INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve

Dimension: px
Commencer à balayer dès la page:

Download "INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve"

Transcription

1 C R H O M A Centre de recherche Hochelaga-Maisonneuve INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL PAR MARC-ANDRÉ LÉGER Centre de recherche Hochelaga-Maisonneuve 1691, Pie-IX, Montréal, Qc, H1V 2C3 Téléphone:

2 Introduction à la gestion de risque informationnel par marc-andré Léger 1691, boul Pie-IX, Montréal, Québec, Canada, H1V 2C3 Livre électronique : isbn Version imprimée: isbn publié le 1er mars 2013 Dépôt légal - Bibliothèque et Archives nationales du Québec, 2013 Dépôt légal - Bibliothèque et Archives Canada,

3 Table des matières Chapitre 1: La sécurité! 9 Informatique ou informationnel?! 14 Mise en oeuvre sur le terrain! 18 Le risque! 28 La gestion de risque! 31 Exercice à réaliser en classe! 40 Questions de révision! 42 Bibliographie de ce chapitre! 49 Chapitre 2: La gestion de risque informationnel! 51 La perception! 56 Le changement! 60 Questions de révision! 66 Bibliographie! 72 Chapitre 3: L aléa! 73 Les menaces pouvant causer des dommages matériels! 75 Les menaces pouvant causer des dommages immatériels! 77 Hackers! 84 Aléas dans les projets TI! 87 Aléas en impartition! 90 Aléas en infonuagique! 92 Sources d aléas potentiels en infonuagique! 93 Exercice à faire en classe! 95 Bibliographie! 104 Chapitre 4: Les vulnérabilités! 105 Questions de révision! 114 Chapitre 5: L impact! 119 Externalisation! 126 Assurance! 127 Exercices à réaliser en classe! 128 Questions de révision! 131 Bibliographie! 135 3

4 Chapitre 6: La norme ISO 27005! 137 Les domaines de la norme! 140 Les critères de base d ISO 27005! 142 Les critères d acceptation des risques d ISO 27005! 144 L organisation de gestion de risque informationnel! 146 L évaluation des risques:! 148 L identification des actifs informationnels! 150 L identification des contrôles existants! 153 L identification des conséquences! 156 Les méthodes de mesure du risque selon ISO 27005! 158 L estimation qualitative du risque! 158 L estimation quantitative du risque! 159 L évaluation des conséquences! 160 L évaluation de la probabilité de réalisation des incidents! 162 Estimation du niveau de risque! 164 L évaluation du risque! 164 Chapitre 7: Les méthodologies d analyse de risque! 167 Comprendre ce qu est une méthodologie.! 168 La validité interne et externe! 170 La mesure des variables! 171 Les échelles de mesure! 173 L'échantillonnage! 175 OCTAVE! 176 MÉHARI! 180 Les éléments de MÉHARI! 181 EBIOS! 184 L établissement du contexte! 185 L appréciation des risques! 185 Le traitement des risques! 187 La validation du traitement des risques! 187 La communication et la concertation relatives aux risques! 187 La surveillance et la revue des risques! 189 Une démarche itérative en cinq modules! 189 4

5 Module 1 Étude du contexte! 189 Module 2 Étude des événements redoutés! 190 Module 4 Étude des risques! 190 Module 5 Étude des mesures de sécurité! 191 Questions de révision! 192 Chapitre 8: Le processus IPM! 199 Avant de débuter l analyse! 200 Phase 1: identification et évaluation des scénarios de risque! 202 Création des portfolios de risque! 218 Proposition et approbation du plan directeur! 221 Mise en oeuvre du plan directeur! 221 Sélection d un portfolio! 221 Proposition et approbation du plan directeur de gestion du risque informationnel!222 Mise en oeuvre du plan directeur! 222 Exercice en classe! 223 Questions de révision! 227 Bibliographie! 233 5

6

7 Introduction Ce livre porte sur la gestion du risque informationnel, c est-à-dire sur la gestion des risques associés à la gestion des informations dans les organisations. Nul ne douteront que les organisations modernes nécessitent de grande quantités d informations pour créer et maintenir un avantage compétitif. Aujourd hui, cette gestion de l information nécessite l utilisation par les organisations d une multitude de technologies de l information et de la communication, les TIC. L utilisation de technologies complexes et hétérogènes, comme les TIC, créent des risques que les organisations doivent maîtriser. De plus, l accès à l information et la connaissance qu elle transporte, par des utilisateurs autorisés, au moment opportun et dans divers lieux, est critique au fonctionnement efficace des organisations en ces temps de globalisation. C est ce qui rend un livre comme celui-ci essentiel à tous les gestionnaires, les responsables des TIC, les équipes techniques et l ensemble de ceux qui évoluent dans l écosystème informationnel de l organisation. Du matériel multimédia et des vidéos accompagne ce livre via le lien internet suivant: Introduction à la gestion de risque informationnel p a r M a r c - A n d r é L é g e r

8

9 Introduction à la gestion de risque informationnel Chapitre 1: La sécurité L organisation qui souhaite gérer ses risques informationnels le fait souvent dans une optique de sécurité, qu il s agisse de sécurité informatique ou sécurité de l information. Il est donc utile de débuter par une compréhension de ce qu est la sécurité. La sécurité désigne un état de fait, l absence de risque inacceptables. Cette définition générale est applicable dans plusieurs contexte. Par exemple, un individu se sentira en sécurité s il perçoit qu il n est pas en présence de risques qu il considère inacceptables ou qu un danger est imminent. S il souhaite traverser la rue, un risque inacceptable pour un individu serait une automobile qui arrive dans sa direction. Dans ce cas il ne traversera pas la rue, il attendra que la l automobile ai passé et que la situation soit devenue sécuritaire. Ainsi la notion de sécurité est indissociable de celle du risque. D une certaine façon la sécurité est le contraire du risque, il y a de la sécurité quand il n y a pas de risque inacceptable. De même, plus le risque est acceptable et plus la sécurité est élevé. Il y a plusieurs éléments importants à cette définition: La sécurité est un concept gradué; La sécurité comporte une dimension subjective; et L acceptabilité du risque varie selon le contexte. 9

10 Chapitre 1 La sécurité est un concept gradué C est-à-dire que l on peut être plus ou moins en sécurité, dépendant de l intensité du risque auquel nous faisons face, et à l étendue des intérêts visés. Il n existe aucun seuil métaphysique au-delà duquel nous entrons dans un état de sécurité, et en deçà duquel on peut dire que la sécurité manque. 10

11 Introduction à la gestion de risque informationnel La sécurité comporte une dimension subjective La sécurité est un sentiment qui, au même titre que la confiance, varie en fonction des individus, des communautés et du contexte. Le sentiment de sécurité, c est-à-dire, le sentiment que nos intérêts les plus fondamentaux ne sont pas menacés par des agents disposés à poser des gestes susceptibles de nous être préjudiciables, fait que nous n avons pas à faire des investissements de ressources matérielles ou psychologiques démesurées pour protéger ces intérêts, que nous pouvons au contraire investir ces ressources dans des activités productives. Ce sentiment est intimement lié à la prévisibilité. Le sentiment de sécurité n exige pas que nous soyons à l abri de tout risque inacceptable, mais plutôt que ceux auxquels nous faisons face se situent à l intérieur d un cadre de règles et de pratiques auxquels nous consentons. 11

12 Chapitre 1 L acceptabilité du risque varie selon le contexte Ce qui est inacceptable pour un individu, à un moment donné, dans un contexte donné peut varier. Cette tolérance à l acceptabilité peut varier dans le temps et selon le contexte. Par exemple, il est possible de tolérer un risque si les bénéfices envisagés par une activité, même à court terme, sont perçus comme étant suffisamment élevés pour justifier les possibles résultats non désirables. On peut penser aux fumeurs qui, par habitude ou par addiction, considèrent le tabagisme comme un risque acceptable. Encore, un individus qui s adonne dans ses loisirs à un sport extrême, par exemple la parachutisme depuis un immeuble ou un pont (base jumping), dont il retire un plaisir apporté par une surdose d adrénaline, comme un risque acceptable. 12

13 13 Introduction à la gestion de risque informationnel

14 Chapitre 1 Informatique ou informationnel? L informatique, dans ce livre, réfère aux technologies utilisées: les ordinateurs, périphériques et autres éléments techniques qui sont utilisés en TIC. L informatique est le support physique à l information sous une forme numérique. L informationnel est en relation aux informations, c est-à-dire aux données structurées, qui sont emmagasinées, manipulés et transmises en utilisant des outils informatiques. En considérant que ce qui contribue le plus à la création d un avantage compétitif d une organisation c est l information et non l informatique, l accent de ce livre est sur l informationnel. Nous parlerons donc de sécurité de l information et de risque informationnel. Quand nous parlerons de mesures particulières qui ont pour but de permettre de réduire, contrôler ou mitiger les risques, alors nous entrerons dans la sécurité informatique, c est-à-dire associé à des TIC. La sécurité de l information est une sous-catégorie de la sécurité de façon générale telle que nous l avons présenté précédemment. Elle est définie comme l ensemble des actions et des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou accidentelle des informations détenues par une organisation. L ensemble des ces informations forment le patrimoine informationnel de l organisation. Par patrimoine informationnel, nous entendons les données, informations, ressources informationnelles, actifs informationnels et l ensemble des TIC qui sont utilisés durant le cycle de vie de l information. 14

15 Introduction à la gestion de risque informationnel Les principaux objectifs de la sécurité de l information sont : la confidentialité des données, l intégrité des données, la disponibilité des données, Ces objectifs varient selon les situations, les contextes et le temps. Les objectifs de sécurité proviennent de différentes sources: besoins d'affaires, analyse de risque, politiques de sécurité, recueils de pratiques exemplaires, obligations légales ou contractuelles, lois et règlements, accords internationaux, codes d'éthique, de déontologie ou de gouvernance, normes locales, sectorielles, nationales ou internationales. Ce sont ces sources des objectifs de sécurité de l information qui doivent être identifiées afin définir les objectifs et les besoins de sécurité de l information (confidentialité, intégrité, disponibilité, etc.) qui seront utilisés en gestion de risque informationnel. Par exemple, dans le contexte d un organisation dans le domaine de la santé au Québec (Canada), nous identifions des objectifs de gestion de risque informationnels qui peuvent être catégorisés selon les multiples éléments suivants: 15

16 Chapitre 1 Confidentialité des données cliniques obtenues d un patient par un professionnel de la santé; Intégrité des données cliniques afin de s assurer qu elles ne sont pas altérés; Disponibilité des données au moment opportun pour le bien-être des patients; Non-répudiation de l accès et de l utilisation des données par les professionnels de la santé; Respect de l intégrité des individus et de leur dossier clinique, par exemple en exigeant un consentement libre et éclairé lors de la saisie des données et de leur utilisation; Transparence dans l utilisation des données cliniques, par exemple en interdisant le transfert des données d un patient à un tiers qui les utiliserait à des fins de publicité ou de vente de médicaments; Mise en oeuvre du principe de prudence. En plus d aider l organisation à atteindre ses objectifs, la sécurité de l information est nécessaire parce que la technologie appliquée à l information crée des risques. Des composants logicielles peuvent comporter des failles ou des bogues. Les composantes matérielles peuvent être défectueuses, souffrir de bris ou s user. Globalement, l information pourrait être indûment communiqué (sa confidentialité pourrait être compromise), modifié de manière inappropriée (son intégrité peut être compromise), détruite ou perdue (sa disponibilité pourrait être compromise). Cette compromission des données pourra causer une réduction de l avantage compétitif que l organisation espérait obtenir des TIC, tel que des pertes économiques au propriétaire de l information, qu elles soient avérées ou non. La perte pourrait être directe (par la 16

17 Introduction à la gestion de risque informationnel réduction de la valeur de l actif d information lui-même) ou indirecte (par le biais d interruption de service, des dommages à la réputation, la perte d un avantage concurrentiel, la responsabilité juridique, etc.). 17

18 Chapitre 1 Mise en oeuvre sur le terrain Nous proposons la mise en oeuvre de la sécurité de l information sur le terrain en utilisant le modèle des trois P (Prévention, protection, punition) de mise en oeuvre de la sécurité de l information. Ce modèle est structuré selon 3 axes: la prévention: de mesures de prévention seront mise en oeuvre dans l organisation. Par exemple, une politique de sécurité, un processus formel d analyse de risque, des audits TI annuels et un programme de sensibilisation des employés et de formation des ressources informatiques. la protection: la mise en oeuvre d actions de mitigation de risque ou l allocations des rôles et des responsabilités en matière de gestion à des individus dans l organisation et la mise en oeuvre de processus de gestion des incidents, de recouvrement en cas de sinistres et de continuité des affaires. la punition: il sera nécessaires des actions punitives en cas de non respect ou de contournement volontaires des deux premiers axes. 18

19 Introduction à la gestion de risque informationnel La politique de sécurité Sur le terrain, la mise en oeuvre de la sécurité de l information débute par l élaboration d une politique de sécurité qui s intègre dans le premier P: la prévention. Cette politique décrit ce qui est autorisé et ce qui est interdit. La politique de sécurité de l information devrait mettre en évidence la valeur de l information et la mesure dans laquelle on en a besoin, ainsi que l importance de la sécurité de l information pour l organisation. Elle devrait identifier les exigences minimales au plan de la conformité et des règlements en matière de sécurité. La politique de sécurité inclut des éléments tels que: la politique de gestion des risques, la catégorisation et l étiquetage d information, la sécurité du personnel et matérielle, les exigences juridiques et contractuelles, l élaboration et le fonctionnement des systèmes, la planification de la poursuite des activités, la production de rapports sur les incidents et les exigences d intervention, l application de mesures en cas de violation et la sensibilisation à la sécurité et la formation. La politique peut tenir compte de tout système d information critique ou des exigences pertinentes. Elle doit cependant identifier les besoins en matière de sécurité de l information développée en fonction des sept objectifs mentionnés précédemment. Il est nécessaire que soient assigné les rôles et les responsabilités en matière de sécurité de l information et la distribution des responsabilités dans la structure organisationnelle. Dans les organisations qui effectuent des projets de développement, il faut inclure la sécurité de l information dans le développement de systèmes d information et dans les 19

20 Chapitre 1 processus de mise en place ou d achats de systèmes d information. De plus la politique devrait : définir les règles et les procédures en matière de sécurité de l information; définir les procédures pour l identification de la nature sensible et la classification de l information; identifier la stratégie de gestion du risque; définir les besoins en matière de continuité des affaires; définir des normes de gestion des ressources humaines; prévoir des plans de sensibilisation des employés et de formation continue en matière de sécurité de l information; encadrer les obligations légales; identifier les règles de la gestion de l impartition et des tiers; et définir la stratégie de gestion des incidents. 20

21 Introduction à la gestion de risque informationnel Mise en oeuvre de la politique Une fois qu une politique de sécurité de l information a été définie, la tâche suivante consiste à appliquer la politique. Pour ce faire, l organisation déploie un mélange de processus d affaires et de mécanismes techniques. Ce sont ces mécanismes de sécurité de l information qui forment la sécurité informatique. Ces processus et mécanismes entrent dans six catégories: Les mesures de prévention, tels que la sensibilisations de ses employés et la formation de son personnel technique. Les mesures de protection, ce qui consiste à mettre en place des processus d affaires et des mécanismes techniques qui visent à prévenir que des aléas se produisent, à réduire la probabilité qu ils se produisent ou à minimiser leur impact. Les mesures de détection qui servent à alerter l organisation quand des aléas surviennent afin qu elle puisse prendre des actions afin de minimiser leur impact sur l organisation. Les processus et mesures de réponse face aux conséquences d aléas afin d optimiser le retour à état d équilibre. Des processus de réponses peuvent aussi inclurent des mesures punitives selon le troisième P: punition (réprimandes ou renvoi d employés), criminelles (référé du dossier à des forces policières) ou légales (poursuites). Les mesures d assurance afin de valider l efficacité et le bon fonctionnement de la protection, de détection et les mesures d intervention. L audit pour déterminer l efficacité des processus et des mesures. 21

22 Chapitre 1 22

23 Introduction à la gestion de risque informationnel Création d un comité de sécurité Il est recommandé de créer un comité de sécurité de l information pour assister l organisation dans l élaboration de sa politique de sécurité et pour l ensemble des activités de gestion du risque informationnel. Le comité devrait comprendre de quatre (4) à sept (7) membres et devrait comprendre : un membre identifié comme chef de projet; le principal responsable de la sécurité s il y en a un; des représentants du groupe ayant la responsabilité opérationnelle et budgétaire des TIC; des représentants des responsables de l exécution de la mission de l organisation; un représentant des ressources humaines; et un conseiller juridique. Des accommodements sont nécessaire selon la taille de l organisation. Dans un premier temps le chef de projet devrait être identifié. Celui-ci pourra prendre en charge le suivi des différentes étapes de la méthodologie, dont la création du comité de sécurité de l information. Il pourra documenter les règles de fonctionnement du comité et s assurer de conserver des minutes des rencontres. Les membres du comité pourront varier selon les besoins de l organisation et les priorités des gestionnaires de l organisation. La structure et le modus operandi du comité de sécurité de l information devraient tenir compte de cette possibilité. 23

24 Chapitre 1 24

25 Introduction à la gestion de risque informationnel Les objectifs de sécurité L organisation devra définir ses objectifs de sécurité, les exprimer en terme de besoins spécifiques (confidentialité,intégrité,disponibilité, etc.) et faire un inventaire des éléments de son patrimoine informationnel. Entre autre, cela lui permettra d identifier les éléments à risque qui sont plus prioritaires auxquels les efforts de gestion de risque devront s attaquer en premier. Il est proposé de rencontrer les ayants cause de la sécurité, c est-àdire les membres de l organisation qui ont un rôle à jouer da la sécurité de l information, les propriétaire des actifs informationnels et les gestionnaires de l organisation pour valider avec eux les besoins de sécurité. 25

26 Chapitre 1 Amélioration continue Évidemment, le travail n est jamais terminé. La sécurité de l information doit appliquer les principes d amélioration continue. La définition de la politique, la protection, et les tâches de vérification sont effectuées maintes et maintes fois, et les leçons apprises à chaque fois à travers le cycle sont appliquées lors du prochain cycle. 26

27 Introduction à la gestion de risque informationnel Principe de prudence La sécurité de l information doit appliquer le principe de prudence. En cas de doutes sur l importance relative d un actif informationnel, sur l importance des dommages, sur la probabilité de réalisation d un aléa ou en cas d incertitude quant aux résultats, les individus impliqués en gestion de risque informationnel devraient choisir la décision sage, vertueuse et prudente afin de minimiser les risques. Ils devraient diligemment chercher à obtenir suffisamment d informations pour prendre une décision éclairée. Ceci ne signifie pas qu il est préférable de ne pas prendre de décision, ce qui peut être pire. Mais dans le doute, le gestionnaire devrait agir en bon père de famille. 27

28 Chapitre 1 Le risque Nous avons mentionné que la sécurité est définie par l absence de risque inacceptables. De plus, la mise en oeuvre de la sécurité de l information, qui débute par la politique de sécurité de l information et l identification des objectifs de sécurité, doit s appuyer sur l identification du risque et la détermination de ce qui est acceptable et, plus précisément, non-acceptable dans un contexte organisationnel particulier. Il est important de comprendre ce que signifie le risque en général et le risque informationnel plus précisément. Il n y a pas une seule définition du risque. Une recherche sur Google avec les mots risque ou risk propose plus de résultats. Il ressort d une analyse de la littérature scientifique sur le risque que beaucoup de ce qui a été écrit sur ce sujet est basé sur des données anecdotiques et sur des études limitées à un aspect particulier. Dans cette section, nous présentons les principales définitions du risque qui sont utile pour la compréhension des concepts présentés. Notre objectif est de présenter au lecteur les éléments d une définition contextuelle du risque appliqué à la sécurité de l information qui permettra d identifier les variables qui pourrons être utilisés pour la gestion du risque informationnel. Le risque est un construit social, il dépend de celui qui le perçoit, de la nature du risque et du domaine dans lequel on s intéresse au risque. Selon les différentes sources que l on retrouve, le mot risque tire ses origines de plusieurs sources, entre autres: 28

29 Introduction à la gestion de risque informationnel du terme italien (Moyen âge) risco signifiant rocher escarpé, écueil, utilisé par les premières compagnies d assurance pour désigner le péril couru en mer, du latin resecum signifiant coupant et du mot arabe rizq. Le risque réfère à des situations par lesquelles un individu assigne des probabilités mathématiques aux événements aléatoires auxquels il fait face (par exemple 10%, 1 fois aux 10 ans, 0,5). Le risque est présent même si cette assignation est subjective et utilise des échelles nominative (par exemple bas, moyen ou élevé). Le risque est aussi défini comme une variation possible des résultats sur une période déterminé dans une situation donnée. On retrouve dans le risque une notion implicite de discontinuité, de désastres, de surprise, d inconnu ou d ignorance. Le risque est souvent défini comme une combinaison de la probabilité d occurrence d un dommage et de sa gravité. Cette définition est valable seulement dans les cas ou nous disposons de données probantes suffisantes, par exemple des données historiques, qui permettent de démontrer que les probabilités d'occurrence d aléas comparables sont distribué également dans le temps. Dans cette situation, il s agira de risque objectif, lorsque la variation existe dans la nature et est la même pour tous les individus dans une situation identique. Le risque objectif se différencie du risque subjectif, c est-à-dire lorsqu il y a estimation du risque objectif par un individu. 29

30 Chapitre 1 Ce qui n est pas du risque Quand on ne peut exprimer l aléatoire par des probabilités, mêmes subjectives, on doit plutôt parler d incertitude. Il est important de distinguer ces deux termes, risque et incertitude. Car, bien qu on puisse espérer gérer le risque, il est impossible de gérer l incertitude. Le mot risque est généralement utilisé lorsqu il existe au moins la possibilité de conséquences négatives d un aléa, tel qu une réduction de l avantage compétitif attendu (conséquence négative) d un processus d affaire ou d un système d information après une intrusion par un cybercriminel ou hacker (l aléa). S il ne s agit que de conséquences probables positives, on parlera plutôt de possibilités. La gestion de possibilités ne fera pas appel à des mesures de mitigation de risque, on accueillera favorablement le bénéfice inattendu ou inespéré. Ainsi, la gestion des possibilités positives n est pas de la gestion de risque. De même, si un résultat est inévitable on utilisera le terme certitude: la mort éventuelle de tout organisme vivant est une certitude. On pourra la retarder, mais pas l éviter. Nul ne peut gérer la certitude, on peux s y préparer et, dans les meilleurs cas, retarder l inévitable. 30

31 Introduction à la gestion de risque informationnel La gestion de risque L idée que le risque peut être géré peut être compris comme une conséquence à long terme d un désastre naturel qui s est produit à Lisbonne, au Portugal, en 1755, combiné à la découverte des probabilités par Blaise Pascal et à d autres avancées en mathématiques d abord et en sciences de la gestion ensuite. Le désastre de Lisbonne marque un point tournant dans le monde occidental moderne de la vision de l aléa comme un acte divin, tel qu illustré par un poème de Voltaire, vers une approche rationnelle qui peut être soumise à un traitement scientifique. C est la réponse de Rousseau à Voltaire qui sème le germe de gestion du risque: Serait-ce à dire que l ordre du monde doit changer selon nos caprices, que la nature doit être soumise à nos lois, et que pour lui interdire un tremblement de terre en quelque lieu, nous n avons qu à y bâtir une ville? La gestion est la mise en œuvre de moyens humains et matériels d une organisation pour atteindre des objectifs préalablement fixés. La croissance des bureaucraties professionnelles dans nos sociétés a transformé l appareil administratif d organisations en une puissante machine de gestion des organisations dont les opérations visent l efficacité et la prévisibilité dans l atteinte de ses objectifs. Dans une organisation du secteur privé, l efficacité est mesuré avec des variables de nature pécuniaire ou mesurés en part de marché. Dans le cas d un organisation du secteur public, l efficacité peut être mesuré par une livraison efficiente de services à la population. Par 31

32 Chapitre 1 exemple, dans une organisation publique du secteur de la santé, telle qu est existe au Québec, l efficacité peut être mesurée par une amélioration de la qualité de vie, la réduction de la morbidité ou de la mortalité dans une population cible. Cette machine de gestion s exprime par des actes visant une transformation du monde réel par le travail, la médiation ou l instrumentation. La gestion du risque est nécessaire parce les organisations doivent identifier ce qui est prévisible afin d assurer leur pérennité et identifier les actions susceptibles de produire des résultats qui réduisent son efficacité, qui vont à l encontre de l atteinte de ses objectifs ou qui produisent des résultats négatifs. L organisation doit identifier les risques les plus significatifs pour elle. Ainsi, la gestion de risque est l une des composantes d une gestion prudente et diligente. C est-àdire que, sachant qu il existe la possibilité qu ils se produisent des aléas susceptible de réduire l utilité espérée ou de nuire à l atteinte efficace des objectifs, le gestionnaire, en tant qu acteur individuel vertueux, doit tenir compte du risque. De plus, la saine gouvernance d une organisation, par exemple dans le cadre normatif de gouvernance tel que ISO 38500, la conformité à des cadres de gestion, tel que COBIT ou ISO 27001, requiert la mise en oeuvre d un programme de gestion de risque formalisé. Fondamentalement, la gestion du risque est accomplie par des activités d identification (I) et d évaluation des scénarios de risque (les combinaisons d élément à risque, aléas et de vulnérabilités susceptible de causer des dommages), de la priorisation (P) de ces scénarios (en fonction de l importance des dommages ou de la réduction de l Utilité espérée (μ) au delà de l appétence au risque de l organisation) et des actions de mobilisation (M) de ses 32

33 Introduction à la gestion de risque informationnel ressources humaines et financières pour un traitement approprié du risque: le processus IPM qui sera traité plus en détails plus loin. Ces actions de mobilisation vont généralement prendre les formes suivantes: Ignorer le risque : l organisation peut décider consciemment d ignorer le risque. Éviter le risque : l organisation pourra décider de ne pas poursuivre une opportunité car elle considère que le risque ne vaut pas la chandelle. Accepter le risque : l organisation détermine que le risque associé à un scénario donnée est acceptable pour l organisation compte tenu de ses contraintes, des ses objectifs d affaires ou de sa résilience. Mitiger le risque par la mise en oeuvre de mécanismes de protection, de détection ou de réponse: par exemple par la mise en place d un pare- feu, une organisation réduira la menace d intrusion de son réseau informatique via l Internet. Transférer le risque : une organisation pourrait décider de prendre une police d assurance qui couvre un risque précis, une organisation pourrait aussi transférer le risque, contractuellement, à un tiers ou l externaliser via d autres mécanismes. Les actions de mobilisation (Ω) seront diverses et nombreuses en fonction des différents risques auxquels fait face l organisation. L ensemble des actions de mobilisation (Ω), pour une période de temps (Δt) défini à priori dans un espace (s) donné, formeront le portfolio de mesures (φ) composé des actions de mobilisation individuelles (Ωn). La gestion de risque est discuté avec plus de détails dans le chapitre suivant. En risque informationnel, l adjectif informationnel fait référence à l information. Notamment, le risque informationnel s intéresse aux risques relatifs à la sélection, la mise 33

Centre de recherche Hochelaga-Maisonneuve INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve

Centre de recherche Hochelaga-Maisonneuve INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve C R H O M A Centre de recherche Hochelaga-Maisonneuve INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL PAR MARC-ANDRÉ LÉGER Centre de recherche Hochelaga-Maisonneuve Introduction à la gestion de risque

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Canada Basketball prend les engagements suivants envers les ASP/T membres et les participants dûment enregistrés:

Canada Basketball prend les engagements suivants envers les ASP/T membres et les participants dûment enregistrés: Canada Basketball Politique de gestion des risques Préambule À titre d organisme sportif national de régie du basketball au Canada, Canada Basketball reconnaît que des risques existent dans toutes les

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Politique de gestion intégrée des risques

Politique de gestion intégrée des risques 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de gestion intégrée des risques Émise par la Direction, Gestion

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013)

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) (NOTE : Dans le présent document, le genre masculin est utilisé à titre épicène dans le but d alléger le texte.) TABLE DES MATIÈRES 1.

Plus en détail

POLITIQUE 2500-031. ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11. MODIFICATION : Conseil d administration Résolution :

POLITIQUE 2500-031. ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11. MODIFICATION : Conseil d administration Résolution : POLITIQUE 2500-031 TITRE : Politique de gestion intégrée des risques ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11 MODIFICATION : Conseil d administration Résolution : ENTRÉE EN

Plus en détail

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES Titre : POLITIQUE DE GESTION DES RISQUES CODE : APPROUVÉ PAR : CONSEIL D'ADMINISTRATION RÉS. : CA-617-7747 10-12-2013 EN VIGUEUR : 10-12-2013 MODIFICATIONS : Note : Le texte que vous consultez est une

Plus en détail

FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY

FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY I- Le processus de risk management selon ISO 27001(2005), NSIT : 8000 (2002) et Frosdick (1997) : Ce processus inclut

Plus en détail

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES Introduction : Le management des risques est un processus qui permet au Business Manager d équilibrer les coûts économiques et opérationnels et faire du

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Joël Darius Eloge ZODJIHOUE

Joël Darius Eloge ZODJIHOUE La gestion axée sur la Performance et les Résultats appliquée à la gestion des Finances Publiques: Préparation et Mise en place du Budget axée sur la performance et les résultats Joël Darius Eloge ZODJIHOUE

Plus en détail

PROGRAMME D ANALYSE DES INCIDENTS ET DE SENSIBILISATION DU PUBLIC

PROGRAMME D ANALYSE DES INCIDENTS ET DE SENSIBILISATION DU PUBLIC PROGRAMME D ANALYSE DES INCIDENTS ET DE SENSIBILISATION DU PUBLIC Janvier 2014 AVANT-PROPOS Dans un service de sécurité incendie, il y a de nombreuses mesures par lesquelles nous pouvons évaluer l efficacité

Plus en détail

2.0 Interprétation des cotes d évaluation des risques relatifs aux produits

2.0 Interprétation des cotes d évaluation des risques relatifs aux produits 2.0 Interprétation des cotes d évaluation des risques relatifs aux produits L interprétation des cotes attribuées dans le cadre des évaluations des risques relatifs aux produits décrite plus loin repose

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Chronique Gouvernance et Économie Hugues Lacroix, CA, MBA, IAS.A LA GESTION DES RISQUES 1. DES EXEMPLES QUI FRAPPENT

Chronique Gouvernance et Économie Hugues Lacroix, CA, MBA, IAS.A LA GESTION DES RISQUES 1. DES EXEMPLES QUI FRAPPENT Chronique Gouvernance et Économie Hugues Lacroix, CA, MBA, IAS.A LA GESTION DES RISQUES 1. DES EXEMPLES QUI FRAPPENT Spécial catastrophe ou simple malheur! Ce ne sont pas les exemples d évènements inusités

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014 OFFICE D INVESTISSEMENT DES RÉGIMES DE PENSION («INVESTISSEMENTS PSP») Approuvé par le conseil d administration le 13 novembre 2014 13 novembre 2014 PSP-Legal 1633578-1 Page 2 INTRODUCTION Le conseil d

Plus en détail

BIBLIOTHÈQUE ET ARCHIVES CANADA PLAN D ÉVALUATION 2008-2009

BIBLIOTHÈQUE ET ARCHIVES CANADA PLAN D ÉVALUATION 2008-2009 BIBLIOTHÈQUE ET ARCHIVES CANADA PLAN D ÉVALUATION 2008-2009 Division du rendement et de l information institutionnels Direction générale de la gestion intégrée Présenté au : Comité d évaluation de Bibliothèque

Plus en détail

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E Résumé Le présent rapport de recherche décrit les composantes d une infrastructure TI sécurisée pour le commerce électronique. L objectif est de fournir une description exhaustive des enjeux liés à la

Plus en détail

Comment assurer le plein potentiel de votre solution analytique. Guillaume Bédard, Directeur des Solutions d Affaires Odesia

Comment assurer le plein potentiel de votre solution analytique. Guillaume Bédard, Directeur des Solutions d Affaires Odesia L Comment assurer le plein potentiel de votre solution analytique ODESIA 1155 University suite 800 Montreal, Qc, Canada H3B 3A7 Phone: (514) 876-1155 Fax: (514) 876-1153 www.odesia.com Guillaume Bédard,

Plus en détail

Le pilotage des RisQues dans Le GRoupe 199

Le pilotage des RisQues dans Le GRoupe 199 Chapitre 5 LE PILOTAGE DES RISQUES DANS LE GROUPE Le changement et l incertitude sont les seuls éléments constants du monde actuel. Le nombre d événements susceptibles d affecter une entreprise et de la

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Gestion du risque d entreprise : solutions pratiques. Anne M. Marchetti

Gestion du risque d entreprise : solutions pratiques. Anne M. Marchetti Gestion du risque d entreprise : solutions pratiques Anne M. Marchetti Programme Aperçu général de la gestion des risques, de l évaluation des risques et du contrôle interne Contexte actuel Contrôle interne

Plus en détail

VILLE DE JOLIETTE POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO

VILLE DE JOLIETTE POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO VILLE DE JOLIETTE POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO Adoptée à la séance du 21 janvier 2013 par la résolution G2013-00-18 TABLE DES MATIÈRES Page 1. INTRODUCTION... 3 2. CADRE JURIDIQUE... 3 3.

Plus en détail

COMPÉTENCES, ÉLÉMENTS DE COMPÉTENCES ET RESSOURCES À MOBILISER POUR LE DESS, LA MAÎTRISE PROFESSIONNELLE, LA MAÎTRISE RECHERCHE ET LE DOCTORAT

COMPÉTENCES, ÉLÉMENTS DE COMPÉTENCES ET RESSOURCES À MOBILISER POUR LE DESS, LA MAÎTRISE PROFESSIONNELLE, LA MAÎTRISE RECHERCHE ET LE DOCTORAT Direction des affaires académiques et internationales Études supérieures COMPÉTENCES, ÉLÉMENTS DE COMPÉTENCES ET RESSOURCES À MOBILISER POUR LE DESS, LA MAÎTRISE PROFESSIONNELLE, LA MAÎTRISE RECHERCHE

Plus en détail

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence

Plus en détail

La Gestion globale et intégrée des risques

La Gestion globale et intégrée des risques La Gestion globale et intégrée des risques (Entreprise-wide Risk Management ERM) Une nouvelle perspective pour les établissements de santé Jean-Pierre MARBAIX Directeur Technique Ingénierie Gestion des

Plus en détail

RÈGLEMENTS POLITIQUES - PROCÉDURES

RÈGLEMENTS POLITIQUES - PROCÉDURES RÈGLEMENTS POLITIQUES - PROCÉDURES OBJET : Politique de santé globale du personnel COTE : DG 2013-02 APPROUVÉE PAR : Le conseil d administration le 26 février 2013 EN VIGUEUR LE : 26 février 2013 RESPONSABLE

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

MANUEL DE POLITIQUES ET PROCÉDURES PROVENANCE : NUMÉRO : DRH-006. Direction des ressources humaines OBJET : EN VIGUEUR :

MANUEL DE POLITIQUES ET PROCÉDURES PROVENANCE : NUMÉRO : DRH-006. Direction des ressources humaines OBJET : EN VIGUEUR : MANUEL DE POLITIQUES ET PROCÉDURES PROVENANCE : Direction des ressources humaines OBJET : Formation et développement des ressources humaines (excluant le personnel cadre) NUMÉRO : DRH-006 EN VIGUEUR :

Plus en détail

Politique : RH-B1 TITRE : Bénévoles. Adopté : 17 avril 2007. CATÉGORIE : Ressources humaines. Dernière révision : 25 janvier 2013

Politique : RH-B1 TITRE : Bénévoles. Adopté : 17 avril 2007. CATÉGORIE : Ressources humaines. Dernière révision : 25 janvier 2013 Politique : RH-B1 TITRE : Bénévoles CATÉGORIE : Ressources humaines SURVEILLANCE : juin 2014 Adopté : 17 avril 2007 Dernière révision : 25 janvier 2013 Révisée le : 20 septembre 2013 Le Centre de santé

Plus en détail

RECUEIL OFFICIEL RÈGLEMENTS, DIRECTIVES, POLITIQUES ET PROCÉDURES

RECUEIL OFFICIEL RÈGLEMENTS, DIRECTIVES, POLITIQUES ET PROCÉDURES ADMINISTRATION Numéro : 10.45 Page 1 de 6 PRÉAMBULE L application systématique d un cadre de gestion intégrée des risques s inscrit dans un processus d amélioration continue de la gouvernance et de la

Plus en détail

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Document d orientation aux organismes publics Annexe A Rôles et responsabilités détaillés des

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences NORME INTERNATIONALE ISO/CEI 27001 Deuxième édition 2013-10-01 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences Information technology

Plus en détail

L ANALYSE COUT-EFFICACITE

L ANALYSE COUT-EFFICACITE L ANALYSE COUT-EFFICACITE 1 Pourquoi utiliser cet outil en évaluation? L analyse coût-efficacité est un outil d aide à la décision. Il a pour but d identifier la voie la plus efficace, du point de vue

Plus en détail

Objet : Mise en œuvre du plan d efficience de TransÉnergie. Établir une démarche d efficience de votre organisation structurée;

Objet : Mise en œuvre du plan d efficience de TransÉnergie. Établir une démarche d efficience de votre organisation structurée; Rapport d étape HYDRO-QUÉBEC MISE EN ŒUVRE DU PLAN D EFFICIENCE DE TRANSÉNERGIE Raymond Chabot Grant Thornton & Cie Conseillers en administration Société en nom collectif Le 29 juin 2007 Monsieur Pierre

Plus en détail

PROFIL DE RISQUE INTÉGRÉ DE RENTES DU MOUVEMENT DESJARDINS (RRMD)

PROFIL DE RISQUE INTÉGRÉ DE RENTES DU MOUVEMENT DESJARDINS (RRMD) PROFIL DE RISQUE INTÉGRÉ DU RÉGIME R DE RENTES DU MOUVEMENT DESJARDINS (RRMD) 1 ICA 15 avril 2008 Le RRMD en chiffres Plus de 500 employeurs 35 900 participants actifs 6 600 retraités 12 000 en 2014 5,5

Plus en détail

Partage des connaissances

Partage des connaissances Nations Unies Département des opérations de maintien de la paix Département de l appui aux missions Réf. 2009.4 Directive Partage des connaissances Approbation de : Alain Le Roy, SGA aux opérations de

Plus en détail

Ministère de la Sécurité publique

Ministère de la Sécurité publique 4 Ministère de la Sécurité publique 1 LA GESTION DES RISQUES : UNE DISCIPLINE QUI S IMPOSE La gestion des risques est aujourd hui utilisée dans de nombreux domaines où les risques représentent une préoccupation

Plus en détail

Quelques conseils pour le choix des indicateurs

Quelques conseils pour le choix des indicateurs IDENTIFIER LES INDICATEURS ET LES CIBLES Pourquoi se doter d indicateurs de suivi Étant donné l aspect dynamique du contexte dans lequel s inscrit votre projet, il est important de mesurer de façon continue

Plus en détail

RESUME DES NORMES ISO

RESUME DES NORMES ISO RESUME DES NORMES ISO Travail réalisé par : Selma FERKOUS O8301 ISO 19011 : La norme internationale ISO 9011, se focalise sur le management de programmes d audit, la réalisation d audits internes ou externes

Plus en détail

POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DE BBA GROUPE FINANCIER

POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DE BBA GROUPE FINANCIER -+ POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS DE BBA GROUPE FINANCIER En tant qu entreprise de services, BBA se conforme à la Loi sur la protection des renseignements personnels dans le secteur

Plus en détail

Être conforme à la norme PCI. OUI, c est possible!

Être conforme à la norme PCI. OUI, c est possible! Être conforme à la norme PCI OUI, c est possible! Présentation Réseau Action TI 8 mai 2013 Johanne Darveau Directrice systèmes, portefeuille de projets et support applicatif Technologies de l information

Plus en détail

Indicateur stratégique : c est celui qui permet de suivre les objectifs définis au niveau stratégique liés à une orientation politique.

Indicateur stratégique : c est celui qui permet de suivre les objectifs définis au niveau stratégique liés à une orientation politique. DETERMINER LES INDICATEURS Une fois les objectifs clairement définis, il est nécessaire d y associer des indicateurs pour le suivi régulier des actions mises en œuvre en vue d atteindre la référence souhaitée.

Plus en détail

Tous droits réservés SELENIS

Tous droits réservés SELENIS 1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,

Plus en détail

Politique de placements

Politique de placements Politique de placements Le 7 octobre 2010 Politique de placements Table des matières 1. La mission de la Fondation pour le développement des coopératives en Outaouais 2. Les principes de la gouvernance

Plus en détail

Votre objectif. Notre ambition. Avant-propos. > à noter

Votre objectif. Notre ambition. Avant-propos. > à noter Avant-propos Avant-propos Votre objectif Vous souhaitez réussir un projet d amélioration ou développer une démarche jusqu à l obtention du certificat attestant sa conformité à un référentiel international

Plus en détail

TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION

TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION 1 TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION I. INTRODUCTION A. Objet et objectifs Le Conseil d administration (le «Conseil») de la société par actions Tembec Inc. (la «Société») est responsable de

Plus en détail

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302*

TP 14693F (05/2007) Aviation civile. Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Transports Canada Transport Canada TP 14693F (05/2007) Aviation civile Norme du Système de gestion intégrée TC-1002302 *TC 1002302* Imprimé au Canada Veuillez acheminer vos commentaires, vos commandes

Plus en détail

POLITIQUE SUR LA FORMATION ET SUR LE DÉVELOPPEMENT DES RESSOURCES HUMAINES

POLITIQUE SUR LA FORMATION ET SUR LE DÉVELOPPEMENT DES RESSOURCES HUMAINES POLITIQUE SUR LA FORMATION ET SUR LE DÉVELOPPEMENT DES RESSOURCES HUMAINES Politique adoptée par la Résolution CA-2013-2014-7 du conseil d administration du Conservatoire à sa 26 e séance ordinaire tenue

Plus en détail

TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications

TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications NO 1 Adoption par la direction générale : Date : Le 1 er octobre 2003 Dernière révision : 01/10/03

Plus en détail

GUIDE D APPEL D OFFRES. juillet 2013 à juin 2014 VOLET : ACTIVITÉS. janvier 2013

GUIDE D APPEL D OFFRES. juillet 2013 à juin 2014 VOLET : ACTIVITÉS. janvier 2013 GUIDE D APPEL D OFFRES VOLET : ACTIVITÉS juillet 2013 à juin 2014 janvier 2013 Québec en Forme est heureux d accompagner et de soutenir Rosemont Jeunesse en santé! AVANT TOUTE CHOSE ET POUR VOUS AIDER

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Édition : La Direction des communications du ministère de la Santé et des Services sociaux

Édition : La Direction des communications du ministère de la Santé et des Services sociaux Planification, performance et qualité Guide d élaboration des cadres de gestion des banques de données et de matériel biologique constituées à des fins de recherche Unité de l Éthique Octobre 2012 Rédaction

Plus en détail

PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC

PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC PLAN DE MATCH LE WEB A QUÉBEC 23 au 25 février 2011 - Version 1.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com Au programme

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION

MANDAT DU CONSEIL D ADMINISTRATION MANDAT DU CONSEIL D ADMINISTRATION Le conseil d administration (le «conseil») rend compte à l actionnaire et relève du Parlement par l intermédiaire du ministre de l Industrie. Le conseil assume la responsabilité

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

INTRODUCTION. Cadre d évaluation de la qualité des données (CEQD) (juillet 2003)

INTRODUCTION. Cadre d évaluation de la qualité des données (CEQD) (juillet 2003) INTRODUCTION Cadre d évaluation de la qualité des données (CEQD) (juillet 2003) Le cadre d évaluation des données (CEQD) propose une structure qui permet d évaluer la qualité des données en comparant les

Plus en détail

Livre Blanc Oracle Juin 2009. Gérer avec succès les risques des contrats pour établir une relation «gagnant-gagnant»

Livre Blanc Oracle Juin 2009. Gérer avec succès les risques des contrats pour établir une relation «gagnant-gagnant» Livre Blanc Oracle Juin 2009 Gérer avec succès les risques des contrats pour établir une relation «gagnant-gagnant» Préambule Ce livre blanc met en avant certains risques impliqués dans les travaux liés

Plus en détail

GESTION PERSONNELLE NIVEAU TROIS ÉCOLE SECONDAIRE

GESTION PERSONNELLE NIVEAU TROIS ÉCOLE SECONDAIRE Nom : Date : GESTION PERSONNELLE NIVEAU TROIS ÉCOLE SECONDAIRE Compétence 1 : Bâtir et maintenir une image de soi positive Niveau trois : Développer des habiletés afin de maintenir une image de soi positive

Plus en détail

Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme

Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme Serghei Floricel Dans l introduction nous avons mentionné que les projets d innovation suivent

Plus en détail

Proposition. Obtenir l approbation du conseil concernant les modifications proposées à la charte du Comité d audit

Proposition. Obtenir l approbation du conseil concernant les modifications proposées à la charte du Comité d audit Proposition N o : 2015-S05f Au : Conseil d administration Pour : DÉCISION Date : 2015-04-22 1. TITRE Modifications à la charte du Comité d audit 2. BUT DE LA PROPOSITION Obtenir l approbation du conseil

Plus en détail

de l invalidité Pour un retour au travail en santé

de l invalidité Pour un retour au travail en santé Services de gestion de l invalidité Pour un retour au travail en santé Nous visons un retour au travail en santé pour permettre à nos clients de continuer se concentrer sur leur entreprise Dans une petite

Plus en détail

Plan de continuité d activité

Plan de continuité d activité Plan de continuité d activité - Note méthodologique - Cette méthodologie vise à opérationnaliser le PCA en le confrontant - au travers d une simulation - à la réalité du travail futur. La démarche est

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

RAPPORT DE VÉRIFICATION INTERNE DU CADRE DE CONTRÔLE DE GESTION FINANCIÈRE DES INITIATIVES LIÉES AU PLAN D ACTION ÉCONOMIQUE DU CANADA (PAE) RAPPORT

RAPPORT DE VÉRIFICATION INTERNE DU CADRE DE CONTRÔLE DE GESTION FINANCIÈRE DES INITIATIVES LIÉES AU PLAN D ACTION ÉCONOMIQUE DU CANADA (PAE) RAPPORT RAPPORT DE VÉRIFICATION INTERNE DU CADRE DE CONTRÔLE DE GESTION FINANCIÈRE DES INITIATIVES LIÉES AU PLAN D ACTION ÉCONOMIQUE DU CANADA (PAE) RAPPORT Juillet 2010 PRÉPARÉ PAR LA DIRECTION GÉNÉRALE DE LA

Plus en détail

Nous concluons au travers de quatre axes principaux qui ont guidé la. 1) La théorie du regret de Loomes et Sugden comme théorie de la décision

Nous concluons au travers de quatre axes principaux qui ont guidé la. 1) La théorie du regret de Loomes et Sugden comme théorie de la décision Conclusion générale Nous concluons au travers de quatre axes principaux qui ont guidé la rédaction de cette thèse. 1) La théorie du regret de Loomes et Sugden comme théorie de la décision rationnelle compatible

Plus en détail

Mandat - Modèle détaillé

Mandat - Modèle détaillé La gouvernance des PME Mandat - Modèle détaillé - modèle détaillé mandat pour un comité consultatif Nous vous présentons ci-dessous un exemple de mandat pour un comité consultatif plus sophistiqué que

Plus en détail

DIRECTIVE DU COMMISSAIRE

DIRECTIVE DU COMMISSAIRE DIRECTIVE DU COMMISSAIRE SUJET: PROCESSUS INTERNE DE RÈGLEMENT DES DIFFÉRENDS N O: DC-12 DATE DE PUBLICATION: 10 AVRIL 2013 DATE D ENTRÉE EN VIGUEUR : 2 SEPTEMBRE 2013 INTRODUCTION Le gouvernement du Canada

Plus en détail

Politique de gestion des risques

Politique de gestion des risques Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement,

Plus en détail

ADAPTER LA METHODE AUX OBJECTIFS DE L ENQUETE

ADAPTER LA METHODE AUX OBJECTIFS DE L ENQUETE Déchets : outils et exemples pour agir Fiche méthode n 1 www.optigede.ademe.fr ADAPTER LA METHODE AUX OBJECTIFS DE L ENQUETE Origine et objectif de la fiche : Les retours d expérience des collectivités

Plus en détail

Jean-Francois DECROOCQ - 11/03/2011

Jean-Francois DECROOCQ - 11/03/2011 www.varm.fr Stratégie des risques Jean-Francois DECROOCQ - 11/03/2011 Sommaire Introduction... 2 La stratégie du risque... 2 I.0 Une démarche d entreprise... 2 I.1 Appétit pour le risque... 3 I.2 La tolérance

Plus en détail

TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE

TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE INTRODUCTION GENERALE La situation concurrentielle des dernières années a confronté les entreprises à des problèmes économiques.

Plus en détail

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA 1 APPEL D OFFRES ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA JUILLET 2013 2 1. OBJET DE L APPEL D OFFRE Réalisation d un accompagnement

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

SERVICES DU SECRÉTARIAT GÉNÉRAL POLITIQUE RELATIVE À LA GESTION DE DOCUMENTS

SERVICES DU SECRÉTARIAT GÉNÉRAL POLITIQUE RELATIVE À LA GESTION DE DOCUMENTS SERVICES DU SECRÉTARIAT GÉNÉRAL POLITIQUE RELATIVE À LA GESTION DE DOCUMENTS Numéro du document : 0601-08 Adoptée par la résolution : _484 0601 En date du : 5 juin 2001 Signature du directeur général Signature

Plus en détail

Comment préparer un dossier d affaires pour système ERP. Un guide étape par étape pour les décideurs de l industrie du plastique

Comment préparer un dossier d affaires pour système ERP. Un guide étape par étape pour les décideurs de l industrie du plastique Comment préparer un dossier d affaires pour système ERP Un guide étape par étape pour les décideurs de l industrie du plastique Comment préparer un dossier d affaires pour système ERP // Introduction Introduction

Plus en détail

Mobilisation des ressources 45. Définition et composantes

Mobilisation des ressources 45. Définition et composantes vec l ouverture du Maroc sur l environnement international et sur les mécanismes et les enjeux planétaires du développement et de la coopération socioéconomique, ainsi qu avec le développement du mouvement

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION

MANDAT DU CONSEIL D ADMINISTRATION MANDAT DU CONSEIL D ADMINISTRATION Transcontinental inc. (la Société) est une société dont les valeurs sous-tendent une saine gestion d entreprise. Son conseil d administration (le conseil) a pour mission

Plus en détail

GUIDE POUR LE DÉVELOPPEMENT DE COMPÉTENCES PROFESSIONNELLES (CP) POUR LE 3 ème STAGE

GUIDE POUR LE DÉVELOPPEMENT DE COMPÉTENCES PROFESSIONNELLES (CP) POUR LE 3 ème STAGE 1 GUIDE POUR LE DÉVELOPPEMENT DE COMPÉTENCES PROFESSIONNELLES (CP) POUR LE 3 ème DOMAINES: FONDEMENTS COMPÉTENCE 1: Agir en tant que professionnelle ou professionnel héritier, critique et interprète d

Plus en détail

PROTOCOLE DE COORDINATION DES CAS URGENTS D INTIMIDATION OU DE VIOLENCE Selon le Code des droits et des responsabilités (BD-3)

PROTOCOLE DE COORDINATION DES CAS URGENTS D INTIMIDATION OU DE VIOLENCE Selon le Code des droits et des responsabilités (BD-3) Selon le Code des droits et des responsabilités (BD-3) Remarque : Le masculin est utilisé pour faciliter la lecture. PRINCIPES FONDAMENTAUX Les incidents provoqués par des conduites intimidantes ou violentes

Plus en détail

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012 Évolutions de la norme NF EN ISO/CEI 17020 De la version 2005 à la version 2012 Plan de la présentation L intervention sera structurée suivant les 8 chapitres de la norme. Publiée le 1 er mars 2012, homologuée

Plus en détail

Notre modèle d engagement

Notre modèle d engagement Notre modèle d engagement 1. EVALUER L évaluation des compétences que vous souhaitez améliorer implique un vrai échange entre nos deux équipes, et une étude plus approfondie des écarts et des actions préalablement

Plus en détail

POLITIQUE DE GESTION DES DOCUMENTS

POLITIQUE DE GESTION DES DOCUMENTS MANUEL DE POLITIQUES, PROCÉDURES ET RÈGLEMENTS ADMINISTRATIFS POLITIQUE DE GESTION DES DOCUMENTS Code: Politique 2.8 Date d entrée en vigueur : Mai 2000 Nombre de pages: 9 Origine: Services juridiques

Plus en détail

Les principes et les thèmes PRINCE2

Les principes et les thèmes PRINCE2 31 Chapitre 3 Les principes et les thèmes PRINCE2 1. Les principes de la méthode PRINCE2 Les principes et les thèmes PRINCE2 Les principes de la méthode PRINCE2 définissent un cadre de bonnes pratiques

Plus en détail

La gestion de projet

La gestion de projet K E K σ C D C C O N S U L T A N T S rue Hugi 3 CH 2502 Biel Bienne Tél: +41 32 325 19 25 Fax: +41 32 325 19 29 e-mail: kessler@kek.ch www.kek.ch La gestion de projet Sommaire 1 Le concept de «projet» 1

Plus en détail

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur

Plus en détail

L intégration de l éthique aux décisions politiques : Consultation sur les enjeux éthiques du dépistage prénatal de la trisomie 21 au Québec

L intégration de l éthique aux décisions politiques : Consultation sur les enjeux éthiques du dépistage prénatal de la trisomie 21 au Québec L intégration de l éthique aux décisions politiques : Consultation sur les enjeux éthiques du dépistage prénatal de la trisomie 21 au Québec «L éthique pour guider la réflexion et influencer l élaboration

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Fiche Contenu 9-1 : Vue d ensemble sur l évaluation

Fiche Contenu 9-1 : Vue d ensemble sur l évaluation Fiche Contenu 9-1 : Vue d ensemble sur l évaluation Rôle dans le système de gestion de la qualité Qu est ce que l évaluation? Pourquoi réaliser une L évaluation est un élément important des 12 points essentiels.

Plus en détail

Termes de référence. «Stratégie de mobilisation sociale autour de l Ecole Marocaine» ****

Termes de référence. «Stratégie de mobilisation sociale autour de l Ecole Marocaine» **** Termes de référence «Stratégie de mobilisation sociale autour de l Ecole Marocaine» Contexte général **** La mobilisation nationale autour des réformes entamées depuis 2000 dans le secteur de l éducation,

Plus en détail

La gestion intégrée du risque, de la planification et du rendement au ministère des Finances Canada

La gestion intégrée du risque, de la planification et du rendement au ministère des Finances Canada La gestion intégrée du risque, de la planification et du rendement au ministère des Finances Canada IGF Québec : Journée thématique sur la gestion des risques Philippe Lajeunesse, Directeur principal Planification

Plus en détail

CONCOURS DE RECHERCHE 2014-2015 : ÉTUDE PILOTE À PETITE ÉCHELLE SUR L INNOVATION EN SÉCURITÉ DES PATIENTS

CONCOURS DE RECHERCHE 2014-2015 : ÉTUDE PILOTE À PETITE ÉCHELLE SUR L INNOVATION EN SÉCURITÉ DES PATIENTS CONCOURS DE RECHERCHE 2014-2015 : ÉTUDE PILOTE À PETITE ÉCHELLE SUR L INNOVATION EN SÉCURITÉ DES PATIENTS ANNONCE Le 15 janvier 2014 À l intention des chercheurs relevant d organismes de santé ou d universités

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

SUR LE PLAN COMMUNAUTAIRE

SUR LE PLAN COMMUNAUTAIRE Description de programme PROMOUVOIR L AUTONOMIE ÉCONOMIQUE SUR LE PLAN COMMUNAUTAIRE 1125, promenade Colonel By, Ottawa (Ontario) K1S 5B6 Tél. : (613) 520-2600, poste1588 Téléc. : (613) 529-3561 Courriel

Plus en détail