La gestion des risques en entreprise de nouvelles dimensions



Documents pareils
Déterminer quelle somme dépenser en matière de sécurité des TI

Politique de sécurité de l information

Risques liés aux systèmes informatiques et de télécommunications

Sécurité. Tendance technologique

Lignes directrices à l intention des praticiens

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Personne-ressource : Geoff Smith Directeur des Relations gouvernementales Tél. : Téléc. : smith@electricity.

Politique de sécurité de l actif informationnel

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Ceano. Un Partenariat plus simple. 1 plateforme unique pour une IT facile. 1 collaboration d équipe facilitée

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

5 éléments qu une solution de gestion de mobilité pour l entreprise (EMM) doit avoir

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Continuité des opérations

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Stratégie nationale en matière de cyber sécurité

PROFIL DE RISQUE INTÉGRÉ DE RENTES DU MOUVEMENT DESJARDINS (RRMD)

Impartition réussie du soutien d entrepôts de données

Guide en gestion de la continuité des opérations Mission «Activités économiques»

Atteindre la flexibilité métier grâce au data center agile

Comprendre l importance de la connectivité pour votre centre de données. Un guide pratique pour prendre des décisions

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

la conformité LES PRINCIPES D ACTION

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre This document is also available in English.

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

Situation actuelle : Sommaire d une recommandation Page 1 de 5

B U L L E T I N S U R L E S F O U R N I S S E U R S D I D C. L é vo l u t i o n d u pays a g e d e s I a as publiques et p r i vé e s a u C a n a d a

Sécurité informatique: introduction

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

Mise en place d une politique de sécurité

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Protection pour site web Sucuri d HostPapa

Magazine. Manion. Un mot sur les sociétés d assurance et la technologie des règlements. Dans ce numéro

HySIO : l infogérance hybride avec le cloud sécurisé

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

desjardinssecuritefinanciere.com

maximo IT service management Visibilité et valorisation de vos actifs informatiques

DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives

Gérez vos coûts de projet intelligemment

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Découvrir les vulnérabilités au sein des applications Web

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Intégrez la puissance du. «Où» dans votre entreprise. Obtenez de meilleurs résultats grâce à Esri Location Analytics

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Le stockage de données qui voit les affaires à votre manière. En hausse. nuage

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

DESCRIPTION DE POSTE. Directeur, Intégrité des programmes (IP)

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Outils et moyens pour implanter la continuité des opérations dans votre organisation

La sécurité de l'information

Rappelons d abord l événement dans ses grandes lignes.

FAQ sur le Service courriel d affaires TELUS

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

GARANTIR LE SUCCÈS GRÂCE À LA TECHNOLOGIE

2 La surveillance de votre site redéfinie grâce à la Télé Vidéo Surveillance

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

La COMMUNICATION. Tirer parti des solutions. et gérer les imprévus

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Évolution et révolution en gestion des identités et des accès (GIA)

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

Cadre de travail sur les relations avec les gouvernements et la défense des droits. Société canadienne de la sclérose en plaques

FILIÈRE TRAVAIL COLLABORATIF

Le rôle du courtier principal

L Application Performance Management pourquoi et pour quoi faire?

Étude sur la monnaie numérique

L interchange. Ce que c est. Comment ça fonctionne. Et pourquoi c est fondamental pour le système des paiements Visa.

CENTRES D APPUI À LA TECHNOLOGIE ET À L INNOVATION (CATI) GUIDE DE MISE EN ŒUVRE

Gestion des Incidents SSI

agility made possible

GStock La gestion commerciale, stock et facturation qui vous correspond. Les apports de GStock pour votre entreprise :

Sécurité sur le web : protégez vos données dans le cloud

Une offre globale pour les datacenters. Siemens France.

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Pourquoi OneSolutions a choisi SyselCloud

La situation du Cloud Computing se clarifie.

Introduction. Description de l événement

Quadra Entreprise On Demand

Stratégies gagnantes pour la fabrication industrielle : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Centre canadien des mesures d urgence

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Gestion des incidents

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Une famille, deux pensions

Centre de données Barrie, Ontario

Organisme de recherche et d information sur la logistique et le transport LES TECHNIQUES DE SUIVI DES ARTICLES ET DES STOCKS

Management de la sécurité des technologies de l information

Symantec MessageLabs Web Security.cloud

Les solutions centre de données virtuel et Infrastructure-service de Bell

Document de présentation

L analyse de risques avec MEHARI

Transcription:

La gestion des risques en entreprise de nouvelles dimensions Octobre 2006

La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent de plus en plus voir au-delà des éléments de risque individuels pour adopter une démarche intégrée de gestion des risques qui englobe les processus d affaires ainsi que les éléments physiques, technologiques et humains. Des événements récents qui ont joui d une grande visibilité, comme l épidémie de SRAS ou la panne d électricité générale, ont fait ressortir de façon très concrète le besoin d une démarche intégrée de gestion des risques. En effet, ils ont illustré clairement les répercussions d une interruption des activités commerciales sur les revenus, le personnel et la réputation générale d une entreprise. Ces interruptions peuvent compromettre notamment l intégrité du processus d approvisionnement, la fourniture de services électroniques, le traitement des transactions, l accès aux bases de données, la sécurité des locaux et les services de communication. De nos jours, les risques pour les entreprises prennent plusieurs formes. La rupture d une liaison avec une installation manufacturière, à cause de travaux de construction par exemple, peut compromettre tout le processus de livraison juste à temps, de l approvisionnement en matériaux à la livraison au client, et son rétablissement peut exiger plusieurs semaines. Une violation de la sécurité ou un accès non autorisé à des dossiers confidentiels peut avoir un effet dévastateur sur la prestation de services de santé. Un travailleur mécontent pourrait provoquer en quelques minutes l effondrement du réseau de l entreprise. Une épidémie de grippe pourrait paralyser les activités quotidiennes d un centre d appels ou d un organisme gouvernemental.

S ajoute à cette complexité le fait que les exigences réglementaires liées à la protection civile et à la continuité des activités jouent un rôle clé dans les stratégies de planification de reprise après sinistre. Les entreprises doivent se tenir au courant du cadre réglementaire, en constante évolution et de plus en plus strict, qui change la façon dont elles gèrent leurs processus. Il est de plus en plus évident que l absence d une approche intégrée du risque peut avoir des conséquences considérables et qu elle pourrait nuire au rendement de l entreprise pendant des mois, voire des années. Pourtant, nombre d entreprises, négligeant de prendre les mesures de protection nécessaires sur tous les fronts, continuent de s exposer à des risques inutiles. Selon un dossier d IDC daté de juin 2006 sur l état de la résilience des entreprises et des plans de reprise après sinistre : «les entreprises canadiennes font preuve de laxisme à l égard de la protection de leurs revenus, de leur productivité et de leur réputation.» 1 Nous étudions ici le concept de la gestion des risques en entreprise tel que nous le connaissons aujourd hui, le rôle de la convergence dans l évolution des stratégies de gestion des risques, ainsi que le cadre de gestion des risques dont les entreprises peuvent se doter à l avenir. 1 Dossier IDC, «Business Resilience and disaster recovery: Challenging Misconceptions», juin 2006.

La gestion des risques en entrepriseune stratégie efficace de gestion des risques doit tenir compte des risques commerciaux, financiers, opérationnels et technologiques. Il ne s agit pas seulement d identifier et d atténuer chaque facteur de risque. Les entreprises d aujourd hui doivent aussi tenir compte de la gravité de chacun des facteurs de risque et attribuer correctement les ressources. Par exemple, au moment de fixer les objectifs de reprise des activités, on peut accorder aux fonctions de vérification une importance moindre qu aux services de commerce électronique. Pour ce qui touche le délai de rétablissement, l objectif serait de zéro pour les services d intervention d urgence comme le 9-1-1, alors qu on pourrait accorder plusieurs jours à la récupération des archives. Pour l atténuation des risques, une entreprise peut adopter diverses approches, selon le degré de priorité des risques et les ressources qui sont à sa disposition. Elle peut impartir la gestion des risques en totalité ou en partie, adopter des mesures d atténuation, ou simplement accepter les risques comme étant «le prix à payer pour faire des affaires», si elle prévoit que le coût des mesures d atténuation dépasserait la valeur de la perte potentielle. Une partie du défi consiste à déterminer le moment opportun pour chaque approche. Rappelons que rien n est statique dans le domaine de l évaluation des risques. Toute bonne stratégie de gestion des risques doit comprendre une évaluation régulière permettant de suivre l évolution des facteurs de risque et de la conjoncture, et de s y adapter. Le défi de la convergence

La convergence croissante des TI et des communications rend plus complexe la gestion des risques pour les gestionnaires de la sécurité. Ceux-ci doivent maintenant prendre en considération toute l infrastructure informatique, de réseau et de communications ainsi que le matériel, les logiciels, les télécommunications, l authentification, l accès, l élaboration des politiques et bien plus en vue de les intégrer dans une stratégie globale d évaluation des risques. Si la convergence grandissante des systèmes physiques et logiques est évidente dans presque tous les secteurs industriels, c est qu elle apporte des avantages tangibles aux entreprises d aujourd hui. Dans le secteur manufacturier, par exemple, il est courant pour les utilisateurs internes et externes d échanger et d intégrer de l information de toute sorte, qui va de l information physique (balayage des produits, sécurité des locaux) à l information logique (prise d inventaire, systèmes de gestion des commandes). Les services de santé se dotent d infrastructures qui gèrent l accès et le contrôle (accès par carte physique, authentification et vérification en ligne), ainsi que les données au chevet du patient et les dossiers de santé électroniques. Les besoins grandissants des entreprises au chapitre des applications, des systèmes, du personnel et des processus multiples représentent une source potentielle de menaces entièrement nouvelles pour l organisation dans son ensemble. Dans un univers convergent, la compromission d un seul bien informatique pourrait compromettre une foule d autres biens de l entreprise. Les facteurs externes jouent aussi un rôle clé dans la redéfinition de la gestion des risques. Le besoin accru de collaboration entre partenaires et fournisseurs peut étendre la portée et accroître la productivité d une entreprise, mais elle peut aussi augmenter sa vulnérabilité aux nouvelles menaces.

Globalement, même s il est entendu que la convergence possède une valeur commerciale considérable, elle ouvre aussi la porte à des vulnérabilités d un autre ordre, qui exigent une démarche de gestion des risques nouvelle, plus complète. Pour relever ce défi, on peut recourir à l éventail complet de services de gestion des risques offert par Bell. Solutions de sécurité de Bell Bell est un chef de file dans la fourniture de solutions intégrées de gestion des risques aux grandes entreprises canadiennes. Ces solutions s appuient sur un modèle de sécurité intégré à sept couches, qui propose une démarche holistique de la gestion des risques. Modèle de sécurité à sept couches Solutions de sécurité globale de Bell Gens Données Applications Hébergement Réseau Périmètre Sécurité physique

Ce modèle de gestion de la sécurité à sept couches définit le cadre d intégration des solutions de sécurité pour une gestion des risques en entreprise : 1. Les gens sont au cœur du modèle. L identité et l authentification sont considérées de nos jours comme les pierres angulaires de la sécurité de l information, puisqu elles permettent à l entreprise de déterminer quelles personnes ont accès à quelle l information et ce qu elles peuvent en faire. Bell collabore avec ses clients en vue de développer des systèmes et processus permettant d obtenir les autorisations appropriées, d informer le personnel des enjeux liés aux risques et à la sécurité, d offrir régulièrement de la formation et de s assurer que les procédures sont suivies pour protéger les gens en cas de crise. 2. Les services de la couche Données visent à protéger la confidentialité de l identité et l intégrité des données. Le chiffrement des données et les signatures numériques sont deux éléments clés qui peuvent servir à protéger les données contre la perte, la divulgation, la manipulation abusive et l altération. 3. Les services de la couche Applications protègent le caractère privé des communications internes et externes. Ils comprennent des évaluations périodiques de la vulnérabilité des dispositifs et des applications. Ils englobent aussi la gestion des événements de sécurité, qui permet la corrélation des événements et des vulnérabilités touchant divers dispositifs de sécurité, et des fonctionnalités de portail évoluées pour la production de rapports et d analyses. 4. Les services de la couche Hébergement offrent la protection contre les intrusions et la vulnérabilité des systèmes d exploitation, grâce à des services évolués de gestion des correctifs, de balayage des vulnérabilités, ainsi que de logiciels antivirus et d anti-logiciels espions. 5. Les services de la couche Réseau visent le développement et l adoption de politiques de contrôle d accès ainsi que la protection contre l accès non autorisé par des pirates ou des intrus, grâce à la prévention des intrusions, au balayage des vulnérabilités, à la détection des anomalies et à d autres outils 6. La protection de la couche Périmètre comprend : coupe-feu d entreprise, RPV, logiciels antivirus, antipolluriels et anti-logiciels espions, filtrage de contenu et gestion de la conformité 7. Les services de la couche Sécurité physique offrent des solutions IP intégrées pour la vidéosurveillance, le contrôle d accès, les communications et la biométrie.

Pour commencer Pour élaborer un plan stratégique efficace de gestion des risques, la première étape consiste en une analyse exhaustive des risques, qui englobe les sept couches de sécurité. Cette étape, cruciale, permet à la haute direction de prendre des décisions éclairées et de recommander en temps opportun des mesures de sauvegarde appropriées et rentables. Une analyse exhaustive des risques tient compte des interdépendances entre les différentes politiques et solutions pour établir la portée du projet, déterminer la méthodologie appropriée, établir un échéancier réaliste, identifier les acteurs clés et affecter les ressources. Le processus d analyse des risques se compose de cinq étapes : 1. L analyse de ce qu il faut protéger. 2. L évaluation des menaces, pour déterminer le genre de menaces dont les entreprises doivent anticiper les répercussions sur les activités, le personnel et les processus. 3. L évaluation des risques, pour découvrir si les mesures de protection existantes et proposées sont suffisantes. 4. L évaluation de l impact potentiel à court et à long terme d une menace sur l ensemble de l entreprise. 5. Des recommandations relatives à l acceptation de certains risques ainsi que la description des mesures à prendre pour réduire les risques jusqu à un seuil acceptable.

L analyse des risques doit être mise à jour périodiquement ou à la suite d un événement ou d un incident. Les révisions programmées permettent à l entreprise de tenir compte des nouveautés technologiques ou de l évolution des marchés, ou encore d évaluer les nouvelles menaces. Les résultats de l analyse des risques peuvent entraîner la modification de l état actuel ou du traitement d un risque identifié. Excellent carnet de route Bell a obtenu d excellents résultats en aidant des organisations des secteurs public et privé à combler leurs besoins en sécurité et gestion des risques. Bell peut aider les entreprises à élaborer et à mettre en œuvre, à un coût avantageux, une solution de gestion des risques pleinement intégrée, qui englobe l ensemble de l infrastructure de sécurité du réseau de la planification et l évaluation à la mise en œuvre et au suivi. Avec une équipe comptant plus de 300 professionnels de la sécurité d un océan à l autre et de nombreux partenariats avec différents fournisseurs, Bell est le principal fournisseur de solutions de sécurité pour les réseaux d information et de communication, tant publics que privés, au Canada. Pour en savoir plus, veuillez communiquer avec votre conseiller ou visiter le site www.enterprise.bell.ca.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back