INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve
|
|
- Delphine Malo
- il y a 8 ans
- Total affichages :
Transcription
1 C R H O M A Centre de recherche Hochelaga-Maisonneuve INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL PAR MARC-ANDRÉ LÉGER Centre de recherche Hochelaga-Maisonneuve 1691, Pie-IX, Montréal, Qc, H1V 2C3 Téléphone:
2 Introduction à la gestion de risque informationnel par marc-andré Léger 1691, boul Pie-IX, Montréal, Québec, Canada, H1V 2C3 Livre électronique : isbn Version imprimée: isbn publié le 1er mars 2013 Dépôt légal - Bibliothèque et Archives nationales du Québec, 2013 Dépôt légal - Bibliothèque et Archives Canada,
3 Table des matières Chapitre 1: La sécurité! 9 Informatique ou informationnel?! 14 Mise en oeuvre sur le terrain! 18 Le risque! 28 La gestion de risque! 31 Exercice à réaliser en classe! 40 Questions de révision! 42 Bibliographie de ce chapitre! 49 Chapitre 2: La gestion de risque informationnel! 51 La perception! 56 Le changement! 60 Questions de révision! 66 Bibliographie! 72 Chapitre 3: L aléa! 73 Les menaces pouvant causer des dommages matériels! 75 Les menaces pouvant causer des dommages immatériels! 77 Hackers! 84 Aléas dans les projets TI! 87 Aléas en impartition! 90 Aléas en infonuagique! 92 Sources d aléas potentiels en infonuagique! 93 Exercice à faire en classe! 95 Bibliographie! 104 Chapitre 4: Les vulnérabilités! 105 Questions de révision! 114 Chapitre 5: L impact! 119 Externalisation! 126 Assurance! 127 Exercices à réaliser en classe! 128 Questions de révision! 131 Bibliographie! 135 3
4 Chapitre 6: La norme ISO 27005! 137 Les domaines de la norme! 140 Les critères de base d ISO 27005! 142 Les critères d acceptation des risques d ISO 27005! 144 L organisation de gestion de risque informationnel! 146 L évaluation des risques:! 148 L identification des actifs informationnels! 150 L identification des contrôles existants! 153 L identification des conséquences! 156 Les méthodes de mesure du risque selon ISO 27005! 158 L estimation qualitative du risque! 158 L estimation quantitative du risque! 159 L évaluation des conséquences! 160 L évaluation de la probabilité de réalisation des incidents! 162 Estimation du niveau de risque! 164 L évaluation du risque! 164 Chapitre 7: Les méthodologies d analyse de risque! 167 Comprendre ce qu est une méthodologie.! 168 La validité interne et externe! 170 La mesure des variables! 171 Les échelles de mesure! 173 L'échantillonnage! 175 OCTAVE! 176 MÉHARI! 180 Les éléments de MÉHARI! 181 EBIOS! 184 L établissement du contexte! 185 L appréciation des risques! 185 Le traitement des risques! 187 La validation du traitement des risques! 187 La communication et la concertation relatives aux risques! 187 La surveillance et la revue des risques! 189 Une démarche itérative en cinq modules! 189 4
5 Module 1 Étude du contexte! 189 Module 2 Étude des événements redoutés! 190 Module 4 Étude des risques! 190 Module 5 Étude des mesures de sécurité! 191 Questions de révision! 192 Chapitre 8: Le processus IPM! 199 Avant de débuter l analyse! 200 Phase 1: identification et évaluation des scénarios de risque! 202 Création des portfolios de risque! 218 Proposition et approbation du plan directeur! 221 Mise en oeuvre du plan directeur! 221 Sélection d un portfolio! 221 Proposition et approbation du plan directeur de gestion du risque informationnel!222 Mise en oeuvre du plan directeur! 222 Exercice en classe! 223 Questions de révision! 227 Bibliographie! 233 5
6
7 Introduction Ce livre porte sur la gestion du risque informationnel, c est-à-dire sur la gestion des risques associés à la gestion des informations dans les organisations. Nul ne douteront que les organisations modernes nécessitent de grande quantités d informations pour créer et maintenir un avantage compétitif. Aujourd hui, cette gestion de l information nécessite l utilisation par les organisations d une multitude de technologies de l information et de la communication, les TIC. L utilisation de technologies complexes et hétérogènes, comme les TIC, créent des risques que les organisations doivent maîtriser. De plus, l accès à l information et la connaissance qu elle transporte, par des utilisateurs autorisés, au moment opportun et dans divers lieux, est critique au fonctionnement efficace des organisations en ces temps de globalisation. C est ce qui rend un livre comme celui-ci essentiel à tous les gestionnaires, les responsables des TIC, les équipes techniques et l ensemble de ceux qui évoluent dans l écosystème informationnel de l organisation. Du matériel multimédia et des vidéos accompagne ce livre via le lien internet suivant: Introduction à la gestion de risque informationnel p a r M a r c - A n d r é L é g e r
8
9 Introduction à la gestion de risque informationnel Chapitre 1: La sécurité L organisation qui souhaite gérer ses risques informationnels le fait souvent dans une optique de sécurité, qu il s agisse de sécurité informatique ou sécurité de l information. Il est donc utile de débuter par une compréhension de ce qu est la sécurité. La sécurité désigne un état de fait, l absence de risque inacceptables. Cette définition générale est applicable dans plusieurs contexte. Par exemple, un individu se sentira en sécurité s il perçoit qu il n est pas en présence de risques qu il considère inacceptables ou qu un danger est imminent. S il souhaite traverser la rue, un risque inacceptable pour un individu serait une automobile qui arrive dans sa direction. Dans ce cas il ne traversera pas la rue, il attendra que la l automobile ai passé et que la situation soit devenue sécuritaire. Ainsi la notion de sécurité est indissociable de celle du risque. D une certaine façon la sécurité est le contraire du risque, il y a de la sécurité quand il n y a pas de risque inacceptable. De même, plus le risque est acceptable et plus la sécurité est élevé. Il y a plusieurs éléments importants à cette définition: La sécurité est un concept gradué; La sécurité comporte une dimension subjective; et L acceptabilité du risque varie selon le contexte. 9
10 Chapitre 1 La sécurité est un concept gradué C est-à-dire que l on peut être plus ou moins en sécurité, dépendant de l intensité du risque auquel nous faisons face, et à l étendue des intérêts visés. Il n existe aucun seuil métaphysique au-delà duquel nous entrons dans un état de sécurité, et en deçà duquel on peut dire que la sécurité manque. 10
11 Introduction à la gestion de risque informationnel La sécurité comporte une dimension subjective La sécurité est un sentiment qui, au même titre que la confiance, varie en fonction des individus, des communautés et du contexte. Le sentiment de sécurité, c est-à-dire, le sentiment que nos intérêts les plus fondamentaux ne sont pas menacés par des agents disposés à poser des gestes susceptibles de nous être préjudiciables, fait que nous n avons pas à faire des investissements de ressources matérielles ou psychologiques démesurées pour protéger ces intérêts, que nous pouvons au contraire investir ces ressources dans des activités productives. Ce sentiment est intimement lié à la prévisibilité. Le sentiment de sécurité n exige pas que nous soyons à l abri de tout risque inacceptable, mais plutôt que ceux auxquels nous faisons face se situent à l intérieur d un cadre de règles et de pratiques auxquels nous consentons. 11
12 Chapitre 1 L acceptabilité du risque varie selon le contexte Ce qui est inacceptable pour un individu, à un moment donné, dans un contexte donné peut varier. Cette tolérance à l acceptabilité peut varier dans le temps et selon le contexte. Par exemple, il est possible de tolérer un risque si les bénéfices envisagés par une activité, même à court terme, sont perçus comme étant suffisamment élevés pour justifier les possibles résultats non désirables. On peut penser aux fumeurs qui, par habitude ou par addiction, considèrent le tabagisme comme un risque acceptable. Encore, un individus qui s adonne dans ses loisirs à un sport extrême, par exemple la parachutisme depuis un immeuble ou un pont (base jumping), dont il retire un plaisir apporté par une surdose d adrénaline, comme un risque acceptable. 12
13 13 Introduction à la gestion de risque informationnel
14 Chapitre 1 Informatique ou informationnel? L informatique, dans ce livre, réfère aux technologies utilisées: les ordinateurs, périphériques et autres éléments techniques qui sont utilisés en TIC. L informatique est le support physique à l information sous une forme numérique. L informationnel est en relation aux informations, c est-à-dire aux données structurées, qui sont emmagasinées, manipulés et transmises en utilisant des outils informatiques. En considérant que ce qui contribue le plus à la création d un avantage compétitif d une organisation c est l information et non l informatique, l accent de ce livre est sur l informationnel. Nous parlerons donc de sécurité de l information et de risque informationnel. Quand nous parlerons de mesures particulières qui ont pour but de permettre de réduire, contrôler ou mitiger les risques, alors nous entrerons dans la sécurité informatique, c est-à-dire associé à des TIC. La sécurité de l information est une sous-catégorie de la sécurité de façon générale telle que nous l avons présenté précédemment. Elle est définie comme l ensemble des actions et des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou accidentelle des informations détenues par une organisation. L ensemble des ces informations forment le patrimoine informationnel de l organisation. Par patrimoine informationnel, nous entendons les données, informations, ressources informationnelles, actifs informationnels et l ensemble des TIC qui sont utilisés durant le cycle de vie de l information. 14
15 Introduction à la gestion de risque informationnel Les principaux objectifs de la sécurité de l information sont : la confidentialité des données, l intégrité des données, la disponibilité des données, Ces objectifs varient selon les situations, les contextes et le temps. Les objectifs de sécurité proviennent de différentes sources: besoins d'affaires, analyse de risque, politiques de sécurité, recueils de pratiques exemplaires, obligations légales ou contractuelles, lois et règlements, accords internationaux, codes d'éthique, de déontologie ou de gouvernance, normes locales, sectorielles, nationales ou internationales. Ce sont ces sources des objectifs de sécurité de l information qui doivent être identifiées afin définir les objectifs et les besoins de sécurité de l information (confidentialité, intégrité, disponibilité, etc.) qui seront utilisés en gestion de risque informationnel. Par exemple, dans le contexte d un organisation dans le domaine de la santé au Québec (Canada), nous identifions des objectifs de gestion de risque informationnels qui peuvent être catégorisés selon les multiples éléments suivants: 15
16 Chapitre 1 Confidentialité des données cliniques obtenues d un patient par un professionnel de la santé; Intégrité des données cliniques afin de s assurer qu elles ne sont pas altérés; Disponibilité des données au moment opportun pour le bien-être des patients; Non-répudiation de l accès et de l utilisation des données par les professionnels de la santé; Respect de l intégrité des individus et de leur dossier clinique, par exemple en exigeant un consentement libre et éclairé lors de la saisie des données et de leur utilisation; Transparence dans l utilisation des données cliniques, par exemple en interdisant le transfert des données d un patient à un tiers qui les utiliserait à des fins de publicité ou de vente de médicaments; Mise en oeuvre du principe de prudence. En plus d aider l organisation à atteindre ses objectifs, la sécurité de l information est nécessaire parce que la technologie appliquée à l information crée des risques. Des composants logicielles peuvent comporter des failles ou des bogues. Les composantes matérielles peuvent être défectueuses, souffrir de bris ou s user. Globalement, l information pourrait être indûment communiqué (sa confidentialité pourrait être compromise), modifié de manière inappropriée (son intégrité peut être compromise), détruite ou perdue (sa disponibilité pourrait être compromise). Cette compromission des données pourra causer une réduction de l avantage compétitif que l organisation espérait obtenir des TIC, tel que des pertes économiques au propriétaire de l information, qu elles soient avérées ou non. La perte pourrait être directe (par la 16
17 Introduction à la gestion de risque informationnel réduction de la valeur de l actif d information lui-même) ou indirecte (par le biais d interruption de service, des dommages à la réputation, la perte d un avantage concurrentiel, la responsabilité juridique, etc.). 17
18 Chapitre 1 Mise en oeuvre sur le terrain Nous proposons la mise en oeuvre de la sécurité de l information sur le terrain en utilisant le modèle des trois P (Prévention, protection, punition) de mise en oeuvre de la sécurité de l information. Ce modèle est structuré selon 3 axes: la prévention: de mesures de prévention seront mise en oeuvre dans l organisation. Par exemple, une politique de sécurité, un processus formel d analyse de risque, des audits TI annuels et un programme de sensibilisation des employés et de formation des ressources informatiques. la protection: la mise en oeuvre d actions de mitigation de risque ou l allocations des rôles et des responsabilités en matière de gestion à des individus dans l organisation et la mise en oeuvre de processus de gestion des incidents, de recouvrement en cas de sinistres et de continuité des affaires. la punition: il sera nécessaires des actions punitives en cas de non respect ou de contournement volontaires des deux premiers axes. 18
19 Introduction à la gestion de risque informationnel La politique de sécurité Sur le terrain, la mise en oeuvre de la sécurité de l information débute par l élaboration d une politique de sécurité qui s intègre dans le premier P: la prévention. Cette politique décrit ce qui est autorisé et ce qui est interdit. La politique de sécurité de l information devrait mettre en évidence la valeur de l information et la mesure dans laquelle on en a besoin, ainsi que l importance de la sécurité de l information pour l organisation. Elle devrait identifier les exigences minimales au plan de la conformité et des règlements en matière de sécurité. La politique de sécurité inclut des éléments tels que: la politique de gestion des risques, la catégorisation et l étiquetage d information, la sécurité du personnel et matérielle, les exigences juridiques et contractuelles, l élaboration et le fonctionnement des systèmes, la planification de la poursuite des activités, la production de rapports sur les incidents et les exigences d intervention, l application de mesures en cas de violation et la sensibilisation à la sécurité et la formation. La politique peut tenir compte de tout système d information critique ou des exigences pertinentes. Elle doit cependant identifier les besoins en matière de sécurité de l information développée en fonction des sept objectifs mentionnés précédemment. Il est nécessaire que soient assigné les rôles et les responsabilités en matière de sécurité de l information et la distribution des responsabilités dans la structure organisationnelle. Dans les organisations qui effectuent des projets de développement, il faut inclure la sécurité de l information dans le développement de systèmes d information et dans les 19
20 Chapitre 1 processus de mise en place ou d achats de systèmes d information. De plus la politique devrait : définir les règles et les procédures en matière de sécurité de l information; définir les procédures pour l identification de la nature sensible et la classification de l information; identifier la stratégie de gestion du risque; définir les besoins en matière de continuité des affaires; définir des normes de gestion des ressources humaines; prévoir des plans de sensibilisation des employés et de formation continue en matière de sécurité de l information; encadrer les obligations légales; identifier les règles de la gestion de l impartition et des tiers; et définir la stratégie de gestion des incidents. 20
21 Introduction à la gestion de risque informationnel Mise en oeuvre de la politique Une fois qu une politique de sécurité de l information a été définie, la tâche suivante consiste à appliquer la politique. Pour ce faire, l organisation déploie un mélange de processus d affaires et de mécanismes techniques. Ce sont ces mécanismes de sécurité de l information qui forment la sécurité informatique. Ces processus et mécanismes entrent dans six catégories: Les mesures de prévention, tels que la sensibilisations de ses employés et la formation de son personnel technique. Les mesures de protection, ce qui consiste à mettre en place des processus d affaires et des mécanismes techniques qui visent à prévenir que des aléas se produisent, à réduire la probabilité qu ils se produisent ou à minimiser leur impact. Les mesures de détection qui servent à alerter l organisation quand des aléas surviennent afin qu elle puisse prendre des actions afin de minimiser leur impact sur l organisation. Les processus et mesures de réponse face aux conséquences d aléas afin d optimiser le retour à état d équilibre. Des processus de réponses peuvent aussi inclurent des mesures punitives selon le troisième P: punition (réprimandes ou renvoi d employés), criminelles (référé du dossier à des forces policières) ou légales (poursuites). Les mesures d assurance afin de valider l efficacité et le bon fonctionnement de la protection, de détection et les mesures d intervention. L audit pour déterminer l efficacité des processus et des mesures. 21
22 Chapitre 1 22
23 Introduction à la gestion de risque informationnel Création d un comité de sécurité Il est recommandé de créer un comité de sécurité de l information pour assister l organisation dans l élaboration de sa politique de sécurité et pour l ensemble des activités de gestion du risque informationnel. Le comité devrait comprendre de quatre (4) à sept (7) membres et devrait comprendre : un membre identifié comme chef de projet; le principal responsable de la sécurité s il y en a un; des représentants du groupe ayant la responsabilité opérationnelle et budgétaire des TIC; des représentants des responsables de l exécution de la mission de l organisation; un représentant des ressources humaines; et un conseiller juridique. Des accommodements sont nécessaire selon la taille de l organisation. Dans un premier temps le chef de projet devrait être identifié. Celui-ci pourra prendre en charge le suivi des différentes étapes de la méthodologie, dont la création du comité de sécurité de l information. Il pourra documenter les règles de fonctionnement du comité et s assurer de conserver des minutes des rencontres. Les membres du comité pourront varier selon les besoins de l organisation et les priorités des gestionnaires de l organisation. La structure et le modus operandi du comité de sécurité de l information devraient tenir compte de cette possibilité. 23
24 Chapitre 1 24
25 Introduction à la gestion de risque informationnel Les objectifs de sécurité L organisation devra définir ses objectifs de sécurité, les exprimer en terme de besoins spécifiques (confidentialité,intégrité,disponibilité, etc.) et faire un inventaire des éléments de son patrimoine informationnel. Entre autre, cela lui permettra d identifier les éléments à risque qui sont plus prioritaires auxquels les efforts de gestion de risque devront s attaquer en premier. Il est proposé de rencontrer les ayants cause de la sécurité, c est-àdire les membres de l organisation qui ont un rôle à jouer da la sécurité de l information, les propriétaire des actifs informationnels et les gestionnaires de l organisation pour valider avec eux les besoins de sécurité. 25
26 Chapitre 1 Amélioration continue Évidemment, le travail n est jamais terminé. La sécurité de l information doit appliquer les principes d amélioration continue. La définition de la politique, la protection, et les tâches de vérification sont effectuées maintes et maintes fois, et les leçons apprises à chaque fois à travers le cycle sont appliquées lors du prochain cycle. 26
27 Introduction à la gestion de risque informationnel Principe de prudence La sécurité de l information doit appliquer le principe de prudence. En cas de doutes sur l importance relative d un actif informationnel, sur l importance des dommages, sur la probabilité de réalisation d un aléa ou en cas d incertitude quant aux résultats, les individus impliqués en gestion de risque informationnel devraient choisir la décision sage, vertueuse et prudente afin de minimiser les risques. Ils devraient diligemment chercher à obtenir suffisamment d informations pour prendre une décision éclairée. Ceci ne signifie pas qu il est préférable de ne pas prendre de décision, ce qui peut être pire. Mais dans le doute, le gestionnaire devrait agir en bon père de famille. 27
28 Chapitre 1 Le risque Nous avons mentionné que la sécurité est définie par l absence de risque inacceptables. De plus, la mise en oeuvre de la sécurité de l information, qui débute par la politique de sécurité de l information et l identification des objectifs de sécurité, doit s appuyer sur l identification du risque et la détermination de ce qui est acceptable et, plus précisément, non-acceptable dans un contexte organisationnel particulier. Il est important de comprendre ce que signifie le risque en général et le risque informationnel plus précisément. Il n y a pas une seule définition du risque. Une recherche sur Google avec les mots risque ou risk propose plus de résultats. Il ressort d une analyse de la littérature scientifique sur le risque que beaucoup de ce qui a été écrit sur ce sujet est basé sur des données anecdotiques et sur des études limitées à un aspect particulier. Dans cette section, nous présentons les principales définitions du risque qui sont utile pour la compréhension des concepts présentés. Notre objectif est de présenter au lecteur les éléments d une définition contextuelle du risque appliqué à la sécurité de l information qui permettra d identifier les variables qui pourrons être utilisés pour la gestion du risque informationnel. Le risque est un construit social, il dépend de celui qui le perçoit, de la nature du risque et du domaine dans lequel on s intéresse au risque. Selon les différentes sources que l on retrouve, le mot risque tire ses origines de plusieurs sources, entre autres: 28
29 Introduction à la gestion de risque informationnel du terme italien (Moyen âge) risco signifiant rocher escarpé, écueil, utilisé par les premières compagnies d assurance pour désigner le péril couru en mer, du latin resecum signifiant coupant et du mot arabe rizq. Le risque réfère à des situations par lesquelles un individu assigne des probabilités mathématiques aux événements aléatoires auxquels il fait face (par exemple 10%, 1 fois aux 10 ans, 0,5). Le risque est présent même si cette assignation est subjective et utilise des échelles nominative (par exemple bas, moyen ou élevé). Le risque est aussi défini comme une variation possible des résultats sur une période déterminé dans une situation donnée. On retrouve dans le risque une notion implicite de discontinuité, de désastres, de surprise, d inconnu ou d ignorance. Le risque est souvent défini comme une combinaison de la probabilité d occurrence d un dommage et de sa gravité. Cette définition est valable seulement dans les cas ou nous disposons de données probantes suffisantes, par exemple des données historiques, qui permettent de démontrer que les probabilités d'occurrence d aléas comparables sont distribué également dans le temps. Dans cette situation, il s agira de risque objectif, lorsque la variation existe dans la nature et est la même pour tous les individus dans une situation identique. Le risque objectif se différencie du risque subjectif, c est-à-dire lorsqu il y a estimation du risque objectif par un individu. 29
30 Chapitre 1 Ce qui n est pas du risque Quand on ne peut exprimer l aléatoire par des probabilités, mêmes subjectives, on doit plutôt parler d incertitude. Il est important de distinguer ces deux termes, risque et incertitude. Car, bien qu on puisse espérer gérer le risque, il est impossible de gérer l incertitude. Le mot risque est généralement utilisé lorsqu il existe au moins la possibilité de conséquences négatives d un aléa, tel qu une réduction de l avantage compétitif attendu (conséquence négative) d un processus d affaire ou d un système d information après une intrusion par un cybercriminel ou hacker (l aléa). S il ne s agit que de conséquences probables positives, on parlera plutôt de possibilités. La gestion de possibilités ne fera pas appel à des mesures de mitigation de risque, on accueillera favorablement le bénéfice inattendu ou inespéré. Ainsi, la gestion des possibilités positives n est pas de la gestion de risque. De même, si un résultat est inévitable on utilisera le terme certitude: la mort éventuelle de tout organisme vivant est une certitude. On pourra la retarder, mais pas l éviter. Nul ne peut gérer la certitude, on peux s y préparer et, dans les meilleurs cas, retarder l inévitable. 30
31 Introduction à la gestion de risque informationnel La gestion de risque L idée que le risque peut être géré peut être compris comme une conséquence à long terme d un désastre naturel qui s est produit à Lisbonne, au Portugal, en 1755, combiné à la découverte des probabilités par Blaise Pascal et à d autres avancées en mathématiques d abord et en sciences de la gestion ensuite. Le désastre de Lisbonne marque un point tournant dans le monde occidental moderne de la vision de l aléa comme un acte divin, tel qu illustré par un poème de Voltaire, vers une approche rationnelle qui peut être soumise à un traitement scientifique. C est la réponse de Rousseau à Voltaire qui sème le germe de gestion du risque: Serait-ce à dire que l ordre du monde doit changer selon nos caprices, que la nature doit être soumise à nos lois, et que pour lui interdire un tremblement de terre en quelque lieu, nous n avons qu à y bâtir une ville? La gestion est la mise en œuvre de moyens humains et matériels d une organisation pour atteindre des objectifs préalablement fixés. La croissance des bureaucraties professionnelles dans nos sociétés a transformé l appareil administratif d organisations en une puissante machine de gestion des organisations dont les opérations visent l efficacité et la prévisibilité dans l atteinte de ses objectifs. Dans une organisation du secteur privé, l efficacité est mesuré avec des variables de nature pécuniaire ou mesurés en part de marché. Dans le cas d un organisation du secteur public, l efficacité peut être mesuré par une livraison efficiente de services à la population. Par 31
32 Chapitre 1 exemple, dans une organisation publique du secteur de la santé, telle qu est existe au Québec, l efficacité peut être mesurée par une amélioration de la qualité de vie, la réduction de la morbidité ou de la mortalité dans une population cible. Cette machine de gestion s exprime par des actes visant une transformation du monde réel par le travail, la médiation ou l instrumentation. La gestion du risque est nécessaire parce les organisations doivent identifier ce qui est prévisible afin d assurer leur pérennité et identifier les actions susceptibles de produire des résultats qui réduisent son efficacité, qui vont à l encontre de l atteinte de ses objectifs ou qui produisent des résultats négatifs. L organisation doit identifier les risques les plus significatifs pour elle. Ainsi, la gestion de risque est l une des composantes d une gestion prudente et diligente. C est-àdire que, sachant qu il existe la possibilité qu ils se produisent des aléas susceptible de réduire l utilité espérée ou de nuire à l atteinte efficace des objectifs, le gestionnaire, en tant qu acteur individuel vertueux, doit tenir compte du risque. De plus, la saine gouvernance d une organisation, par exemple dans le cadre normatif de gouvernance tel que ISO 38500, la conformité à des cadres de gestion, tel que COBIT ou ISO 27001, requiert la mise en oeuvre d un programme de gestion de risque formalisé. Fondamentalement, la gestion du risque est accomplie par des activités d identification (I) et d évaluation des scénarios de risque (les combinaisons d élément à risque, aléas et de vulnérabilités susceptible de causer des dommages), de la priorisation (P) de ces scénarios (en fonction de l importance des dommages ou de la réduction de l Utilité espérée (μ) au delà de l appétence au risque de l organisation) et des actions de mobilisation (M) de ses 32
33 Introduction à la gestion de risque informationnel ressources humaines et financières pour un traitement approprié du risque: le processus IPM qui sera traité plus en détails plus loin. Ces actions de mobilisation vont généralement prendre les formes suivantes: Ignorer le risque : l organisation peut décider consciemment d ignorer le risque. Éviter le risque : l organisation pourra décider de ne pas poursuivre une opportunité car elle considère que le risque ne vaut pas la chandelle. Accepter le risque : l organisation détermine que le risque associé à un scénario donnée est acceptable pour l organisation compte tenu de ses contraintes, des ses objectifs d affaires ou de sa résilience. Mitiger le risque par la mise en oeuvre de mécanismes de protection, de détection ou de réponse: par exemple par la mise en place d un pare- feu, une organisation réduira la menace d intrusion de son réseau informatique via l Internet. Transférer le risque : une organisation pourrait décider de prendre une police d assurance qui couvre un risque précis, une organisation pourrait aussi transférer le risque, contractuellement, à un tiers ou l externaliser via d autres mécanismes. Les actions de mobilisation (Ω) seront diverses et nombreuses en fonction des différents risques auxquels fait face l organisation. L ensemble des actions de mobilisation (Ω), pour une période de temps (Δt) défini à priori dans un espace (s) donné, formeront le portfolio de mesures (φ) composé des actions de mobilisation individuelles (Ωn). La gestion de risque est discuté avec plus de détails dans le chapitre suivant. En risque informationnel, l adjectif informationnel fait référence à l information. Notamment, le risque informationnel s intéresse aux risques relatifs à la sélection, la mise 33
curité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailPolitique de sécurité de l information
5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des
Plus en détailJOURNÉE THÉMATIQUE SUR LES RISQUES
Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Plus en détailL utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes
L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailQu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Plus en détailNote d orientation : La simulation de crise Établissements de catégorie 2. Novembre 2013. This document is also available in English.
Note d orientation : La simulation de crise Établissements de catégorie 2 This document is also available in English. La présente Note d orientation s adresse à toutes les caisses populaires de catégorie
Plus en détailLIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités
Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace
Plus en détailPolitique de gestion des risques
Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement,
Plus en détailLa gestion des risques en entreprise de nouvelles dimensions
La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent
Plus en détailSOMMAIRE. AVRIL 2013 TECHNOLOGIE ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES
AVRIL 2013 TECHNOLOGIE ÉTUDE POINTS DE VUE BDC Recherche et intelligence de marché de BDC TABLE DES MATIÈRES Faits saillants du sondage 2 Contexte et méthode de sondage 3 Profil des répondants 3 Investissements
Plus en détailGroupe Eyrolles, 2006, ISBN : 2-212-11734-5
Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Chapitre 6 La gestion des incidents Quelles que soient la qualité du système d information mis en place dans l entreprise ou les compétences des techniciens
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détail1. La sécurité applicative
ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité
Plus en détailLIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS
LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.
Plus en détailAppendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs
Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme
Plus en détailSécurité. Tendance technologique
Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction
Plus en détailPolitique et Standards Santé, Sécurité et Environnement
Politique et Standards Santé, Sécurité et Environnement Depuis la création de Syngenta en 2000, nous avons accordé la plus haute importance à la santé, à la sécurité et à l environnement (SSE) ainsi qu
Plus en détailBureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration
Bureau du surintendant des institutions financières Audit interne des Services intégrés : Services de la sécurité et de l administration Avril 2014 Table des matières 1. Contexte... 3 2. Objectif, délimitation
Plus en détail2.0 Interprétation des cotes d évaluation des risques relatifs aux produits
2.0 Interprétation des cotes d évaluation des risques relatifs aux produits L interprétation des cotes attribuées dans le cadre des évaluations des risques relatifs aux produits décrite plus loin repose
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailCADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC
CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC TABLE DES MATIÈRES CONTENU 1 PRÉAMBULE ----------------------------------------------------------------------------------------- 3 1.1 Définitions
Plus en détailPolitique de sécurité de l actif informationnel
TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité
Plus en détailISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité
NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology
Plus en détailStratégie nationale en matière de cyber sécurité
Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l
Plus en détailAVIS DE LA FÉDÉRATION QUÉBÉCOISE DE L AUTISME DANS LE CADRE DE LA CONSULTATION PUBLIQUE SUR LA LUTTE CONTRE L INTIMIDATION
AVIS DE LA FÉDÉRATION QUÉBÉCOISE DE L AUTISME DANS LE CADRE DE LA CONSULTATION PUBLIQUE SUR LA LUTTE CONTRE L INTIMIDATION NOVEMBRE 2014 La Fédération québécoise de l'autisme (FQA) est un regroupement
Plus en détailPourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité
Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents
Plus en détailL ANALYSE COUT-EFFICACITE
L ANALYSE COUT-EFFICACITE 1 Pourquoi utiliser cet outil en évaluation? L analyse coût-efficacité est un outil d aide à la décision. Il a pour but d identifier la voie la plus efficace, du point de vue
Plus en détailThème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme
Thème 2 : Cycle de vie des projets d innovation: ambigüité, incertitude, production de savoir et dynamisme Serghei Floricel Dans l introduction nous avons mentionné que les projets d innovation suivent
Plus en détailNOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité
Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus
Plus en détailL évaluation du transfert des apprentissages suite à un programme de perfectionnement
L évaluation du transfert des apprentissages suite à un programme de perfectionnement Johann Jacob, M.A.P. et Richard Marceau, Ph. D. Centre de recherche et d expertise en évaluation (CREXE) Colloque annuel
Plus en détailL approche populationnelle : une nouvelle façon de voir et d agir en santé
Trousse d information L approche populationnelle : une nouvelle façon de voir et d agir en santé Novembre 2004 L approche populationnelle : une nouvelle façon de voir et d agir en santé L approche populationnelle
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailBUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final
Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. BUREAU DU CONSEIL
Plus en détailUniversité de Lausanne
Université de Lausanne Records management et archivage électronique : cadre normatif Page 2 Ce qui se conçoit bien s énonce clairement Nicolas Boileau Page 3 Table des matières Qu est- ce que le «records
Plus en détailCONDITIONS GENERALES D ACHAT BONTAZ CENTRE
CONDITIONS GENERALES D ACHAT BONTAZ CENTRE Article 1 : Objet et champ d application Sauf accord particulier dûment négocié entre les parties sous quelque forme que ce soit, ces présentes conditions générales
Plus en détailLe management des risques de l entreprise Cadre de Référence. Synthèse
Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction
Plus en détailLigne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées
Ligne directrice Objet : Ligne directrice sur les simulations de crise à l intention des régimes de retraite assortis de dispositions à prestations déterminées Date : Introduction La simulation de crise
Plus en détailGuide en gestion de la continuité des opérations Mission «Activités économiques»
de la continuité des opérations Mission «Activités économiques» Remerciements Le ministère du Développement économique, de l Innovation et de l Exportation (MDEIE) désire remercier les personnes et les
Plus en détailOn a souvent entendu que l information c est le pouvoir. En fait, c est le pouvoir d agir.
Le droit d être informé prend sa source dans les droits fondamentaux de la Charte des droits et libertés québécoise. L article 44 confirme que tout Québécois a droit à l information, sous réserve de la
Plus en détailArithmétique binaire. Chapitre. 5.1 Notions. 5.1.1 Bit. 5.1.2 Mot
Chapitre 5 Arithmétique binaire L es codes sont manipulés au quotidien sans qu on s en rende compte, et leur compréhension est quasi instinctive. Le seul fait de lire fait appel au codage alphabétique,
Plus en détailASSOCIATION MEDICALE MONDIALE DECLARATION D HELSINKI Principes éthiques applicables à la recherche médicale impliquant des êtres humains
ASSOCIATION MEDICALE MONDIALE DECLARATION D HELSINKI Principes éthiques applicables à la recherche médicale impliquant des êtres humains Adoptée par la 18e Assemblée générale de l AMM, Helsinki, Finlande,
Plus en détailPolitique d utilisation acceptable des données et des technologies de l information
Politique d utilisation acceptable des données et des technologies de l information Connexion région du Grand Toronto (ConnexionRGT) Version 1.0 Avis de droit d auteur cybersanté Ontario, 2014. Tous droits
Plus en détailPLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES
PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX
Plus en détailGUIDE DE CONSOLIDATION D ÉQUIPE POUR LES ÉQUIPES DE SOINS PRIMAIRES DE L ONTARIO
GUIDE DE CONSOLIDATION D ÉQUIPE POUR LES ÉQUIPES DE SOINS PRIMAIRES DE L ONTARIO Janvier Module 2009 10 : Gérer les conflits Modifié en décembre 2010 Révisé en décembre 2012 Révisé en décembre 2012 1 Objectif
Plus en détailIntroduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas :
Introduction Le CRM se porte-t-il si mal? Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas : «75 % de projets non aboutis» «La déception du CRM» «Le CRM : des
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailRAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER
A Demande R-3491-2002 RAPPORT EXÉCUTIF DE LA FIRME DE CONSULTANTS GARTNER HYDRO-QUÉBEC ÉVALUATION DU PROJET SIC ET RECOMMANDATIONS, 7 AOÛT 2002 Original : 2002-09-20 HQD-2, Document 1 (En liasse) Rapport
Plus en détailÉdition : La Direction des communications du ministère de la Santé et des Services sociaux
Planification, performance et qualité Guide d élaboration des cadres de gestion des banques de données et de matériel biologique constituées à des fins de recherche Unité de l Éthique Octobre 2012 Rédaction
Plus en détailPolitique de gestion documentaire
Politique de gestion documentaire Responsabilité de gestion : Secrétariat général Date d approbation : 24 avril 1979 C.A. C.E. Direction générale Direction Date d'entrée en vigueur : 24 avril 1995 Date
Plus en détailSécurité de l information
Avis au lecteur sur l accessibilité : Ce document est conforme au standard du gouvernement du Québec SGQRI 008-02 (SGQRI 008-03, multimédia : capsules d information et de sensibilisation vidéo) afin d
Plus en détailDU RISQUE DANS LES CADRES RÉGLEMENTAIRES*
R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence
Plus en détailViolence au travail Un organisme national
Violence au travail Un organisme national Violence au travail : prévention, protocoles et sanctions Politique La Société s engage à offrir un milieu de travail sécuritaire. Elle reconnaît que la violence
Plus en détailSystème de management H.A.C.C.P.
NM 08.0.002 Norme Marocaine 2003 Système de management H.A.C.C.P. Exigences Norme Marocaine homologuée par arrêté du Ministre de l'industrie, du Commerce et des Télécommunications N 386-03 du 21 Février
Plus en détailREER, CELI ou prêt hypothécaire : comment faire le bon choix?
REER, CELI ou prêt hypothécaire : comment faire le bon choix? Jamie Golombek L épargne est une pratique importante. Elle nous permet de mettre de côté une partie de nos revenus actuels afin d en profiter
Plus en détailLes principes du professionnalisme
1. Au sein de la profession actuarielle, le professionnalisme signifie : l application des connaissances et du savoir-faire spécialisés de l actuaire; un comportement éthique, plus particulièrement dans
Plus en détailPOLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)
POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013) Le générique masculin est utilisé sans discrimination uniquement dans le but d alléger le texte. 1. OBJECTIFS Gérer efficacement
Plus en détailTNS Behaviour Change. Accompagner les changements de comportement TNS 2014 TNS
Accompagner les changements de comportement TNS 2014 Comprendre et accompagner les changements de comportement Inciter et accompagner les changements de comportements des individus est un enjeu fondamental
Plus en détailLignes directrices à l intention des praticiens
Janvier 2005 Lignes directrices à l intention des praticiens Visiter notre site Web : www.cga-pdnet.org/fr-ca Le praticien exerçant seul ou au sein d un petit cabinet et l indépendance Le Code des principes
Plus en détailFace aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012
Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailL entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis
ÉTUDE TECHNIQUE L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis Pour une entreprise, l informatique en nuage constitue une occasion majeure d améliorer
Plus en détailMANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ
MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ Table des matières PRÉAMBULE... 3 1 Introduction... 4 2 Domaine d application... 4 3 Exigences générales... 4 3.1 Système de gestion de la sûreté... 4 3.2 Approche
Plus en détailDocument technique Outil d évaluation des risques et orientation
Promotion de la bonne gouvernance et lutte contre la corruption Activité T3.3 : (SNAC Tunisie) Apporter des outils et des méthodologies ainsi que consolider les capacités pour soutenir la conception de
Plus en détailDéfinition, finalités et organisation
RECOMMANDATIONS Éducation thérapeutique du patient Définition, finalités et organisation Juin 2007 OBJECTIF Ces recommandations visent à présenter à l ensemble des professionnels de santé, aux patients
Plus en détailPolitique Utilisation des actifs informationnels
Politique Utilisation des actifs informationnels Direction des technologies de l information Adopté le 15 octobre 2007 Révisé le 2 juillet 2013 TABLE DES MATIÈRES 1. OBJECTIFS... 3 2. DÉFINITIONS... 3
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailVérification des contrats et processus propres au Service du parc automobile. Déposé devant le Comité de la vérification le 12 mars 2015
Bureau du vérificateur général Vérification des contrats et processus propres Résumé Déposé devant le Comité de la vérification le 12 mars 2015 Cette page a été intentionnellement laissée en blanc. Vérification
Plus en détailIntégrer l assurance dans la gestion des risques liés à la sécurité des données
Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1
Plus en détailSciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION
Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Classe de terminale de la série Sciences et Technologie du Management et de la Gestion Préambule Présentation Les technologies de l information
Plus en détails é c u r i t é Conférence animée par Christophe Blanchot
s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)
Plus en détailUn autre signe est de blâmer «une colère ouverte qui débute par le mot TU».
Le besoin de contrôler Le comportement compulsif de tout vouloir contrôler n est pas mauvais ou honteux, c est souvent un besoin d avoir plus de pouvoir. Il s agit aussi d un signe de détresse; les choses
Plus en détailsentée e et soutenue publiquement pour le Doctorat de l Universitl
Du rôle des signaux faibles sur la reconfiguration des processus de la chaîne de valeur de l organisation : l exemple d une centrale d achats de la grande distribution française Thèse présent sentée e
Plus en détailItem 169 : Évaluation thérapeutique et niveau de preuve
Item 169 : Évaluation thérapeutique et niveau de preuve COFER, Collège Français des Enseignants en Rhumatologie Date de création du document 2010-2011 Table des matières ENC :...3 SPECIFIQUE :...3 I Différentes
Plus en détailUtilisation de ClarityTM pour la gestion du portefeuille d applications
LIVRE BLANC : Gestion du portefeuille d applications Février 2012 Utilisation de CA PPM ClarityTM pour la gestion du portefeuille d applications David Werner CA Service & Portfolio Management agility made
Plus en détail3 Guide pour développer un plan national de gestion des déchets de soins médicaux
3 Guide pour développer un plan national de gestion des déchets de soins médicaux (111) Cette section présente une liste d actions recommandées qui devraient être mises en place par le gouvernement central
Plus en détailLe référentiel RIFVEH www.rifveh.org La sécurité des personnes ayant des incapacités : un enjeu de concertation. Septembre 2008
Le référentiel RIFVEH www.rifveh.org La sécurité des personnes ayant des incapacités : un enjeu de concertation Septembre 2008 Louis Plamondon Centre de recherche de l institut universitaire de gériatrie
Plus en détailDiplôme d Etat d infirmier Référentiel de compétences
Annexe II Diplôme d Etat d infirmier Référentiel de compétences Les référentiels d activités et de compétences du métier d infirmier diplômé d Etat ne se substituent pas au cadre réglementaire. En effet,
Plus en détailDéterminer quelle somme dépenser en matière de sécurité des TI
Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement
Plus en détailLES INDICATEURS CLÉ DE PERFORMANCE : DÉFINIR ET AGIR
Online Intelligence Solutions LES INDICATEURS CLÉ DE PERFORMANCE : DÉFINIR ET AGIR Comment intégrer les KPI à sa stratégie d entreprise? Par Jacques Warren WHITE PAPER WHITE PAPER A PROPOS DE JACQUES WARREN
Plus en détailLigne directrice du cours menant à une qualification additionnelle. Musique instrumentale (deuxième partie)
Ligne directrice du cours menant à une qualification additionnelle Musique instrumentale (deuxième partie) Annexe D Règlement 184/97 Qualifications requises pour enseigner Mai 2005 This document is available
Plus en détailGarantir une meilleure prestation de services et une expérience utilisateur optimale
LIVRE BLANC Garantir une meilleure prestation de services et une expérience utilisateur optimale Mai 2010 Garantir une meilleure prestation de services et une expérience utilisateur optimale CA Service
Plus en détailProtection des renseignements personnels, publicité ciblée et médias sociaux : Ampleur du problème : certaines observations déconcertantes
Protection des renseignements personnels, publicité ciblée et médias sociaux : Ampleur du problème : certaines observations déconcertantes Avner Levin * * Professeur agrégé et directeur, Privacy and Cyber
Plus en détailAnalyse des risques financiers
Analyse des risques financiers Version du 1 er octobre 2014 Cette fiche s'adresse aux services de l État mandatés pour mener une analyse financière et est susceptible de contribuer à la définition du niveau
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailIMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :
IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE : SPÉCIFICATIONS TECHNIQUES À L INTENTION DES AGENCES ET COURTIERS À LEUR COMPTE IMPORTANT L OACIQ se réserve le droit de modifier ses exigences en fonction
Plus en détailFAST RETAILING WAY (Philosophie d entreprise du groupe FR)
FAST RETAILING WAY (Philosophie d entreprise du groupe FR) Profession de foi Changer la façon de s habiller, sortir des sentiers battus, et proposer une autre vision du monde. Notre mission Le groupe FAST
Plus en détailGestion des incidents
Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de
Plus en détailLA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES
LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne
Plus en détailPOLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010)
POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010) Note : Le générique masculin est utilisé sans discrimination uniquement dans le but d alléger le texte. 1. Introduction La Commission
Plus en détailStratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants
Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine
Plus en détailC R É D I T A G R I C O L E A S S U R A N C E S. Des attitudes des Européens face aux risques
C R É D I T A G R I C O L E A S S U R A N C E S Observatoire Ipsos-LogicaBusiness Consulting/Crédit Agricole Assurances Des attitudes des Européens face aux risques Fiche technique Ensemble : 7245 répondants
Plus en détailRèglement sur l utilisation et la gestion des actifs informationnels
Le texte que vous consultez est une codification administrative des Règlements de l'uqam. Leur version officielle est contenue dans les résolutions adoptées par le Conseil d'administration de l'uqam. La
Plus en détailPolitique des stages. Direction des études
Direction des études Service des programmes et de la réussite scolaire Politique des stages Recommandée par la Commission des études du 6 décembre 2011 Adoptée par le conseil d administration du 15 mai
Plus en détailPlan d action de développement durable 2009-2015. Le développement durable, une question de culture
Plan d action de développement durable 2009-2015 Le développement durable, une question de culture Révisé en mars 2013 Note importante Le gouvernement du Québec a autorisé le 29 février 2013 par décret
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailLe scoring est-il la nouvelle révolution du microcrédit?
Retour au sommaire Le scoring est-il la nouvelle révolution du microcrédit? BIM n 32-01 octobre 2002 Frédéric DE SOUSA-SANTOS Le BIM de cette semaine se propose de vous présenter un ouvrage de Mark Schreiner
Plus en détail