ÉRIC PARENT. Menace. Êtes-vous protégé? à l interne. unerévolution pour la sécurité de l information? LASABSA: Aux commandes de la sécurité AVEC

Transcription

1 Vol. 1 n o 2 Septembre 2009 Le comportement humain De la gestion du risque à la gestion du changement MAGAZINE POUR LES ORGANISATIONS ET LES GENS QUI S INTÉRESSENT À LA SÉCURITÉ INFORMATIQUE ( Menace à l interne Êtes-vous protégé? LASABSA: unerévolution pour la sécurité de l information? Aux commandes de la sécurité AVEC ÉRIC PARENT

2 «80% des organisations auront un incident de sécurité sur leurs applications Web d ici 2010.» (Source: Gartner) «75% des menaces et des vulnérabilités sont situées au niveau de la couche applicative.» (Source: Gartner) «91% des sites Web ont au moins une vulnérabilité.» (Source: WhiteHat Security) «78% des applications Web affectées de vulnérabilités sont facilement exploitables.» (Source: Symantec) «64% des développeurs ne sont pas confiants de leurs habiletés à élaborer des applications sécurisées.» (Source: Microsoft Developer Research) Alors que la majorité des organisations concentrent toujours leurs efforts de sécurisation au niveau de la couche réseau, les tendances observées au cours des dernières années indiquent que les menaces et risques sont maintenant situés au niveau des applications et sites Web vulnérables. De plus, si on considère que le développement applicatif est souvent en retard sur les prévisions, dépasse les budgets et intègre rarement les meilleures pratiques de sécurité, force est de constater que la sécurité applicative n est pas prise en charge de façon adéquate par la majorité des organisations. Que ce soit pour un test d intrusion, une revue d architecture, une analyse de menaces et risques, des conseils stratégiques ou encore la formation et la sensibilisation des développeurs, les professionnels en sécurité applicative de Victrix sont en mesure de vous appuyer et de vous conseiller dans vos démarches de sécurisation d applications et de sites Web stratégiques. Contactez-nous pour obtenir plus de détails concernant notre offre de services. ventes@victrix.ca Montréal 625, avenue du Président-Kennedy Bureau 1100 Montréal (Québec) H3A 1K2 Téléphone: Québec 1670, rue Semple Bureau 240 Québec (Québec) G1N 4B8 Téléphone:

3 S O M M A I R E Vol. 1 n o 2 Septembre 2009 ÉDITEURS ET PROPRIÉTAIRES Mario Audet Samuel Bonneau COLLABORATEURS Alex Bédard Brett Beranek Louis Lavoie-Caron Patrick Chouinard Michel Cusin Marc-André Fortier Sébastien Lapointe Marc Le Brun Yannick Lepage Nanette Maestre Éric Parent Michel Perreault Roland Pintal DIRECTEUR DE L INFORMATION Samuel Bonneau RÉVISEURS TECHNIQUES Alex Bédard Louis Lavoie-Caron RÉVISEURE LINGUISTIQUE Amélie Lapierre GRAPHISTE Geneviève Bolduc PHOTOGRAPHES René Robichaud Annie Tremblay BÉDÉISTE Martin Bérubé VENTE ET PUBLICITÉ Mario Audet mario.audet@secus.ca SÉCUS est un magazine électronique produit par des professionnels québécois de la sécurité de l information. Il est destiné à tous les francophones ayant un intérêt professionnel ou personnel à ce sujet. Le but de cette initiative est d offrir une tribune aux experts afin de diffuser leur savoir, de faire connaître les produits et services et, finalement, de promouvoir la sécurité informatique. Bibliothèque nationale du Canada ISSN SÉCUS, Toute reproduction, par quelque procédé que ce soit, en tout ou en partie, du présent ouvrage, sans l autorisation écrite des éditeurs, est strictement interdite. 4 MOTS DES ÉDITEURS Mario Audet et Samuel Bonneau 6 ENTREVUE AUX COMMANDES DE LA SÉCURITÉ AVEC ÉRIC PARENT Propos recueillis par Samuel Bonneau 10 ASPECT LÉGAL DIVULGATION OBLIGATOIRE : QUAND LA DÉTENTION DE RENSEIGNEMENTS OBLIGE LES ENTREPRISES À DIVULGUER LEURS PROBLÈMES DE SÉCURITÉ Sébastien Lapointe 14 COMMUNICATION STRATÉGIQUE LE COMPORTEMENT HUMAIN DE LA GESTION DU RISQUE À LA GESTION DU CHANGEMENT Marc-André Fortier 18 ENQUÊTE MENACE À L INTERNE ÊTES-VOUS PROTÉGÉ? Brett Beranek 22 SOLUTION COMMENT CHOISIR UNE SOLUTION DE GESTION DES INFORMATIONS ET DES ÉVÉNEMENTS DE SÉCURITÉ? Michel Perreault 26 CONSEILS D EXPERT UN PLAN DE RELÈVE TECHNOLOGIQUE SOLIDE Marc Le Brun 28 MÉTHODOLOGIE LA SABSA : UNE RÉVOLUTION POUR LA SÉCURITÉ DE L INFORMATION? Yannick Lepage 32 EXPERTISE LE DÉVELOPPEMENT APPLICATIF SÉCURITAIRE Nanette Maestre 35 ÉTUDE DE CAS RÉUSSIR À IMPLANTER UN SYSTÈME DE GESTION D IDENTITÉ Louis Lavoie-Caron 37 CONSEILS TECHNIQUES CONSEILS POUR UNE PRÉSENCE SÉCURITAIRE SUR LE WEB Roland Pintal 40 INVESTIGATION MÊME CHIFFRÉES, VOS DONNÉES SONT-ELLES VRAIMENT EN SÉCURITÉ? Michel Cusin 45 REPORTAGE COLLOQUE QUÉBÉCOIS DE LA CYBERCRIMINALITÉ 2009 Alex Bédard 48 ZOOM DES NOUVELLES DE L ASIQ 50 CALENDRIER DES ÉVÉNEMENTS Septembre 2009 SÉCUS 3

4 M O T S D E S É D I T E U R S Et la fraude continue PAR SAMUEL BONNEAU, éditeur, directeur de l information et copropriétaire de SÉCUS Samuel Bonneau est éditeur, directeur de l information et copropriétaire du magazine SÉCUS. Il est également conseiller en sécurité de l information et directeur de la sécurité pour la firme TechnoConseil. Il possède un baccalauréat en génie informatique et détient les certifications CISSP et CISM. 1. Consultez le texte de M e Sébastien Lapointe. 2. Consultez le texte de Louis Lavoie-Caron. 3. Consultez le texte d Éric Parent. 4. Consultez le texte de Roland Pintal. 5. Consultez le texte de Nanette Maestre. 6. Consultez le texte de Yannick Lepage. 7. Consultez le texte de Michel Perreault. 8. Consultez le texte de Michel Cusin. 9. Consultez le texte de Marc-André Fortier. 10.Consultez le texte d Alex Bédard. 11. Consultez le texte d Alex Bédard. 12. Consultez le texte de Brett Beranek. 13. Consultez le texte de Marc Le Brun. Photo : Annie Tremblay L affaire Earl Jones nous a démontré à quel point ce peut être simple de frauder. Allègrement! Et ce ne sont sûrement pas les lois canadiennes qui vont freiner les arnaqueurs. Qu ils soient en ligne ou non, ils s en sortent plutôt bien. Connaissez-vous Vincent Lacroix? Ces actes démasqués ne représentent que la pointe de l iceberg de la fraude québécoise et canadienne. L absence de lois et la clémence des peines de la législation canadienne 1 ne permettent pas aux autorités d épingler ou de décourager les escrocs tenaces. Certains d entre eux sont des pirates en ligne redoutables. Ils naviguent habilement dans l «insécurité» informatique de nos entreprises. Le danger est réel. Bien sûr, des lois comme SOX (Sarbanes-Oxley) et C-198, instaurées à la suite du scandale Enron et axées sur les aspects financiers, s adressent aux entreprises cotées en Bourse. Mais qu advient-il des autres organisations publiques et privées? Rien ne les protège des risques reliés à la sécurité de l information. La survie de certaines d entre elles est menacée. D un autre côté, les entreprises canadiennes n ont pas à se conformer à des normes de sécurité exigeantes. Il y a tout de même le contrôle PCI DSS (Payment Card Industry Data Security Standard) qui est applicable pour toute organisation manipulant des transactions en lien avec les cartes de crédit. Néanmoins, respecter ses critères généraux n est pas un gage de sécurité. Alors, ce laxisme n est pas rassurant. Cependant, la norme ISO s avère prometteuse, mais, jusqu à présent, les entreprises du pays n y attribuent pas encore une valeur respectable et respectée, comme c est le cas avec la norme ISO Si ces organisations font face à des menaces potentielles puissantes, comment peuvent-elles donc efficacement protéger leurs actifs informationnels? SÉCUS RENFERME DES SOLUTIONS CONCRÈTES Les entreprises doivent considérer la sécurité de l information comme une condition sine qua non pour se protéger des attaques informatiques. Les dirigeants 2 doivent faire appel à des responsables compétents des technologies de l information et leur donner la latitude nécessaire afin qu ils puissent viser essentiellement la sécurité informatique. Il est également fondamental que les gestionnaires en sécurité de l information reçoivent une formation 3 adéquate et continue dans ce domaine. Puis, les erreurs 4 les plus fréquentes doivent être évitées à tout prix. Et la sécurité des applications 5, les nouvelles méthodologies 6, les solutions de gestion des informations 7, les données chiffrées 8, la gestion du changement 9, la consultation d organismes 10, la participation à des événements clés 11, l implantation de normes rigoureuses et une riposte contre la menace interne 12 doivent faire partie d un plan 13 solide en sécurité de l information. Le minimum requis ne suffit plus. Les entreprises, et tous les internautes, sont responsables de leur sécurité informatique. En lisant SÉCUS, chacun saura mieux se protéger contre la fraude en ligne. Faute de la voir disparaître complètement... Septembre 2009 SÉCUS 4

5 M O T S D E S É D I T E U R S : collaboration une professionnelle gagnante À la suite du premier magazine SÉCUS, nous avons reçu plusieurs félicitations. Merci à vous, lecteurs! La qualité du contenu et de la forme de notre première publication a certainement assuré son succès, mais ce sont évidemment des gens de choix qui portent fièrement ce projet. Merci à vous, collaborateurs! Photo : Annie Tremblay PAR MARIO AUDET, éditeur et copropriétaire du magazine SÉCUS Mario Audet est éditeur et copropriétaire du magazine SÉCUS. Il compte dix-sept années d expérience en technologies dont dix en sécurité de l information. Il est également architecte de solutions de sécurité chez Bell. Son intérêt pour la veille en sécurité l a amené à développer l agrégateur automatisé de nouvelles de sécurité informatique SecurNews.com. AU CŒUR DU PROJET : LES AUTEURS Pour le premier numéro de SÉCUS, Samuel Bonneau et moi avons fait appel à des professionnels remarquables du domaine de la sécurité de l information pour écrire dans le magazine SÉCUS. Ils ont été assidus et à la hauteur de toutes nos attentes. Pour cette deuxième parution, d autres auteurs de choix se sont greffés à l équipe. Ce fut un réel plaisir et un honneur de travailler avec tous ces gens compétents et passionnés. À LA BASE DU PROJET : LES PARTENAIRES Nous devons en grande partie la popularité du magazine SÉCUS à l Association de la sécurité de l information du Québec (ASIQ) et à l Association de Sécurité de l Information du Montréal Métropolitain (ASIMM). Elles ont su distribuer judicieusement le magazine SÉCUS, notamment : en insérant des encarts de SÉCUS dans les trousses des invités lors du Rendez-vous de la sécurité de l information 2009 (RSI 2009) ; en insérant des exemplaires imprimés du magazine dans les trousses des invités lors du Colloque québécois de la sécurité de l information 2009 (CQSI 2009). Les échanges de bons procédés avec nos partenaires et la notion de gagnant-gagnant sont pour nous d une importance capitale! DES ANNONCEURS DE CONFIANCE Nous remercions vivement les annonceurs du premier numéro de SÉCUS, soit TechnoConseil et AGRM-PI. Au départ, ils ne savaient pas dans quoi ils s embarquaient. En mai dernier, lors du lancement de SÉCUS, ils ont constaté la pertinence de la publication et la justesse de cette collaboration. Nous sommes reconnaissants de cette confiance. «Un pour tous, tous pour SÉCUS!» «Il y a de vraies bonnes plumes en sécurité de l information au Québec. Et nous les rassemblons toutes pour vous dans SÉCUS!» Le succès du magazine SÉCUS repose donc sur une initiative simple qui permet à tous les participants d être gagnants et de trouver leur compte. SÉCUS est l exemple parfait d une collaboration professionnelle efficace en sécurité de l information au Québec. Surtout, nous souhaitons que vous, chers lecteurs, puisiez dans SÉCUS des informations à la page sur la sécurité de l information. Septembre 2009 SÉCUS 5

6 E N T R E V U E Aux commandes de la sécurité avec Éric Parent PROPOS RECUEILLIS PAR SAMUEL BONNEAU Éric Parent possède plus de vingt ans d expérience en informatique et en sécurité de l information. Il est, entre autres, président de LogicNet et vice-président de l ASIMM. Il se dit transparent, engagé et passionné par la sécurité de l information. L expertise d Éric Parent est diversifiée et touche les domaines suivants : gestion de crise, médiation technologique, préparation et accompagnement de pré-audit, conception et révision d architecture technologique, normes et lois ISO , COBIT, ITIL, SOX, 5970-SAS70, conformité, déploiement et opération de solutions de gestion de sécurité, analyse et sélection de solutions technologiques, classification d actifs, analyse «Éric Parent détient les certifications suivantes : IMITI, CISSP-ISSAP, CGEIT, CISM, CNE, MCSE, CCSE, CCDA.» de risques et identification de contremesure, audit de sécurité, élaboration de normes et procédures, etc. DESCRIPTION DE LOGICNET Fondée en 1996, LogicNet 1 est une entreprise dynamique qui offre des services-conseils technologiques de pointe. Spécialisée en sécurité informatique, elle regroupe des experts reconnus mondialement qui aident ses clients dans la réalisation de leurs plus grands défis. LogicNet a une philosophie de transparence ainsi qu une réelle préoccupation du bien-être de ses clients. Ces derniers sont des partenaires et ils sont les meilleures références. LogicNet, étant toujours à la fine pointe de l innovation, offre un service de réponses aux questions de sécurité des dirigeants d entreprise. LogicNet maîtrise la prise en charge des problématiques technologiques. Ses experts-conseils et experts médiateurs sont habilités dans l accompagnement de cadres à tous les niveaux. La mission de LogicNet se résume en quelques points : Réunir les expertises requises et reconnues pour voir à l accompagnement compétent de ses clients et s assurer qu ils évoluent avec des solutions optimales. Explorer les défis et leur complexité afin d élaborer des stratégies de prise en charge et de résolution optimale en ligne avec les objectifs d affaires de ses clients. Agir comme «chien de garde» pour défendre les intérêts de ses clients en utilisant son expertise technique et ses connaissances intimes des affaires pour garantir le meilleur chemin à parcourir. Suite en page 7 Septembre 2009 SÉCUS 6

7 Suite de la page 6 E N T R E V U E QUEL A ÉTÉ VOTRE PARCOURS AVANT DE DEVENIR SPÉCIALISTE EN SÉCURITÉ DE L INFORMATION? Tout a commencé par une grande passion pour l électronique, qui s est dirigée, par la suite, vers l informatique. Déjà, au secondaire, je m impliquais dans tout plein de projets et je participais à des concours. J ai même remporté des prix remis par IBM pour l innovation technologique. Par la suite, j ai fait partie de l armée et je l ai quittée quelques années plus tard pour atterrir en consultation informatique pour la firme Girard, Roy et Associés, où j ai travaillé, entre autres, dans les services médicaux, notamment pour de grands hôpitaux. C est là où j ai réussi à me démarquer, surtout sur le plan de la plateforme Novell. Nos services se qualifiaient de consultations de pointe en considérant le haut niveau de spécialisation des services offerts. QUELS SONT VOS PASSE-TEMPS? Je suis avant tout un passionné. Peu importe le projet, j aime m investir à fond. Comme passe-temps, j adore l aviation. J ai ma licence de pilote. À l occasion, il m arrive même de me déplacer avec mon avion pour aller travailler chez certains clients en région. C est cette passion qui m a entre autres amené à démarrer le projet Internet Warflyers ( Il répertorie les points d accès sans fil. La région de Montréal a déjà été survolée et d autres villes le seront. Venez voir les résultats, c est impressionnant! VOTRE APPROCHE CLIENTÈLE SEMBLE ÊTRE PARTICULIÈRE. POURRIEZ-VOUS NOUS LA DÉCRIRE? Je suis un gars très simple et, surtout, transparent. Mon attitude, et même celle de ma compagnie, c est d aider le client avant tout. Ça paraît cliché, mais ça vient de ma formation dans l armée où, lorsqu il y a un problème, il faut tout faire pour le régler. C est la réussite des initiatives qui compte. Par exemple, si, pour aider un client, je dois m exclure de l équation, alors je le fais. Donc, si un projet est bien parti et que je considère que le client n a plus besoin de mon expertise, je vais lui suggérer de mettre fin au contrat pour investir dans les endroits plus judicieux. De plus, j ai la vision qu un client doit être autonome. Dès mon arrivée chez un nouveau client, je m organise pour qu il puisse se passer rapidement de mes services. Ceci passe par la formation de ses employés, la refonte de processus, l ajout de technologies, etc. C est différent de certaines firmes qui, dès qu elles entrent chez un client, ne cherchent qu à rester le plus longtemps possible et à faire entrer le plus de ressources pour tirer profit de la situation. Mon attitude est souvent bouleversante pour les clients, mais ils apprécient ma franchise et ça permet de bâtir sur du long terme. Je considère qu une bonne réputation garantit de l emploi, et je place ma confiance en ma réputation. LE 19 AVRIL 2009, À SAN FRANCISCO, VOUS AVEZ ÉTÉ HONORÉ 2 PAR L ISC 2 (INTERNATIONAL INFORMATION SYSTEMS SECURITY CERTIFICATION CONSORTIUM). POURRIEZ-VOUS NOUS EXPLIQUER DE QUOI IL S AGISSAIT? En fait, je m implique dans l ISC 2 depuis plusieurs années et, le 19 avril 2009, lors des cérémonies du 20 e anniversaire de l organisation, cette dernière a procédé à des remerciements spéciaux en reconnaissance des pionniers pour «excellente contribution dans l industrie». Actuellement, je siège à un comité responsable des questions pour les examens, notamment celui menant à la certification CISSP (Certified Information System Security Professional). J ai réussi à me démarquer en raison du nombre élevé de questions soumises, de mes idées et de mon implication dans la francisation des questions. La qualité des examens en français s est beaucoup améliorée dans les dernières années. FÉLICITATIONS ET MERCI DE REPRÉSENTER LE QUÉBEC SUR LA SCÈNE INTERNATIONALE! PARLEZ-NOUS DONC DE LA SI POPULAIRE CERTIFICATION CISSP. Ceux qui pensent qu ils seront considérés comme des «dieux en sécurité» après avoir réussi leur CISSP sont carrément à côté de la track. Le CISSP ne creuse pas profond, il couvre plutôt large. Il y a actuellement plus de personnes possédant la certification CISSP dans le monde, alors c est moins une façon de se démarquer qu une connaissance qui est requise. Malgré tout, chaque informaticien devrait au moins avoir lu le volume. Ça permettrait un certain niveau de connaissance générale en sécurité et notre posture de sécurité, en serait de beaucoup améliorée. VOUS ÊTES AUSSI IMPLIQUÉ DANS L ASIMM 3 (ASSOCIATION DE SÉCURITÉ DE L INFORMATION DU MONTRÉAL MÉTROPOLITAIN). POURRIEZ-VOUS NOUS DÉCRIRE LE RÔLE QUE VOUS Y JOUEZ? L une de mes responsabilités, l année passée, était la programmation. Étant moi-même un grand «consommateur» de conférences, j aime bien m impliquer dans cette partie. C est toujours un défi d établir une programmation pouvant plaire à tous nos membres. Je vous invite à consulter régulièrement notre site pour connaître les activités ( Cette année, je prends le siège de vice-président et j assurerai la présidence en Très bientôt, le site Web sera retouché. De plus, nous désirons aller chercher une nouvelle clientèle, celle du domaine technique de la sécurité informatique. Alors, plusieurs initiatives seront lancées dans cette direction. Nous avons des nouveaux membres au CA qui reprendront en charge la programmation pour en faire un énorme succès. Suite en page 8 Septembre 2009 SÉCUS 7

8 Suite de la page 7 POURRIEZ-VOUS NOUS RÉSUMER LA SITUATION DU DOMAINE DE LA SÉCURITÉ DE L INFORMATION DURANT LA PRÉSENTE CRISE ÉCONOMIQUE? Tout dépend de l industrie. Par exemple, à Québec, c est principalement un marché du secteur gouvernemental. L impact sera légèrement moins ressenti que dans le secteur privé. Dans le secteur bancaire, un ménage, à la fin de l année 2008, a libéré plusieurs centaines d employés. Ces postes seront graduellement occupés durant les dix-huit prochains mois. Le résultat a permis d avoir bonne presse auprès des actionnaires pour la fin de l année À Montréal, bien qu il y ait eu des compressions dans plusieurs secteurs, je constate que la demande est toujours aussi élevée pour les ressources de qualité et avec de l expérience. Ceci nous apporte comme problème de savoir comment départir les bonnes ressources, des imposteurs. Lorsque l économie va mal, le crime augmente. Ainsi, si la crise persiste, nous aurons sans doute de sérieux problèmes de sécurité, ce qui risque de nous tenir assez occupés. QUE PENSEZ-VOUS DES NORMES ET DES STANDARDS? Le PCI DSS 4 (Payment Card Industry Data Security Standard) est principalement un transfert de responsabilités. Il n est pas nécessairement clair et il est de très haut niveau. Je préfère ISO ou COBIT 6 (contrôle de l information et des technologies associées), pourvu que ces normes et standards soient appliqués par des gens qui ont la compétence pour le faire. Autrement, ça ne sert à rien. La qualité de l auditeur a aussi un grand rôle à jouer. Ce dernier doit être en mesure de poser les bonnes questions et ne pas s arrêter à des réponses évasives. Du côté de la méthode Méhari, certains l aiment, d autres non. Ce qu il faut retenir, c est qu une fois qu elle est adaptée, elle devient un excellent outil. La clé, c est l adaptation. L utilisation bornée d un outil, sans le personnaliser à ses besoins et à son contexte d affaires est une très grande erreur. VOUS ÊTES SPÉCIALISTE EN SÉCURITÉ DE L INFORMATION. QUELLES SONT LES PROBLÉMATIQUES QUE VOUS CONSTATEZ DANS LE MARCHÉ? Les premiers problèmes sont attribuables aux gestionnaires en sécurité de l information. Les ego démesurés des gestionnaires sont la source de plusieurs problèmes. À la base, un gestionnaire veut changer les choses. Pour démontrer qu ils sont bien les patrons, ils font des changements quasi aléatoires qui n apportent aucun vrai résultat de valeur. C est ce que j appelle de la mauvaise qualité de gestion, et c est très fréquent. Un autre problème, c est que des gestionnaires prennent des décisions reliées à la sécurité de l organisation, mais elles sont basées uniquement sur leur ego et sur la protection de leur carrière. Ces derniers veulent tellement paraître intelligents qu ils ne disent pas la vérité à la couche du haut, et s il arrive quelque chose aux actifs de l entreprise, vous pouvez être assuré qu ils rejetteront le blâme. Malheureusement, ces gestionnaires ne travaillent pas pour le bien-être de l entreprise, mais plutôt pour le leur. Les hauts gestionnaires se plantent et ils ne le savent même pas. Plusieurs organisations, même de très grandes entreprises, courent des risques importants sur le plan de la sécurité de leurs actifs et elles ne sont même pas au courant. Ceci en raison des gestionnaires qui ne sont pas du tout à leur place et qui ne communiquent pas vers le haut. La sécurité de l information est un sujet abstrait, où les statistiques ne sont pas précises, et où de nombreuses zones grises peuvent apparaître. Mon conseil à ce sujet est d être transparent. «Le problème, c est que trop souvent les gestionnaires en sécurité n ont pas de formation ni d expérience en sécurité.» «Si une situation n est pas maîtrisée, alors on doit l améliorer. C est blanc ou noir, surtout pas gris.» Dans le processus des entrevues de recrutement, malheureusement, les entreprises sont TRÈS paresseuses. Celles-ci font affaire avec des chasseurs de têtes au lieu de laisser leurs responsables des ressources humaines faire leur job. Le problème, avec les chasseurs de têtes, c est qu ils cherchent la plupart du temps des acronymes de certification, et ce critère n est pas nécessairement un gage de qualité. Mon conseil à ces gestionnaires est le suivant : considérant que l objectif premier de l entreprise n est pas de vous fournir un emploi, vous devez prendre des décisions menant à protéger l entreprise. Ça semble évident, mais c est rarement le résultat observé. Un bel exemple à citer est un de nos clients (un important fournisseur hydro-électrique). La directrice du groupe des finances a été très encline à revoir en entier le programme de gestion de risques. L initiative a donné de la valeur à ce programme qui se veut maintenant très efficace. Il ne faut pas avoir peur de s interroger ouvertement et de se poser la question suivante : «Pouvons-nous faire mieux?». L autre problème est relié à la qualité des ressources. Certains consultants seniors en sécurité sont des imposteurs. À preuve, ils ne détiennent parfois que deux ans d expérience. Une des problématiques de ce Suite en page 9 Septembre 2009 SÉCUS 8

9 Suite de la page 8 domaine très pointu est qu il existe très peu de formations menant à une spécialisation. Je vous raconte une anecdote à ce sujet. J ai connu une ressource qui s improvisait «spécialiste en ISO 27001» et «consultante senior en sécurité». Ce qui est amusant, c est que pas plus de deux ans plus tôt, cette personne travaillait en administration avec un bagage en science politique. Je ne savais pas «Par conséquent, seulement l expérience est garante de qualité dans ce domaine et elle s acquiert après plusieurs années d interventions à tout niveau.» qu on pouvait s octroyer ces prestigieux titres en quelques mois. Ce genre de comportement est dangereux pour l industrie. Ultimement, si des gens avec deux ans d expérience se donnent le titre de senior en sécurité, alors moi, je ne suis pas sûr de mon titre... peut-être «fossile en sécurité»? Des ressources, il y en a pas mal, mais des ressources de qualité, il n y en a pas tant que ça. La sécurité informatique, il faut voir ça comme une maîtrise. Ça s acquiert à la suite d une solide formation et d une grande expérience en informatique. La certification n égale pas nécessairement qualité. Une certification n est rien de plus qu une confirmation que certains éléments précis sont maîtrisés, mais elle ne garantit en rien la qualité de la ressource. À mon avis, la certification la plus juste pour évaluer une ressource est la IMITI 7 (International Master of Information Technology Institute), car elle est acquise à la suite d examens et d entrevues évaluant à la fois les compétences techniques et les qualités humaines d un individu. Après cette très sévère évaluation, vous pouvez être qualifié de maître dans votre domaine. Pour IMITI, ce qui fait un excellent professionnel, ce n est pas uniquement ses compétences, et ce n est pas uniquement sa personnalité, c est plutôt l ensemble de toutes ses caractéristiques et de ses aptitudes. CONCERNANT LA SÉCURITÉ DES ENTREPRISES, OÙ SONT LES MANQUES ET QUELS INVESTISSEMENTS DEVRAIENT-ELLES PRIORISER? Généralement, la maturité du plan de sécurité n est pas atteinte. J utilise souvent une grille d évaluation de maturité de la sécurité d une entreprise basée sur le CMM 8 (Capability Maturity Model) et adaptée pour évaluer la maturité du plan de sécurité d une entreprise. Il s agit d une échelle de 0 à 4 : 0 = L entreprise n a aucune idée de ses problèmes de sécurité. 1= L entreprise a une idée de ses problèmes de sécurité, mais elle ne fait rien. 2 = L entreprise a une idée de ses problèmes de sécurité et elle en règle quelques-uns. 3 = L entreprise a une idée de ses problèmes de sécurité et les prend en charge. 4 = L entreprise est proactive et prévient d éventuels problèmes de sécurité. La majorité des organisations que j ai eu la chance de voir sont situées entre les niveaux 1 et 2. Je ne peux pas affirmer qu elles sont au niveau 2 lorsqu elles ne prennent en charge qu une partie des problèmes. Ce qui est étonnant, c est que lorsque je les rencontre avant une évaluation, elles pensent être au niveau 3, ou encore entre les niveaux 2 et 3. Un gros problème, actuellement, c est la conformité. C est ça qui a bouleversé l industrie dans les dernières années, avec l arrivée, entre autres, de SOX 9 (loi Sarbanes-Oxley) et compagnie. De mon côté, j accompagne souvent des entreprises à «passer» leur premier audit. Par la suite, elles doivent forcément continuer à avancer par ellesmêmes en fonction des plans d action élaborés lors du premier audit. «Malheureusement, les entreprises ne se conforment pas pour être dans une meilleure posture de sécurité, mais plutôt pour paraître conformes.» Du côté de la sécurité, l industrie est toujours en retard. Elle réagit lorsque des problèmes surviennent. Les universités font de même. Ça fait longtemps que le marché est en manque de ressources de qualité, et ce, en grande partie en raison du manque de formations dans tous les secteurs de l informatique. Les entreprises et nos hauts gestionnaires devraient s assurer d avoir une vraie vision de leur maturité ainsi qu un plan réaliste avec des étapes concrètes pour faire croître leur maturité. Pour nos dirigeants, ceci commence donc par savoir s entourer de gens compétents et ne pas avoir peur de les laisser faire leur boulot, en laissant les vrais experts dire ce qu ils pensent, et non pas uniquement ce que les gestionnaires veulent entendre Septembre 2009 SÉCUS 9

10 A S P E C T L É G A L Divulgation obligatoire: quand la détention de renseignements oblige les entreprises à divulguer leurs problèmes de sécurité PAR M e SÉBASTIEN LAPOINTE, avocat Holmested & Associés SENC M e Sébastien Lapointe est avocat à Montréal. Il pratique depuis une dizaine d années en droit des TI, en droit de la propriété intellectuelle et en droit commercial. Il est passionné par le numérique, conseille une clientèle variée composée notamment d entreprises de TI et du secteur tertiaire. LA PROTECTION NAISSANTE DES RENSEIGNEMENTS PERSONNELS La fin du XX e siècle voit naître une nouvelle problématique relative au traitement de l information par le droit. Avec l importance pratique grandissante des données et de l information à caractère «personnel», on constate que les individus peuvent facilement se voir transformer en victimes si les renseignements à leur sujet ne sont pas protégés adéquatement. L avènement de l ère du numérique augmente en effet le risque et les possibilités pour les malfaiteurs de s adonner à des pratiques comme le vol d identité, l accès non autorisé aux bases de données et aux services en ligne, la fraude, et nombre d autres crimes que peut faciliter l usurpation des renseignements d un individu. Le droit en vient ainsi à prendre conscience de toute l importance que peuvent avoir certains types de renseignements dans l ère de la «société de l information», alors que les technologies de l information permettent une cueillette, un usage et un partage de renseignements à une échelle sans précédent dans l histoire de l humanité. Dès lors, les renseignements dits «personnels» sont ciblés comme un type d information ayant un statut juridique particulier. Un nombre grandissant Par définition, le développement de la société de l information accroît l importance de la création, du partage et de l utilisation de l information, et ce, à tous les niveaux de notre société. L un des résultats directs de ce phénomène a trait au fait que nous devons maintenant apprendre à composer avec le défi que pose pour notre droit l encadrement du partage et de l utilisation d information à caractère particulièrement sensible, comme les renseignements personnels. de juridictions imposent ainsi dorénavant une norme plus rigoureuse quant à la cueillette, à la conservation, à l utilisation et à la divulgation de ces renseignements personnels. Pour simplifier, en droit, on peut dire que l on considère les «renseignements personnels 1» comme incluant tout renseignement nominatif ou concernant un individu identifiable, qui serait, par exemple, lié à sa fiche dans une base de données 2. On comprend qu une telle conception de ce que constitue un renseignement personnel peut englober un grand nombre de renseignements, allant de l information relative aux caractéristiques physiques (des données biométriques, par exemple) à l information relative à la santé ou aux finances, jusqu aux coordonnées ou à l adresse IP d une personne. Fort d une conception large de ce qui entre dans le champ des renseignements personnels, on adopte ainsi, autour de l année 2000 (dans un nombre grandissant de juridictions à travers le monde), un nouveau type de lois visant à protéger les renseignements se rapportant aux individus. À l ère de la société de l information, on conçoit que, contrairement à la situation qui existe jusqu alors, il faut dorénavant se munir de mécanismes juridiques pour régir les renseignements personnels, à défaut de quoi les droits de l individu quant à sa vie privée (privacy rights) pourront se voir sérieusement bafoués, même d un seul clic de souris. Suite en page 11 Septembre 2009 SÉCUS 10