SlideShare uma empresa Scribd logo
1 de 31
NOUVEAU CADRE DE GOUVERNANCE 
DE LA SÉCURITÉ DE L’INFORMATION 
14 octobre 2014 
PRÉSENTÉ À ISACA-QUÉBEC 
Sous-secrétariat du dirigeant principal de l’information 
Direction de l’encadrement de la sécurité de l’information
TABLE DES MATIÈRES 
Introduction 
Définition de la gouvernance 
Cadre légal 
Évaluation de la Directive adoptée en 2006 
Composantes du nouveau cadre de gouvernance 
Directive sur la sécurité de l’information 
Cadre gouvernemental de gestion de la sécurité de l’information 
Cadre de gestion des risques et des incidents à portée gouvernementale 
Approche stratégique gouvernementale 2014-2017 en sécurité de 
l’information 
Gestion du changement 
Stratégie et leviers de transformation 
Conclusion
INTRODUCTION
GOUVERNANCE DE LA SÉCURITÉ DE L’INFORMATION 
DÉFINITION 
« Établissement et mise en oeuvre d’un processus de 
gestion intégrée et d’amélioration continue de la sécurité de 
l’information où les rôles et les responsabilités en cette 
matière sont clairement attribués à tous les niveaux de 
l’organisation. » 
4
CADRE LÉGAL 5 
Loi concernant le cadre juridique des technologies de l'information 
Loi sur l’accès aux documents des organismes publics et sur la protection des 
renseignements personnels 
Loi sur la gouvernance et la gestion des ressources informationnelles des 
organismes publics et des entreprises du gouvernement (adoptée en juin 2011) 
Établit les règles de gouvernance et de gestion en matière de ressources 
informationnelles, incluant la sécurité de l’information (Champ d’application, acteurs clés 
et nouvelles fonctions, règles de gouvernance des RI) 
Politique-cadre sur la gouvernance et la gestion des ressources informationnelles 
des organismes publics (adoptée en décembre 2010) 
Met l’emphase sur la révision de la directive en vigueur et sur la réalisation de trois 
documents structurants permettant d’en faciliter la mise en oeuvre (cadre gouvernemental 
de gestion de la sécurité de l’information, cadre de gestion des risques et des incidents à 
portée gouvernementale, approche stratégique triennale)
ÉVALUATION DE LA DIRECTIVE ADOPTÉE EN 
2006
7 
ÉVALUATION DIRECTIVE 2006 
Directive 2006 Ajustement requis 
• Champs d’application non aligné sur la LGGRI • Alignement sur le champ d’application de la LGGRI, incluant les 
établissement des réseaux 
• Énoncés trop généraux et sujets à interprétations 
diverses 
• Énoncés identifiant clairement les exigences, et conformes aux 
bonnes pratiques de sécurité de l’information 
• Édicte des obligations ainsi que des rôles et des 
responsabilités 
• Édicter des obligations dans une nouvelle directive. Les rôles et 
responsabilités sont à intégrer dans un autre document : le cadre 
gouvernemental de gestion de la sécurité de l’information 
• Limite la gestion des risques à l’échelle d’un ministère 
ou organisme 
• Instaurer une gestion des risques prenant en compte les risques 
ayant un impact à l’échelle gouvernementale 
• Absence d’obligation en matière de cybersécurité et de 
gestion des incidents 
• Les incidents sont déclarés au Centre de services 
partagés du Québec (CERT/AQ) sur une base volontaire 
• Instaurer un processus de coordination et de concertation, advenant 
un incident ayant un impact à l’échelle gouvernementale 
• Instaurer une déclaration obligatoire des incidents à portée 
gouvernementale 
• Exige la désignation d’un RSI, sans préciser sa classe 
d’emploi. Lorsqu’un professionnel est désigné en tant 
que RSI, il bénéficie d’une faible marge de manoeuvre en 
raison de son éloignement du pouvoir décisionnel 
• Désigner un ROSI de niveau cadre (ministères ou organismes, 
réseaux). Celui-ci a l’avantage de bénéficier d’une plus grande marge 
de manoeuvre en raison de son rapprochement du pouvoir 
décisionnel 
• Désigner un COGI de niveau professionnel ou supérieur (ministères 
ou organismes, réseaux) 
• Est appuyée par une approche stratégique 2005-2009, 
limitée à la définition de grands axes d’intervention 
• Adopter une approche stratégique gouvernementale qui soit basée 
sur les bilans gouvernementaux et les tendances de l’heure en 
sécurité de l’information, et qui définit les objectifs, les cibles à 
atteindre et les indicateurs de performance
COMPOSANTES DU NOUVEAU 
CADRE DE GOUVERNANCE
9 
QUATRE DOCUMENTS STRUCTURANTS 
Directive sur la sécurité de l’information gouvernementale 
Fixe les objectifs à atteindre, énonce les principes directeurs devant être appliqués et établit les 
obligations du dirigeant principal de l’information (DPI) et des organismes publics afin d’assurer la 
sécurité de l’information gouvernementale tout au long de son cycle de vie 
Cadre gouvernemental de gestion de la sécurité de l’information 
Vise à compléter les dispositions de la directive en précisant l’organisation fonctionnelle de la 
sécurité de l’information au sein de l’appareil gouvernemental ainsi que les rôles et les 
responsabilités en cette matière 
Cadre de gestion des risques et des incidents à portée gouvernementale 
Présente une approche novatrice d’identification et de suivi du traitement des risques et des incidents 
susceptibles d'avoir des conséquences sur la prestation de services à la population, sur la vie, la 
santé ou le bien-être des personnes, sur le respect de leurs droits fondamentaux à la protection des 
renseignements personnels qui les concernent et au respect de leur vie privée, sur l’image du 
gouvernement, ou sur la prestation de services fournie par d’autres organismes publics 
Approche stratégique gouvernementale 2014-2017 en sécurité de l’information 
Permet d’établir la vision gouvernementale et de définir les objectifs stratégiques pour les trois 
années à venir
10 
DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION 
GOUVERNEMENTALE 
Obligations du dirigeant principal de l’information 
 Conseiller le CT en matière de gouvernance de la sécurité de l’information 
 Déposer au CT un rapport bisannuel sur l’état de situation gouvernemental et un rapport 
annuel sur les risques à portée gouvernementale 
 Définir et mettre en oeuvre, conjointement avec le CERT/AQ, un processus de gestion 
des incidents à portée gouvernementale 
 Proposer au CT des services communs de sécurité de l’information à rendre obligatoires 
pour l’Administration gouvernementale 
 Mettre en place les instances de concertation gouvernementales de sécurité de 
l’information
11 
DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION 
GOUVERNEMENTALE (SUITE) 
OBLIGATIONS DU CSPQ - CERT/AQ 
 Présenter au DPI, conjointement avec le ministère de la Sécurité publique et la 
Sûreté du Québec, un rapport annuel sur les incidents à portée gouvernementale 
 Informer le DPI de tout incident de sécurité de l’information à portée 
gouvernementale 
OBLIGATION DU CONTRÔLEUR DES FINANCES 
 Veiller à l’intégrité du système comptable du gouvernement et informer, le cas échéant, 
le DPI des situations ayant des incidences sur la sécurité de l’information 
gouvernementale
12 
DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION 
GOUVERNEMENTALE (SUITE) 
Obligations des organismes publics 
 Adopter et mettre en oeuvre une politique et un cadre de gestion de la sécurité de 
l’information 
 Présenter au DPI une planification et un bilan de sécurité de l’information 
 Définir et mettre en oeuvre, de façon formelle, les processus de gestion des risques, de 
gestion des incidents et de gestion de l’accès à l’information 
 Déclarer, au CERT/AQ, les incidents de sécurité de l’information à portée 
gouvernementale 
 Réaliser des audits et des tests d’intrusion 
 Mettre en place un registre d’autorité 
 Intégrer aux ententes de service et aux contrats les clauses garantissant le respect des 
exigences de sécurité de l’information 
 Déclarer au DPI les risques de sécurité de l’information à portée gouvernementale 
 Utiliser les services communs de sécurité de l’information 
 Désigner les principaux intervenants en sécurité de l’information (ROSI, COGI) 
 Définir et mettre en place un programme formel de formation et de sensibilisation
DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION 13 
GOUVERNEMENTALE (SUITE) 
Obligations des réseaux de l’éducation et de la santé 
 Les établissements des réseaux sont assujettis aux obligations faites aux 
organismes publics en matière de respect de bonnes pratiques de sécurité de 
l’information 
 Le DRI présente au DPI une synthèse des bilans et des plans d’action des 
établissements de chaque réseau 
 Chaque réseau désigne un ROSI et un COGI
CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION14 
Organisation fonctionnelle de la sécurité de 
l’information 
Structure gouvernementale 
de sécurité de l’information 
Organisme public
CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION 
15 
EIMSG 
Comité de crise 
gouvernemental 
Réseau d’alerte 
gouvernemental 
Instances 
gouvernementales 
de concertation 
CCGSI 
Table des ROSI 
Réseau des COSI 
Conseil du trésor 
Dirigeant principal de 
l’information 
Organismes publics à 
portée horizontale 
MJQ MSP 
MCE - SIDPC SQ 
- CSPQ 
- CERT /AQ 
BAnQ 
CF 
Organisme public 
Organisation fonctionnelle de la sécurité de 
l’information 
Structure gouvernementale 
de sécurité de l’information
CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION 
ROSI 
COGI COSI 
Organisme public 
Dirigeant d’un 
organisme public 
DRI 
DSI 
Détenteurs de 
l’information 
Comité chargé 
de la sécurité 
de l’information 
Comité de crise 
ministériel 
Comité de 
continuité des 
services 
Autres 
intervenants 
- RASI - RGD 
- RCS - RSP 
- RDASI - RE 
- RVI - RGTI 
- RAIPRP 
Structure sectorielle de 
sécurité de l’information 
Instances 
Structure gouvernementale 
de sécurité de l’information 
gouvernementales 
de concertation 
CCGSI 
EIMSG 
Table des ROSI 
Réseau des COSI 
Comité de crise 
gouvernemental 
Conseil du trésor 
Dirigeant principal de 
l’information 
Réseau d’alerte 
Organismes publics à 
portée horizontale 
MJQ MSP 
MCE-SIDPC SQ 
-C SPQ gouvernemental 
- CERT/AQ 
BAnQ 
CF 
Organisation fonctionnelle de la sécurité de 
l’information
CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATIO1N7 
Structure gouvernementale 
de sécurité de l’information 
EIMSG 
Comité de crise 
gouvernemental 
Réseau d’alerte 
gouvernemental 
Instances 
gouvernementales 
de concertation 
CCGSI 
Table des ROSI 
Réseau des COSI 
Conseil du trésor 
Dirigeant principal de 
l’information 
Organismes publics à 
portée horizontale 
MJQ MSP 
MCE-SIDPC SQ 
- CSPQ 
- CERT/AQ 
BAnQ 
CF 
Organisation fonctionnelle de la sécurité de 
l’information 
Organisme public 
Dirigeant d’un 
organisme public 
DRI 
DSI 
Détenteurs de 
l’information 
Comité chargé 
de la sécurité 
de l’information 
Comité de crise 
ministériel 
Comité de 
continuité des 
services 
Autres 
intervenants 
- RASI - RGD 
- RCS - RSP 
- RDASI - RE 
- RVI - RGTI 
- RAIPRP 
Structure sectorielle de 
sécurité de l’information 
ROSI 
COGI COSI
18 
CADRE GOUVERNEMENTAL DE GESTION DE LA 
SÉCURITÉ DE L’INFORMATION (SUITE) 
Responsable organisationnel de la sécurité de l’information (ROSI) 
 Joue un rôle transversal à l’ensemble des systèmes de mission de l’organisation [De 
ce fait, et sans qu’il soit mis dans une situation de conflit d’intérêt, le ROSI doit bénéficier d’une 
marge de manoeuvre qui dépend essentiellement de son positionnement hiérarchique, d’où 
l’avantage de son rapprochement du pouvoir décisionnel, voire son rattachement auprès de la 
haute direction] 
 Assure la coordination et la cohérence des actions de sécurité de l’information 
menées au sein de son organisation 
 S’assure de la contribution de son organisation au processus de gestion des risques 
et des incidents de sécurité de l’information à portée gouvernementale 
 Représente le dirigeant d’organisme en matière de déclaration des incidents à 
portée gouvernementale 
 Est le principal interlocuteur du comité chargé de la sécurité de l’information de 
l’organisation
19 
CADRE GOUVERNEMENTAL DE GESTION DE LA 
SÉCURITÉ DE L’INFORMATION (SUITE) 
Conseiller organisationnel en sécurité de l’information (COSI) 
 Met en oeuvre les orientations internes et les priorités d’actions, notamment celles portant 
sur l’instauration de processus formels de sécurité de l’information et le suivi de leur mise 
en oeuvre 
 Collabore étroitement avec le ROSI et lui apporte le soutien nécessaire dans la prise en 
charge des exigences de sécurité de l’information 
 Assiste les détenteurs dans la catégorisation de l’information relevant de leur 
responsabilité et dans la réalisation des analyses de risques de sécurité de l’information 
 Participe aux négociations des ententes de service et des contrats et formule des 
recommandations quant à l’intégration de dispositions garantissant le respect des 
exigences de sécurité de l’information 
 Produire les bilans et les plans d’action de sécurité de l’information
20 
Conseiller organisationnel en gestion des incidents (COGI) 
 Participe au réseau d’alerte gouvernemental dont la coordination est assurée par le 
CERT/AQ 
 Est l’interlocuteur officiel de son organisation auprès du CERT/AQ 
 Assure la coordination de l’équipe de réponse aux incidents de son organisation, et du 
déploiement des stratégies de réaction appropriées 
 Apporte au ROSI et au COSI le soutien technique nécessaire dans l’exercice de leurs 
responsabilités 
 Contribue à la mise en place du processus de gestion des incidents de son organisation 
 Le COGI contribue à la mise en oeuvre du processus gouvernemental de gestion des 
incidents 
CADRE GOUVERNEMENTAL DE GESTION DE LA 
SÉCURITÉ DE L’INFORMATION (SUITE)
21 
CADRE GOUVERNEMENTAL DE GESTION DE LA 
SÉCURITÉ DE L’INFORMATION (SUITE) 
INSTANCES DE COORDINATION ET DE CONCERTATION 
 Comité de crise gouvernemental : centre de coordination de la réaction et de la décision 
lorsqu’un incident de sécurité de l’information à portée gouvernementale n’est pas 
maîtrisé en dépit des stratégies palliatives mises en oeuvre 
 Table des ROSI : exerce un rôle-conseil auprès du dirigeant principal de l’information 
dans la définition, la mise en oeuvre et le suivi de l’application des politiques, des 
directives et des orientations gouvernementales de sécurité de l’information 
 Comité de coordination gouvernementale de la sécurité de l’information (CCGSI) : 
est constitué de représentants des organismes publics ayant les responsabilités 
horizontales. Il voit à la coordination des actions découlant de ces responsabilités 
horizontales des OP membres et qui seraient d’intérêt pour l’ensemble des organismes 
publics 
 Réseau des COSI : constitue une plateforme d’échanges et de partage des 
connaissances en sécurité de l’information 
 Réseau d’alerte gouvernemental : animé par le CERT/AQ, ce réseau constitue une 
plateforme de partage de l’information entre les coordonnateurs organisationnels de 
gestion des incidents
22 
CADRE DE GESTION DES RISQUES ET DES 
INCIDENTS À PORTÉE GOUVERNEMENTALE 
Risque de sécurité de l’information à portée gouvernementale (RPG) 
Risque d'atteinte à la disponibilité, à l’intégrité ou à la confidentialité de 
l’information gouvernementale et qui peut avoir des conséquences sur la 
prestation de services à la population, sur la vie, la santé ou le bien-être des 
personnes, sur le respect de leurs droits fondamentaux à la protection des 
renseignements personnels qui les concernent et au respect de leur vie privée, 
sur l’image du gouvernement, ou sur la prestation de services fournie par 
d’autres organismes publics 
Incident de sécurité de l’information à portée gouvernementale (IPG) 
Conséquence observable de la concrétisation d’un risque de sécurité de 
l’information à portée gouvernementale et qui nécessite une intervention 
concertée au plan gouvernemental
23 
CADRE DE GESTION DES RISQUES ET DES 
INCIDENTS À PORTÉE GOUVERNEMENTALE (SUITE) 
Le DPI assure la mise en oeuvre et la coordination de la stratégie de gestion des RPG. 
Il doit : 
Identifier, de concert avec les organismes publics, les RPG inhérents aux activités 
stratégiques 
Analyser les RPG et les mesures d’atténuation mises en place 
Apprécier le niveau de risque résiduel et juger de son acceptabilité au niveau 
gouvernemental 
Formuler des recommandations de prise en charge du RPG, si nécessaire, à 
l’organisme public concerné. 
Élaborer un rapport annuel sur les RPG à l’intention du CT 
En matière de réponse aux IPG, le DPI, conjointement avec le CERT/AQ 
Assure la coordination du processus gouvernemental de gestion d’un IPG 
Soutient les organismes publics dans le rétablissement de la situation après incident 
Effectue le suivi d’un IPG auprès des organismes publics
24 APPROCHE STRATÉGIQUE GOUVERNEMENTALE 
2014-2017 EN SÉCURITÉ DE L’INFORMATION 
ORIENTATIONS ET OBJECTIFS STRATÉGIQUES 
Environnement interne 
(Rapport du VG, état de situation 
gouvernemental) 
Environnement externe 
(Préoccupations et tendances 
observées au plan national et 
International) 
Parties prenantes 
(Tables de concertation, 
groupes de validation 
interministériels, réseau 
d’expertise et de vigie) 
Orientations 
et objectifs 
stratégiques
25 APPROCHE STRATÉGIQUE GOUVERNEMENTALE 
2014-2017 EN SÉCURITÉ DE L’INFORMATION (SUITE) 
Niveau de maturité cible : Un niveau de maturité en sécurité de l’information, convenable pour un 
organisme public (niveau 3), est atteint, notamment, lorsque ses processus de sécurité de 
l’information sont normalisés, intégrés, documentés et implémentés et lorsque l’information qu’elle 
détient est sécurisée, conformément aux bonnes pratiques de sécurité de l’information.
26 APPROCHE STRATÉGIQUE GOUVERNEMENTALE 
2014-2017 EN SÉCURITÉ DE L’INFORMATION (SUITE) 
Orientation Cible à l’endroit des organismes publics 
1- Renforcer l’encadrement • Adopter une politique et un cadre de gestion 
• Identifier les actifs critiques et mettre en place les mesures 
de sécurité associées 
2- Atteindre un niveau de 
maturité adéquat en 
sécurité 
• Définir et mettre en oeuvre, de façon formelle, les 
processus de gestion des risques, de 
gestion des incidents et de gestion des droits d’accès 
• Effectuer un audit de sécurité et des tests d’intrusion 
• Adopter une architecture de sécurité de l’information 
• Mettre en place un registre d’autorité 
3- Renforcer la cybersécurité • Participer au réseau d’alerte gouvernemental 
4- Développer l’offre de 
service d’authentification 
• Utiliser les services communs d’authentification 
5- Développer et maintenir les 
compétences 
• Élaborer un plan de formation et de sensibilisation
GESTION DU CHANGEMENT
28 
STRATÉGIE DE GESTION DU CHANGEMENT 
Vise l’adhésion des acteurs impliqués, la transformation des pratiques et 
l’évolution de la sécurité de l’information gouvernementale vers un niveau de 
maturité adéquat 
Leviers de transformation 
 Communication : plateforme de collaboration des DI, plateforme dédiée à la 
sécurité de l’information, communauté d’intérêt en sécurité de l’information 
 Formation : formations dispensées par le CSPQ/CLDC, réflexion en cours sur 
une nouvelle stratégie de formation 
 Sensibilisation : colloques, séminaires et conférences organisés par des 
associations et forums exerçant des activités en SI ou dans des domaines 
connexes 
 Accompagnement et soutien : réalisation de guides de bonnes pratiques, 
soutien dans le cadre d’un service de première ligne, mise en oeuvre du cadre de 
gestion des RPG, mise en place d’un processus gouvernemental de gestion des 
incidents 
 Pilotage du changement : mise en place de comités de travail interministériels 
et des instances gouvernementales de coordination et de concertation
29 
ACCOMPAGNEMENT DES ORGANISMES PUBLICS 
(GUIDE DE BONNES PRATIQUES) 
Guides réalisés (11) 
Politique de sécurité de l’information 
Cadre de gestion en sécurité de l’information 
Critères de désignation des principaux intervenants en SI (ROSI, COSI et COGI) 
Tests d’intrusions et de vulnérabilités 
Catégorisation de l’information 
Processus de gestion des risques de sécurité de l’information 
Suivi de la reddition de comptes (tableau de bord) 
Méthode d’analyse des risques Méhari 
Audit de sécurité de l’information 
Mise en oeuvre du cadre de gestion des risques à portée gouvernementale 
Sensibilisation à la sécurité de l’information 
Guides en cours de réalisation(4) 
Plan d’action ministériel de sécurité de l’information (en cours) 
Registre d’autorité de la sécurité de l’information (en cours) 
Gestion des incidents à portée sectorielle et gouvernementale (en cours) 
Processus de gestion des accès logiques (en cours) 
Guides à venir (2) 
Utilisation sécuritaire des assistants numériques personnels (à venir) 
Prise en charge des exigences de SCPRP (à venir)
CONCLUSION 30 
3 
2 
1 
0 
1 2 3 
Confiance 
Risque 
AMÉLIORATION CONTINUE
MERCI 
Mohamed Darabid 
mohamed.darabid@sct.gouv.qc.ca

Mais conteúdo relacionado

Mais procurados

Gouvernance de la Sécurité
Gouvernance de la SécuritéGouvernance de la Sécurité
Gouvernance de la SécuritéGeoffrey Thiesset
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskPape Moussa SONKO
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation PowerPoint.pptx
Présentation  PowerPoint.pptxPrésentation  PowerPoint.pptx
Présentation PowerPoint.pptxradiagana1
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Vulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationVulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationMoustapha Mbow
 
Practical Enterprise Security Architecture
Practical Enterprise Security Architecture  Practical Enterprise Security Architecture
Practical Enterprise Security Architecture Priyanka Aash
 
Iso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseIso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseMart Rovers
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Audit
AuditAudit
Auditzan
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
PRA et PCA : plans de reprise et de continuité d'activité
 PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activitéChristophe Casalegno
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiqueManuel Cédric EBODE MBALLA
 

Mais procurados (20)

Gouvernance de la Sécurité
Gouvernance de la SécuritéGouvernance de la Sécurité
Gouvernance de la Sécurité
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation PowerPoint.pptx
Présentation  PowerPoint.pptxPrésentation  PowerPoint.pptx
Présentation PowerPoint.pptx
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Vulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationVulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisation
 
Practical Enterprise Security Architecture
Practical Enterprise Security Architecture  Practical Enterprise Security Architecture
Practical Enterprise Security Architecture
 
Iso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseIso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training course
 
elk
elkelk
elk
 
mis en place dun vpn site à site
mis en place dun vpn site à site mis en place dun vpn site à site
mis en place dun vpn site à site
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Audit
AuditAudit
Audit
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
La gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec MultiforceLa gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec Multiforce
 
PRA et PCA : plans de reprise et de continuité d'activité
 PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatique
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 

Destaque

Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2ISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdISACA Chapitre de Québec
 
Return on Security Investment
Return on Security InvestmentReturn on Security Investment
Return on Security InvestmentConferencias FIST
 
Haute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de PanneHaute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de PanneElior Boukhobza
 

Destaque (20)

Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
Programme isaca 2013_2014
Programme isaca 2013_2014Programme isaca 2013_2014
Programme isaca 2013_2014
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Return on Security Investment
Return on Security InvestmentReturn on Security Investment
Return on Security Investment
 
Haute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de PanneHaute Disponibilité et Tolérance de Panne
Haute Disponibilité et Tolérance de Panne
 

Semelhante a Nouveau cadre de gouvernance de la sécurité de l’information

Guide_MEP_PGRSI v1.7
Guide_MEP_PGRSI  v1.7Guide_MEP_PGRSI  v1.7
Guide_MEP_PGRSI v1.7Yves Bourdic
 
Présentation Comité RGI réunion de lancement
Présentation Comité RGI réunion de lancementPrésentation Comité RGI réunion de lancement
Présentation Comité RGI réunion de lancementpsouhard
 
Rapport Synthese du Programme d'appui a la reforme du secteur de securite (PA...
Rapport Synthese du Programme d'appui a la reforme du secteur de securite (PA...Rapport Synthese du Programme d'appui a la reforme du secteur de securite (PA...
Rapport Synthese du Programme d'appui a la reforme du secteur de securite (PA...Fatoumata Chérif
 
2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"
2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"
2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"ASIP Santé
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
EIFR - Gouvernance et nouvelle politique des risques sous solvabilite 2
EIFR - Gouvernance et nouvelle politique des risques sous solvabilite 2EIFR - Gouvernance et nouvelle politique des risques sous solvabilite 2
EIFR - Gouvernance et nouvelle politique des risques sous solvabilite 2Alban Jarry
 
Mission parlementaire sur le continuum de sécurité Vers une ambition partagée
Mission parlementaire sur le continuum de sécurité Vers une ambition partagéeMission parlementaire sur le continuum de sécurité Vers une ambition partagée
Mission parlementaire sur le continuum de sécurité Vers une ambition partagéePierre BOUZIN
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...African Cyber Security Summit
 
Note d'informations sur le parss 2-2017
Note d'informations sur le parss 2-2017Note d'informations sur le parss 2-2017
Note d'informations sur le parss 2-2017Fatoumata Chérif
 
Le SYSTEME DE BONNE GOUVERNANCE A LA STEG
Le SYSTEME DE BONNE GOUVERNANCE  A  LA STEGLe SYSTEME DE BONNE GOUVERNANCE  A  LA STEG
Le SYSTEME DE BONNE GOUVERNANCE A LA STEGOECDglobal
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...ASIP Santé
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciRadouane Mrabet
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données PersonnellesSoft Computing
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 

Semelhante a Nouveau cadre de gouvernance de la sécurité de l’information (20)

Guide_MEP_PGRSI v1.7
Guide_MEP_PGRSI  v1.7Guide_MEP_PGRSI  v1.7
Guide_MEP_PGRSI v1.7
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpd
 
Présentation Comité RGI réunion de lancement
Présentation Comité RGI réunion de lancementPrésentation Comité RGI réunion de lancement
Présentation Comité RGI réunion de lancement
 
Rapport Synthese du Programme d'appui a la reforme du secteur de securite (PA...
Rapport Synthese du Programme d'appui a la reforme du secteur de securite (PA...Rapport Synthese du Programme d'appui a la reforme du secteur de securite (PA...
Rapport Synthese du Programme d'appui a la reforme du secteur de securite (PA...
 
2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"
2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"
2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
EIFR - Gouvernance et nouvelle politique des risques sous solvabilite 2
EIFR - Gouvernance et nouvelle politique des risques sous solvabilite 2EIFR - Gouvernance et nouvelle politique des risques sous solvabilite 2
EIFR - Gouvernance et nouvelle politique des risques sous solvabilite 2
 
Actes chen
Actes chenActes chen
Actes chen
 
Mission parlementaire sur le continuum de sécurité Vers une ambition partagée
Mission parlementaire sur le continuum de sécurité Vers une ambition partagéeMission parlementaire sur le continuum de sécurité Vers une ambition partagée
Mission parlementaire sur le continuum de sécurité Vers une ambition partagée
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
Note d'informations sur le parss 2-2017
Note d'informations sur le parss 2-2017Note d'informations sur le parss 2-2017
Note d'informations sur le parss 2-2017
 
Le SYSTEME DE BONNE GOUVERNANCE A LA STEG
Le SYSTEME DE BONNE GOUVERNANCE  A  LA STEGLe SYSTEME DE BONNE GOUVERNANCE  A  LA STEG
Le SYSTEME DE BONNE GOUVERNANCE A LA STEG
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 

Mais de ISACA Chapitre de Québec

Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015ISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...ISACA Chapitre de Québec
 
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...ISACA Chapitre de Québec
 
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)ISACA Chapitre de Québec
 
L'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisationL'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisationISACA Chapitre de Québec
 
Sécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueSécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueISACA Chapitre de Québec
 

Mais de ISACA Chapitre de Québec (13)

Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
 
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
L'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisationL'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisation
 
Sécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueSécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatique
 
Un virage agile: réalité ou utopie?
Un virage agile: réalité ou utopie?Un virage agile: réalité ou utopie?
Un virage agile: réalité ou utopie?
 

Último

Créer une web radio : décryptage du dispositif mis en place à l'agglomération...
Créer une web radio : décryptage du dispositif mis en place à l'agglomération...Créer une web radio : décryptage du dispositif mis en place à l'agglomération...
Créer une web radio : décryptage du dispositif mis en place à l'agglomération...Cap'Com
 
B2. Travailler sa communication managériale
B2. Travailler sa communication managérialeB2. Travailler sa communication managériale
B2. Travailler sa communication managérialeCap'Com
 
E1.Évaluer sa communication interne .
E1.Évaluer sa communication interne     .E1.Évaluer sa communication interne     .
E1.Évaluer sa communication interne .Cap'Com
 
C2. Miser sur la sobriété éditoriale pour des contenus accessibles
C2. Miser sur la sobriété éditoriale pour des contenus accessiblesC2. Miser sur la sobriété éditoriale pour des contenus accessibles
C2. Miser sur la sobriété éditoriale pour des contenus accessiblesCap'Com
 
Dynamiser ses voeux et événements protocolaires : décryptage du Grand Prix 20...
Dynamiser ses voeux et événements protocolaires : décryptage du Grand Prix 20...Dynamiser ses voeux et événements protocolaires : décryptage du Grand Prix 20...
Dynamiser ses voeux et événements protocolaires : décryptage du Grand Prix 20...Cap'Com
 
Fin de l'aventure bienvenue à l'Ehpad Niort 2024
Fin de l'aventure bienvenue à l'Ehpad Niort 2024Fin de l'aventure bienvenue à l'Ehpad Niort 2024
Fin de l'aventure bienvenue à l'Ehpad Niort 2024Kervin Kueny
 
Plénière de clôture | S'appuyer sur les sciences comportementales pour accomp...
Plénière de clôture | S'appuyer sur les sciences comportementales pour accomp...Plénière de clôture | S'appuyer sur les sciences comportementales pour accomp...
Plénière de clôture | S'appuyer sur les sciences comportementales pour accomp...Cap'Com
 
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024Timothy Duquesne
 
Conférence HOP | Renforcer la proximité : la com interne sur le terrain
Conférence HOP | Renforcer la proximité : la com interne sur le terrainConférence HOP | Renforcer la proximité : la com interne sur le terrain
Conférence HOP | Renforcer la proximité : la com interne sur le terrainCap'Com
 
A1. S'adresser aux nouvelles générations
A1. S'adresser aux nouvelles générationsA1. S'adresser aux nouvelles générations
A1. S'adresser aux nouvelles générationsCap'Com
 
A2. Réinventer son dispositif de recrutement au travers de l'ingénierie conve...
A2. Réinventer son dispositif de recrutement au travers de l'ingénierie conve...A2. Réinventer son dispositif de recrutement au travers de l'ingénierie conve...
A2. Réinventer son dispositif de recrutement au travers de l'ingénierie conve...Cap'Com
 
Bienvenue à l'Ehpad des coachs PACAEN2024
Bienvenue à l'Ehpad des coachs PACAEN2024Bienvenue à l'Ehpad des coachs PACAEN2024
Bienvenue à l'Ehpad des coachs PACAEN2024Kervin Kueny
 
B1. Valoriser et s'appuyer sur le sport en com interne
B1. Valoriser et s'appuyer sur le sport en com interneB1. Valoriser et s'appuyer sur le sport en com interne
B1. Valoriser et s'appuyer sur le sport en com interneCap'Com
 
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024Timothy Duquesne
 
D1. Application intranet mobile : peser le pour et le contre
D1. Application intranet mobile : peser le pour et le contreD1. Application intranet mobile : peser le pour et le contre
D1. Application intranet mobile : peser le pour et le contreCap'Com
 
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024Timothy Duquesne
 
C1. Créer et accompagner un réseau d'ambassadeurs sur Linkedin
C1. Créer et accompagner un réseau d'ambassadeurs sur LinkedinC1. Créer et accompagner un réseau d'ambassadeurs sur Linkedin
C1. Créer et accompagner un réseau d'ambassadeurs sur LinkedinCap'Com
 
D2. Impliquer les agents dans les événements internes
D2. Impliquer les agents dans les événements internesD2. Impliquer les agents dans les événements internes
D2. Impliquer les agents dans les événements internesCap'Com
 

Último (18)

Créer une web radio : décryptage du dispositif mis en place à l'agglomération...
Créer une web radio : décryptage du dispositif mis en place à l'agglomération...Créer une web radio : décryptage du dispositif mis en place à l'agglomération...
Créer une web radio : décryptage du dispositif mis en place à l'agglomération...
 
B2. Travailler sa communication managériale
B2. Travailler sa communication managérialeB2. Travailler sa communication managériale
B2. Travailler sa communication managériale
 
E1.Évaluer sa communication interne .
E1.Évaluer sa communication interne     .E1.Évaluer sa communication interne     .
E1.Évaluer sa communication interne .
 
C2. Miser sur la sobriété éditoriale pour des contenus accessibles
C2. Miser sur la sobriété éditoriale pour des contenus accessiblesC2. Miser sur la sobriété éditoriale pour des contenus accessibles
C2. Miser sur la sobriété éditoriale pour des contenus accessibles
 
Dynamiser ses voeux et événements protocolaires : décryptage du Grand Prix 20...
Dynamiser ses voeux et événements protocolaires : décryptage du Grand Prix 20...Dynamiser ses voeux et événements protocolaires : décryptage du Grand Prix 20...
Dynamiser ses voeux et événements protocolaires : décryptage du Grand Prix 20...
 
Fin de l'aventure bienvenue à l'Ehpad Niort 2024
Fin de l'aventure bienvenue à l'Ehpad Niort 2024Fin de l'aventure bienvenue à l'Ehpad Niort 2024
Fin de l'aventure bienvenue à l'Ehpad Niort 2024
 
Plénière de clôture | S'appuyer sur les sciences comportementales pour accomp...
Plénière de clôture | S'appuyer sur les sciences comportementales pour accomp...Plénière de clôture | S'appuyer sur les sciences comportementales pour accomp...
Plénière de clôture | S'appuyer sur les sciences comportementales pour accomp...
 
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
 
Conférence HOP | Renforcer la proximité : la com interne sur le terrain
Conférence HOP | Renforcer la proximité : la com interne sur le terrainConférence HOP | Renforcer la proximité : la com interne sur le terrain
Conférence HOP | Renforcer la proximité : la com interne sur le terrain
 
A1. S'adresser aux nouvelles générations
A1. S'adresser aux nouvelles générationsA1. S'adresser aux nouvelles générations
A1. S'adresser aux nouvelles générations
 
A2. Réinventer son dispositif de recrutement au travers de l'ingénierie conve...
A2. Réinventer son dispositif de recrutement au travers de l'ingénierie conve...A2. Réinventer son dispositif de recrutement au travers de l'ingénierie conve...
A2. Réinventer son dispositif de recrutement au travers de l'ingénierie conve...
 
Bienvenue à l'Ehpad des coachs PACAEN2024
Bienvenue à l'Ehpad des coachs PACAEN2024Bienvenue à l'Ehpad des coachs PACAEN2024
Bienvenue à l'Ehpad des coachs PACAEN2024
 
B1. Valoriser et s'appuyer sur le sport en com interne
B1. Valoriser et s'appuyer sur le sport en com interneB1. Valoriser et s'appuyer sur le sport en com interne
B1. Valoriser et s'appuyer sur le sport en com interne
 
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
 
D1. Application intranet mobile : peser le pour et le contre
D1. Application intranet mobile : peser le pour et le contreD1. Application intranet mobile : peser le pour et le contre
D1. Application intranet mobile : peser le pour et le contre
 
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
Présentation EMIsphère Saison 3 pour les Assises du Journalisme 2024
 
C1. Créer et accompagner un réseau d'ambassadeurs sur Linkedin
C1. Créer et accompagner un réseau d'ambassadeurs sur LinkedinC1. Créer et accompagner un réseau d'ambassadeurs sur Linkedin
C1. Créer et accompagner un réseau d'ambassadeurs sur Linkedin
 
D2. Impliquer les agents dans les événements internes
D2. Impliquer les agents dans les événements internesD2. Impliquer les agents dans les événements internes
D2. Impliquer les agents dans les événements internes
 

Nouveau cadre de gouvernance de la sécurité de l’information

  • 1. NOUVEAU CADRE DE GOUVERNANCE DE LA SÉCURITÉ DE L’INFORMATION 14 octobre 2014 PRÉSENTÉ À ISACA-QUÉBEC Sous-secrétariat du dirigeant principal de l’information Direction de l’encadrement de la sécurité de l’information
  • 2. TABLE DES MATIÈRES Introduction Définition de la gouvernance Cadre légal Évaluation de la Directive adoptée en 2006 Composantes du nouveau cadre de gouvernance Directive sur la sécurité de l’information Cadre gouvernemental de gestion de la sécurité de l’information Cadre de gestion des risques et des incidents à portée gouvernementale Approche stratégique gouvernementale 2014-2017 en sécurité de l’information Gestion du changement Stratégie et leviers de transformation Conclusion
  • 4. GOUVERNANCE DE LA SÉCURITÉ DE L’INFORMATION DÉFINITION « Établissement et mise en oeuvre d’un processus de gestion intégrée et d’amélioration continue de la sécurité de l’information où les rôles et les responsabilités en cette matière sont clairement attribués à tous les niveaux de l’organisation. » 4
  • 5. CADRE LÉGAL 5 Loi concernant le cadre juridique des technologies de l'information Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (adoptée en juin 2011) Établit les règles de gouvernance et de gestion en matière de ressources informationnelles, incluant la sécurité de l’information (Champ d’application, acteurs clés et nouvelles fonctions, règles de gouvernance des RI) Politique-cadre sur la gouvernance et la gestion des ressources informationnelles des organismes publics (adoptée en décembre 2010) Met l’emphase sur la révision de la directive en vigueur et sur la réalisation de trois documents structurants permettant d’en faciliter la mise en oeuvre (cadre gouvernemental de gestion de la sécurité de l’information, cadre de gestion des risques et des incidents à portée gouvernementale, approche stratégique triennale)
  • 6. ÉVALUATION DE LA DIRECTIVE ADOPTÉE EN 2006
  • 7. 7 ÉVALUATION DIRECTIVE 2006 Directive 2006 Ajustement requis • Champs d’application non aligné sur la LGGRI • Alignement sur le champ d’application de la LGGRI, incluant les établissement des réseaux • Énoncés trop généraux et sujets à interprétations diverses • Énoncés identifiant clairement les exigences, et conformes aux bonnes pratiques de sécurité de l’information • Édicte des obligations ainsi que des rôles et des responsabilités • Édicter des obligations dans une nouvelle directive. Les rôles et responsabilités sont à intégrer dans un autre document : le cadre gouvernemental de gestion de la sécurité de l’information • Limite la gestion des risques à l’échelle d’un ministère ou organisme • Instaurer une gestion des risques prenant en compte les risques ayant un impact à l’échelle gouvernementale • Absence d’obligation en matière de cybersécurité et de gestion des incidents • Les incidents sont déclarés au Centre de services partagés du Québec (CERT/AQ) sur une base volontaire • Instaurer un processus de coordination et de concertation, advenant un incident ayant un impact à l’échelle gouvernementale • Instaurer une déclaration obligatoire des incidents à portée gouvernementale • Exige la désignation d’un RSI, sans préciser sa classe d’emploi. Lorsqu’un professionnel est désigné en tant que RSI, il bénéficie d’une faible marge de manoeuvre en raison de son éloignement du pouvoir décisionnel • Désigner un ROSI de niveau cadre (ministères ou organismes, réseaux). Celui-ci a l’avantage de bénéficier d’une plus grande marge de manoeuvre en raison de son rapprochement du pouvoir décisionnel • Désigner un COGI de niveau professionnel ou supérieur (ministères ou organismes, réseaux) • Est appuyée par une approche stratégique 2005-2009, limitée à la définition de grands axes d’intervention • Adopter une approche stratégique gouvernementale qui soit basée sur les bilans gouvernementaux et les tendances de l’heure en sécurité de l’information, et qui définit les objectifs, les cibles à atteindre et les indicateurs de performance
  • 8. COMPOSANTES DU NOUVEAU CADRE DE GOUVERNANCE
  • 9. 9 QUATRE DOCUMENTS STRUCTURANTS Directive sur la sécurité de l’information gouvernementale Fixe les objectifs à atteindre, énonce les principes directeurs devant être appliqués et établit les obligations du dirigeant principal de l’information (DPI) et des organismes publics afin d’assurer la sécurité de l’information gouvernementale tout au long de son cycle de vie Cadre gouvernemental de gestion de la sécurité de l’information Vise à compléter les dispositions de la directive en précisant l’organisation fonctionnelle de la sécurité de l’information au sein de l’appareil gouvernemental ainsi que les rôles et les responsabilités en cette matière Cadre de gestion des risques et des incidents à portée gouvernementale Présente une approche novatrice d’identification et de suivi du traitement des risques et des incidents susceptibles d'avoir des conséquences sur la prestation de services à la population, sur la vie, la santé ou le bien-être des personnes, sur le respect de leurs droits fondamentaux à la protection des renseignements personnels qui les concernent et au respect de leur vie privée, sur l’image du gouvernement, ou sur la prestation de services fournie par d’autres organismes publics Approche stratégique gouvernementale 2014-2017 en sécurité de l’information Permet d’établir la vision gouvernementale et de définir les objectifs stratégiques pour les trois années à venir
  • 10. 10 DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION GOUVERNEMENTALE Obligations du dirigeant principal de l’information  Conseiller le CT en matière de gouvernance de la sécurité de l’information  Déposer au CT un rapport bisannuel sur l’état de situation gouvernemental et un rapport annuel sur les risques à portée gouvernementale  Définir et mettre en oeuvre, conjointement avec le CERT/AQ, un processus de gestion des incidents à portée gouvernementale  Proposer au CT des services communs de sécurité de l’information à rendre obligatoires pour l’Administration gouvernementale  Mettre en place les instances de concertation gouvernementales de sécurité de l’information
  • 11. 11 DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION GOUVERNEMENTALE (SUITE) OBLIGATIONS DU CSPQ - CERT/AQ  Présenter au DPI, conjointement avec le ministère de la Sécurité publique et la Sûreté du Québec, un rapport annuel sur les incidents à portée gouvernementale  Informer le DPI de tout incident de sécurité de l’information à portée gouvernementale OBLIGATION DU CONTRÔLEUR DES FINANCES  Veiller à l’intégrité du système comptable du gouvernement et informer, le cas échéant, le DPI des situations ayant des incidences sur la sécurité de l’information gouvernementale
  • 12. 12 DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION GOUVERNEMENTALE (SUITE) Obligations des organismes publics  Adopter et mettre en oeuvre une politique et un cadre de gestion de la sécurité de l’information  Présenter au DPI une planification et un bilan de sécurité de l’information  Définir et mettre en oeuvre, de façon formelle, les processus de gestion des risques, de gestion des incidents et de gestion de l’accès à l’information  Déclarer, au CERT/AQ, les incidents de sécurité de l’information à portée gouvernementale  Réaliser des audits et des tests d’intrusion  Mettre en place un registre d’autorité  Intégrer aux ententes de service et aux contrats les clauses garantissant le respect des exigences de sécurité de l’information  Déclarer au DPI les risques de sécurité de l’information à portée gouvernementale  Utiliser les services communs de sécurité de l’information  Désigner les principaux intervenants en sécurité de l’information (ROSI, COGI)  Définir et mettre en place un programme formel de formation et de sensibilisation
  • 13. DIRECTIVE SUR LA SÉCURITÉ DE L’INFORMATION 13 GOUVERNEMENTALE (SUITE) Obligations des réseaux de l’éducation et de la santé  Les établissements des réseaux sont assujettis aux obligations faites aux organismes publics en matière de respect de bonnes pratiques de sécurité de l’information  Le DRI présente au DPI une synthèse des bilans et des plans d’action des établissements de chaque réseau  Chaque réseau désigne un ROSI et un COGI
  • 14. CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION14 Organisation fonctionnelle de la sécurité de l’information Structure gouvernementale de sécurité de l’information Organisme public
  • 15. CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION 15 EIMSG Comité de crise gouvernemental Réseau d’alerte gouvernemental Instances gouvernementales de concertation CCGSI Table des ROSI Réseau des COSI Conseil du trésor Dirigeant principal de l’information Organismes publics à portée horizontale MJQ MSP MCE - SIDPC SQ - CSPQ - CERT /AQ BAnQ CF Organisme public Organisation fonctionnelle de la sécurité de l’information Structure gouvernementale de sécurité de l’information
  • 16. CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION ROSI COGI COSI Organisme public Dirigeant d’un organisme public DRI DSI Détenteurs de l’information Comité chargé de la sécurité de l’information Comité de crise ministériel Comité de continuité des services Autres intervenants - RASI - RGD - RCS - RSP - RDASI - RE - RVI - RGTI - RAIPRP Structure sectorielle de sécurité de l’information Instances Structure gouvernementale de sécurité de l’information gouvernementales de concertation CCGSI EIMSG Table des ROSI Réseau des COSI Comité de crise gouvernemental Conseil du trésor Dirigeant principal de l’information Réseau d’alerte Organismes publics à portée horizontale MJQ MSP MCE-SIDPC SQ -C SPQ gouvernemental - CERT/AQ BAnQ CF Organisation fonctionnelle de la sécurité de l’information
  • 17. CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATIO1N7 Structure gouvernementale de sécurité de l’information EIMSG Comité de crise gouvernemental Réseau d’alerte gouvernemental Instances gouvernementales de concertation CCGSI Table des ROSI Réseau des COSI Conseil du trésor Dirigeant principal de l’information Organismes publics à portée horizontale MJQ MSP MCE-SIDPC SQ - CSPQ - CERT/AQ BAnQ CF Organisation fonctionnelle de la sécurité de l’information Organisme public Dirigeant d’un organisme public DRI DSI Détenteurs de l’information Comité chargé de la sécurité de l’information Comité de crise ministériel Comité de continuité des services Autres intervenants - RASI - RGD - RCS - RSP - RDASI - RE - RVI - RGTI - RAIPRP Structure sectorielle de sécurité de l’information ROSI COGI COSI
  • 18. 18 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION (SUITE) Responsable organisationnel de la sécurité de l’information (ROSI)  Joue un rôle transversal à l’ensemble des systèmes de mission de l’organisation [De ce fait, et sans qu’il soit mis dans une situation de conflit d’intérêt, le ROSI doit bénéficier d’une marge de manoeuvre qui dépend essentiellement de son positionnement hiérarchique, d’où l’avantage de son rapprochement du pouvoir décisionnel, voire son rattachement auprès de la haute direction]  Assure la coordination et la cohérence des actions de sécurité de l’information menées au sein de son organisation  S’assure de la contribution de son organisation au processus de gestion des risques et des incidents de sécurité de l’information à portée gouvernementale  Représente le dirigeant d’organisme en matière de déclaration des incidents à portée gouvernementale  Est le principal interlocuteur du comité chargé de la sécurité de l’information de l’organisation
  • 19. 19 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION (SUITE) Conseiller organisationnel en sécurité de l’information (COSI)  Met en oeuvre les orientations internes et les priorités d’actions, notamment celles portant sur l’instauration de processus formels de sécurité de l’information et le suivi de leur mise en oeuvre  Collabore étroitement avec le ROSI et lui apporte le soutien nécessaire dans la prise en charge des exigences de sécurité de l’information  Assiste les détenteurs dans la catégorisation de l’information relevant de leur responsabilité et dans la réalisation des analyses de risques de sécurité de l’information  Participe aux négociations des ententes de service et des contrats et formule des recommandations quant à l’intégration de dispositions garantissant le respect des exigences de sécurité de l’information  Produire les bilans et les plans d’action de sécurité de l’information
  • 20. 20 Conseiller organisationnel en gestion des incidents (COGI)  Participe au réseau d’alerte gouvernemental dont la coordination est assurée par le CERT/AQ  Est l’interlocuteur officiel de son organisation auprès du CERT/AQ  Assure la coordination de l’équipe de réponse aux incidents de son organisation, et du déploiement des stratégies de réaction appropriées  Apporte au ROSI et au COSI le soutien technique nécessaire dans l’exercice de leurs responsabilités  Contribue à la mise en place du processus de gestion des incidents de son organisation  Le COGI contribue à la mise en oeuvre du processus gouvernemental de gestion des incidents CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION (SUITE)
  • 21. 21 CADRE GOUVERNEMENTAL DE GESTION DE LA SÉCURITÉ DE L’INFORMATION (SUITE) INSTANCES DE COORDINATION ET DE CONCERTATION  Comité de crise gouvernemental : centre de coordination de la réaction et de la décision lorsqu’un incident de sécurité de l’information à portée gouvernementale n’est pas maîtrisé en dépit des stratégies palliatives mises en oeuvre  Table des ROSI : exerce un rôle-conseil auprès du dirigeant principal de l’information dans la définition, la mise en oeuvre et le suivi de l’application des politiques, des directives et des orientations gouvernementales de sécurité de l’information  Comité de coordination gouvernementale de la sécurité de l’information (CCGSI) : est constitué de représentants des organismes publics ayant les responsabilités horizontales. Il voit à la coordination des actions découlant de ces responsabilités horizontales des OP membres et qui seraient d’intérêt pour l’ensemble des organismes publics  Réseau des COSI : constitue une plateforme d’échanges et de partage des connaissances en sécurité de l’information  Réseau d’alerte gouvernemental : animé par le CERT/AQ, ce réseau constitue une plateforme de partage de l’information entre les coordonnateurs organisationnels de gestion des incidents
  • 22. 22 CADRE DE GESTION DES RISQUES ET DES INCIDENTS À PORTÉE GOUVERNEMENTALE Risque de sécurité de l’information à portée gouvernementale (RPG) Risque d'atteinte à la disponibilité, à l’intégrité ou à la confidentialité de l’information gouvernementale et qui peut avoir des conséquences sur la prestation de services à la population, sur la vie, la santé ou le bien-être des personnes, sur le respect de leurs droits fondamentaux à la protection des renseignements personnels qui les concernent et au respect de leur vie privée, sur l’image du gouvernement, ou sur la prestation de services fournie par d’autres organismes publics Incident de sécurité de l’information à portée gouvernementale (IPG) Conséquence observable de la concrétisation d’un risque de sécurité de l’information à portée gouvernementale et qui nécessite une intervention concertée au plan gouvernemental
  • 23. 23 CADRE DE GESTION DES RISQUES ET DES INCIDENTS À PORTÉE GOUVERNEMENTALE (SUITE) Le DPI assure la mise en oeuvre et la coordination de la stratégie de gestion des RPG. Il doit : Identifier, de concert avec les organismes publics, les RPG inhérents aux activités stratégiques Analyser les RPG et les mesures d’atténuation mises en place Apprécier le niveau de risque résiduel et juger de son acceptabilité au niveau gouvernemental Formuler des recommandations de prise en charge du RPG, si nécessaire, à l’organisme public concerné. Élaborer un rapport annuel sur les RPG à l’intention du CT En matière de réponse aux IPG, le DPI, conjointement avec le CERT/AQ Assure la coordination du processus gouvernemental de gestion d’un IPG Soutient les organismes publics dans le rétablissement de la situation après incident Effectue le suivi d’un IPG auprès des organismes publics
  • 24. 24 APPROCHE STRATÉGIQUE GOUVERNEMENTALE 2014-2017 EN SÉCURITÉ DE L’INFORMATION ORIENTATIONS ET OBJECTIFS STRATÉGIQUES Environnement interne (Rapport du VG, état de situation gouvernemental) Environnement externe (Préoccupations et tendances observées au plan national et International) Parties prenantes (Tables de concertation, groupes de validation interministériels, réseau d’expertise et de vigie) Orientations et objectifs stratégiques
  • 25. 25 APPROCHE STRATÉGIQUE GOUVERNEMENTALE 2014-2017 EN SÉCURITÉ DE L’INFORMATION (SUITE) Niveau de maturité cible : Un niveau de maturité en sécurité de l’information, convenable pour un organisme public (niveau 3), est atteint, notamment, lorsque ses processus de sécurité de l’information sont normalisés, intégrés, documentés et implémentés et lorsque l’information qu’elle détient est sécurisée, conformément aux bonnes pratiques de sécurité de l’information.
  • 26. 26 APPROCHE STRATÉGIQUE GOUVERNEMENTALE 2014-2017 EN SÉCURITÉ DE L’INFORMATION (SUITE) Orientation Cible à l’endroit des organismes publics 1- Renforcer l’encadrement • Adopter une politique et un cadre de gestion • Identifier les actifs critiques et mettre en place les mesures de sécurité associées 2- Atteindre un niveau de maturité adéquat en sécurité • Définir et mettre en oeuvre, de façon formelle, les processus de gestion des risques, de gestion des incidents et de gestion des droits d’accès • Effectuer un audit de sécurité et des tests d’intrusion • Adopter une architecture de sécurité de l’information • Mettre en place un registre d’autorité 3- Renforcer la cybersécurité • Participer au réseau d’alerte gouvernemental 4- Développer l’offre de service d’authentification • Utiliser les services communs d’authentification 5- Développer et maintenir les compétences • Élaborer un plan de formation et de sensibilisation
  • 28. 28 STRATÉGIE DE GESTION DU CHANGEMENT Vise l’adhésion des acteurs impliqués, la transformation des pratiques et l’évolution de la sécurité de l’information gouvernementale vers un niveau de maturité adéquat Leviers de transformation  Communication : plateforme de collaboration des DI, plateforme dédiée à la sécurité de l’information, communauté d’intérêt en sécurité de l’information  Formation : formations dispensées par le CSPQ/CLDC, réflexion en cours sur une nouvelle stratégie de formation  Sensibilisation : colloques, séminaires et conférences organisés par des associations et forums exerçant des activités en SI ou dans des domaines connexes  Accompagnement et soutien : réalisation de guides de bonnes pratiques, soutien dans le cadre d’un service de première ligne, mise en oeuvre du cadre de gestion des RPG, mise en place d’un processus gouvernemental de gestion des incidents  Pilotage du changement : mise en place de comités de travail interministériels et des instances gouvernementales de coordination et de concertation
  • 29. 29 ACCOMPAGNEMENT DES ORGANISMES PUBLICS (GUIDE DE BONNES PRATIQUES) Guides réalisés (11) Politique de sécurité de l’information Cadre de gestion en sécurité de l’information Critères de désignation des principaux intervenants en SI (ROSI, COSI et COGI) Tests d’intrusions et de vulnérabilités Catégorisation de l’information Processus de gestion des risques de sécurité de l’information Suivi de la reddition de comptes (tableau de bord) Méthode d’analyse des risques Méhari Audit de sécurité de l’information Mise en oeuvre du cadre de gestion des risques à portée gouvernementale Sensibilisation à la sécurité de l’information Guides en cours de réalisation(4) Plan d’action ministériel de sécurité de l’information (en cours) Registre d’autorité de la sécurité de l’information (en cours) Gestion des incidents à portée sectorielle et gouvernementale (en cours) Processus de gestion des accès logiques (en cours) Guides à venir (2) Utilisation sécuritaire des assistants numériques personnels (à venir) Prise en charge des exigences de SCPRP (à venir)
  • 30. CONCLUSION 30 3 2 1 0 1 2 3 Confiance Risque AMÉLIORATION CONTINUE
  • 31. MERCI Mohamed Darabid mohamed.darabid@sct.gouv.qc.ca

Notas do Editor

  1. Article 25 : La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder.
  2. Séparer les obligations des responsabilités de la Directive
  3. Les instances de concertation gouvernementales de sécurité de l’information : CCGSI composé de représentants des organismes publics ayant les responsabilités horizontales (CSPQ, MSP, SQ, CF, BAnQ, MJQ et le MCE) et des représentants des réseaux Table des ROSI Réseau des COSI
  4. Audit au 2 ans Test intrusion annuellement
  5. Heartbleed : gestion préventive des incidents
  6. Un OP se situe au niveau 4 si, de plus, la sécurité de l’information est intégrée dans toutes les opérations et dans la culture de l’organisation.
  7. Cibles découlent de la Directive Évaluation des cibles basée sur les bilans de sécurité
  8. Cibles découlent de la Directive Évaluation des cibles basée sur les bilans de sécurité