La classification des actifs informationnels au Mouvement Desjardins Cas vécu en grande entreprise Jean-François Allard Directeur principal Risques Informationnels Mouvement Desjardins Anick Charland Conseillère stratégique ACCSI Services conseils
Déroulement de la présentation 1ière partie (30 min) Présentation du Mouvement Desjardins Présentation de la gestion de risque au Mouvement Desjardins Mise en contexte du projet Classification 2ième partie (2 hres) incluant une pause Description du processus de classification Démarche de réalisation Démonstration des outils Maintien et exploitation des résultats 3ième partie (15 min) Facteurs de succès Défis rencontrés Conclusion
Le Mouvement Desjardins en bref Fondé en 1900 au Québec par Alphonse Desjardins Le Mouvement Desjardins est le premier groupe financier coopératif du Canada La sixième plus importante institution financière de dépôts au Canada Excédents de 1,582 G$ 5,6 millions de membres, 44 600 employés Desjardins en un coup d'oeil (1) Actif total : 190,1 G$ CA Caisses affiliées : 422 Centres de services : 888 Centres fin. aux entreprises : 43 Guichets automatiques : 2 559 Dirigeants élus : 5 300 Employés: 44 600 Excédents : 1 582 G$ CA Ratio de cap. de 1re cat. : 17,3 % 4ième des institutions bancaires les plus sûres en Amérique (1) Les valeurs au bilan, les excédents et les ratios de capital sont des données au 31 décembre 2011.
Un conglomérat financier diversifié Membres 422 caisses RÉSEAU COOPÉRATIF Caisse centrale Desjardins Fonds de sécurité Desjardins Capital Desjardins Fiducie Desjardins FÉDÉRATION DES CAISSES DESJARDINS DU QUÉBEC Développement international Desjardins Fondation Desjardins Société historique Alphonse-Desjardins RÉSEAU DES FILIALES Desjardins Sécurité financière Desjardins Groupe d assurances générales Valeurs mobilières Desjardins Disnat Desjardins Gestion d actifs Desjardins Capital de risque
La gestion intégrée des risques Les risques sont regroupés en 7 grandes catégories autour d un langage commun. Gestion de tous les types de risques favorisant une compréhension des interrelations Processus uniforme Vision globale Intégration des risques dans les pratiques de gestion et systèmes décisionnels, dans le respect de la dimension coopération RI
Lien avec le risque opérationnel Le risque informationnel est l un des 5 risques opérationnels majeurs, et celui-ci est adressé à travers le programme de gestion du risque opérationnel (AERC, collecte des données, etc.) Programme de Gestion du risque opérationnel (RO ) Risque informationnel (transversal ) AERC (Auto Évaluation des risques et des contrôles ) Collecte des données sur les pertes opérationnelles Indicateurs et mesures de risques Plans d action Production & suivis Gestion Risques majeurs 1- Continuité des affaires 2- Changements opérationnels majeurs 3- Risque informationnel4 Impartition 5 Risque réglementaire
Les enjeux liés à l information L information est au cœur des activités d une institution financière Les membres et clients nous confient de l information confidentielle et des renseignements personnels, ainsi que leurs avoirs nous demandant d en assurer l intégrité, la confidentialité et la disponibilité. Le risque de réputation peut être affecté de façon significative en cas de manquement à ces égards Les autorités réglementaires et les agences de notation surveillent la qualité de notre gestion intégrée des risques et notre conformité légale et réglementaire Les dirigeants portent une attention particulière à : l intégrité et la qualité de l information financière et de gestion la divulgation non autorisée de documents stratégiques la disponibilité de l information pour assurer la continuité des services essentiels la gestion des informations sensibles tout au long de leur cycle de vie Une$opportunité$pour$revoir$notre$vision
Vers une gestion intégrée de l information afin de Gestion des risques informationnels Gouvernance financière Information de gestion Protection des renseignements personnels Gestion documentaire Créer une vision et atteindre une culture en matière de gestion des risques informationnels S assurer d une gestion saine et intégrée des risques informationnels S assurer d une cohésion et de l efficacité dans la mise en place des mesures d atténuation des risques Sécurité de l information
La Direction principale Risques informationnels Mission - Risques informationnels Contribuer à protéger l image et la réputation du Mouvement Desjardins et à soutenir son développement en encadrant et coordonnant les activités visant à assurer la confidentialité, l intégrité, la disponibilité des informations et la protection Coopération des et engagement renseignements S engager dans l éducation de nos membres, personnels. de nos clients et de la population Vision - Risques informationnels Offrir une expertise en gestion des risques informationnels et exercer son rôle de conseiller stratégique et en partenariat avec les secteurs d affaires et de soutien Mouvement et le réseau des caisses et en appui aux instances du Mouvement. Croissance et innovation Devenir le conseiller stratégique de confiance auprès des différents secteurs Excellence de l expérience membre et client Maintenir et renforcer la confiance des membres et des clients Un groupe financier coopératif performant, productif, innovateur et solide Rentabilité et productivité Avoir un programme cohérent et efficace axé sur le partenariat Leadership et mobilisation du capital humain Développer une culture de saine gestion de l information Solidité financière et gestion des risques Gérer les risques informationnels de façon intégrée
Cadre de gestion des risques informationnels
Gérer les risques informationnels Un programme axé sur le partenariat Finance Gestion documentaire Affaires juridiques Informations de gestion Conformité Approvisionnement Vérification Interne Sécurité technologique et physique Communication Ressources humaines
Le comité Risques informationnels Instances Mouvement Commission de gestion des risques (CGR) Conseil d administration (CA) Comité de direction Mouvement (CDM) Présidente du Mouvement Comité de gestion intégrée des risques (CGIR) Secteurs d affaires PVP Gestion des risques Responsable gestion des risques Comité de gestion Comité Risques informationnels (C-RI) DP Risques informationnels Entités réglementées Conseil d administration Officier désigné / Responsable gestion des risques Chef de l exploitation / DG
Le comité Risques informationnels Fréquence: Trimestriel Rôle: Appuyer les différentes instances décisionnels dans leurs responsabilités d assurer une saine gestion des risques du Mouvement Desjardins pour le volet Risques informationnels. Ils doivent notamment veiller à ce que le Mouvement soit doté de processus et mécanismes formels et efficaces afin d effectuer une saine gestion des risques informationnels. Principales responsabilités: Fournir les orientations en matière de GRI et émettre des recommandations quant aux encadrements. Coordonner le cadre de gestion RI et s assurer de l harmonisation et la cohérence dans la gestion de l information chez Desjardins. Effectuer le suivi sur l état des risques informationnels pour l ensemble du Mouvement dans le respect des niveaux de tolérance établis. Examiner les principaux incidents RI survenus chez Desjardins, dans le domaine financier ainsi que mondialement et formuler des recommandations.
Encadrements en RO et RI La gestion du risque informationnel est une préoccupation de plus en plus présente, tant au niveau des autorités règlementaires que des entreprises Les exemples de pertes d informations confidentielles ou d atteinte à l intégrité sont de plus en plus fréquents Les coûts associés à un seul événement se chiffrent dans les millions de dollars Afin de répondre à cette préoccupation, la politique Mouvement de gestion du risque opérationnel (RO) et la directive Mouvement de gestion du risque informationnel (RI) ont été approuvées par les hautes instances du Mouvement. Cet encadrement contribue à minimiser le risque d atteinte à l image du Mouvement Desjardins auprès de ses différentes clientèles, de ses fournisseurs et des autorités réglementaires La classification des actifs informationnels est un des éléments du cadre de gestion des risques
Objectifs et bénéfices de la classification Objectifs Connaître la valeur des informations et les risques reliés à leur sécurité, pour les aspects confidentialité, intégrité et disponibilité S assurer que des mesures de protection adéquates sont appliquées, en fonction de la classification de sécurité établie Connaître les précautions à prendre pour ne pas mettre à risque le secteur d affaires Bénéfices (une fois l information classifiée et protégée) Réduction des risques de bris de confidentialité, d incohérence et de non-disponibilité des informations et des traitements associés Réduction des risques d atteinte à l image de Desjardins Optimisation des moyens et des coûts de protection Conformité à la politique générale Mouvement de la sécurité de l information
Rôles et responsabilités de classification Tels que définis dans l encadrement en risque informationnel, chaque information: doit avoir un propriétaire unique doit être classifiée par ce dernier et doit être protégée en fonction de sa classification de sécurité de façon à encadrer son utilisation, son traitement, son entreposage, sa distribution et sa destruction Les responsabilités des propriétaires de l information (VPs) désigner le ou les mandataires auxquels il confiera la réalisation de la classification Approuve les résultats une fois l exercice terminé (2) La délégation de tâches ne libère pas le propriétaire de ses responsabilités Les responsabilités des mandataires (DPs) Effectuer la classification Maintenir les résultats Les responsabilités de la DP Risques informationnels Soutenir les propriétaires dans la réalisation de la classification Consolider les résultats et les rendre disponibles aux diverses clientèles
Le projet en bref: 2009-2012 Avant restructuration de 2009 Conception et pilote de l approche de classification Portée du projet: Fédération des caisses Desjardins Environ 40 VP Pause d été 2009 à janvier 2010 Cet arrêt a permis de réviser les outils, en fonction des commentaires reçus lors du pilote Suite à la réorganisation de 2009 Mouvement Fédération et anciennes composantes c.à.d. DSF, DGAG, DGA, VMD Environ 100 VP Déploiement d environ 25 VP par année de 2010 à 2012
Déroulement de la présentation 1ière partie (30 min) Présentation du Mouvement Desjardins Présentation de la gestion de risque au Mouvement Desjardins Mise en contexte du projet Classification 2ième partie (2 hres) incluant une pause Description du processus de classification Démarche de réalisation Démonstration des outils Maintien et exploitation des résultats 3ième partie (15 min) Facteurs de succès Défis rencontrés Conclusion
Le processus de classification de sécurité de l information Le processus est composé de 4 grandes étapes: Planification initiale Identification des familles d information Étape 1 Assignation des niveaux d assurance Étape 4 Maintien de la classification Étape 2 Classification des familles d information Étape 3 Identification des supports, applications d affaires et contrats de service
Notions et concepts de classification - les familles d information Famille d information Dans le but de simplifier la classification un regroupement des informations à l intérieur de familles est réalisé. En règle générale, les regroupements seront : selon le type d utilisation prévue des informations ou selon le domaine d activité (ex. : traitement de la paie, bilan financier, dossier membre); selon des regroupements déjà existants (ex : rapports, communiqués, publications des informations de gestion, etc.) Processus d affaires clés Processus qui soutiennent directement la mission et l atteinte des objectifs du secteur d affaires Processus transversaux les processus et activités devant être réalisés les secteurs d affaires mais qui ne soutiennent pas directement leur mission (ex : la gestion des ressources humaines, la gestion de la continuité des affaires). Les informations associées ces processus seront identifiées et classifiées par les secteurs d affaires en ayant la responsabilité.
Notions et concepts de classification - les catégories de familles d information Dans le but de sélectionner, ultérieurement, les mesures de protection adéquates, il importera de connaître le contexte d utilisation, exprimé en termes de catégorie # 1 2 3 4 5 6 7 Catégorie Renseignements personnels Financière membre Stratégique Financière corporative Configuration des contrôles Juridique et contractuelle Opérationnelle Description Toute information qui concerne une personne et qui permet de l identifier Toute information reliée principalement à la gestion des finances des membres particuliers et entreprises Toute information interne, à distribution très restreinte, liée aux stratégies du Mouvement ou de la haute direction Toute information touchant la gestion des finances de Desjardins Toute information liée aux contrôles ou qui en assure le bon fonctionnement Toute information représentant une entente ou un engagement légal ou contractuel Toute information découlant des processus d affaires ou aux activités opérationnelles (excluant les catégories précédentes) 8 Toute communication, sous forme de lettre, de communiqué et autre, Communication externe destinée à l externe (membres, partenaires, etc..) À"chacune"des"familles"d information"doit"être"associée"une"seule catégorie
Notions et concepts de classification - les échelles de classification Une cote de sensibilité sera attribuée à chacune des familles d information, et pour chacun des critères, selon les échelles prédéterminées Confidentialité Secret Confidentiel Privé Public Intégrité Exigence5élevée Exigence5moyenne Exigence5faible 5 Disponibilité Exigence5élevée Exigence5moyenne Exigence5faible 5
Notions et concepts de classification - les arbres de décision Famille d information à classifier Est -ce que la divulgation de cette famille d information entraînerait des pertes financières importantes pour Desjardins ou de graves dommages à l'entreprise ou à ses membres? NON Est -ce que cette famille d information permet de faire le lien avec des renseignements personnels d'un membre ou d'un employé Desjardins? NON Est -ce que la divulgation de cette famille d information pourrait entraîner des poursuites judiciaires ou entacher la réputation de Desjardins? OUI OUI OUI NON OUI Est -ce que la divulgation de cette famille d information pourrait avoir un impact important au niveau organisationnel ou stratégique pour Desjardins? NON Est -ce que cette famille d information aurait un certain intérêt pour un concurrent de Desjardins? NON Est -ce que les informations de cette famille sont destinées au grand public? OUI NON OUI Secret Confidentiel Privé Public
Notions et concepts de classification - les niveaux d assurance Un niveau d assurance est une représentation «affaire» d un regroupement de mesures de protection devant être appliquées afin de protéger adéquatement l information Assurance de base L assurance de base correspond à un ensemble de mesures de protection de base que l on devrait retrouver dès que l on manipule de l information au sein d une institution financière. Par défaut, les informations traitées dans les emplacements de travail du Mouvement, bénéficieront de mesures de protection offertes par l assurance de base. Ex : Carte d accès requise pour accéder aux emplacements de travail, authentification des utilisateurs à l aide d un code d utilisateur et mot de passe Assurance intermédiaire Par définition, l assurance intermédiaire offrira plus de protection que l assurance de base. Elle permet donc de répondre aux besoins de sécurité accrus. Ex : Validation des données lors de la saisie, chiffrement des données en transit Assurance élevée L assurance élevée, quant à elle, offrira le plus grand niveau de protection. Ex : Authentification forte à base de jetons, signature digitale pour assurer la non-répudiation des actions posées
Notions et concepts de classification - les niveaux d assurance suite Les niveaux d assurance sont assignés à l aide de matrices de correspondance, en fonction de la classification et de la catégorie de la famille d information Famille d information Classification + Catégorie (contexte ) Matrice (s) Niveau d assurance Niveau d assurance Confidentialité Niveau d assurance Intégrité Niveau d assurance Disponibilité
Démarche de réalisation Pour chacune des vice-présidences 1. Rencontre de lancement au vice-président Démarche, efforts, confirmation des intervenants Obtention de l appui pour démarrer les ateliers 2. Préparation des ateliers Collecte d information sur la VP Pré-population des outils 3. Rencontre de lancement aux intervenants 4. Réalisation des ateliers de classification 5. Consolidation de résultats pour la VP 6. Présentation du bilan au VP 7. Approbation des résultats par le VP
Déroulement des ateliers La classification est effectuée en atelier de travail De 3 à 5 ateliers de 1:30 par secteur d affaires (direction principale) auxquelles participent le représentant du secteur d affaires (3) et un représentants de la DPRI Ateliers Activités à réaliser 1 Identifier les processus d affaires clés 2 Identifier les familles d information 3 et 4 Classifier les familles d information 5 Identifier les supports, les applications d affaires et les contrats de service et assigner les niveaux d assurance (3) S il le désire, le représentant est libre d inviter des collaborateurs, pour compléter l expertise du secteur d affaires
Outils soutenant la classification Outil de support Description Type Guide de classification Décrit les rôles et responsabilités, le processus et les activités des actifs informationnels PDF Trousse «Classification des actifs informationnels» Permet de documenter les résultats de la classification pour une unité d'affaire donnée (processus d'affaires, familles d information, la classification, les applications) Excel Présentations diverses Pour soutenir les activités de communications auprès des VP, intervenants ppt Aide-mémoire Aide-mémoire qui vise à uniformiser les interventions des spécialistes dans la réalisation d un exercice de classification. Il présente les activités à réaliser ainsi que quelques astuces pour faciliter l animation des et le déroulement des ateliers Word Guide sur les mesures de protection des actifs informationnels Rédigé spécifiquement pour les diverses unités responsables de l'élaboration de solutions et de la mise en place de mesures de protection, ce guide propose un arrimage entre les résultats de la classification et les mesures de protection requises, afin de protéger adéquatement l'information classifiée PDF
Démonstration des outils Guide de classification Trousse de classification Bilan de classification Pause
Maintien et exploitation des résultats Maintien et exploitation de la classification Maintien de la classification Le processus annuel d AERC assurera le maintien des résultats ainsi que sa mise à jour lorsque nécessaire. Cette activité est prise en charge par notre unité, mais pourrait requérir votre collaboration. Événements déclencheurs d une mise à jour des résultats :!" Restructuration organisationnelle #" Nouveau produit / service ou nouvelles façons de faire (impartition, ajout / retrait / optimisation de processus, etc.) Exploitation des résultats $" Auto-évaluation des risques et contrôles (AERC) %" Analyse et gestion des risques dans les projets (mise en œuvre des &" '" mesures de protection) Services conseils stratégiques (priorisation des initiatives à valeur ajoutée) Indicateurs de risque et reddition de compte Les utilisateurs des résultats de classification comprend notamment tous les secteurs en technologie de l information, responsables d exploiter l information et de mettre en œuvre des solutions technologiques ainsi que la Vice-présidence Risques opérationnels.
Utilisation et valeur ajoutée Clients de la classification VP Risques opérationnels Bénéfices Valeur ajoutée DP Risques opérationnels Identifier les informations à risque des macro-processus d affaires pour réaliser Ciblage des secteurs à risque = les AERC Efficacité améliorée des AERC Identifier les informations sensibles et DP Risques informationnels les risques informationnels de chaque secteur d affaires. VP Technologies, Architecture d entreprise, Sécurité et Performance Cibler les secteurs ayant des informations sensibles + Prioriser les travaux = Saine gestion des risques informationnels DP Gouvernance et Services-conseils en sécurité... DP Risques et conformité Identifier les enjeux de sécurité technologique dans les projets. Appliquer un juste contrôle aux informations Arrimer les contrôles de sécurité et de conformité aux processus TI et aux exigences de protection des informations Optimisation des coûts liés aux contrôles = économies $$$ Identifier les processus TI et les applications d affaires à risque = Conformité et sécurité améliorées DP Architecture d entreprise Intégrer la gestion des risques informationnels au référentiel d architecture d entreprise Gestion des risques informationnels intégrée au référentiel des processus d entreprise = Productivité et efficacité de la GRI améliorées
Utilisation et valeur ajoutée Clients de la classification Bénéfices Valeur ajoutée VP Technologies, Solutions affaires Mouvement Desjardins DP Solutions, Gestion de l actif documentaire Identifier les exigences de protection de l actif documentaire Protection de l actif documentaire quel que soit le support et tout au long du cycle de vie de l information VP Conformité, Mouvement Desjardins DP Conformité, Services institutionnels Identifier les informations privilégiées dans les secteurs d affaires du mouvement Desjardins Conformité à la loi sur les valeurs mobilières
Déroulement de la présentation 1ière partie (30 min) Présentation du Mouvement Desjardins Présentation de la gestion de risque au Mouvement Desjardins Mise en contexte du projet Classification 2ième partie (2 hres) incluant une pause Description du processus de classification Démarche de réalisation Démonstration des outils Maintien et exploitation des résultats 3ième partie (15 min) Facteurs de succès Défis rencontrés Conclusion
Facteurs de succès Adapter la méthodologie Pilote et amélioration continue Implication de la direction Vice-président porteur du projet Sensibilisation de ses pairs Allocation de ressources Vice-président «affaires» Imputabilité (approbation des résultats)
Facteurs de succès Les intervenants «affaires» Directeur principal ou conseiller senior Avoir d excellentes connaissances du domaine d affaire, des grandes activités et des informations produites Être en mesure d évaluer les impacts potentiels d une perte de confidentialité, d intégrité ou de disponibilité de l information Apte à prendre des décisions Les intervenants en gestion de risques et sécurité Généraliste senior en sécurité de l information Bonne compréhension de l industrie et des secteurs d affaires Bonne écoute Excellentes capacités interpersonnelles Stimulent la discussion
La gestion du changement Faciliter l appropriation et l intégration du processus de classification des actifs informationnels aux activités des lignes d affaires. Sensibiliser Comprendre Adhérer S approprier Intégrer Gestionnaires Intervenants Gestionnaires Présentation au comité de gestion de la VPFPSF Sensibilisation SI Présenter le processus Intervenants Accompagnement lors de la classification Sensibilisation+et+accompagnement
Statut du déploiement À ce jour 75 vice-présidences ont été déployées en date du 31 décembre 2012. Des déploiements additionnels seront planifiés pour 2013 et permettront de compléter l ensemble du Mouvement Desjardins. Il reste environ 10 VP à déployer Il requiert environ 20 jours d effort pour déployer une VP Les efforts de maintien annuel sont évalués à environ 0,5 ETC.
Défis rencontrés Réorganisation de 2009 augmentation significative de la portée Impacts majeurs sur les processus d affaires Difficulté d effectuer le lien entre les applications et l information projet d arrimage avec l architecture d entreprise Attribution des budgets Multiples projets en cours Sollicitation accrue des ressources
Conclusion une stratégie de gestion du changement est un des éléments les plus importants afin de faciliter la mise en œuvre du processus de classification des actifs informationnels; une approche simplifiée, par l utilisation d intrants déjà existants, facilitera l adhésion des lignes d affaires les intervenants des lignes d affaires ont les meilleures connaissances afin de connaître la valeur de l information Le domaine de la sécurité de l information pourrait accroître grandement son niveau de maturité en favorisant des approches de gestion existantes et reconnues afin de mettre en œuvre les différentes pratiques de gouvernance de la sécurité de l information
Coordonnées Jean-François Allard Directeur principal Risques Informationnels Mouvement Desjardins Jean-francois.allard@desjardins.com Anick Charland, CISSP, CISA, CISM Conseillère stratégique ACCSI Services conseils anick.charland@accsi.ca