidente directrice générale Fédération des chambres de commerce du Québec

Allocution de Mme Françoise Bertrand Présidente directrice générale Fédération des chambres de commerce du Québec Allocution de Mme Françoise Bertrand Présidente directrice générale Fédération des chambres de commerce du Québec Comment les entreprises devraient-elles entrevoir l avenir en matière de régime de retraite

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION

MANDAT DU CONSEIL D ADMINISTRATION MANDAT DU CONSEIL D ADMINISTRATION Transcontinental inc. (la Société) est une société dont les valeurs sous-tendent une saine gestion d entreprise. Son conseil d administration (le conseil) a pour mission

Plus en détail

problèmes et solutions...

problèmes et solutions... Julien Arsenault Regard sur la sous-assurance Assurance habitation mythes, Pour plusieurs individus, l achat d une police d assurance habitation peut sembler superflu pour diverses raisons. Que ce soit

Plus en détail

Président et chef de la direction

Président et chef de la direction Sommaire descriptif du rôle et responsabilités Président et chef de la direction Novembre 2015 Pour de plus amples renseignements, contactez: Nathalie Francisci, CRHA, IAS. A Associée nathalie.francisci@odgersberndtson.ca

Plus en détail

Recommandations du Réseau canadien pour la reddition de comptes des entreprises (RCRCE)

Recommandations du Réseau canadien pour la reddition de comptes des entreprises (RCRCE) Octobre 2014 NOTE D INFORMATION DU RCRCE CRÉER UN OMBUDSMAN DES DROITS HUMAINS POUR LE SECTEUR EXTRACTIF INTERNATIONAL DU CANADA Recommandations du Réseau canadien pour la reddition de comptes des entreprises

Plus en détail

Guide pour adolescents

Guide pour adolescents Guide pour adolescents Guide pour adolescents Nous remercions le ministère de la Justice du Canada pour sa contribution financière. Nous remercions également Public Legal Education Association Saskatchewan

Plus en détail

Cadre de réglementation et gestion des risques

Cadre de réglementation et gestion des risques Cadre de réglementation et gestion des risques Lors du lancement d une entreprise au Canada, les propriétaires d entreprise et exploitants ainsi que leurs dirigeants doivent être sensibilisés au risque

Plus en détail

Ce site appartient à la société PLEXO Inc., (ci-après le «propriétaire du site»).

Ce site appartient à la société PLEXO Inc., (ci-après le «propriétaire du site»). Modalités d utilisation Modalités d utilisation du site web https://sante.plexo.ca IMPORTANT! VOTRE ACCÈS À CE SITE WEB DE PLEXO INC. EST ASSUJETTI À DES CONDITIONS QUI VOUS LIENT JURIDIQUEMENT. VEUILLEZ

Plus en détail

Règlements du concours Bureau en Gros

Règlements du concours Bureau en Gros Règlements du concours Bureau en Gros Le concours «Bureau en Gros Ü» se déroulera du 1 er octobre 2015 (00h01) (HAE) au 31 octobre 2015 (23h59) (HAE) (ci-après «la période du concours»). Il est organisé

Plus en détail

RÉFORME DE LA LOI SUR LES COMPAGNIES GOUVERNEMENT DU QUÉBEC. Mémoire de la Fédération des chambres de commerce du Québec (FCCQ)

RÉFORME DE LA LOI SUR LES COMPAGNIES GOUVERNEMENT DU QUÉBEC. Mémoire de la Fédération des chambres de commerce du Québec (FCCQ) RÉFORME DE LA LOI SUR LES COMPAGNIES GOUVERNEMENT DU QUÉBEC Mémoire de la Fédération des chambres de commerce du Québec (FCCQ) présenté à l occasion des consultations du Ministère des finances du Québec

Plus en détail

Réception de Montréal Secteur des valeurs mobilières. Discours d ouverture

Réception de Montréal Secteur des valeurs mobilières. Discours d ouverture Réception de Montréal Secteur des valeurs mobilières Discours d ouverture Andrew J. Kriegler Président et chef de la direction Organisme canadien de réglementation du commerce des valeurs mobilières 25

Plus en détail

Boite postale 49090, Edmonton, Alberta, Canada T6E 5X0 Tel: (780) 439-1394 Sans frais : 1-877-818-0393 Fax: (780) 439-4091 www.nfa.

Boite postale 49090, Edmonton, Alberta, Canada T6E 5X0 Tel: (780) 439-1394 Sans frais : 1-877-818-0393 Fax: (780) 439-4091 www.nfa. L Association Canadienne des Propriétaires d Armes à Feu Boite postale 49090, Edmonton, Alberta, Canada T6E 5X0 Tel: (780) 439-1394 Sans frais : 1-877-818-0393 Fax: (780) 439-4091 www.nfa.ca Présentation

Plus en détail

L impact d un incident de sécurité pour le citoyen et l entreprise

L impact d un incident de sécurité pour le citoyen et l entreprise L impact d un incident de sécurité pour le citoyen et l entreprise M e Jean Chartier Président Carrefour de l industrie de la sécurité 21 octobre 2013 - La Malbaie (Québec) Présentation générale La Commission

Plus en détail

LISTE DES FORMATIONS. Mai 2015

LISTE DES FORMATIONS. Mai 2015 Gestion de projet Analyse d affaires Formation Évaluation de performance +1.514.826.5534 info@lcgsolution.com www.lcgsolution.com LCG Solution se distingue par la qualité du matériel de formation, la qualité

Plus en détail

Rapport de stage. Durant ces quatres mois de stage j ai découvert trois éditions différentes du Courrier Picard:

Rapport de stage. Durant ces quatres mois de stage j ai découvert trois éditions différentes du Courrier Picard: 1. Déroulement du stage Rapport de stage Durant ces quatres mois de stage j ai découvert trois éditions différentes du Courrier Picard: Tableau 1. Périodes de stage lieu date bilan Edition l amiénois du

Plus en détail

Chronique Gouvernance et Économie Hugues Lacroix, CA, MBA, IAS.A LA GESTION DES RISQUES 1. DES EXEMPLES QUI FRAPPENT

Chronique Gouvernance et Économie Hugues Lacroix, CA, MBA, IAS.A LA GESTION DES RISQUES 1. DES EXEMPLES QUI FRAPPENT Chronique Gouvernance et Économie Hugues Lacroix, CA, MBA, IAS.A LA GESTION DES RISQUES 1. DES EXEMPLES QUI FRAPPENT Spécial catastrophe ou simple malheur! Ce ne sont pas les exemples d évènements inusités

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Communiquer, c est entrer dans la structure de l autre.

Communiquer, c est entrer dans la structure de l autre. Le plan de communication marketing ou Communiquer, c est entrer dans la structure de l autre. Atelier - conférence présentée par Diane Lépine Directrice du développement des Affaires et gestionnaire sénior

Plus en détail

Prenez vos dettes en main

Prenez vos dettes en main Prenez vos dettes en main 4 Solut!ons pour planifier vos finances P l a n i f i c a t i o n f i n a n c i è r e 1 0 1 Remettre ses finances sur la bonne voie après une perte d emploi Il y a à peine une

Plus en détail

Profil de compétence et d expérience des administrateurs Des Violons du Roy et de La Chapelle de Québec

Profil de compétence et d expérience des administrateurs Des Violons du Roy et de La Chapelle de Québec Profil de compétence et d expérience des administrateurs Des Violons du Roy et de La Chapelle de Québec Société : Les Violons du Roy et La Chapelle de Québec Date du profil : janvier 2011 Mandat de la

Plus en détail

Comment sécuriser l information confidentielle de vos clients

Comment sécuriser l information confidentielle de vos clients Comment sécuriser l information confidentielle de vos clients Un sondage mené récemment auprès de praticiens au Canada a montré que seul un faible pourcentage de CA (entre 10 % et 15 %) a toujours recours

Plus en détail

Comment répondre aux questions d un examen en droit qui sont basées sur des faits

Comment répondre aux questions d un examen en droit qui sont basées sur des faits Comment répondre aux questions d un examen en droit qui sont basées sur des faits Types de questions d examen Un examen en droit peut comporter plusieurs types de questions : à réponse courte, à développement,

Plus en détail

PROTÉGÉ A. Vérification des programmes des voyageurs fiables

PROTÉGÉ A. Vérification des programmes des voyageurs fiables PROTÉGÉ A Vérification des programmes des voyageurs fiables Decembre 2012 TABLE DES MATIÈRES 1.0 INTRODUCTION... 2 2.0 IMPORTANCE DE LA VÉRIFICATION... 2 3.0 ÉNONCÉ D ASSURANCE... 2 4.0 OPINION DE L ÉQUIPE

Plus en détail

La sécurité informatique, c est votre problème aussi!

La sécurité informatique, c est votre problème aussi! INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique,

Plus en détail

Olivier Huart Directeur Général

Olivier Huart Directeur Général J ai souhaité, dès mon arrivée à la tête du Groupe TDF, doter l entreprise de valeurs fortes pour rassembler les collaborateurs et créer la confiance de nos partenaires. Ces valeurs, au nombre de cinq

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Transcription Webémission Questionner pour favoriser l amélioration de l apprentissage

Transcription Webémission Questionner pour favoriser l amélioration de l apprentissage Transcription Webémission Questionner pour favoriser l amélioration de l apprentissage 00 : 00 ANIMATEUR : Bienvenue à cette série de quatre vidéos portant sur l évaluation du rendement. Depuis de nombreuses

Plus en détail

COMMISSION DES INSTITUTIONS

COMMISSION DES INSTITUTIONS COMMISSION DES INSTITUTIONS MANDAT : ÉTUDE DU RAPPORT «PROPOSITIONS DE MODIFICATIONS À LA LOI SUR LA TRANSPARENCE ET L ÉTHIQUE EN MATIÈRE DE LOBBYISME ALLOCUTION DU COMMISSAIRE AU LOBBYISME DU QUÉBEC 17

Plus en détail

S associer à un fournisseur de services pour la gestion de la rémunération globale Terry Lister Services-conseils en affaires, IBM

S associer à un fournisseur de services pour la gestion de la rémunération globale Terry Lister Services-conseils en affaires, IBM CHAPITRE 8 l S associer à un fournisseur de services pour la gestion de la rémunération globale Terry Lister Services-conseils en affaires, IBM évolution des attentes ne cesse de pousser les entreprises

Plus en détail

Réduire la pauvreté : comment les collectivités territoriales peuvent-elles être des catalyseurs du développement économique pro-pauvre?

Réduire la pauvreté : comment les collectivités territoriales peuvent-elles être des catalyseurs du développement économique pro-pauvre? Réduire la pauvreté : comment les collectivités territoriales peuvent-elles être des catalyseurs du développement économique pro-pauvre? Les trois dernières décennies ont été marquées par des progrès impressionnants

Plus en détail

Politique et règles en matière de gestion de la propriété intellectuelle

Politique et règles en matière de gestion de la propriété intellectuelle SECRÉTARIAT GÉNÉRAL Règlements, directives, politiques et procédures Politique et règles en matière de gestion de la propriété intellectuelle Adoption Instance/Autorité Date Résolution(s) Conseil d administration

Plus en détail

Mémoire relatif au Règlement sur le dépannage et le remorquage des véhicules sur le territoire de la Communauté urbaine de Montréal

Mémoire relatif au Règlement sur le dépannage et le remorquage des véhicules sur le territoire de la Communauté urbaine de Montréal Mémoire relatif au Règlement sur le dépannage et le remorquage des véhicules sur le territoire de la Communauté urbaine de Montréal Présenté à La Commission du développement économique de la Communauté

Plus en détail

Repenser les procédures d expulsion des coopératives d habitation

Repenser les procédures d expulsion des coopératives d habitation Repenser les procédures d expulsion des coopératives d habitation Rapport du Conseil de l Ontario sur la résolution N R3 de l assemblée membres de l Ontario Avril 2003 Fédération de l habitation coopérative

Plus en détail

Résultats de l évaluation

Résultats de l évaluation Service public d éducation et d information juridiques du Nouveau-Brunswick Résultats de l évaluation Naviguer dans le système de justice familiale : Ateliers pour les plaideurs sans avocat Sommaire janvier

Plus en détail

Recherche d emploi et gestion de carrière : Les clés du succès.

Recherche d emploi et gestion de carrière : Les clés du succès. Recherche d emploi et gestion de carrière : Les clés du succès. Qu il s agisse de trouver ou de garder un emploi ou encore d optimiser votre évolution professionnelle, il apparaît que le succès est lié

Plus en détail

Introduction à l infonuagique

Introduction à l infonuagique Introduction à l infonuagique Lorsque vous stockez vos photos en ligne au lieu d utiliser votre ordinateur domestique, ou que vous utilisez le courriel Web ou un site de réseautage social, vous utilisez

Plus en détail

POLITIQUE en matière de gestion intégrée de la santé, sécurité et bien-être au travail

POLITIQUE en matière de gestion intégrée de la santé, sécurité et bien-être au travail POLITIQUE en matière de gestion intégrée de la santé, sécurité et bien-être au travail Ce document s'adresse à tout le personnel La Direction des ressources humaines est responsable de son application

Plus en détail

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité : Contrat de courtier Entre : L EMPIRE, COMPAGNIE D ASSURANCE-VIE (ci-après nommée «Empire Vie») et (ci-après nommé «courtier») Adresse civique : Ville ou municipalité : Province : Code postal : Date d effet

Plus en détail

Risques exponentiels : votre entreprise et l Internet de tout (Internet of Everything)

Risques exponentiels : votre entreprise et l Internet de tout (Internet of Everything) Risques exponentiels : votre entreprise et l Internet de tout (Internet of Everything) Lorsque les frigos attaquent : L Internet de tout et la multiplication des cyber-risques pour votre entreprise Ce

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Évaluation et recommandations

Évaluation et recommandations ÉVALUATION ET RECOMMANDATIONS 13 Évaluation et recommandations Les personnes souffrant de troubles mentaux s intègrent mal sur le marché du travail. En Belgique, par rapport aux personnes qui ont une bonne

Plus en détail

Indications concernant les normes de la Banque du Canada en matière de gestion des risques pour les infrastructures de marchés financiers désignées

Indications concernant les normes de la Banque du Canada en matière de gestion des risques pour les infrastructures de marchés financiers désignées Indications concernant les normes de la Banque du Canada en matière de gestion des risques pour les infrastructures de marchés financiers désignées Norme 7 : Risque de liquidité Objectif Selon les Principes

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Déclaration de la directrice des poursuites criminelles et pénales, Me Annick Murphy. Le 16 octobre 2015

Déclaration de la directrice des poursuites criminelles et pénales, Me Annick Murphy. Le 16 octobre 2015 La version prononcée fait foi. Déclaration de la directrice des poursuites criminelles et pénales, Me Annick Murphy Le 16 octobre 2015 Mesdames et messieurs, bonjour et merci d avoir répondu à l invitation.

Plus en détail

I-Checkit est l outil dont les services chargés de l application de la loi ont besoin au 21 ème siècle pour mettre au jour et neutraliser les réseaux

I-Checkit est l outil dont les services chargés de l application de la loi ont besoin au 21 ème siècle pour mettre au jour et neutraliser les réseaux INTERPOL I-Checkit Pour votre sécurité I-Checkit est l outil dont les services chargés de l application de la loi ont besoin au 21 ème siècle pour mettre au jour et neutraliser les réseaux criminels et

Plus en détail

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des Principes régissant la protection consommateurs des dans le commerce électronique Le cadre canadien Groupe de travail sur la consommation et le commerce électronique Principes régissant la protection

Plus en détail

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION

CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION CHARTE DU COMITÉ D AUDIT DU CONSEIL D ADMINISTRATION DE LA BANQUE TORONTO-DOMINION ~ ~ Superviser la qualité et l intégrité de l information financière de la Banque ~ ~ Principales responsabilités assurer

Plus en détail

Agile Learning Comment faire face aux changements organisationnels? Une étude internationale réalisée par Lumesse

Agile Learning Comment faire face aux changements organisationnels? Une étude internationale réalisée par Lumesse Comment faire face aux changements organisationnels? Une étude internationale réalisée par Lumesse Introduction Le monde du travail est plus que familier avec la notion de changement. Synonyme d innovation

Plus en détail

GUIDE DE TRANSITION. Révision des normes ISO 9001 et ISO 14001

GUIDE DE TRANSITION. Révision des normes ISO 9001 et ISO 14001 GUIDE DE TRANSITION Révision des normes ISO 9001 et ISO 14001 L ESSENTIEL DES VERSIONS 2015 SOMMAIRE p.4 5 bonnes raisons de passer à la version 2015 p.5 Les impacts de la nouvelle version p.10 Engager

Plus en détail

> livre blanc. Mettez-vous vos données et celles de vos clients en danger?

> livre blanc. Mettez-vous vos données et celles de vos clients en danger? > livre blanc Mettez-vous vos données et celles de vos clients en danger? QU EST-CE QUE CELA SIGNIFIE? VOTRE ENTREPRISE N EST PAS TROP GRANDE NI TROP PETITE POUR ÊTRE PIRATÉE Revenons dix ans en arrière,

Plus en détail

Les 10 grands principes de l utilisation du data mining pour une gestion de la relation client réussie

Les 10 grands principes de l utilisation du data mining pour une gestion de la relation client réussie Les 10 grands principes de l utilisation du data mining pour une gestion de la relation client réussie Découvrir les stratégies ayant fait leurs preuves et les meilleures pratiques Points clés : Planifier

Plus en détail

Avis du Comité consultatif sur le rapport de la Commission nationale sur la participation au marché du travail des travailleuses et travailleurs

Avis du Comité consultatif sur le rapport de la Commission nationale sur la participation au marché du travail des travailleuses et travailleurs Avis du Comité consultatif sur le rapport de la Commission nationale sur la participation au marché du travail des travailleuses et travailleurs expérimentés de 55 ans et plus Novembre 2011 Introduction

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

L architecture de sécurité, un outil payant pour la gouvernance CQSI 2009 Miser sécurité, c est payant 9 septembre 2009 Version 1.

L architecture de sécurité, un outil payant pour la gouvernance CQSI 2009 Miser sécurité, c est payant 9 septembre 2009 Version 1. L architecture de sécurité, un outil payant pour la gouvernance CQSI 2009 Miser sécurité, c est payant 9 septembre 2009 Version 1.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com Au

Plus en détail

DIRECTIVES ET NORMES EN MATIÈRE DE PRINCIPE

DIRECTIVES ET NORMES EN MATIÈRE DE PRINCIPE Les versions courantes des documents sont mises à jour en ligne. Les copies imprimées ne sont pas contrôlées. Page 1 de 5 DIRECTIVES ET NORMES EN MATIÈRE DE PRINCIPE POUR LES PERSONNES SOUMISES À DES RESTRICTIONS

Plus en détail

Bref, on a, à l égard de l éducation, la critique facile.

Bref, on a, à l égard de l éducation, la critique facile. Allocution de Mme Françoise Bertrand Présidente directrice générale Fédération des chambres de commerce du Québec Le partenariat entre les systèmes d éducation et les entreprises Au personnel de la Direction

Plus en détail

Les 10 étapes pour être sur de devenir propriétaire d un appartement dans les 3 à 6 mois

Les 10 étapes pour être sur de devenir propriétaire d un appartement dans les 3 à 6 mois Les 10 étapes pour être sur de devenir propriétaire d un appartement dans les 3 à 6 mois Préambule Ce guide vous est offert par William MEYER auteur du blog l'immobilier facile (http://l-immobilier-facile.fr)

Plus en détail

Code d éthique de l ATTrueQ

Code d éthique de l ATTrueQ Code d éthique de l ATTrueQ Version 2009 Table des matières Introduction..3 1. Devoirs et obligations..4 1.1 Déclarations du travailleur de rue...4 1.2 Dispositions générales du travailleur de rue...6

Plus en détail

Principes directeurs d ICC sur les dispositifs d alerte éthique

Principes directeurs d ICC sur les dispositifs d alerte éthique Principes directeurs d ICC sur les dispositifs d alerte éthique Rédigé par la Commission anticorruption d ICC A. Introduction 1. La corruption et la fraude économique n ont pas diminué La fraude demeure

Plus en détail

Actio Ressources Humaines Expertise, Simplicité, Solutions pour la tranquillité d esprit!

Actio Ressources Humaines Expertise, Simplicité, Solutions pour la tranquillité d esprit! Actio Ressources Humaines Expertise, Simplicité, Solutions pour la tranquillité d esprit! Actio Ressources Humaines vous offre des solutions pratiques, adaptées à votre organisation et une gamme complète

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

Soumis au : Comité sénatorial permanent sur les droits de la personne

Soumis au : Comité sénatorial permanent sur les droits de la personne B I E N S I M M O B I L I E R S M A T R I M O N I A U X Projet de loi S-4: Loi concernant les foyers familiaux situés dans les réserves des premières nations et les droits ou intérêts matrimoniaux sur

Plus en détail

L industrie minière en 2013 : transformer un risque élevé en un très grand potentiel pour le Québec

L industrie minière en 2013 : transformer un risque élevé en un très grand potentiel pour le Québec L industrie minière en 2013 : transformer un risque élevé en un très grand potentiel pour le Québec Emilio B. Imbriglio Associé, président et chef de la direction de Raymond Chabot Grant Thornton Emilio

Plus en détail

Note - Dans le présent document, le générique masculin est utilisé sans aucune discrimination et uniquement dans le but d alléger le texte.

Note - Dans le présent document, le générique masculin est utilisé sans aucune discrimination et uniquement dans le but d alléger le texte. Mémoire de la Fédération des commissions scolaires du Québec concernant le projet de loi n o 133 sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises

Plus en détail

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS)

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Une étude personnalisée de la série Technology Adoption Profile commandée par Bell Canada Juin 2014 Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Introduction

Plus en détail

Présenté par : Annick Lenoir-Achdjian, Sébastien Arcand et Michèle Vatz-Laaroussi. Centre Métropolis du Québec Immigration et métropoles

Présenté par : Annick Lenoir-Achdjian, Sébastien Arcand et Michèle Vatz-Laaroussi. Centre Métropolis du Québec Immigration et métropoles Les difficulté d insertion en emploi des immigrants du Maghreb au Québec. Une question de perspective Institut de recherche en politiques publiques Déjeuner-causerie 26 mars 2009 Présenté par : Annick

Plus en détail