INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve

Dimension: px
Commencer à balayer dès la page:

Download "INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve"

Transcription

1 C R H O M A Centre de recherche Hochelaga-Maisonneuve INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL PAR MARC-ANDRÉ LÉGER Centre de recherche Hochelaga-Maisonneuve 1691, Pie-IX, Montréal, Qc, H1V 2C3 Téléphone:

2 Introduction à la gestion de risque informationnel par marc-andré Léger 1691, boul Pie-IX, Montréal, Québec, Canada, H1V 2C3 Livre électronique : isbn Version imprimée: isbn publié le 1er mars 2013 Dépôt légal - Bibliothèque et Archives nationales du Québec, 2013 Dépôt légal - Bibliothèque et Archives Canada,

3 Table des matières Chapitre 1: La sécurité! 9 Informatique ou informationnel?! 14 Mise en oeuvre sur le terrain! 18 Le risque! 28 La gestion de risque! 31 Exercice à réaliser en classe! 40 Questions de révision! 42 Bibliographie de ce chapitre! 49 Chapitre 2: La gestion de risque informationnel! 51 La perception! 56 Le changement! 60 Questions de révision! 66 Bibliographie! 72 Chapitre 3: L aléa! 73 Les menaces pouvant causer des dommages matériels! 75 Les menaces pouvant causer des dommages immatériels! 77 Hackers! 84 Aléas dans les projets TI! 87 Aléas en impartition! 90 Aléas en infonuagique! 92 Sources d aléas potentiels en infonuagique! 93 Exercice à faire en classe! 95 Bibliographie! 104 Chapitre 4: Les vulnérabilités! 105 Questions de révision! 114 Chapitre 5: L impact! 119 Externalisation! 126 Assurance! 127 Exercices à réaliser en classe! 128 Questions de révision! 131 Bibliographie! 135 3

4 Chapitre 6: La norme ISO 27005! 137 Les domaines de la norme! 140 Les critères de base d ISO 27005! 142 Les critères d acceptation des risques d ISO 27005! 144 L organisation de gestion de risque informationnel! 146 L évaluation des risques:! 148 L identification des actifs informationnels! 150 L identification des contrôles existants! 153 L identification des conséquences! 156 Les méthodes de mesure du risque selon ISO 27005! 158 L estimation qualitative du risque! 158 L estimation quantitative du risque! 159 L évaluation des conséquences! 160 L évaluation de la probabilité de réalisation des incidents! 162 Estimation du niveau de risque! 164 L évaluation du risque! 164 Chapitre 7: Les méthodologies d analyse de risque! 167 Comprendre ce qu est une méthodologie.! 168 La validité interne et externe! 170 La mesure des variables! 171 Les échelles de mesure! 173 L'échantillonnage! 175 OCTAVE! 176 MÉHARI! 180 Les éléments de MÉHARI! 181 EBIOS! 184 L établissement du contexte! 185 L appréciation des risques! 185 Le traitement des risques! 187 La validation du traitement des risques! 187 La communication et la concertation relatives aux risques! 187 La surveillance et la revue des risques! 189 Une démarche itérative en cinq modules! 189 4

5 Module 1 Étude du contexte! 189 Module 2 Étude des événements redoutés! 190 Module 4 Étude des risques! 190 Module 5 Étude des mesures de sécurité! 191 Questions de révision! 192 Chapitre 8: Le processus IPM! 199 Avant de débuter l analyse! 200 Phase 1: identification et évaluation des scénarios de risque! 202 Création des portfolios de risque! 218 Proposition et approbation du plan directeur! 221 Mise en oeuvre du plan directeur! 221 Sélection d un portfolio! 221 Proposition et approbation du plan directeur de gestion du risque informationnel!222 Mise en oeuvre du plan directeur! 222 Exercice en classe! 223 Questions de révision! 227 Bibliographie! 233 5

6

7 Introduction Ce livre porte sur la gestion du risque informationnel, c est-à-dire sur la gestion des risques associés à la gestion des informations dans les organisations. Nul ne douteront que les organisations modernes nécessitent de grande quantités d informations pour créer et maintenir un avantage compétitif. Aujourd hui, cette gestion de l information nécessite l utilisation par les organisations d une multitude de technologies de l information et de la communication, les TIC. L utilisation de technologies complexes et hétérogènes, comme les TIC, créent des risques que les organisations doivent maîtriser. De plus, l accès à l information et la connaissance qu elle transporte, par des utilisateurs autorisés, au moment opportun et dans divers lieux, est critique au fonctionnement efficace des organisations en ces temps de globalisation. C est ce qui rend un livre comme celui-ci essentiel à tous les gestionnaires, les responsables des TIC, les équipes techniques et l ensemble de ceux qui évoluent dans l écosystème informationnel de l organisation. Du matériel multimédia et des vidéos accompagne ce livre via le lien internet suivant: Introduction à la gestion de risque informationnel p a r M a r c - A n d r é L é g e r

8

9 Introduction à la gestion de risque informationnel Chapitre 1: La sécurité L organisation qui souhaite gérer ses risques informationnels le fait souvent dans une optique de sécurité, qu il s agisse de sécurité informatique ou sécurité de l information. Il est donc utile de débuter par une compréhension de ce qu est la sécurité. La sécurité désigne un état de fait, l absence de risque inacceptables. Cette définition générale est applicable dans plusieurs contexte. Par exemple, un individu se sentira en sécurité s il perçoit qu il n est pas en présence de risques qu il considère inacceptables ou qu un danger est imminent. S il souhaite traverser la rue, un risque inacceptable pour un individu serait une automobile qui arrive dans sa direction. Dans ce cas il ne traversera pas la rue, il attendra que la l automobile ai passé et que la situation soit devenue sécuritaire. Ainsi la notion de sécurité est indissociable de celle du risque. D une certaine façon la sécurité est le contraire du risque, il y a de la sécurité quand il n y a pas de risque inacceptable. De même, plus le risque est acceptable et plus la sécurité est élevé. Il y a plusieurs éléments importants à cette définition: La sécurité est un concept gradué; La sécurité comporte une dimension subjective; et L acceptabilité du risque varie selon le contexte. 9

10 Chapitre 1 La sécurité est un concept gradué C est-à-dire que l on peut être plus ou moins en sécurité, dépendant de l intensité du risque auquel nous faisons face, et à l étendue des intérêts visés. Il n existe aucun seuil métaphysique au-delà duquel nous entrons dans un état de sécurité, et en deçà duquel on peut dire que la sécurité manque. 10

11 Introduction à la gestion de risque informationnel La sécurité comporte une dimension subjective La sécurité est un sentiment qui, au même titre que la confiance, varie en fonction des individus, des communautés et du contexte. Le sentiment de sécurité, c est-à-dire, le sentiment que nos intérêts les plus fondamentaux ne sont pas menacés par des agents disposés à poser des gestes susceptibles de nous être préjudiciables, fait que nous n avons pas à faire des investissements de ressources matérielles ou psychologiques démesurées pour protéger ces intérêts, que nous pouvons au contraire investir ces ressources dans des activités productives. Ce sentiment est intimement lié à la prévisibilité. Le sentiment de sécurité n exige pas que nous soyons à l abri de tout risque inacceptable, mais plutôt que ceux auxquels nous faisons face se situent à l intérieur d un cadre de règles et de pratiques auxquels nous consentons. 11

12 Chapitre 1 L acceptabilité du risque varie selon le contexte Ce qui est inacceptable pour un individu, à un moment donné, dans un contexte donné peut varier. Cette tolérance à l acceptabilité peut varier dans le temps et selon le contexte. Par exemple, il est possible de tolérer un risque si les bénéfices envisagés par une activité, même à court terme, sont perçus comme étant suffisamment élevés pour justifier les possibles résultats non désirables. On peut penser aux fumeurs qui, par habitude ou par addiction, considèrent le tabagisme comme un risque acceptable. Encore, un individus qui s adonne dans ses loisirs à un sport extrême, par exemple la parachutisme depuis un immeuble ou un pont (base jumping), dont il retire un plaisir apporté par une surdose d adrénaline, comme un risque acceptable. 12

13 13 Introduction à la gestion de risque informationnel

14 Chapitre 1 Informatique ou informationnel? L informatique, dans ce livre, réfère aux technologies utilisées: les ordinateurs, périphériques et autres éléments techniques qui sont utilisés en TIC. L informatique est le support physique à l information sous une forme numérique. L informationnel est en relation aux informations, c est-à-dire aux données structurées, qui sont emmagasinées, manipulés et transmises en utilisant des outils informatiques. En considérant que ce qui contribue le plus à la création d un avantage compétitif d une organisation c est l information et non l informatique, l accent de ce livre est sur l informationnel. Nous parlerons donc de sécurité de l information et de risque informationnel. Quand nous parlerons de mesures particulières qui ont pour but de permettre de réduire, contrôler ou mitiger les risques, alors nous entrerons dans la sécurité informatique, c est-à-dire associé à des TIC. La sécurité de l information est une sous-catégorie de la sécurité de façon générale telle que nous l avons présenté précédemment. Elle est définie comme l ensemble des actions et des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou accidentelle des informations détenues par une organisation. L ensemble des ces informations forment le patrimoine informationnel de l organisation. Par patrimoine informationnel, nous entendons les données, informations, ressources informationnelles, actifs informationnels et l ensemble des TIC qui sont utilisés durant le cycle de vie de l information. 14

15 Introduction à la gestion de risque informationnel Les principaux objectifs de la sécurité de l information sont : la confidentialité des données, l intégrité des données, la disponibilité des données, Ces objectifs varient selon les situations, les contextes et le temps. Les objectifs de sécurité proviennent de différentes sources: besoins d'affaires, analyse de risque, politiques de sécurité, recueils de pratiques exemplaires, obligations légales ou contractuelles, lois et règlements, accords internationaux, codes d'éthique, de déontologie ou de gouvernance, normes locales, sectorielles, nationales ou internationales. Ce sont ces sources des objectifs de sécurité de l information qui doivent être identifiées afin définir les objectifs et les besoins de sécurité de l information (confidentialité, intégrité, disponibilité, etc.) qui seront utilisés en gestion de risque informationnel. Par exemple, dans le contexte d un organisation dans le domaine de la santé au Québec (Canada), nous identifions des objectifs de gestion de risque informationnels qui peuvent être catégorisés selon les multiples éléments suivants: 15

16 Chapitre 1 Confidentialité des données cliniques obtenues d un patient par un professionnel de la santé; Intégrité des données cliniques afin de s assurer qu elles ne sont pas altérés; Disponibilité des données au moment opportun pour le bien-être des patients; Non-répudiation de l accès et de l utilisation des données par les professionnels de la santé; Respect de l intégrité des individus et de leur dossier clinique, par exemple en exigeant un consentement libre et éclairé lors de la saisie des données et de leur utilisation; Transparence dans l utilisation des données cliniques, par exemple en interdisant le transfert des données d un patient à un tiers qui les utiliserait à des fins de publicité ou de vente de médicaments; Mise en oeuvre du principe de prudence. En plus d aider l organisation à atteindre ses objectifs, la sécurité de l information est nécessaire parce que la technologie appliquée à l information crée des risques. Des composants logicielles peuvent comporter des failles ou des bogues. Les composantes matérielles peuvent être défectueuses, souffrir de bris ou s user. Globalement, l information pourrait être indûment communiqué (sa confidentialité pourrait être compromise), modifié de manière inappropriée (son intégrité peut être compromise), détruite ou perdue (sa disponibilité pourrait être compromise). Cette compromission des données pourra causer une réduction de l avantage compétitif que l organisation espérait obtenir des TIC, tel que des pertes économiques au propriétaire de l information, qu elles soient avérées ou non. La perte pourrait être directe (par la 16

17 Introduction à la gestion de risque informationnel réduction de la valeur de l actif d information lui-même) ou indirecte (par le biais d interruption de service, des dommages à la réputation, la perte d un avantage concurrentiel, la responsabilité juridique, etc.). 17

18 Chapitre 1 Mise en oeuvre sur le terrain Nous proposons la mise en oeuvre de la sécurité de l information sur le terrain en utilisant le modèle des trois P (Prévention, protection, punition) de mise en oeuvre de la sécurité de l information. Ce modèle est structuré selon 3 axes: la prévention: de mesures de prévention seront mise en oeuvre dans l organisation. Par exemple, une politique de sécurité, un processus formel d analyse de risque, des audits TI annuels et un programme de sensibilisation des employés et de formation des ressources informatiques. la protection: la mise en oeuvre d actions de mitigation de risque ou l allocations des rôles et des responsabilités en matière de gestion à des individus dans l organisation et la mise en oeuvre de processus de gestion des incidents, de recouvrement en cas de sinistres et de continuité des affaires. la punition: il sera nécessaires des actions punitives en cas de non respect ou de contournement volontaires des deux premiers axes. 18

19 Introduction à la gestion de risque informationnel La politique de sécurité Sur le terrain, la mise en oeuvre de la sécurité de l information débute par l élaboration d une politique de sécurité qui s intègre dans le premier P: la prévention. Cette politique décrit ce qui est autorisé et ce qui est interdit. La politique de sécurité de l information devrait mettre en évidence la valeur de l information et la mesure dans laquelle on en a besoin, ainsi que l importance de la sécurité de l information pour l organisation. Elle devrait identifier les exigences minimales au plan de la conformité et des règlements en matière de sécurité. La politique de sécurité inclut des éléments tels que: la politique de gestion des risques, la catégorisation et l étiquetage d information, la sécurité du personnel et matérielle, les exigences juridiques et contractuelles, l élaboration et le fonctionnement des systèmes, la planification de la poursuite des activités, la production de rapports sur les incidents et les exigences d intervention, l application de mesures en cas de violation et la sensibilisation à la sécurité et la formation. La politique peut tenir compte de tout système d information critique ou des exigences pertinentes. Elle doit cependant identifier les besoins en matière de sécurité de l information développée en fonction des sept objectifs mentionnés précédemment. Il est nécessaire que soient assigné les rôles et les responsabilités en matière de sécurité de l information et la distribution des responsabilités dans la structure organisationnelle. Dans les organisations qui effectuent des projets de développement, il faut inclure la sécurité de l information dans le développement de systèmes d information et dans les 19

20 Chapitre 1 processus de mise en place ou d achats de systèmes d information. De plus la politique devrait : définir les règles et les procédures en matière de sécurité de l information; définir les procédures pour l identification de la nature sensible et la classification de l information; identifier la stratégie de gestion du risque; définir les besoins en matière de continuité des affaires; définir des normes de gestion des ressources humaines; prévoir des plans de sensibilisation des employés et de formation continue en matière de sécurité de l information; encadrer les obligations légales; identifier les règles de la gestion de l impartition et des tiers; et définir la stratégie de gestion des incidents. 20

21 Introduction à la gestion de risque informationnel Mise en oeuvre de la politique Une fois qu une politique de sécurité de l information a été définie, la tâche suivante consiste à appliquer la politique. Pour ce faire, l organisation déploie un mélange de processus d affaires et de mécanismes techniques. Ce sont ces mécanismes de sécurité de l information qui forment la sécurité informatique. Ces processus et mécanismes entrent dans six catégories: Les mesures de prévention, tels que la sensibilisations de ses employés et la formation de son personnel technique. Les mesures de protection, ce qui consiste à mettre en place des processus d affaires et des mécanismes techniques qui visent à prévenir que des aléas se produisent, à réduire la probabilité qu ils se produisent ou à minimiser leur impact. Les mesures de détection qui servent à alerter l organisation quand des aléas surviennent afin qu elle puisse prendre des actions afin de minimiser leur impact sur l organisation. Les processus et mesures de réponse face aux conséquences d aléas afin d optimiser le retour à état d équilibre. Des processus de réponses peuvent aussi inclurent des mesures punitives selon le troisième P: punition (réprimandes ou renvoi d employés), criminelles (référé du dossier à des forces policières) ou légales (poursuites). Les mesures d assurance afin de valider l efficacité et le bon fonctionnement de la protection, de détection et les mesures d intervention. L audit pour déterminer l efficacité des processus et des mesures. 21

22 Chapitre 1 22

23 Introduction à la gestion de risque informationnel Création d un comité de sécurité Il est recommandé de créer un comité de sécurité de l information pour assister l organisation dans l élaboration de sa politique de sécurité et pour l ensemble des activités de gestion du risque informationnel. Le comité devrait comprendre de quatre (4) à sept (7) membres et devrait comprendre : un membre identifié comme chef de projet; le principal responsable de la sécurité s il y en a un; des représentants du groupe ayant la responsabilité opérationnelle et budgétaire des TIC; des représentants des responsables de l exécution de la mission de l organisation; un représentant des ressources humaines; et un conseiller juridique. Des accommodements sont nécessaire selon la taille de l organisation. Dans un premier temps le chef de projet devrait être identifié. Celui-ci pourra prendre en charge le suivi des différentes étapes de la méthodologie, dont la création du comité de sécurité de l information. Il pourra documenter les règles de fonctionnement du comité et s assurer de conserver des minutes des rencontres. Les membres du comité pourront varier selon les besoins de l organisation et les priorités des gestionnaires de l organisation. La structure et le modus operandi du comité de sécurité de l information devraient tenir compte de cette possibilité. 23

24 Chapitre 1 24

25 Introduction à la gestion de risque informationnel Les objectifs de sécurité L organisation devra définir ses objectifs de sécurité, les exprimer en terme de besoins spécifiques (confidentialité,intégrité,disponibilité, etc.) et faire un inventaire des éléments de son patrimoine informationnel. Entre autre, cela lui permettra d identifier les éléments à risque qui sont plus prioritaires auxquels les efforts de gestion de risque devront s attaquer en premier. Il est proposé de rencontrer les ayants cause de la sécurité, c est-àdire les membres de l organisation qui ont un rôle à jouer da la sécurité de l information, les propriétaire des actifs informationnels et les gestionnaires de l organisation pour valider avec eux les besoins de sécurité. 25

26 Chapitre 1 Amélioration continue Évidemment, le travail n est jamais terminé. La sécurité de l information doit appliquer les principes d amélioration continue. La définition de la politique, la protection, et les tâches de vérification sont effectuées maintes et maintes fois, et les leçons apprises à chaque fois à travers le cycle sont appliquées lors du prochain cycle. 26

27 Introduction à la gestion de risque informationnel Principe de prudence La sécurité de l information doit appliquer le principe de prudence. En cas de doutes sur l importance relative d un actif informationnel, sur l importance des dommages, sur la probabilité de réalisation d un aléa ou en cas d incertitude quant aux résultats, les individus impliqués en gestion de risque informationnel devraient choisir la décision sage, vertueuse et prudente afin de minimiser les risques. Ils devraient diligemment chercher à obtenir suffisamment d informations pour prendre une décision éclairée. Ceci ne signifie pas qu il est préférable de ne pas prendre de décision, ce qui peut être pire. Mais dans le doute, le gestionnaire devrait agir en bon père de famille. 27

28 Chapitre 1 Le risque Nous avons mentionné que la sécurité est définie par l absence de risque inacceptables. De plus, la mise en oeuvre de la sécurité de l information, qui débute par la politique de sécurité de l information et l identification des objectifs de sécurité, doit s appuyer sur l identification du risque et la détermination de ce qui est acceptable et, plus précisément, non-acceptable dans un contexte organisationnel particulier. Il est important de comprendre ce que signifie le risque en général et le risque informationnel plus précisément. Il n y a pas une seule définition du risque. Une recherche sur Google avec les mots risque ou risk propose plus de résultats. Il ressort d une analyse de la littérature scientifique sur le risque que beaucoup de ce qui a été écrit sur ce sujet est basé sur des données anecdotiques et sur des études limitées à un aspect particulier. Dans cette section, nous présentons les principales définitions du risque qui sont utile pour la compréhension des concepts présentés. Notre objectif est de présenter au lecteur les éléments d une définition contextuelle du risque appliqué à la sécurité de l information qui permettra d identifier les variables qui pourrons être utilisés pour la gestion du risque informationnel. Le risque est un construit social, il dépend de celui qui le perçoit, de la nature du risque et du domaine dans lequel on s intéresse au risque. Selon les différentes sources que l on retrouve, le mot risque tire ses origines de plusieurs sources, entre autres: 28

29 Introduction à la gestion de risque informationnel du terme italien (Moyen âge) risco signifiant rocher escarpé, écueil, utilisé par les premières compagnies d assurance pour désigner le péril couru en mer, du latin resecum signifiant coupant et du mot arabe rizq. Le risque réfère à des situations par lesquelles un individu assigne des probabilités mathématiques aux événements aléatoires auxquels il fait face (par exemple 10%, 1 fois aux 10 ans, 0,5). Le risque est présent même si cette assignation est subjective et utilise des échelles nominative (par exemple bas, moyen ou élevé). Le risque est aussi défini comme une variation possible des résultats sur une période déterminé dans une situation donnée. On retrouve dans le risque une notion implicite de discontinuité, de désastres, de surprise, d inconnu ou d ignorance. Le risque est souvent défini comme une combinaison de la probabilité d occurrence d un dommage et de sa gravité. Cette définition est valable seulement dans les cas ou nous disposons de données probantes suffisantes, par exemple des données historiques, qui permettent de démontrer que les probabilités d'occurrence d aléas comparables sont distribué également dans le temps. Dans cette situation, il s agira de risque objectif, lorsque la variation existe dans la nature et est la même pour tous les individus dans une situation identique. Le risque objectif se différencie du risque subjectif, c est-à-dire lorsqu il y a estimation du risque objectif par un individu. 29

30 Chapitre 1 Ce qui n est pas du risque Quand on ne peut exprimer l aléatoire par des probabilités, mêmes subjectives, on doit plutôt parler d incertitude. Il est important de distinguer ces deux termes, risque et incertitude. Car, bien qu on puisse espérer gérer le risque, il est impossible de gérer l incertitude. Le mot risque est généralement utilisé lorsqu il existe au moins la possibilité de conséquences négatives d un aléa, tel qu une réduction de l avantage compétitif attendu (conséquence négative) d un processus d affaire ou d un système d information après une intrusion par un cybercriminel ou hacker (l aléa). S il ne s agit que de conséquences probables positives, on parlera plutôt de possibilités. La gestion de possibilités ne fera pas appel à des mesures de mitigation de risque, on accueillera favorablement le bénéfice inattendu ou inespéré. Ainsi, la gestion des possibilités positives n est pas de la gestion de risque. De même, si un résultat est inévitable on utilisera le terme certitude: la mort éventuelle de tout organisme vivant est une certitude. On pourra la retarder, mais pas l éviter. Nul ne peut gérer la certitude, on peux s y préparer et, dans les meilleurs cas, retarder l inévitable. 30

31 Introduction à la gestion de risque informationnel La gestion de risque L idée que le risque peut être géré peut être compris comme une conséquence à long terme d un désastre naturel qui s est produit à Lisbonne, au Portugal, en 1755, combiné à la découverte des probabilités par Blaise Pascal et à d autres avancées en mathématiques d abord et en sciences de la gestion ensuite. Le désastre de Lisbonne marque un point tournant dans le monde occidental moderne de la vision de l aléa comme un acte divin, tel qu illustré par un poème de Voltaire, vers une approche rationnelle qui peut être soumise à un traitement scientifique. C est la réponse de Rousseau à Voltaire qui sème le germe de gestion du risque: Serait-ce à dire que l ordre du monde doit changer selon nos caprices, que la nature doit être soumise à nos lois, et que pour lui interdire un tremblement de terre en quelque lieu, nous n avons qu à y bâtir une ville? La gestion est la mise en œuvre de moyens humains et matériels d une organisation pour atteindre des objectifs préalablement fixés. La croissance des bureaucraties professionnelles dans nos sociétés a transformé l appareil administratif d organisations en une puissante machine de gestion des organisations dont les opérations visent l efficacité et la prévisibilité dans l atteinte de ses objectifs. Dans une organisation du secteur privé, l efficacité est mesuré avec des variables de nature pécuniaire ou mesurés en part de marché. Dans le cas d un organisation du secteur public, l efficacité peut être mesuré par une livraison efficiente de services à la population. Par 31

32 Chapitre 1 exemple, dans une organisation publique du secteur de la santé, telle qu est existe au Québec, l efficacité peut être mesurée par une amélioration de la qualité de vie, la réduction de la morbidité ou de la mortalité dans une population cible. Cette machine de gestion s exprime par des actes visant une transformation du monde réel par le travail, la médiation ou l instrumentation. La gestion du risque est nécessaire parce les organisations doivent identifier ce qui est prévisible afin d assurer leur pérennité et identifier les actions susceptibles de produire des résultats qui réduisent son efficacité, qui vont à l encontre de l atteinte de ses objectifs ou qui produisent des résultats négatifs. L organisation doit identifier les risques les plus significatifs pour elle. Ainsi, la gestion de risque est l une des composantes d une gestion prudente et diligente. C est-àdire que, sachant qu il existe la possibilité qu ils se produisent des aléas susceptible de réduire l utilité espérée ou de nuire à l atteinte efficace des objectifs, le gestionnaire, en tant qu acteur individuel vertueux, doit tenir compte du risque. De plus, la saine gouvernance d une organisation, par exemple dans le cadre normatif de gouvernance tel que ISO 38500, la conformité à des cadres de gestion, tel que COBIT ou ISO 27001, requiert la mise en oeuvre d un programme de gestion de risque formalisé. Fondamentalement, la gestion du risque est accomplie par des activités d identification (I) et d évaluation des scénarios de risque (les combinaisons d élément à risque, aléas et de vulnérabilités susceptible de causer des dommages), de la priorisation (P) de ces scénarios (en fonction de l importance des dommages ou de la réduction de l Utilité espérée (μ) au delà de l appétence au risque de l organisation) et des actions de mobilisation (M) de ses 32

33 Introduction à la gestion de risque informationnel ressources humaines et financières pour un traitement approprié du risque: le processus IPM qui sera traité plus en détails plus loin. Ces actions de mobilisation vont généralement prendre les formes suivantes: Ignorer le risque : l organisation peut décider consciemment d ignorer le risque. Éviter le risque : l organisation pourra décider de ne pas poursuivre une opportunité car elle considère que le risque ne vaut pas la chandelle. Accepter le risque : l organisation détermine que le risque associé à un scénario donnée est acceptable pour l organisation compte tenu de ses contraintes, des ses objectifs d affaires ou de sa résilience. Mitiger le risque par la mise en oeuvre de mécanismes de protection, de détection ou de réponse: par exemple par la mise en place d un pare- feu, une organisation réduira la menace d intrusion de son réseau informatique via l Internet. Transférer le risque : une organisation pourrait décider de prendre une police d assurance qui couvre un risque précis, une organisation pourrait aussi transférer le risque, contractuellement, à un tiers ou l externaliser via d autres mécanismes. Les actions de mobilisation (Ω) seront diverses et nombreuses en fonction des différents risques auxquels fait face l organisation. L ensemble des actions de mobilisation (Ω), pour une période de temps (Δt) défini à priori dans un espace (s) donné, formeront le portfolio de mesures (φ) composé des actions de mobilisation individuelles (Ωn). La gestion de risque est discuté avec plus de détails dans le chapitre suivant. En risque informationnel, l adjectif informationnel fait référence à l information. Notamment, le risque informationnel s intéresse aux risques relatifs à la sélection, la mise 33

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Chronique Gouvernance et Économie Hugues Lacroix, CA, MBA, IAS.A LA GESTION DES RISQUES 1. DES EXEMPLES QUI FRAPPENT

Chronique Gouvernance et Économie Hugues Lacroix, CA, MBA, IAS.A LA GESTION DES RISQUES 1. DES EXEMPLES QUI FRAPPENT Chronique Gouvernance et Économie Hugues Lacroix, CA, MBA, IAS.A LA GESTION DES RISQUES 1. DES EXEMPLES QUI FRAPPENT Spécial catastrophe ou simple malheur! Ce ne sont pas les exemples d évènements inusités

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

ajustement Audit des cadres ERM

ajustement Audit des cadres ERM Alex andra Psic a, cmc RESPONSABLE DE DIRECTION INTERIS CONSULTING INC. D ANS L ABSOLU, LE CADRE DE MANAGEMENT DES RISQUES DE l entreprise (ERM) doit être suffisamment adapté à ses objectifs, à ses risques

Plus en détail

Droit d auteur Max2G 2012 : Reproduction permise avec obligation d indiquer la source www.max2g.com

Droit d auteur Max2G 2012 : Reproduction permise avec obligation d indiquer la source www.max2g.com Max2G Démarche d analyse de risques avec l Assistant Méhari L analyse de risques est une approche de gestion permettant d identifier les risques négatifs pouvant affecter une organisation et de déterminer

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Politique de gestion des risques

Politique de gestion des risques Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement,

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Ministère de la Sécurité publique

Ministère de la Sécurité publique 4 Ministère de la Sécurité publique 1 LA GESTION DES RISQUES : UNE DISCIPLINE QUI S IMPOSE La gestion des risques est aujourd hui utilisée dans de nombreux domaines où les risques représentent une préoccupation

Plus en détail

Commentaires présentés à. L Autorité des marchés financiers

Commentaires présentés à. L Autorité des marchés financiers Consultation sur les projets de «Ligne directrice sur la conformité» «Ligne directrice sur les risques liés à l impartition» «Ligne directrice sur la gouvernance» «Ligne directrice sur la gestion intégrée

Plus en détail

FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY

FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY I- Le processus de risk management selon ISO 27001(2005), NSIT : 8000 (2002) et Frosdick (1997) : Ce processus inclut

Plus en détail

Modèle de gouvernance de la sécurité des TI

Modèle de gouvernance de la sécurité des TI Modèle de gouvernance de la sécurité des TI www.pr4gm4.com par la gestion des risques et le SMSI (Cf. ISO 2700x) Présentation Février 2010 Copyright 2010 - PR4GM4 1 Contexte: le triangle des affaires Sites

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre 2013. This document is also available in English.

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre 2013. This document is also available in English. Note d orientation : La simulation de crise Établissements de catégorie 2 This document is also available in English. La présente Note d orientation s adresse à toutes les caisses populaires de catégorie

Plus en détail

Politique de sécurité de l information. Numéro de document : 867 Version : 4.2

Politique de sécurité de l information. Numéro de document : 867 Version : 4.2 Politique de sécurité de l information Numéro de document : 867 Version : 4.2 Avis de copyright Copyright 2012, cybersanté Ontario Tous droits réservés Aucun élément de ce document ne peut être reproduit

Plus en détail

Résumé de «The psychology of Security- DRAFT»

Résumé de «The psychology of Security- DRAFT» Résumé de «The psychology of Security- DRAFT» 1. Introduction La sécurité est un sentiment et une réalité. La réalité de la sécurité est mathématique, elle est basée sur la probabilité de différents risques

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

DIRECTIVE DIRECTIVE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE

DIRECTIVE DIRECTIVE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE DIRECTIVE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE DIRECTIVE SUR LA GESTION DES PROJETS MAJEURS D INFRASTRUCTURE PUBLIQUE Avis au lecteur sur l accessibilité : Ce document est conforme

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Indicateurs de la compétence. de l infirmière et infirmier auxiliaire Juin 2003

Indicateurs de la compétence. de l infirmière et infirmier auxiliaire Juin 2003 Indicateurs de la compétence de l infirmière et infirmier auxiliaire Juin 2003 Indicateurs de la compétence de l infirmière et infirmier auxiliaire Édité par : L Ordre des infirmières et des infirmiers

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

Le management des risques de l entreprise

Le management des risques de l entreprise présentent Le management des risques de l entreprise Cadre de Référence Techniques d application COSO II Report Préface de PHILIPPE CHRISTELLE Président de l Institut de l Audit Interne et de SERGE VILLEPELET

Plus en détail

Les règles d utilisation de la vidéosurveillance avec enregistrement dans les lieux publics par les organismes publics

Les règles d utilisation de la vidéosurveillance avec enregistrement dans les lieux publics par les organismes publics Les règles d utilisation de la vidéosurveillance avec enregistrement dans les lieux publics par les organismes publics Juin 2004 TABLE DES MATIÈRES PRÉSENTATION... 1 LE CHAMP D APPLICATION... 1 LA JUSTIFICATION...

Plus en détail

Politique de gestion intégrée des risques

Politique de gestion intégrée des risques 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de gestion intégrée des risques Émise par la Direction, Gestion

Plus en détail

NORME INTERNATIONALE D AUDIT 530 SONDAGES EN AUDIT

NORME INTERNATIONALE D AUDIT 530 SONDAGES EN AUDIT Introduction NORME INTERNATIONALE D AUDIT 530 SONDAGES EN AUDIT (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe Champ d application

Plus en détail

Conseils sur la prise en compte des frais dans les évaluations de provisionnement

Conseils sur la prise en compte des frais dans les évaluations de provisionnement Note éducative révisée Conseils sur la prise en compte des frais dans les évaluations de provisionnement Commission des rapports financiers des régimes de retraite Septembre 2014 Document 214101 This document

Plus en détail

2.0 Interprétation des cotes d évaluation des risques relatifs aux produits

2.0 Interprétation des cotes d évaluation des risques relatifs aux produits 2.0 Interprétation des cotes d évaluation des risques relatifs aux produits L interprétation des cotes attribuées dans le cadre des évaluations des risques relatifs aux produits décrite plus loin repose

Plus en détail

Sommaire. Introduction...3. 1. Les principes d action de l effort éthique...4. 2. Les valeurs... 5. 3. La philosophie de gestion...

Sommaire. Introduction...3. 1. Les principes d action de l effort éthique...4. 2. Les valeurs... 5. 3. La philosophie de gestion... Adopté par le conseil d administration le 31 mars 2009 CADRE DE RÉFÉRENCE EN MATIÈRE D ÉTHIQUE Sommaire Introduction...3 1. Les principes d action de l effort éthique...4 2. Les valeurs................................

Plus en détail

Le management des risques de l entreprise Cadre de Référence. Synthèse

Le management des risques de l entreprise Cadre de Référence. Synthèse Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction

Plus en détail

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES Introduction : Le management des risques est un processus qui permet au Business Manager d équilibrer les coûts économiques et opérationnels et faire du

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Ingénierie, design et communication COM-21573

Ingénierie, design et communication COM-21573 Notes de cours Module 1 La gestion de projets d ingénierie Édition Hiver07 FSG 2007 Ingénierie, design et communication Daniel Dupuis Faculté des sciences et de génie Université Laval Faculté des sciences

Plus en détail

D ACTION L A N. Plan d action. sur les infrastructures essentielles

D ACTION L A N. Plan d action. sur les infrastructures essentielles D ACTION L A N Plan d action sur les infrastructures essentielles Sa Majesté la Reine du Chef du Canada, 2009 No de cat. : PS4-66/2009F-PDF ISBN : 978-1-100-90319-4 Imprimé au Canada Table des matières

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

1. La sécurité applicative

1. La sécurité applicative ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité

Plus en détail

PROJET DE CONCEPTION (6GIN333)

PROJET DE CONCEPTION (6GIN333) PROJET DE CONCEPTION (6GIN333) Cours #7 Hiver 2012 Ordre du jour Gestion des risques Introduction Concepts & définitions Processus d analyse Outils & méthodes Résultats Pause de 15 minutes Suivit des coûts

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

La gestion des risques dans les grands projets d infrastructure publique. Guide méthodologique

La gestion des risques dans les grands projets d infrastructure publique. Guide méthodologique La gestion des risques dans les grands projets d infrastructure publique Guide méthodologique Ce document a été rédigé par Infrastructure Québec Vous pouvez obtenir de l information au sujet d Infrastructure

Plus en détail

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC 6 FÉVRIER 2013 http://www.isaca quebec.ca VOLET GOUVERNANCE Ordre du jour Introduction/Objectifs;

Plus en détail

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013)

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) (NOTE : Dans le présent document, le genre masculin est utilisé à titre épicène dans le but d alléger le texte.) TABLE DES MATIÈRES 1.

Plus en détail

NORME INTERNATIONALE D AUDIT 300 PLANIFICATION D UN AUDIT D ETATS FINANCIERS

NORME INTERNATIONALE D AUDIT 300 PLANIFICATION D UN AUDIT D ETATS FINANCIERS NORME INTERNATIONALE D AUDIT 300 PLANIFICATION D UN AUDIT D ETATS FINANCIERS Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe

Plus en détail

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents

Plus en détail

Cartographie des risques informatiques : exemples, méthodes et outils

Cartographie des risques informatiques : exemples, méthodes et outils : exemples, méthodes et outils Gina Gullà-Ménez, Directeur de l Audit des Processus et des Projets SI, Sanofi-Aventis Vincent Manière Consultant Construction d une cartographie des risques : quel modèle

Plus en détail

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC TABLE DES MATIÈRES CONTENU 1 PRÉAMBULE ----------------------------------------------------------------------------------------- 3 1.1 Définitions

Plus en détail

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur

Plus en détail

Chapitre 1 : Vérification des heures supplémentaires

Chapitre 1 : Vérification des heures supplémentaires Chapitre 1 : Vérification des heures supplémentaires Besoin d une gestion plus serrée des heures supplémentaires Ottawa, le 2 mai 2006 La Ville d Ottawa devrait mettre en place une série de mesures dans

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

Politique Utilisation des actifs informationnels

Politique Utilisation des actifs informationnels Politique Utilisation des actifs informationnels Direction des technologies de l information Adopté le 15 octobre 2007 Révisé le 2 juillet 2013 TABLE DES MATIÈRES 1. OBJECTIFS... 3 2. DÉFINITIONS... 3

Plus en détail

La démarche québécoise de développement durable. Comment le gestionnaire de parc immobilier est-il concerné?

La démarche québécoise de développement durable. Comment le gestionnaire de parc immobilier est-il concerné? La démarche québécoise de développement durable Comment le gestionnaire de parc immobilier est-il concerné? Visez vert des gestes durables AGPI Robert Lauzon, directeur Bureau de coordination du développement

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Politique de gestion du risque

Politique de gestion du risque Juin 2004 Politique de gestion du risque INTRODUCTION La politique du risque intégré (ci-après appelée la politique) est un document de haut niveau qui décrit l approche et la stratégie de Génome Canada

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009)

Plus en détail

Groupe d experts sur les sciences humaines

Groupe d experts sur les sciences humaines Groupe d experts sur les sciences humaines Rapport Le rôle accru des sciences humaines dans le 7 e programme-cadre Le 7 e programme-cadre (7 e PC) marque une nouvelle étape de l inclusion des sciences

Plus en détail

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES Titre : POLITIQUE DE GESTION DES RISQUES CODE : APPROUVÉ PAR : CONSEIL D'ADMINISTRATION RÉS. : CA-617-7747 10-12-2013 EN VIGUEUR : 10-12-2013 MODIFICATIONS : Note : Le texte que vous consultez est une

Plus en détail

RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER

RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER A Demande R-3491-2002 RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER HYDRO-QUÉBEC ÉVALUATION DU PROJET SIC ET RECOMMANDATIONS, 7 AOÛT 2002 Original : 2002-09-20 HQD-2, Document 1 (En liasse) Rapport

Plus en détail

L ANALYSE COUT-EFFICACITE

L ANALYSE COUT-EFFICACITE L ANALYSE COUT-EFFICACITE 1 Pourquoi utiliser cet outil en évaluation? L analyse coût-efficacité est un outil d aide à la décision. Il a pour but d identifier la voie la plus efficace, du point de vue

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Comité consultatif sur la sélection judicieuse des fournisseurs en matière de TI Bienvenue. Le 16 août 2013 (Point 1)

Comité consultatif sur la sélection judicieuse des fournisseurs en matière de TI Bienvenue. Le 16 août 2013 (Point 1) Comité consultatif sur la sélection judicieuse des fournisseurs en matière de TI Bienvenue Le 16 août 2013 (Point 1) Ordre du jour 1. Objectif et résultats visés de la journée 2. Cadre de soutien analytique/décisionnel

Plus en détail

Université de Lausanne

Université de Lausanne Université de Lausanne Records management et archivage électronique : cadre normatif Page 2 Ce qui se conçoit bien s énonce clairement Nicolas Boileau Page 3 Table des matières Qu est- ce que le «records

Plus en détail

Note - Dans le présent document, le générique masculin est utilisé sans aucune discrimination et uniquement dans le but d alléger le texte.

Note - Dans le présent document, le générique masculin est utilisé sans aucune discrimination et uniquement dans le but d alléger le texte. Mémoire de la Fédération des commissions scolaires du Québec concernant le projet de loi n o 133 sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

Domaines de consultation bso

Domaines de consultation bso Domaines de consultation bso Supervision Compétences-clé Conseil en organisation Coaching La supervision, le conseil en organisation et le coaching sont des domaines de consultation professionnels adaptés

Plus en détail

MÉTHODOLOGIE DE PLANIFICATION FINANCIÈRE

MÉTHODOLOGIE DE PLANIFICATION FINANCIÈRE MÉTHODOLOGIE DE PLANIFICATION FINANCIÈRE Les outils de planification MeDirect proposent des solutions de planification d investissement en ligne qui fournissent des projections de votre patrimoine et des

Plus en détail

Document de référence. Gestion du stress

Document de référence. Gestion du stress Document de référence Gestion du stress Table des matières Introduction 2 Définition du stress 2 Les causes du stress au travail 2 Les catégories de stress : le stress positif et le stress négatif 2 Les

Plus en détail

Politique et Standards Santé, Sécurité et Environnement

Politique et Standards Santé, Sécurité et Environnement Politique et Standards Santé, Sécurité et Environnement Depuis la création de Syngenta en 2000, nous avons accordé la plus haute importance à la santé, à la sécurité et à l environnement (SSE) ainsi qu

Plus en détail

Comment assurer le plein potentiel de votre solution analytique. Guillaume Bédard, Directeur des Solutions d Affaires Odesia

Comment assurer le plein potentiel de votre solution analytique. Guillaume Bédard, Directeur des Solutions d Affaires Odesia L Comment assurer le plein potentiel de votre solution analytique ODESIA 1155 University suite 800 Montreal, Qc, Canada H3B 3A7 Phone: (514) 876-1155 Fax: (514) 876-1153 www.odesia.com Guillaume Bédard,

Plus en détail

RESUME DES NORMES ISO

RESUME DES NORMES ISO RESUME DES NORMES ISO Travail réalisé par : Selma FERKOUS O8301 ISO 19011 : La norme internationale ISO 9011, se focalise sur le management de programmes d audit, la réalisation d audits internes ou externes

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Sécurité de l information

Sécurité de l information Avis au lecteur sur l accessibilité : Ce document est conforme au standard du gouvernement du Québec SGQRI 008-02 (SGQRI 008-03, multimédia : capsules d information et de sensibilisation vidéo) afin d

Plus en détail

CONDITIONS GENERALES D ACHAT BONTAZ CENTRE

CONDITIONS GENERALES D ACHAT BONTAZ CENTRE CONDITIONS GENERALES D ACHAT BONTAZ CENTRE Article 1 : Objet et champ d application Sauf accord particulier dûment négocié entre les parties sous quelque forme que ce soit, ces présentes conditions générales

Plus en détail

La reddition de comptes

La reddition de comptes Bureau du vérificateur interne Votre référence en gestion, risque et contrôle La reddition de comptes Novembre 2005 TABLE DES MATIÈRES Page 1. Introduction... 1 2. Une définition de la reddition de comptes...

Plus en détail

Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération Pour l exercice terminé le 31 décembre 2014 4.9 Gestion de la continuité des affaires Table des

Plus en détail

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence

Plus en détail

ASSOCIATION MEDICALE MONDIALE DECLARATION D HELSINKI Principes éthiques applicables à la recherche médicale impliquant des êtres humains

ASSOCIATION MEDICALE MONDIALE DECLARATION D HELSINKI Principes éthiques applicables à la recherche médicale impliquant des êtres humains ASSOCIATION MEDICALE MONDIALE DECLARATION D HELSINKI Principes éthiques applicables à la recherche médicale impliquant des êtres humains Adoptée par la 18e Assemblée générale de l AMM, Helsinki, Finlande,

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Chapitre 6 La gestion des incidents Quelles que soient la qualité du système d information mis en place dans l entreprise ou les compétences des techniciens

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013) POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013) Le générique masculin est utilisé sans discrimination uniquement dans le but d alléger le texte. 1. OBJECTIFS Gérer efficacement

Plus en détail

- Guide du participant -

- Guide du participant - Il se produit plusieurs centaines de tremblements de terre chaque année au Québec, répertoriés principalement dans trois zones distinctes, soit Charlevoix-Kamouraska, Ouest du Québec et Bas-Saint-Laurent-Côte-Nord.

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

Organisme de formation : n 11 92 19791 92. Déclaration d activité enregistrée auprès du Préfet de région Ile de France

Organisme de formation : n 11 92 19791 92. Déclaration d activité enregistrée auprès du Préfet de région Ile de France ASCORA RISQUES MANAGEMENT CONSEIL AUDIT FORMATION 2015 Une démarche unique, globale et intégrée de management des risques créatrice de valeur Des prestations essentiellement effectuées au sein de votre

Plus en détail

PROJET PROJET LIGNE DIRECTRICE SUR L AGRÉGATION DES DONNÉES SUR LES RISQUES ET LA DIVULGATION DES RISQUES

PROJET PROJET LIGNE DIRECTRICE SUR L AGRÉGATION DES DONNÉES SUR LES RISQUES ET LA DIVULGATION DES RISQUES PROJET LIGNE DIRECTRICE SUR L AGRÉGATION DES DONNÉES SUR LES RISQUES ET LA DIVULGATION DES RISQUES Février 2016 TABLE DES MATIÈRES Préambule... 3 Champ d application... 4 Prise d effet et processus de

Plus en détail

Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme

Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme Serghei Floricel Dans l introduction nous avons mentionné que les projets d innovation suivent

Plus en détail

3.7. Les sondages dans la révision (6 septembre 1996) 91

3.7. Les sondages dans la révision (6 septembre 1996) 91 c est-à-dire des relations qui sont inattendues ou contradictoires avec des éléments probants obtenus par d autres voies, le réviseur devra procéder à leur étude. Cette étude commencera habituellement

Plus en détail

Gestion industrielle alternance études/stages

Gestion industrielle alternance études/stages Gestion industrielle alternance études/stages EJN18 Objectifs du programme Former des individus aptes à agir en tant que superviseur de la production ou contremaître ou technicien en gestion industrielle.

Plus en détail

Indications concernant les normes de la Banque du Canada en matière de gestion des risques pour les infrastructures de marchés financiers désignées

Indications concernant les normes de la Banque du Canada en matière de gestion des risques pour les infrastructures de marchés financiers désignées Indications concernant les normes de la Banque du Canada en matière de gestion des risques pour les infrastructures de marchés financiers désignées Norme 7 : Risque de liquidité Objectif Selon les Principes

Plus en détail

POLITIQUE 2500-031. ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11. MODIFICATION : Conseil d administration Résolution :

POLITIQUE 2500-031. ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11. MODIFICATION : Conseil d administration Résolution : POLITIQUE 2500-031 TITRE : Politique de gestion intégrée des risques ADOPTÉE PAR : Conseil d administration Résolution : CA-2013-05-27-11 MODIFICATION : Conseil d administration Résolution : ENTRÉE EN

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

Politique d utilisation acceptable des données et des technologies de l information

Politique d utilisation acceptable des données et des technologies de l information Politique d utilisation acceptable des données et des technologies de l information Connexion région du Grand Toronto (ConnexionRGT) Version 1.0 Avis de droit d auteur cybersanté Ontario, 2014. Tous droits

Plus en détail

Politique relative à l utilisation de la vidéosurveillance dans les lieux publics exploités par l AMT ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 18

Politique relative à l utilisation de la vidéosurveillance dans les lieux publics exploités par l AMT ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 18 Politique relative à l utilisation de la vidéosurveillance dans les lieux publics exploités par l AMT ADOPTÉE PAR LE CONSEIL D ADMINISTRATION LE 18 DÉCEMBRE 2009 PAR VOIE DE RÉSOLUTION N O 09-CA(AMT)-348

Plus en détail