ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5

Transcription

1 ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC 6 FÉVRIER quebec.ca

2 VOLET GOUVERNANCE Ordre du jour Introduction/Objectifs; Survol de Cobit 5; Avancées majeures de Cobit 5 en sécurité de l information: Gouvernance selon Cobit 5 pour la sécurité de l information; Gouvernance de la sécurité des équipements mobiles; Gouvernance reliée au Cloud Modèle d implantation de Cobit 5 2

3 INTRODUCTION COBIT 5 peut être utilisé Intégralement Partiellement En complément 3

4 OBJECTIFS VOLET GOUVERNANCE Objectifs Préciser sous le volet de la gouvernance et des aspects de gestion, les avancées de COBIT 5 en terme de sécurité de l information. Note : Concernant le vocabulaire utilisé ex : Catalyseur/enabler 4

5 COBIT 5 VERSUS 4.1 COBIT 5 s'appuie et intègre les éléments de la précédente version de COBIT COBIT 4.1 Val IT Risk IT Bussiness Model for Infornation Security (BMIS) Les entreprises peuvent s'appuyer sur les outils qu ils ont développés à l'aide des versions antérieures 5

6 NORMES ET BONNES PRATIQUES 6

7 PRINCIPAUX ENJEUX DE LA GOUVERNANCE DES TI La gouvernance des TI vise à répondre à 5 objectifs de contrôle: 1 Aligner les investissements TI sur les besoins d affaires. 2 3 Évaluer et gérer les risques technologiques et d affaires Gérer les ressources humaines et matérielles 5 S assurer que les investissements TI sont sources de plus value Création de la valeur 4 Mesurer la performance des TI 7

8 CRÉATION DE LA VALEUR Créer de la valeur 8

9 9

10 COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA CRÉATION DE LA VALEUR Analyse risques Traitement risques Suivi et contrôle Gérer ressources TI de l organisation Réduire risques à un niveau acceptable 10

11 COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA CRÉATION DE LA VALEUR Analyse risques Traitement risques Suivi et contrôle 11

12 COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA CRÉATION DE LA VALEUR Analyse risques Traitement risques Suivi et contrôle Gérer ressources TI de l organisation Réduire risques à un niveau acceptable Créer de la valeur COBIT 5 aide les organisation à créer de la valeur par la gestion équilibrée des ressources TI et la réduction des risques à un niveau acceptable. 12

13 LA DISTINCTION GOUVERNANCE ET MANAGEMENT/GESTION Gouvernance Management/Gestion Évaluer Planifier. Surveiller Concevoir Mesurer Diriger. Processus Réaliser Gouvernance: évaluer, diriger, mesurer la réalisation des objectifs d affaires, ainsi que la conformité aux lois et règlements. La gouvernance relève du conseil d administration sous la direction du Président Management/Gestion: planifier, concevoir, réaliser et surveiller la mise en œuvre des orientations d affaires définies par la gouvernance. Le management est sous la responsabilité de la Direction générale qui relève du CEO (chief executive officer) 13

14 COBIT 5: UN RÉFÉRENTIEL APPLICABLE À TOUT TYPE D ORGANISATION Les principes et les catalyseurs développés par COBIT 5 sont applicables aux organisations de toute sorte et de toute taille: Organisations gouvernementales et municipales; Firmes de services-conseils; Organisations industrielles et commerciales; Établissements bancaires, d assurances; Organisations sans but lucratif (OSBL)... 14

15 COBIT 5 ET LA SÉCURITÉ DE L INFORMATION COBIT 5 traite spécifiquement de la sécurité de l information: En mettant l accent sur la nécessité d un système de gestion de la sécurité de l information aligné sur le domaine Align, Plan and Organise notamment le processus APO13 Gestion de la sécurité de l information; Le processus APO13 met l emphase sur la nécessité d un système de gestion de la sécurité de l information (SGSI) pour soutenir les principes de gouvernance et les objectifs d affaires impactés par la sécurité, en liaison avec le domaine «Evaluate, direct and monitor» 15

16 TROIS AVANCÉES MAJEURES EN SÉCURITÉ DE L INFORMATION! COBIT 5 pour la sécurité de l information; La sécurité des équipements mobiles avec COBIT 5 Objectifs de contrôle TI pour le Cloud 16

17 17

18 JUSQU OÙ ALLER DANS LA SÉCURITÉ? 18

19 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 1. Principes, Politiques, Cadre de référence «Framework» 19

20 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 2. Processus 1. Principes, Politiques, Cadre de référence 20

21 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 2. Processus 21

22 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 2. Processus 3. Structure organisationnelle 1. Principes, Politiques, Cadre de référence 22

23 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 3. Structure organisationnelle 23

24 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 2. Processus 3. Structure organisationnelle 4. Éthique, culture organisationnelle 1. Principes, Politiques, Cadre de référence 24

25 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 4. Éthique, culture organisationnelle 25

26 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 2. Processus 3. Structure organisationnelle 4. Éthique, culture organisationnelle 1. Principes, Politiques, Cadre de référence 5. Information Ressources de l Organisation 26

27 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 5. Information 27

28 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 2. Processus 3. Structure organisationnelle 4. Éthique, culture organisationnelle 1. Principes, Politiques, Cadre de référence 5. Information 6. Services, applications et infrastructure Ressources de l Organisation 28

29 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 6. Services, applications et infrastructure 29

30 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 2. Processus 3. Structure organisationnelle 4. Éthique, culture organisationnelle 1. Principes, Politiques, Cadre de référence 5. Information 6. Services, applications et infrastructure 7. Profils de personnes et compétences Ressources de l Organisation 30

31 CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI 7. Profils des personnes et compétences 31

32 MODÈLE GÉNÉRIQUE POUR LA MISE EN ŒUVRE DES CATALYSEURS Approche selon Cobit 5 pour la SI Parties prenantes Objectifs Cycle de vie Bonnes pratiques Dimensions catalyseur Internes; Externes. Qualité intrinsèque; Qualité contextuelle; Accessibilité et sécurité Planifier, Modéliser, concevoir, acquérir, opérer, évaluer, mettre à jour, disposer Adapter selon le catalyseur Gestion performance catalyseur Les besoins des parties prenantes sont ils adressés? A t on défini les objectifs? Le cycle de vie est il géré? Applique t on les bonnes pratiques? Métriques pour mesurer l atteinte des objectifs (Lag indicators) Métriques pour l application des catalyseurs (Lead indicators) 32

33 CATALYSEUR 1: PRINCIPES, POLITIQUES ET CADRE DE RÉFÉRENCE EN SI Véhicules utilisés pour communiquer les orientations de l entreprise en relation avec les objectifs de gouvernance définis par le conseil d administration et la Direction exécutive. 33

34 CATALYSEUR 1: PRINCIPES, POLITIQUES ET CADRE DE RÉFÉRENCE EN SI Approche selon Cobit 5 pour la SI Politiques Principes en sécurité Politique de sécurité Politiques spécifiques de sécurité Procédures de sécurité Exigences de sécurité et documentation Intrants Informations obligatoires; Standards, normes de sécurité; Modèles et référentiels Informations génériques; Standards, normes de sécurité; Modèles et référentiels 34

35 PRINCIPES EN SÉCURITÉ DE L INFORMATION Véhicules utilisés pour vulgariser les orientations de sécurité en relation avec les objectifs de gouvernance. ISACA, ISF et ISC ont développé des principes en SI orientés sur 3 axes: 35

36 PRINCIPES EN SÉCURITÉ DE L INFORMATION 1. Soutenir les affaires Intégrer la SI dans les activités d affaires essentielles; Évaluer et traiter les risques de sécurité; Promouvoir une culture d amélioration continue en SI 2. Sécuriser les actifs Définir une approche formelle pour gérer les risques; Catégoriser/classifier les actifs; Adopter des méthodes de développement sécuritaire 3. Sensibiliser les ressources Sensibilisation afin d obtenir des réflexes de sécurité; Implication de la haute direction 36

37 POLITIQUES EN SÉCURITÉ DE L INFORMATION Traduire sous forme de règles les principes de sécurité définis ainsi que leurs interrelations avec les processus décisionnels. Doivent être adaptées à la culture et au contexte organisationnel de l entreprise. Types de politique Politique de continuité et de reprise après sinistre Portée dans la fonction SI Analyse d impact d affaires (BIA); Plans de contingence d affaires; Exigences de relève pour les systèmes critiques; Plan de reprise après sinistre (DRP); Formation et tests du plan de reprise. 37

38 POLITIQUES EN SÉCURITÉ DE L INFORMATION Types de politique Portée dans la fonction SI Politique de gestion des actifs Classification des données; Propriété des données; Gestion du cycle de vie des actifs; Mesures de protection des actifs 38

39 POLITIQUES EN SÉCURITÉ DE L INFORMATION Types de politique Politique d acquisition, de développement et maintenance des systèmes et solutions logicielles Portée dans la fonction SI Définir les exigences de sécurité dans les processus d acquisition ou de développement; Pratiques de codage sécuritaire; Tester tester tester Intégrer la sécurité de l'information dans la gestion des changements et des configurations. 39

40 CATALYSEUR 2: PROCESSUS EN SÉCURITÉ DE L INFORMATION Les processus décrivent, suivant un ordre séquentiel, les intrants et extrants nécessaires pour l atteinte des objectifs de contrôle en sécurité de l information. Composants des processus selon Cobit 5 pour la SI Identifier le processus Décrire le processus Définir le processus Définir les buts et métriques du processus Activités du processus (Description détaillée ) 40

41 ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L INFORMATION APO001 Manage the IT Management Framework Area: Management Domain: APO Description du processus: Clarifier et maintenir la gouvernance TI au sein de l'entreprise. Mettre en œuvre et promouvoir les mécanismes et l autorité nécessaire pour gérer l'information et l'utilisation des TI à l'appui des objectifs de gouvernance. Déclaration d intention Fournir une approche de gestion cohérente afin de réaliser les exigences de gouvernance d'entreprise incluant les processus de gestion, et les structures organisationnelles (rôles et responsabilités)... Objectifs spécifiques à la sécurité Métriques spécifiques à la sécurité 1. S assurer de l alignement de la sécurité avec les TI, cadres méthodologiques et référentiels d entreprise. APO01.06: Définir la propriété des données et des systèmes. % des activités de sécurité à l intérieur du portefeuille de projets qui sont alignés sur la stratégie d'entreprise. Description détaillée des activités (exemple) Intrants APO01.05 : Définition et positionnement de la fonction SI à l intérieur de l organisation. Extrants APO11.01: Rôles et responsabilités en SI DSS05.02 : Lignes directrices pour la classification des données. Activités spécifiques à la sécurité: 1.Définir la propriété des systèmes et des données à l intérieur des processus de gestion de la sécurité; 2.Assigner un responsable de la sécurité des systèmes et des données à l intérieur des processus de gestion de la sécurité 41

42 ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L INFORMATION APO001 Manage the IT Management Framework Area: Management Domain: APO Description du processus: Clarifier et maintenir la gouvernance TI au sein de l'entreprise. Mettre en œuvre et promouvoir les mécanismes et l autorité nécessaire pour gérer l'information et l'utilisation des TI à l'appui des objectifs de gouvernance. 42

43 ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L INFORMATION APO001 Manage the IT Management Framework Area: Management Domain: APO Déclaration d intention Fournir une approche de gestion cohérente afin de réaliser les exigences de gouvernance d'entreprise incluant les processus de gestion, et les structures organisationnelles (rôles et responsabilités)... 43

44 ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L INFORMATION APO001 Manage the IT Management Framework Area: Management Domain: APO Objectifs spécifiques à la sécurité 1. S assurer de l alignement de la sécurité avec les TI, cadres méthodologiques et référentiels d entreprise. Métriques spécifiques à la sécurité % des activités de sécurité à l intérieur du portefeuille de projets qui sont alignés sur la stratégie d'entreprise. 44

45 ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L INFORMATION APO001 Manage the IT Management Framework Area: Management Domain: APO Description détaillée des activités (exemple) APO01.06: Définir la propriété des données et des systèmes. Intrants APO01.05 : Définition et positionnement de la fonction SI à l intérieur de l organisation. Extrants APO11.01: Rôles et responsabilités en SI DSS05.02 : Lignes directrices pour la classification des données. Activités spécifiques à la sécurité: 1.Définir la propriété des systèmes et des données à l intérieur des processus de gestion de la sécurité; 2.Assigner un responsable de la sécurité des systèmes et des données à l intérieur des processus de gestion de la sécurité 45

46 CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI. Responsabilités du CISO : Établir et maintenir le SMSI Définir et gérer le plan de gestion/traitement des risques et le plan de reprise Contrôle et audit du SMSI Niveau d'autorité : Responsable/imputable de la mise en œuvre et du maintien de la stratégie de sécurité de l'information. La reddition de comptes (imputabilité) et l'approbation des décisions importantes reliées à la sécurité de l information. CISO 46

47 CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Comité directeur/sécurité Regrouper les spécialistes qui permettront de bien gérer la sécurité de l information en entreprise. Exemples : RH-Auditeurs internes-légal etc. Communication des bonnes pratiques de sécurité de l information de même que leur implantation et suivi. 47

48 CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Comités de gestion des risques d entreprises Responsable de certains processus ou applications d affaires Responsable de communiquer les liens entre les affaires et la sécurité (impacts sur les usagers) Connaissance des risques reliés à l opération de même que les coûts/bénéfices des besoins de sécurité pour les directions 48

49 CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Responsable de la sécurité de l information Développe une vision commune pour l équipe de sécurité et le reste de l entreprise Gère le personnel relié à la sécurité de l information en fonction des besoins d affaires Effectue les évaluations de risque et définit les profils de risque Développe le plan de sécurité de l information Surveille les indicateurs de gestions reliés à la SI Identifie/communique les besoins en sensibilisation Responsable de l adhésion des ressources et de la haute direction aux bonnes pratiques de sécurité 49

50 CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Propriétaires de processus / responsables de la sécurité des données et des systèmes Communiquer, coordonner et conseiller l entreprise sur les efforts requis pour gérer les risques avec les gestionnaires hiérarchiques Rapporter les changement dans les besoins d affaires et les stratégies liés aux nouveaux produits ou aux changements des produits existants Responsable de rendre plus visible les aspects de sécurité de l information au travers de toute l entreprise. 50

51 CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI. CISO Collabore avec Comité directeur en sécurité Soutenus par: Comités de gestion des risques d entreprises Responsable de la sécurité de l information Propriétaires de processus / responsables de la sécurité des données et des systèmes 51

52 EXEMPLE DE STRUCTURE ORGANISATIONNELLE LE COMITÉ DIRECTEUR EN SI (EXEMPLE) Comité directeur en SI Composition Chief Information security officer (CISO) Responsable de la sécurité de l information Propriétaires de processus / responsables de la sécurité des données et des systèmes Gestionnaires TI Représentants de fonctions spécialisées Responsabilités Préside le comité directeur en SI; S assure de la collaboration entre le comité directeur et le comité de gestion des risques d entreprise Responsable de la sécurité de l information à la grandeur de l entreprise. Conception des communications, mise en œuvre et suivi des pratiques Lorsque requis, traite de la conception des solutions avec les architectes en sécurité de l information afin de mitiger les risques identifiés. Responsable de certains processus ou applications d affaires; Responsable de la communication de certaines initiatives d affaires qui peuvent avoir des incidences sur la sécurité de l information, ou de pratiques qui peuvent impacter les utilisateurs finaux; Avoir une bonne compréhension des risques opérationnels, les coûts et bénéfices de la sécurité de l information ainsi que les exigences de sécurité de leurs domaines d affaires. Formalise des rapports sur l'état des TI ainsi que les initiatives liées à la sécurité de l'information Présence de certaines fonctions spécialisées lorsque requis (représentants de l'audit interne, ressources humaines, juridiques, la gestion du projet); Ces fonctions peuvent être invitées à l'occasion ou en tant que membres permanents. Possibilité d'avoir des représentants de l'audit interne afin de conseiller le comité sur les risques de conformité. 52

53 CATALYSEUR 4: ÉTHIQUE, CULTURE ET COMPORTEMENTS EN SI Éthique organisationnelle: «Valeurs sur lesquelles l organisation veut évoluer» Éthique individuelle «Valeurs intrinsèques à chaque individu au sein de l organisation» Leadership «Moyens pouvant influencer le comportement désiré» Comportement 1 Comportement 2 Comportement 3 Comportement n 8 Prise en compte de la sécurité de l information dans les opérations quotidiennes. Respect de l'importance des principes et politiques en sécurité de l information Chacun est responsable de la protection de l information au sein de l'entreprise Les parties prenantes sont sensibles aux risques en sécurité de l information 53

54 CATALYSEUR 5: INFORMATION Gérer le cycle de vie de l information S assurer de la destruction sécurisée de l information Identifier, collecter et classifier l information. S assurer de la disponibilité de l intégrité et de la confidentialité de l information Stockage de l'information (fichiers électroniques, bases de données, entrepôts de données.) Utilisation de l information (décisions de gestion, exécution des processus automatisés..) 54

55 CATALYSEUR 7: PROFILS ET COMPÉTENCES DES PERSONNES EN SI COBIT 5 pour la sécurité de l information fournit des exemples d aptitudes et de compétences liés à la fonction SI (un exemple). Spécialiste en gouvernance de la sécurité Exigences Description Expériences Certifications pertinentes Connaissances Plusieurs années d'expérience en SI: Concevoir et mettre en œuvre des politiques de sécurité informatique; S assurer de la conformité avec la réglementation externe; Aligner la stratégie de sécurité de l'information avec la gouvernance d entreprise; Communiquer avec la direction exécutive CISM Aptitudes : Définir les mesures de sécurité spécifiques à la gouvernance de la SI Créer un modèle de mesure de la performance Élaborer une analyse de rentabilité des investissements en sécurité de l information Connaissances: Exigences légales et réglementaires concernant la sécurité des informations Rôles et responsabilités nécessaires à la sécurité de l'information dans toute l'entreprise Concepts fondamentaux en gouvernance de la SI Normes internationales, cadres référentiels et bonnes pratiques 55

56 CATALYSEUR 6 SERVICES, APPLICATIONS ET INFRASTRUCTURES 56

57 Securing Mobile Devices Using COBIT 5 for Information Security 57

58 LA MOBILITÉ AU SEIN DE L ENTREPRISE, UNE RÉALITÉ! Accès aux ressources TI de l entreprise via différentes plateformes et connexions réseau. Serveur web Serveur d annuaires Serveur fichiers Stockage Pare-feu Serveur messagerie Serveur BD Accès depuis des réseaux publics (aérogares, hôtels, restaurants.) Accès utilisateurs, réseau interne 58

59 PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS À LA MOBILITÉ Risques physiques: vol, divulgation d informations confidentielles L avènement de la mobilité comporte comme corollaire un accroissement exponentiel des risques de sécurité. 59

60 PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS À LA MOBILITÉ Risques technologiques: propagation de virus dans toute l infrastructure 60

61 PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS À LA MOBILITÉ RISQUES ORGANISATIONNELS ET OPÉRATIONNELS: GESTION DES ÉQUIPEMENTS MOBILES, ESPIONNAGE INDUSTRIEL. 61

62 RÉALISER UN DOSSIER D AFFAIRES SUR LA MOBILITÉ AU SEIN DE L ENTREPRISE Réaliser des études d opportunités: L'utilisation d équipements mobiles doit être liée à une recherche d efficacité et d efficience dans la réalisation des objectifs d affaires; Plus value et bénéfices: S assurer que l utilisation d équipements mobiles est source de valeur ajoutée au sein de l organisation; Risques: Identifier et évaluer les risques technologiques (interopérabilité), d affaires et de sécurité liés à la mobilité 62

63 NORMALISER L UTILISATION DES SOLUTIONS MOBILES AU SEIN DE L ENTREPRISE Normaliser l utilisation des équipements mobiles Politique de sécurité Politiques et normes Politique d utilisation des équipements mobiles Gestion des équipements mobiles (MDM) Règles de sécurité Gestion de la configuration Équipements Mobiles Gestion à distance Définir noyau des applicatifs 63

64 NORMALISER L UTILISATION DES SOLUTIONS MOBILES AU SEIN DE L ENTREPRISE Centrer les efforts de gouvernance sur l utilisateur Politique de sécurité Politiques et normes Politique d utilisation des équipements mobiles Utilisateur Exigences minimales Acceptation des règles Équipements Mobiles Gestion par l utilisateur Applications à risque 64

65 GÉRER LE CYCLE DE VIE DES ÉQUIPEMENTS MOBILES (BYOD) Contrat d achat (clause de sécurité, de responsabilité ) Cycle de test des équipements; Personnalisation (privilèges utilisateurs) Configuration (profil utilisateur), gestion de la sécurité; Services et maintenance; Gestion des risques / incidents de sécurité Formatage / destruction physique; Gestion des utilisateurs; Opérations parallèles 65

66 IT Control Objectives for Cloud Computing 66

67 GOUVERNANCE DANS LE CLOUD Réaliser un dossier d affaires Conformité légale Intégrité Gérer les risques du Cloud Confidentialité Gestion de la performance Assurer la continuité des affaires 67

68 GOUVERNANCE DANS LE CLOUD Gérer de manière efficace les risques reliés au Cloud, les projets et les partenaires Assurer la continuité des affaires au delà du centre de traitement informatique de l entreprise Communiquer clairement les objectifs relatifs au Cloud tant à l interne qu à l externe Adaptation rapide, flexibilité, capacité et services tout change avec le Cloud Création d opportunités et amélioration des coûts Assurer une continuité des connaissances Gérer la conformité 68

69 69

70 MODÈLE D IMPLANTATION DE COBIT 5 Gestion de programme Gestion du changement Amélioration continue 70

71

72 Gestion de programme Gestion du changement Amélioration continue

73 CONCLUSION (VOLET GOUVERNANCE) Réduire la complexité Accroire la rentabilité et la satisfaction des clientèles Améliorer l intégration de la sécurité des TI dans l entreprise Prise de décision éclairées avec une meilleure connaissance des risques Amélioration de la prévention, détection et reprise des opération Réduction des impacts des incidents de sécurité Meilleure gestion budgétaire des coûts liés à la sécurité de l information Distinction entre la gouvernance et la gestion Meilleure compréhension de la sécurité des TI 73

74 CONCLUSION (VOLET GOUVERNANCE) Les avancées de COBIT 5 permettent une prise en compte de bout en bout des préoccupations de sécurité pour l entreprise 74

75 MERCI Contact : Martin M Samson Directeur Exécutif Associé, Sécurité de l information martin.samson À nurun.com Martin.samson À videotron.ca poste