INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve

Dimension: px
Commencer à balayer dès la page:

Download "INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve"

Transcription

1 C R H O M A Centre de recherche Hochelaga-Maisonneuve INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL PAR MARC-ANDRÉ LÉGER Centre de recherche Hochelaga-Maisonneuve 1691, Pie-IX, Montréal, Qc, H1V 2C3 Téléphone:

2 Introduction à la gestion de risque informationnel par marc-andré Léger 1691, boul Pie-IX, Montréal, Québec, Canada, H1V 2C3 Livre électronique : isbn Version imprimée: isbn publié le 1er mars 2013 Dépôt légal - Bibliothèque et Archives nationales du Québec, 2013 Dépôt légal - Bibliothèque et Archives Canada,

3 Table des matières Chapitre 1: La sécurité! 9 Informatique ou informationnel?! 14 Mise en oeuvre sur le terrain! 18 Le risque! 28 La gestion de risque! 31 Exercice à réaliser en classe! 40 Questions de révision! 42 Bibliographie de ce chapitre! 49 Chapitre 2: La gestion de risque informationnel! 51 La perception! 56 Le changement! 60 Questions de révision! 66 Bibliographie! 72 Chapitre 3: L aléa! 73 Les menaces pouvant causer des dommages matériels! 75 Les menaces pouvant causer des dommages immatériels! 77 Hackers! 84 Aléas dans les projets TI! 87 Aléas en impartition! 90 Aléas en infonuagique! 92 Sources d aléas potentiels en infonuagique! 93 Exercice à faire en classe! 95 Bibliographie! 104 Chapitre 4: Les vulnérabilités! 105 Questions de révision! 114 Chapitre 5: L impact! 119 Externalisation! 126 Assurance! 127 Exercices à réaliser en classe! 128 Questions de révision! 131 Bibliographie! 135 3

4 Chapitre 6: La norme ISO 27005! 137 Les domaines de la norme! 140 Les critères de base d ISO 27005! 142 Les critères d acceptation des risques d ISO 27005! 144 L organisation de gestion de risque informationnel! 146 L évaluation des risques:! 148 L identification des actifs informationnels! 150 L identification des contrôles existants! 153 L identification des conséquences! 156 Les méthodes de mesure du risque selon ISO 27005! 158 L estimation qualitative du risque! 158 L estimation quantitative du risque! 159 L évaluation des conséquences! 160 L évaluation de la probabilité de réalisation des incidents! 162 Estimation du niveau de risque! 164 L évaluation du risque! 164 Chapitre 7: Les méthodologies d analyse de risque! 167 Comprendre ce qu est une méthodologie.! 168 La validité interne et externe! 170 La mesure des variables! 171 Les échelles de mesure! 173 L'échantillonnage! 175 OCTAVE! 176 MÉHARI! 180 Les éléments de MÉHARI! 181 EBIOS! 184 L établissement du contexte! 185 L appréciation des risques! 185 Le traitement des risques! 187 La validation du traitement des risques! 187 La communication et la concertation relatives aux risques! 187 La surveillance et la revue des risques! 189 Une démarche itérative en cinq modules! 189 4

5 Module 1 Étude du contexte! 189 Module 2 Étude des événements redoutés! 190 Module 4 Étude des risques! 190 Module 5 Étude des mesures de sécurité! 191 Questions de révision! 192 Chapitre 8: Le processus IPM! 199 Avant de débuter l analyse! 200 Phase 1: identification et évaluation des scénarios de risque! 202 Création des portfolios de risque! 218 Proposition et approbation du plan directeur! 221 Mise en oeuvre du plan directeur! 221 Sélection d un portfolio! 221 Proposition et approbation du plan directeur de gestion du risque informationnel!222 Mise en oeuvre du plan directeur! 222 Exercice en classe! 223 Questions de révision! 227 Bibliographie! 233 5

6

7 Introduction Ce livre porte sur la gestion du risque informationnel, c est-à-dire sur la gestion des risques associés à la gestion des informations dans les organisations. Nul ne douteront que les organisations modernes nécessitent de grande quantités d informations pour créer et maintenir un avantage compétitif. Aujourd hui, cette gestion de l information nécessite l utilisation par les organisations d une multitude de technologies de l information et de la communication, les TIC. L utilisation de technologies complexes et hétérogènes, comme les TIC, créent des risques que les organisations doivent maîtriser. De plus, l accès à l information et la connaissance qu elle transporte, par des utilisateurs autorisés, au moment opportun et dans divers lieux, est critique au fonctionnement efficace des organisations en ces temps de globalisation. C est ce qui rend un livre comme celui-ci essentiel à tous les gestionnaires, les responsables des TIC, les équipes techniques et l ensemble de ceux qui évoluent dans l écosystème informationnel de l organisation. Du matériel multimédia et des vidéos accompagne ce livre via le lien internet suivant: Introduction à la gestion de risque informationnel p a r M a r c - A n d r é L é g e r

8

9 Introduction à la gestion de risque informationnel Chapitre 1: La sécurité L organisation qui souhaite gérer ses risques informationnels le fait souvent dans une optique de sécurité, qu il s agisse de sécurité informatique ou sécurité de l information. Il est donc utile de débuter par une compréhension de ce qu est la sécurité. La sécurité désigne un état de fait, l absence de risque inacceptables. Cette définition générale est applicable dans plusieurs contexte. Par exemple, un individu se sentira en sécurité s il perçoit qu il n est pas en présence de risques qu il considère inacceptables ou qu un danger est imminent. S il souhaite traverser la rue, un risque inacceptable pour un individu serait une automobile qui arrive dans sa direction. Dans ce cas il ne traversera pas la rue, il attendra que la l automobile ai passé et que la situation soit devenue sécuritaire. Ainsi la notion de sécurité est indissociable de celle du risque. D une certaine façon la sécurité est le contraire du risque, il y a de la sécurité quand il n y a pas de risque inacceptable. De même, plus le risque est acceptable et plus la sécurité est élevé. Il y a plusieurs éléments importants à cette définition: La sécurité est un concept gradué; La sécurité comporte une dimension subjective; et L acceptabilité du risque varie selon le contexte. 9

10 Chapitre 1 La sécurité est un concept gradué C est-à-dire que l on peut être plus ou moins en sécurité, dépendant de l intensité du risque auquel nous faisons face, et à l étendue des intérêts visés. Il n existe aucun seuil métaphysique au-delà duquel nous entrons dans un état de sécurité, et en deçà duquel on peut dire que la sécurité manque. 10

11 Introduction à la gestion de risque informationnel La sécurité comporte une dimension subjective La sécurité est un sentiment qui, au même titre que la confiance, varie en fonction des individus, des communautés et du contexte. Le sentiment de sécurité, c est-à-dire, le sentiment que nos intérêts les plus fondamentaux ne sont pas menacés par des agents disposés à poser des gestes susceptibles de nous être préjudiciables, fait que nous n avons pas à faire des investissements de ressources matérielles ou psychologiques démesurées pour protéger ces intérêts, que nous pouvons au contraire investir ces ressources dans des activités productives. Ce sentiment est intimement lié à la prévisibilité. Le sentiment de sécurité n exige pas que nous soyons à l abri de tout risque inacceptable, mais plutôt que ceux auxquels nous faisons face se situent à l intérieur d un cadre de règles et de pratiques auxquels nous consentons. 11

12 Chapitre 1 L acceptabilité du risque varie selon le contexte Ce qui est inacceptable pour un individu, à un moment donné, dans un contexte donné peut varier. Cette tolérance à l acceptabilité peut varier dans le temps et selon le contexte. Par exemple, il est possible de tolérer un risque si les bénéfices envisagés par une activité, même à court terme, sont perçus comme étant suffisamment élevés pour justifier les possibles résultats non désirables. On peut penser aux fumeurs qui, par habitude ou par addiction, considèrent le tabagisme comme un risque acceptable. Encore, un individus qui s adonne dans ses loisirs à un sport extrême, par exemple la parachutisme depuis un immeuble ou un pont (base jumping), dont il retire un plaisir apporté par une surdose d adrénaline, comme un risque acceptable. 12

13 13 Introduction à la gestion de risque informationnel

14 Chapitre 1 Informatique ou informationnel? L informatique, dans ce livre, réfère aux technologies utilisées: les ordinateurs, périphériques et autres éléments techniques qui sont utilisés en TIC. L informatique est le support physique à l information sous une forme numérique. L informationnel est en relation aux informations, c est-à-dire aux données structurées, qui sont emmagasinées, manipulés et transmises en utilisant des outils informatiques. En considérant que ce qui contribue le plus à la création d un avantage compétitif d une organisation c est l information et non l informatique, l accent de ce livre est sur l informationnel. Nous parlerons donc de sécurité de l information et de risque informationnel. Quand nous parlerons de mesures particulières qui ont pour but de permettre de réduire, contrôler ou mitiger les risques, alors nous entrerons dans la sécurité informatique, c est-à-dire associé à des TIC. La sécurité de l information est une sous-catégorie de la sécurité de façon générale telle que nous l avons présenté précédemment. Elle est définie comme l ensemble des actions et des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou accidentelle des informations détenues par une organisation. L ensemble des ces informations forment le patrimoine informationnel de l organisation. Par patrimoine informationnel, nous entendons les données, informations, ressources informationnelles, actifs informationnels et l ensemble des TIC qui sont utilisés durant le cycle de vie de l information. 14

15 Introduction à la gestion de risque informationnel Les principaux objectifs de la sécurité de l information sont : la confidentialité des données, l intégrité des données, la disponibilité des données, Ces objectifs varient selon les situations, les contextes et le temps. Les objectifs de sécurité proviennent de différentes sources: besoins d'affaires, analyse de risque, politiques de sécurité, recueils de pratiques exemplaires, obligations légales ou contractuelles, lois et règlements, accords internationaux, codes d'éthique, de déontologie ou de gouvernance, normes locales, sectorielles, nationales ou internationales. Ce sont ces sources des objectifs de sécurité de l information qui doivent être identifiées afin définir les objectifs et les besoins de sécurité de l information (confidentialité, intégrité, disponibilité, etc.) qui seront utilisés en gestion de risque informationnel. Par exemple, dans le contexte d un organisation dans le domaine de la santé au Québec (Canada), nous identifions des objectifs de gestion de risque informationnels qui peuvent être catégorisés selon les multiples éléments suivants: 15

16 Chapitre 1 Confidentialité des données cliniques obtenues d un patient par un professionnel de la santé; Intégrité des données cliniques afin de s assurer qu elles ne sont pas altérés; Disponibilité des données au moment opportun pour le bien-être des patients; Non-répudiation de l accès et de l utilisation des données par les professionnels de la santé; Respect de l intégrité des individus et de leur dossier clinique, par exemple en exigeant un consentement libre et éclairé lors de la saisie des données et de leur utilisation; Transparence dans l utilisation des données cliniques, par exemple en interdisant le transfert des données d un patient à un tiers qui les utiliserait à des fins de publicité ou de vente de médicaments; Mise en oeuvre du principe de prudence. En plus d aider l organisation à atteindre ses objectifs, la sécurité de l information est nécessaire parce que la technologie appliquée à l information crée des risques. Des composants logicielles peuvent comporter des failles ou des bogues. Les composantes matérielles peuvent être défectueuses, souffrir de bris ou s user. Globalement, l information pourrait être indûment communiqué (sa confidentialité pourrait être compromise), modifié de manière inappropriée (son intégrité peut être compromise), détruite ou perdue (sa disponibilité pourrait être compromise). Cette compromission des données pourra causer une réduction de l avantage compétitif que l organisation espérait obtenir des TIC, tel que des pertes économiques au propriétaire de l information, qu elles soient avérées ou non. La perte pourrait être directe (par la 16

17 Introduction à la gestion de risque informationnel réduction de la valeur de l actif d information lui-même) ou indirecte (par le biais d interruption de service, des dommages à la réputation, la perte d un avantage concurrentiel, la responsabilité juridique, etc.). 17

18 Chapitre 1 Mise en oeuvre sur le terrain Nous proposons la mise en oeuvre de la sécurité de l information sur le terrain en utilisant le modèle des trois P (Prévention, protection, punition) de mise en oeuvre de la sécurité de l information. Ce modèle est structuré selon 3 axes: la prévention: de mesures de prévention seront mise en oeuvre dans l organisation. Par exemple, une politique de sécurité, un processus formel d analyse de risque, des audits TI annuels et un programme de sensibilisation des employés et de formation des ressources informatiques. la protection: la mise en oeuvre d actions de mitigation de risque ou l allocations des rôles et des responsabilités en matière de gestion à des individus dans l organisation et la mise en oeuvre de processus de gestion des incidents, de recouvrement en cas de sinistres et de continuité des affaires. la punition: il sera nécessaires des actions punitives en cas de non respect ou de contournement volontaires des deux premiers axes. 18

19 Introduction à la gestion de risque informationnel La politique de sécurité Sur le terrain, la mise en oeuvre de la sécurité de l information débute par l élaboration d une politique de sécurité qui s intègre dans le premier P: la prévention. Cette politique décrit ce qui est autorisé et ce qui est interdit. La politique de sécurité de l information devrait mettre en évidence la valeur de l information et la mesure dans laquelle on en a besoin, ainsi que l importance de la sécurité de l information pour l organisation. Elle devrait identifier les exigences minimales au plan de la conformité et des règlements en matière de sécurité. La politique de sécurité inclut des éléments tels que: la politique de gestion des risques, la catégorisation et l étiquetage d information, la sécurité du personnel et matérielle, les exigences juridiques et contractuelles, l élaboration et le fonctionnement des systèmes, la planification de la poursuite des activités, la production de rapports sur les incidents et les exigences d intervention, l application de mesures en cas de violation et la sensibilisation à la sécurité et la formation. La politique peut tenir compte de tout système d information critique ou des exigences pertinentes. Elle doit cependant identifier les besoins en matière de sécurité de l information développée en fonction des sept objectifs mentionnés précédemment. Il est nécessaire que soient assigné les rôles et les responsabilités en matière de sécurité de l information et la distribution des responsabilités dans la structure organisationnelle. Dans les organisations qui effectuent des projets de développement, il faut inclure la sécurité de l information dans le développement de systèmes d information et dans les 19

20 Chapitre 1 processus de mise en place ou d achats de systèmes d information. De plus la politique devrait : définir les règles et les procédures en matière de sécurité de l information; définir les procédures pour l identification de la nature sensible et la classification de l information; identifier la stratégie de gestion du risque; définir les besoins en matière de continuité des affaires; définir des normes de gestion des ressources humaines; prévoir des plans de sensibilisation des employés et de formation continue en matière de sécurité de l information; encadrer les obligations légales; identifier les règles de la gestion de l impartition et des tiers; et définir la stratégie de gestion des incidents. 20

21 Introduction à la gestion de risque informationnel Mise en oeuvre de la politique Une fois qu une politique de sécurité de l information a été définie, la tâche suivante consiste à appliquer la politique. Pour ce faire, l organisation déploie un mélange de processus d affaires et de mécanismes techniques. Ce sont ces mécanismes de sécurité de l information qui forment la sécurité informatique. Ces processus et mécanismes entrent dans six catégories: Les mesures de prévention, tels que la sensibilisations de ses employés et la formation de son personnel technique. Les mesures de protection, ce qui consiste à mettre en place des processus d affaires et des mécanismes techniques qui visent à prévenir que des aléas se produisent, à réduire la probabilité qu ils se produisent ou à minimiser leur impact. Les mesures de détection qui servent à alerter l organisation quand des aléas surviennent afin qu elle puisse prendre des actions afin de minimiser leur impact sur l organisation. Les processus et mesures de réponse face aux conséquences d aléas afin d optimiser le retour à état d équilibre. Des processus de réponses peuvent aussi inclurent des mesures punitives selon le troisième P: punition (réprimandes ou renvoi d employés), criminelles (référé du dossier à des forces policières) ou légales (poursuites). Les mesures d assurance afin de valider l efficacité et le bon fonctionnement de la protection, de détection et les mesures d intervention. L audit pour déterminer l efficacité des processus et des mesures. 21

22 Chapitre 1 22

23 Introduction à la gestion de risque informationnel Création d un comité de sécurité Il est recommandé de créer un comité de sécurité de l information pour assister l organisation dans l élaboration de sa politique de sécurité et pour l ensemble des activités de gestion du risque informationnel. Le comité devrait comprendre de quatre (4) à sept (7) membres et devrait comprendre : un membre identifié comme chef de projet; le principal responsable de la sécurité s il y en a un; des représentants du groupe ayant la responsabilité opérationnelle et budgétaire des TIC; des représentants des responsables de l exécution de la mission de l organisation; un représentant des ressources humaines; et un conseiller juridique. Des accommodements sont nécessaire selon la taille de l organisation. Dans un premier temps le chef de projet devrait être identifié. Celui-ci pourra prendre en charge le suivi des différentes étapes de la méthodologie, dont la création du comité de sécurité de l information. Il pourra documenter les règles de fonctionnement du comité et s assurer de conserver des minutes des rencontres. Les membres du comité pourront varier selon les besoins de l organisation et les priorités des gestionnaires de l organisation. La structure et le modus operandi du comité de sécurité de l information devraient tenir compte de cette possibilité. 23

24 Chapitre 1 24

25 Introduction à la gestion de risque informationnel Les objectifs de sécurité L organisation devra définir ses objectifs de sécurité, les exprimer en terme de besoins spécifiques (confidentialité,intégrité,disponibilité, etc.) et faire un inventaire des éléments de son patrimoine informationnel. Entre autre, cela lui permettra d identifier les éléments à risque qui sont plus prioritaires auxquels les efforts de gestion de risque devront s attaquer en premier. Il est proposé de rencontrer les ayants cause de la sécurité, c est-àdire les membres de l organisation qui ont un rôle à jouer da la sécurité de l information, les propriétaire des actifs informationnels et les gestionnaires de l organisation pour valider avec eux les besoins de sécurité. 25

26 Chapitre 1 Amélioration continue Évidemment, le travail n est jamais terminé. La sécurité de l information doit appliquer les principes d amélioration continue. La définition de la politique, la protection, et les tâches de vérification sont effectuées maintes et maintes fois, et les leçons apprises à chaque fois à travers le cycle sont appliquées lors du prochain cycle. 26

27 Introduction à la gestion de risque informationnel Principe de prudence La sécurité de l information doit appliquer le principe de prudence. En cas de doutes sur l importance relative d un actif informationnel, sur l importance des dommages, sur la probabilité de réalisation d un aléa ou en cas d incertitude quant aux résultats, les individus impliqués en gestion de risque informationnel devraient choisir la décision sage, vertueuse et prudente afin de minimiser les risques. Ils devraient diligemment chercher à obtenir suffisamment d informations pour prendre une décision éclairée. Ceci ne signifie pas qu il est préférable de ne pas prendre de décision, ce qui peut être pire. Mais dans le doute, le gestionnaire devrait agir en bon père de famille. 27

28 Chapitre 1 Le risque Nous avons mentionné que la sécurité est définie par l absence de risque inacceptables. De plus, la mise en oeuvre de la sécurité de l information, qui débute par la politique de sécurité de l information et l identification des objectifs de sécurité, doit s appuyer sur l identification du risque et la détermination de ce qui est acceptable et, plus précisément, non-acceptable dans un contexte organisationnel particulier. Il est important de comprendre ce que signifie le risque en général et le risque informationnel plus précisément. Il n y a pas une seule définition du risque. Une recherche sur Google avec les mots risque ou risk propose plus de résultats. Il ressort d une analyse de la littérature scientifique sur le risque que beaucoup de ce qui a été écrit sur ce sujet est basé sur des données anecdotiques et sur des études limitées à un aspect particulier. Dans cette section, nous présentons les principales définitions du risque qui sont utile pour la compréhension des concepts présentés. Notre objectif est de présenter au lecteur les éléments d une définition contextuelle du risque appliqué à la sécurité de l information qui permettra d identifier les variables qui pourrons être utilisés pour la gestion du risque informationnel. Le risque est un construit social, il dépend de celui qui le perçoit, de la nature du risque et du domaine dans lequel on s intéresse au risque. Selon les différentes sources que l on retrouve, le mot risque tire ses origines de plusieurs sources, entre autres: 28

29 Introduction à la gestion de risque informationnel du terme italien (Moyen âge) risco signifiant rocher escarpé, écueil, utilisé par les premières compagnies d assurance pour désigner le péril couru en mer, du latin resecum signifiant coupant et du mot arabe rizq. Le risque réfère à des situations par lesquelles un individu assigne des probabilités mathématiques aux événements aléatoires auxquels il fait face (par exemple 10%, 1 fois aux 10 ans, 0,5). Le risque est présent même si cette assignation est subjective et utilise des échelles nominative (par exemple bas, moyen ou élevé). Le risque est aussi défini comme une variation possible des résultats sur une période déterminé dans une situation donnée. On retrouve dans le risque une notion implicite de discontinuité, de désastres, de surprise, d inconnu ou d ignorance. Le risque est souvent défini comme une combinaison de la probabilité d occurrence d un dommage et de sa gravité. Cette définition est valable seulement dans les cas ou nous disposons de données probantes suffisantes, par exemple des données historiques, qui permettent de démontrer que les probabilités d'occurrence d aléas comparables sont distribué également dans le temps. Dans cette situation, il s agira de risque objectif, lorsque la variation existe dans la nature et est la même pour tous les individus dans une situation identique. Le risque objectif se différencie du risque subjectif, c est-à-dire lorsqu il y a estimation du risque objectif par un individu. 29

30 Chapitre 1 Ce qui n est pas du risque Quand on ne peut exprimer l aléatoire par des probabilités, mêmes subjectives, on doit plutôt parler d incertitude. Il est important de distinguer ces deux termes, risque et incertitude. Car, bien qu on puisse espérer gérer le risque, il est impossible de gérer l incertitude. Le mot risque est généralement utilisé lorsqu il existe au moins la possibilité de conséquences négatives d un aléa, tel qu une réduction de l avantage compétitif attendu (conséquence négative) d un processus d affaire ou d un système d information après une intrusion par un cybercriminel ou hacker (l aléa). S il ne s agit que de conséquences probables positives, on parlera plutôt de possibilités. La gestion de possibilités ne fera pas appel à des mesures de mitigation de risque, on accueillera favorablement le bénéfice inattendu ou inespéré. Ainsi, la gestion des possibilités positives n est pas de la gestion de risque. De même, si un résultat est inévitable on utilisera le terme certitude: la mort éventuelle de tout organisme vivant est une certitude. On pourra la retarder, mais pas l éviter. Nul ne peut gérer la certitude, on peux s y préparer et, dans les meilleurs cas, retarder l inévitable. 30

31 Introduction à la gestion de risque informationnel La gestion de risque L idée que le risque peut être géré peut être compris comme une conséquence à long terme d un désastre naturel qui s est produit à Lisbonne, au Portugal, en 1755, combiné à la découverte des probabilités par Blaise Pascal et à d autres avancées en mathématiques d abord et en sciences de la gestion ensuite. Le désastre de Lisbonne marque un point tournant dans le monde occidental moderne de la vision de l aléa comme un acte divin, tel qu illustré par un poème de Voltaire, vers une approche rationnelle qui peut être soumise à un traitement scientifique. C est la réponse de Rousseau à Voltaire qui sème le germe de gestion du risque: Serait-ce à dire que l ordre du monde doit changer selon nos caprices, que la nature doit être soumise à nos lois, et que pour lui interdire un tremblement de terre en quelque lieu, nous n avons qu à y bâtir une ville? La gestion est la mise en œuvre de moyens humains et matériels d une organisation pour atteindre des objectifs préalablement fixés. La croissance des bureaucraties professionnelles dans nos sociétés a transformé l appareil administratif d organisations en une puissante machine de gestion des organisations dont les opérations visent l efficacité et la prévisibilité dans l atteinte de ses objectifs. Dans une organisation du secteur privé, l efficacité est mesuré avec des variables de nature pécuniaire ou mesurés en part de marché. Dans le cas d un organisation du secteur public, l efficacité peut être mesuré par une livraison efficiente de services à la population. Par 31

32 Chapitre 1 exemple, dans une organisation publique du secteur de la santé, telle qu est existe au Québec, l efficacité peut être mesurée par une amélioration de la qualité de vie, la réduction de la morbidité ou de la mortalité dans une population cible. Cette machine de gestion s exprime par des actes visant une transformation du monde réel par le travail, la médiation ou l instrumentation. La gestion du risque est nécessaire parce les organisations doivent identifier ce qui est prévisible afin d assurer leur pérennité et identifier les actions susceptibles de produire des résultats qui réduisent son efficacité, qui vont à l encontre de l atteinte de ses objectifs ou qui produisent des résultats négatifs. L organisation doit identifier les risques les plus significatifs pour elle. Ainsi, la gestion de risque est l une des composantes d une gestion prudente et diligente. C est-àdire que, sachant qu il existe la possibilité qu ils se produisent des aléas susceptible de réduire l utilité espérée ou de nuire à l atteinte efficace des objectifs, le gestionnaire, en tant qu acteur individuel vertueux, doit tenir compte du risque. De plus, la saine gouvernance d une organisation, par exemple dans le cadre normatif de gouvernance tel que ISO 38500, la conformité à des cadres de gestion, tel que COBIT ou ISO 27001, requiert la mise en oeuvre d un programme de gestion de risque formalisé. Fondamentalement, la gestion du risque est accomplie par des activités d identification (I) et d évaluation des scénarios de risque (les combinaisons d élément à risque, aléas et de vulnérabilités susceptible de causer des dommages), de la priorisation (P) de ces scénarios (en fonction de l importance des dommages ou de la réduction de l Utilité espérée (μ) au delà de l appétence au risque de l organisation) et des actions de mobilisation (M) de ses 32

33 Introduction à la gestion de risque informationnel ressources humaines et financières pour un traitement approprié du risque: le processus IPM qui sera traité plus en détails plus loin. Ces actions de mobilisation vont généralement prendre les formes suivantes: Ignorer le risque : l organisation peut décider consciemment d ignorer le risque. Éviter le risque : l organisation pourra décider de ne pas poursuivre une opportunité car elle considère que le risque ne vaut pas la chandelle. Accepter le risque : l organisation détermine que le risque associé à un scénario donnée est acceptable pour l organisation compte tenu de ses contraintes, des ses objectifs d affaires ou de sa résilience. Mitiger le risque par la mise en oeuvre de mécanismes de protection, de détection ou de réponse: par exemple par la mise en place d un pare- feu, une organisation réduira la menace d intrusion de son réseau informatique via l Internet. Transférer le risque : une organisation pourrait décider de prendre une police d assurance qui couvre un risque précis, une organisation pourrait aussi transférer le risque, contractuellement, à un tiers ou l externaliser via d autres mécanismes. Les actions de mobilisation (Ω) seront diverses et nombreuses en fonction des différents risques auxquels fait face l organisation. L ensemble des actions de mobilisation (Ω), pour une période de temps (Δt) défini à priori dans un espace (s) donné, formeront le portfolio de mesures (φ) composé des actions de mobilisation individuelles (Ωn). La gestion de risque est discuté avec plus de détails dans le chapitre suivant. En risque informationnel, l adjectif informationnel fait référence à l information. Notamment, le risque informationnel s intéresse aux risques relatifs à la sélection, la mise 33

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Résumé de «The psychology of Security- DRAFT»

Résumé de «The psychology of Security- DRAFT» Résumé de «The psychology of Security- DRAFT» 1. Introduction La sécurité est un sentiment et une réalité. La réalité de la sécurité est mathématique, elle est basée sur la probabilité de différents risques

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Les règles d utilisation de la vidéosurveillance avec enregistrement dans les lieux publics par les organismes publics

Les règles d utilisation de la vidéosurveillance avec enregistrement dans les lieux publics par les organismes publics Les règles d utilisation de la vidéosurveillance avec enregistrement dans les lieux publics par les organismes publics Juin 2004 TABLE DES MATIÈRES PRÉSENTATION... 1 LE CHAMP D APPLICATION... 1 LA JUSTIFICATION...

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre 2013. This document is also available in English.

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre 2013. This document is also available in English. Note d orientation : La simulation de crise Établissements de catégorie 2 This document is also available in English. La présente Note d orientation s adresse à toutes les caisses populaires de catégorie

Plus en détail

Politique de gestion des risques

Politique de gestion des risques Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement,

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

2.0 Interprétation des cotes d évaluation des risques relatifs aux produits

2.0 Interprétation des cotes d évaluation des risques relatifs aux produits 2.0 Interprétation des cotes d évaluation des risques relatifs aux produits L interprétation des cotes attribuées dans le cadre des évaluations des risques relatifs aux produits décrite plus loin repose

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

1. La sécurité applicative

1. La sécurité applicative ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Chapitre 6 La gestion des incidents Quelles que soient la qualité du système d information mis en place dans l entreprise ou les compétences des techniciens

Plus en détail

Politique et Standards Santé, Sécurité et Environnement

Politique et Standards Santé, Sécurité et Environnement Politique et Standards Santé, Sécurité et Environnement Depuis la création de Syngenta en 2000, nous avons accordé la plus haute importance à la santé, à la sécurité et à l environnement (SSE) ainsi qu

Plus en détail

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration Bureau du surintendant des institutions financières Audit interne des Services intégrés : Services de la sécurité et de l administration Avril 2014 Table des matières 1. Contexte... 3 2. Objectif, délimitation

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC 6 FÉVRIER 2013 http://www.isaca quebec.ca VOLET GOUVERNANCE Ordre du jour Introduction/Objectifs;

Plus en détail

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.

Plus en détail

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology

Plus en détail

SOMMAIRE. AVRIL 2013 TECHNOLOGIE ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES

SOMMAIRE. AVRIL 2013 TECHNOLOGIE ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES AVRIL 2013 TECHNOLOGIE ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES Faits saillants du sondage 2 Contexte et méthode de sondage 3 Profil des répondants 3 Investissements

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

Symposium international

Symposium international Symposium international sur l interculturalisme DIALOGUE QUÉBEC-EUROPE Montréal Du 25 au 27 mai 2011 Interculturalisme et perspectives de l éducation à mieux vivre ensemble Contribution au chapitre 8 :

Plus en détail

L ANALYSE COUT-EFFICACITE

L ANALYSE COUT-EFFICACITE L ANALYSE COUT-EFFICACITE 1 Pourquoi utiliser cet outil en évaluation? L analyse coût-efficacité est un outil d aide à la décision. Il a pour but d identifier la voie la plus efficace, du point de vue

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

Université de Lausanne

Université de Lausanne Université de Lausanne Records management et archivage électronique : cadre normatif Page 2 Ce qui se conçoit bien s énonce clairement Nicolas Boileau Page 3 Table des matières Qu est- ce que le «records

Plus en détail

AVIS DE LA FÉDÉRATION QUÉBÉCOISE DE L AUTISME DANS LE CADRE DE LA CONSULTATION PUBLIQUE SUR LA LUTTE CONTRE L INTIMIDATION

AVIS DE LA FÉDÉRATION QUÉBÉCOISE DE L AUTISME DANS LE CADRE DE LA CONSULTATION PUBLIQUE SUR LA LUTTE CONTRE L INTIMIDATION AVIS DE LA FÉDÉRATION QUÉBÉCOISE DE L AUTISME DANS LE CADRE DE LA CONSULTATION PUBLIQUE SUR LA LUTTE CONTRE L INTIMIDATION NOVEMBRE 2014 La Fédération québécoise de l'autisme (FQA) est un regroupement

Plus en détail

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC TABLE DES MATIÈRES CONTENU 1 PRÉAMBULE ----------------------------------------------------------------------------------------- 3 1.1 Définitions

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents

Plus en détail

Politique de gestion documentaire

Politique de gestion documentaire Politique de gestion documentaire Responsabilité de gestion : Secrétariat général Date d approbation : 24 avril 1979 C.A. C.E. Direction générale Direction Date d'entrée en vigueur : 24 avril 1995 Date

Plus en détail

CONDITIONS GENERALES D ACHAT BONTAZ CENTRE

CONDITIONS GENERALES D ACHAT BONTAZ CENTRE CONDITIONS GENERALES D ACHAT BONTAZ CENTRE Article 1 : Objet et champ d application Sauf accord particulier dûment négocié entre les parties sous quelque forme que ce soit, ces présentes conditions générales

Plus en détail

PROJET DE CONCEPTION (6GIN333)

PROJET DE CONCEPTION (6GIN333) PROJET DE CONCEPTION (6GIN333) Cours #7 Hiver 2012 Ordre du jour Gestion des risques Introduction Concepts & définitions Processus d analyse Outils & méthodes Résultats Pause de 15 minutes Suivit des coûts

Plus en détail

Le management des risques de l entreprise Cadre de Référence. Synthèse

Le management des risques de l entreprise Cadre de Référence. Synthèse Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction

Plus en détail

GUIDE DE CONSOLIDATION D ÉQUIPE POUR LES ÉQUIPES DE SOINS PRIMAIRES DE L ONTARIO

GUIDE DE CONSOLIDATION D ÉQUIPE POUR LES ÉQUIPES DE SOINS PRIMAIRES DE L ONTARIO GUIDE DE CONSOLIDATION D ÉQUIPE POUR LES ÉQUIPES DE SOINS PRIMAIRES DE L ONTARIO Janvier Module 2009 10 : Gérer les conflits Modifié en décembre 2010 Révisé en décembre 2012 Révisé en décembre 2012 1 Objectif

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009)

Plus en détail

L évaluation du transfert des apprentissages suite à un programme de perfectionnement

L évaluation du transfert des apprentissages suite à un programme de perfectionnement L évaluation du transfert des apprentissages suite à un programme de perfectionnement Johann Jacob, M.A.P. et Richard Marceau, Ph. D. Centre de recherche et d expertise en évaluation (CREXE) Colloque annuel

Plus en détail

Arithmétique binaire. Chapitre. 5.1 Notions. 5.1.1 Bit. 5.1.2 Mot

Arithmétique binaire. Chapitre. 5.1 Notions. 5.1.1 Bit. 5.1.2 Mot Chapitre 5 Arithmétique binaire L es codes sont manipulés au quotidien sans qu on s en rende compte, et leur compréhension est quasi instinctive. Le seul fait de lire fait appel au codage alphabétique,

Plus en détail

ENTREPRISES MINIÈRES GLOBEX INC. CODE DE CONDUITE PROFESSIONNELLE ET DE DÉONTOLOGIE

ENTREPRISES MINIÈRES GLOBEX INC. CODE DE CONDUITE PROFESSIONNELLE ET DE DÉONTOLOGIE ENTREPRISES MINIÈRES GLOBEX INC. CODE DE CONDUITE PROFESSIONNELLE ET DE DÉONTOLOGIE INTRODUCTION Le succès d Entreprises minières Globex inc. («Globex») repose sur l intégrité personnelle et professionnelle

Plus en détail

Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme

Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme Serghei Floricel Dans l introduction nous avons mentionné que les projets d innovation suivent

Plus en détail

RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER

RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER A Demande R-3491-2002 RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER HYDRO-QUÉBEC ÉVALUATION DU PROJET SIC ET RECOMMANDATIONS, 7 AOÛT 2002 Original : 2002-09-20 HQD-2, Document 1 (En liasse) Rapport

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

Assurance médicaments 2.0

Assurance médicaments 2.0 PRINCIPES ET PRIORITÉS Assurance médicaments 2.0 Avant-propos Objectif Pour renouveler les discussions nationales sur un cadre pancanadien d assurance médicaments, il faut présenter des preuves claires

Plus en détail

Système Qualité Pharmaceutique (ICH Q10)

Système Qualité Pharmaceutique (ICH Q10) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 Système Qualité Pharmaceutique (ICH Q10) Le document ICH Q10 sur le

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

ASSOCIATION MEDICALE MONDIALE DECLARATION D HELSINKI Principes éthiques applicables à la recherche médicale impliquant des êtres humains

ASSOCIATION MEDICALE MONDIALE DECLARATION D HELSINKI Principes éthiques applicables à la recherche médicale impliquant des êtres humains ASSOCIATION MEDICALE MONDIALE DECLARATION D HELSINKI Principes éthiques applicables à la recherche médicale impliquant des êtres humains Adoptée par la 18e Assemblée générale de l AMM, Helsinki, Finlande,

Plus en détail

Politique d utilisation acceptable des données et des technologies de l information

Politique d utilisation acceptable des données et des technologies de l information Politique d utilisation acceptable des données et des technologies de l information Connexion région du Grand Toronto (ConnexionRGT) Version 1.0 Avis de droit d auteur cybersanté Ontario, 2014. Tous droits

Plus en détail

L approche populationnelle : une nouvelle façon de voir et d agir en santé

L approche populationnelle : une nouvelle façon de voir et d agir en santé Trousse d information L approche populationnelle : une nouvelle façon de voir et d agir en santé Novembre 2004 L approche populationnelle : une nouvelle façon de voir et d agir en santé L approche populationnelle

Plus en détail

Politique Utilisation des actifs informationnels

Politique Utilisation des actifs informationnels Politique Utilisation des actifs informationnels Direction des technologies de l information Adopté le 15 octobre 2007 Révisé le 2 juillet 2013 TABLE DES MATIÈRES 1. OBJECTIFS... 3 2. DÉFINITIONS... 3

Plus en détail

Organisme de formation : n 11 92 19791 92. Déclaration d activité enregistrée auprès du Préfet de région Ile de France

Organisme de formation : n 11 92 19791 92. Déclaration d activité enregistrée auprès du Préfet de région Ile de France ASCORA RISQUES MANAGEMENT CONSEIL AUDIT FORMATION 2015 Une démarche unique, globale et intégrée de management des risques créatrice de valeur Des prestations essentiellement effectuées au sein de votre

Plus en détail

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. BUREAU DU CONSEIL

Plus en détail

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées

Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées Ligne directrice Objet : Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées Date : Introduction La simulation de crise

Plus en détail

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX

Plus en détail

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas :

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas : Introduction Le CRM se porte-t-il si mal? Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas : «75 % de projets non aboutis» «La déception du CRM» «Le CRM : des

Plus en détail

GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS. Défis et Opportunités pour l Entreprise

GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS. Défis et Opportunités pour l Entreprise GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS Défis et Opportunités pour l Entreprise I. INTRODUCTION Le développement des réseaux ne se limite pas à leur taille et à leurs capacités, il concerne

Plus en détail

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence

Plus en détail

SOUMISSION DE LA CHAMBRE DE LA SÉCURITÉ FINANCIÈRE

SOUMISSION DE LA CHAMBRE DE LA SÉCURITÉ FINANCIÈRE SOUMISSION DE LA CHAMBRE DE LA SÉCURITÉ FINANCIÈRE AU CONSEIL CANADIEN DES RESPONSABLES DE LA RÉGLEMENTATION D ASSURANCE ET LES ORGANISMES DE RÉGLEMENTATION DES SERVICES D ASSURANCE AU CANADA (CISRO) COMITÉ

Plus en détail

TNS Behaviour Change. Accompagner les changements de comportement TNS 2014 TNS

TNS Behaviour Change. Accompagner les changements de comportement TNS 2014 TNS Accompagner les changements de comportement TNS 2014 Comprendre et accompagner les changements de comportement Inciter et accompagner les changements de comportements des individus est un enjeu fondamental

Plus en détail

Politique relative à l utilisation de la vidéosurveillance dans les lieux publics exploités par l AMT ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 18

Politique relative à l utilisation de la vidéosurveillance dans les lieux publics exploités par l AMT ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 18 Politique relative à l utilisation de la vidéosurveillance dans les lieux publics exploités par l AMT ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 18 DÉCEMBRE 2009 PAR VOIE DE RÉSOLUTION N O 09-CA(AMT)-348

Plus en détail

Politique sur le code de conduite et les conflits d intérêts à l intention des membres des conseils de section de l OCRCVM

Politique sur le code de conduite et les conflits d intérêts à l intention des membres des conseils de section de l OCRCVM Politique sur le code de conduite et les conflits d intérêts à l intention des membres des conseils de section de l OCRCVM Les membres des conseils de section (les «Membres») sont tenus de lire et de signer

Plus en détail

1. 2. 12. L'ANALYSE DES PARTIES PRENANTES

1. 2. 12. L'ANALYSE DES PARTIES PRENANTES 1. 2. 12. L'ANALYSE DES PARTIES PRENANTES DESCRIPTION L analyse des parties prenantes est une approche structurée permettant de comprendre un système en précisant l intérêt, les besoins et les préoccupations

Plus en détail

Société ontarienne d assurance-dépôts

Société ontarienne d assurance-dépôts Société ontarienne d assurance-dépôts Gestion des risques liés aux technologies de l information : Rôle des conseils d administration et des comités d audit DAVID FLORIO, CPA, CA IT, PCI QSA, CRMA PARTNER,

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Un autre signe est de blâmer «une colère ouverte qui débute par le mot TU».

Un autre signe est de blâmer «une colère ouverte qui débute par le mot TU». Le besoin de contrôler Le comportement compulsif de tout vouloir contrôler n est pas mauvais ou honteux, c est souvent un besoin d avoir plus de pouvoir. Il s agit aussi d un signe de détresse; les choses

Plus en détail

Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information

Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information Bureau du surintendant des institutions financières Novembre 2012 Table des matières 1.

Plus en détail

Résumé du document de réflexion et guide discussion pour consultation en ligne

Résumé du document de réflexion et guide discussion pour consultation en ligne Résumé du document de réflexion et guide discussion pour consultation en ligne PRONONCEZ-VOUS SUR LA QUESTION! Faites-nous parvenir vos commentaires et vos réflexions. Pour les membres de l AMQ : commentez

Plus en détail

CONSEIL DE L EUROPE COMITE DES MINISTRES

CONSEIL DE L EUROPE COMITE DES MINISTRES CONSEIL DE L EUROPE COMITE DES MINISTRES Recommandation Rec(2006)8 du Comité des Ministres aux Etats membres sur l assistance aux victimes d infractions (adoptée par le Comité des Ministres le 14 juin

Plus en détail

Michel Roberge Conseiller principal en gestion documentaire. par

Michel Roberge Conseiller principal en gestion documentaire. par Assurer la pérennité de la mémoire organisationnelle pour la bonne gouvernance par la gestion intégrée des documents d entreprise terminés et officiels en format papier et technologiques ayant une valeur

Plus en détail

La gestion des Technologies de l information. Tirez le maximum de vos systèmes d informations

La gestion des Technologies de l information. Tirez le maximum de vos systèmes d informations La gestion des Technologies de l information Tirez le maximum de vos systèmes d informations Objectifs de la formation Se familiariser avec: La gouvernance des TI Les cadres de référence en gestion des

Plus en détail

Joël Darius Eloge ZODJIHOUE

Joël Darius Eloge ZODJIHOUE La gestion axée sur la Performance et les Résultats appliquée à la gestion des Finances Publiques: Préparation et Mise en place du Budget axée sur la performance et les résultats Joël Darius Eloge ZODJIHOUE

Plus en détail

Édition : La Direction des communications du ministère de la Santé et des Services sociaux

Édition : La Direction des communications du ministère de la Santé et des Services sociaux Planification, performance et qualité Guide d élaboration des cadres de gestion des banques de données et de matériel biologique constituées à des fins de recherche Unité de l Éthique Octobre 2012 Rédaction

Plus en détail

Guide en gestion de la continuité des opérations Mission «Activités économiques»

Guide en gestion de la continuité des opérations Mission «Activités économiques» de la continuité des opérations Mission «Activités économiques» Remerciements Le ministère du Développement économique, de l Innovation et de l Exportation (MDEIE) désire remercier les personnes et les

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ Table des matières PRÉAMBULE... 3 1 Introduction... 4 2 Domaine d application... 4 3 Exigences générales... 4 3.1 Système de gestion de la sûreté... 4 3.2 Approche

Plus en détail

On a souvent entendu que l information c est le pouvoir. En fait, c est le pouvoir d agir.

On a souvent entendu que l information c est le pouvoir. En fait, c est le pouvoir d agir. Le droit d être informé prend sa source dans les droits fondamentaux de la Charte des droits et libertés québécoise. L article 44 confirme que tout Québécois a droit à l information, sous réserve de la

Plus en détail

Violence au travail Un organisme national

Violence au travail Un organisme national Violence au travail Un organisme national Violence au travail : prévention, protocoles et sanctions Politique La Société s engage à offrir un milieu de travail sécuritaire. Elle reconnaît que la violence

Plus en détail

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos:

Auteur : Kamal HAJJOU. Gouvernance et sécurité des systèmes d information Stratégie, règles et enjeux. Avant- propos: Gouvernance et sécurité des systèmes d information Avant- propos: Auteur : Kamal HAJJOU Consultant Manager sécurité systèmes d information Cet article tente de dresser un état des lieux sur les approches

Plus en détail

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI

Plus en détail

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013) POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013) Le générique masculin est utilisé sans discrimination uniquement dans le but d alléger le texte. 1. OBJECTIFS Gérer efficacement

Plus en détail

COMMISSION EUROPÉENNE EuropeAid Office de Coopération Affaires générales Evaluation. Manuel. Gestion du Cycle de Projet. Programmation.

COMMISSION EUROPÉENNE EuropeAid Office de Coopération Affaires générales Evaluation. Manuel. Gestion du Cycle de Projet. Programmation. COMMISSION EUROPÉENNE EuropeAid Office de Coopération Affaires générales Evaluation Manuel Gestion du Cycle de Projet Programmation Evaluation Identification Mise en œuvre Instruction Financement Mars

Plus en détail

sentée e et soutenue publiquement pour le Doctorat de l Universitl

sentée e et soutenue publiquement pour le Doctorat de l Universitl Du rôle des signaux faibles sur la reconfiguration des processus de la chaîne de valeur de l organisation : l exemple d une centrale d achats de la grande distribution française Thèse présent sentée e

Plus en détail

REER, CELI ou prêt hypothécaire : comment faire le bon choix?

REER, CELI ou prêt hypothécaire : comment faire le bon choix? REER, CELI ou prêt hypothécaire : comment faire le bon choix? Jamie Golombek L épargne est une pratique importante. Elle nous permet de mettre de côté une partie de nos revenus actuels afin d en profiter

Plus en détail

Logement de transition avec suivi intensif:

Logement de transition avec suivi intensif: Logement de transition avec suivi intensif: de nouveaux partenaires pour innover Résumé Ce texte fait partie d une banque de 50 récits de pratiques d intervention en itinérance qui ont été réalisés avec

Plus en détail

Comment assurer le plein potentiel de votre solution analytique. Guillaume Bédard, Directeur des Solutions d Affaires Odesia

Comment assurer le plein potentiel de votre solution analytique. Guillaume Bédard, Directeur des Solutions d Affaires Odesia L Comment assurer le plein potentiel de votre solution analytique ODESIA 1155 University suite 800 Montreal, Qc, Canada H3B 3A7 Phone: (514) 876-1155 Fax: (514) 876-1153 www.odesia.com Guillaume Bédard,

Plus en détail

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI)

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI) COMMUNIQUÉ 14-COM-002 14 juillet 2014 Lignes directrices relatives à la gouvernance des technologies de l information (TI) L Association des superviseurs prudentiels des caisses (ASPC) a créé un groupe

Plus en détail

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des Principes régissant la protection consommateurs des dans le commerce électronique Le cadre canadien Groupe de travail sur la consommation et le commerce électronique Principes régissant la protection

Plus en détail

Item 169 : Évaluation thérapeutique et niveau de preuve

Item 169 : Évaluation thérapeutique et niveau de preuve Item 169 : Évaluation thérapeutique et niveau de preuve COFER, Collège Français des Enseignants en Rhumatologie Date de création du document 2010-2011 Table des matières ENC :...3 SPECIFIQUE :...3 I Différentes

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Système de management H.A.C.C.P.

Système de management H.A.C.C.P. NM 08.0.002 Norme Marocaine 2003 Système de management H.A.C.C.P. Exigences Norme Marocaine homologuée par arrêté du Ministre de l'industrie, du Commerce et des Télécommunications N 386-03 du 21 Février

Plus en détail

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Classe de terminale de la série Sciences et Technologie du Management et de la Gestion Préambule Présentation Les technologies de l information

Plus en détail

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis ÉTUDE TECHNIQUE L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis Pour une entreprise, l informatique en nuage constitue une occasion majeure d améliorer

Plus en détail

Vérification des contrats et processus propres au Service du parc automobile. Déposé devant le Comité de la vérification le 12 mars 2015

Vérification des contrats et processus propres au Service du parc automobile. Déposé devant le Comité de la vérification le 12 mars 2015 Bureau du vérificateur général Vérification des contrats et processus propres Résumé Déposé devant le Comité de la vérification le 12 mars 2015 Cette page a été intentionnellement laissée en blanc. Vérification

Plus en détail

La finance comportementale

La finance comportementale La Finance Comportementale va-t-elle détrôner l Homo Oeconomicus? Pascal Pineau Coach et formateur Introduction Jeté de pièces avec les résultats suivants (Pile/Face) PPPFFF PPFPFP Question : Quelle est

Plus en détail

Demande d informationservices d aide temporaire (SAT) Questionnaire à l intention des ministères clients

Demande d informationservices d aide temporaire (SAT) Questionnaire à l intention des ministères clients Demande d informationservices d aide temporaire (SAT) Questionnaire à l intention des ministères clients Contexte Travaux publics et Services gouvernementaux Canada (TPSGC) souscrit aux principes d Approvisionnement

Plus en détail