SlideShare une entreprise Scribd logo
1  sur  30
Télécharger pour lire hors ligne
LA GESTION DES RISQUES EN SÉCURITÉ DE
L’INFORMATION À L’UNIVERSITÉ LAVAL :
UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL
31 MARS 2015
http://www.isaca-quebec.ca
OBJECTIF
Raconter les expériences vécues et l’évolution des
pratiques en gestion des risques en matière de
sécurité de l’information à l’Université Laval
2
Mise en garde
 Il existe multiples solutions et façons de faire
 Des choix en fonction de notre contexte
 L’utilisation d’un vocabulaire « fonctionnel »
AGENDA
 Mise en contexte
 Période I : l’application (2000–2012)
 Période II : la contextualisation (2013–2015)
 Période III : la consolidation (2016+)
 Discussions
3
MISE EN CONTEXTE L’INSTITUTION
4
MISE EN CONTEXTE RÔLES ET RESPONSABILITÉS
5
CU CA
Comité exécutif
Recteur
VREX
BSI DTI
...Facultés
...
VREX : Vice-rectorat exécutif et au développement
BSI : Bureau de sécurité de l’information
DTI : Direction des technologies de l’information
Notre DPI/CIO
Gestion des TI
Gestion de la
sécurité de
l’information
CU : Conseil universitaire
CA : Conseil d’administration
MISE EN CONTEXTE TERRAIN DE RÉALISATION
 Principalement la réalisation d’analyses de
risques et d’audits de sécurité
 Activités déclenchées par un projet ou une
demande spécifique
 Utilisation des structures de gestion
et des processus déjà en place
6
PÉRIODE I : L’APPLICATION (2000 – 2012)
7
2000 20122008… 20102009 2011
Analyse de risques
Audit de sécurité
Portée de l’activité
PÉRIODE I : L’APPLICATION (2000 – 2012)
Cinq (5) défis durant cette période :
8
 L’agrégation des résultats produits
 Le niveau de connaissance et de compréhension des concepts
relatifs à la gestion des risques en sécurité de l’information
 Le moment où est réalisé l’analyse de risques
 L’ampleur de la portée et la quantité de recommandations
 L’alignement avec le contexte de l’institution et de ses objectifs
en ce qui concerne la sécurité de l’information
PÉRIODE I : L’APPLICATION (2000 – 2012)
Cinq (5) trouvailles durant cette période :
9
 Le positionnement des autres domaines d’activités (vérification
de conformité, gestion des AI, gestion des incidents, …)
 La sensibilisation produite par la réalisation des analyses de
risques
 La réceptivité et la contribution des intervenants impliqués
 L’importance d’adapter les processus à notre contexte
 La reconnaissance grandissante du besoin de réaliser des
analyses de risques
PÉRIODE II : LA CONTEXTUALISATION (2013 – 2015)
10
2013 2014 2015
Analyse de risques
Audit de sécurité
Évaluation de l’information
Portée de l’activité
NOS BESOINS EN ANALYSE DE RISQUES
11
• Flexibilité
• Simplicité
• Adaptabilité
• Stabilité
• Traiter une majorité de risques sans tomber dans
l’exception
RÉFÉRENCES ET RÉFLEXIONS
12
• Octave Allegro de l’Université Carnegie Mellon
• NIST SP 800-30 rev.1
• Threat agent risk assessment (TARA) d’Intel
• ISO 27005:2011
• ISO 27002:2013
• NIST SP 800-53 rev.4 (ITSG-33)
APPROCHE PAR MENACES (TARA)
13Source : Intel Information Technology - Prioritizing Information Security Risks with
Threat Agent Risk Assessment
PRINCIPES GÉNÉRAUX DU PROCESSUS
14
Opérations
Gestion
Gouvernance Direction
Direction
d’un axe
d’affaires
Direction
d’un axe
d’affaires
Direction
d’un axe
d’affaires
Informatique Pilotes Affaires
PRINCIPES GÉNÉRAUX DU PROCESSUS
15
Évaluation des
menaces
Évaluation
des mesures
Évaluation
des risques
Traitement
des risques
EXEMPLE D’APPLICATION MISE EN CONTEXTE (ACTIVITÉ #18)
16
 Événement déclencheur : demande d’un projet visant la
mise à jour majeure d’un système d’information
 Budgets de réalisation : un premier pour l’analyse de
risques et un second en prévision du plan d’action
 Portée de l’activité : les améliorations prévues, mais
également le système d’information dans son ensemble
 Latitude de réalisation : la possibilité de rencontrer
toutes les parties prenantes nécessaires
ÉTAPE 1 : ÉTABLIR LES MESURES DE CRITÈRE
DU RISQUE
• Qu’est-ce qu’on veut ?
• Établir les préoccupations de l’axe de gouvernance au
niveau des impacts que pourrait générer une menace.
• Comment l’obtient-on ?
• Le formulaire 7 d’Octave Allegro qui permet à l’axe de
gouvernance de définir les impacts non désirés (5 types
d’impact).
17
ÉTAPE 2 : DÉFINIR LE PROFIL DE LA FAMILLE
D’INFORMATION/SYSTÈME D’INFORMATION
• Qu’est-ce qu’on veut ?
• Définir ce qu’est la famille d’information ou le système
d’information, qui en est le responsable et les besoins de
sécurité.
• Comment l’obtient-on ?
• Le formulaire 8 d’Octave Allegro et des entrevues avec l’axe
de gouvernance et les intervenants en gestion de la famille
d’information ou le système d’information.
18
ÉTAPE 3 : IDENTIFIER LES SUPPORTS DE
L’INFORMATION/SYSTÈME D’INFORMATION
• Qu’est-ce qu’on veut ?
• Définir l’environnement technologique, physique et
humain supportant chaque famille d’information ou
chaque système d’information.
• Comment l’obtient-on ?
• Les formulaires 9a, 9b et 9c d’Octave Allegro et des
entrevues avec les intervenants de la gestion et les
opérations.
19
ÉTAPE 4 : IDENTIFIER LES MENACES ET LES
IMPACTS
• Qu’est-ce qu’on veut ?
• Identifier les menaces et les impacts pour chaque famille
d’information ou système d’information.
• Comment l’obtient-on ?
• Les questionnaires de scénarios de menaces 1, 2 et 3
d’Octave Allegro, le formulaire 10 d’Octave Allegro, des
entrevues avec l’axe de gouvernance, la gestion et les
opérations.
20
ÉTAPE 5 : IDENTIFIER « SCÉNARIOS DE
MENACES »
• Qu’est-ce qu’on veut ?
• Assembler les menaces avec les impacts et on définit une
valeur à chaque scénario.
• Comment l’obtient-on ?
• Le résultats des étapes précédentes et on utilise les tables
du NIST SP 800-30 rev.1 (annexe E, G et H).
• Validation avec l’axe de gouvernance.
21
ÉTAPE 6 : ÉVALUER LES MESURES DE
SÉCURITÉ
• Qu’est-ce qu’on veut ?
• Évaluer les mesures de sécurité pouvant mitiger les
scénarios de menaces identifiés.
• Comment l’obtient-on ?
• Entrevues et tests technologiques (lorsque qu’applicable).
• Utilisation de l’ISO 27002:2013 et du NIST SP 800-53 rev.4.
22
ÉTAPE 7 : ÉVALUER LES VULNÉRABILITÉS
• Qu’est-ce qu’on veut ?
• Identifier les lacunes et vulnérabilités suite à l’évaluation
des mesures.
• Comment l’obtient-on ?
• Les résultats de l’étape précédente et on quantifie avec
l’annexe F du NIST SP 800-30.
23
ÉTAPE 8 : DÉFINIR LES RISQUES
• Qu’est-ce qu’on veut ?
• Associer les scénarios de menaces aux vulnérabilités
applicables et les quantifier.
• Comment l’obtient-on ?
• Les résultats de l’étape précédente et on quantifie avec
l’annexe I du NIST SP 800-30 rev.1.
24
ÉTAPE 9 : COMMUNIQUER LES RISQUES
• Qu’est-ce qu’on veut ?
• Présenter à l’axe de gouvernance les risques jugés modérés
et importants.
• Comment l’obtient-on ?
• Rencontre avec l’axe de gouvernance et la gestion de la
famille d’information ou du système d’information !
25
OCTAVE-UL
26
EXEMPLE D’APPLICATION TRAITEMENT DES RISQUES
27
Résultat : sept (7) recommandations concernant la mise en
place de correctifs visant les vulnérabilités identifiées
 1 recommandation avec un budget déjà prévu
 2 recommandations jugées importantes à prendre en
charge immédiatement dans le projet
 1 recommandation pouvant être incorporée dans un
autre projet actuellement en préparation
 3 recommandations à évaluer et à planifier
PÉRIODE III : LA CONSOLIDATION (2016 +)
28
2016 …
L’analyse de risques en sécurité de l’information :
poursuivre son évolution et son opérationnalisation
La gestion des risques en sécurité de l’information :
entreprendre des travaux d’adaptation pour favoriser la
prise en compte plus spécifiquement de notre contexte
DISCUSSIONS
29
Questions ou commentaires ?
VOS PRÉSENTATEURS
30
Patrick Marois, M. Sc., Doctorant Sc. Adm.
patrick.marois@dti.ulaval.ca
Guillaume Dubé, CISA CRISC
guillaume.dube@bsi.ulaval.ca

Contenu connexe

Tendances

Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Démarche audit si
Démarche audit siDémarche audit si
Démarche audit siAc_Business
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire  évoluer la maturité des process ICP (incidents changements et problè...Faire  évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...SAID BELKAID
 
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)ISACA Chapitre de Québec
 
[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche ermonepoint x weave
 

Tendances (20)

Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Démarche audit si
Démarche audit siDémarche audit si
Démarche audit si
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
CV_AmmarSassi
CV_AmmarSassiCV_AmmarSassi
CV_AmmarSassi
 
Mehari
MehariMehari
Mehari
 
Cobit
Cobit Cobit
Cobit
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire  évoluer la maturité des process ICP (incidents changements et problè...Faire  évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...
 
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
 
[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm
 

En vedette

Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonISACA Chapitre de Québec
 
Sécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueSécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2ISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdISACA Chapitre de Québec
 
Comment Microsoft gère la sécurité de ses offres de Cloud public
Comment Microsoft gère la sécurité de ses offres de Cloud publicComment Microsoft gère la sécurité de ses offres de Cloud public
Comment Microsoft gère la sécurité de ses offres de Cloud publicMicrosoft
 
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...PMI-Montréal
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIArsène Ngato
 

En vedette (20)

Project Management SéMinaire 2010
Project Management SéMinaire 2010Project Management SéMinaire 2010
Project Management SéMinaire 2010
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
Sécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueSécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatique
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
Comment Microsoft gère la sécurité de ses offres de Cloud public
Comment Microsoft gère la sécurité de ses offres de Cloud publicComment Microsoft gère la sécurité de ses offres de Cloud public
Comment Microsoft gère la sécurité de ses offres de Cloud public
 
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SI
 
Programme isaca 2013_2014
Programme isaca 2013_2014Programme isaca 2013_2014
Programme isaca 2013_2014
 

Similaire à Université laval présentation sur la gestion des risques 31-03-2015 vf2

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets siASIP Santé
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Blandine Delaporte
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)niokho
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 

Similaire à Université laval présentation sur la gestion des risques 31-03-2015 vf2 (20)

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
Ebios
EbiosEbios
Ebios
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 

Plus de ISACA Chapitre de Québec

Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015ISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...ISACA Chapitre de Québec
 
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...ISACA Chapitre de Québec
 
L'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisationL'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisationISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (10)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
 
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
L'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisationL'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisation
 
Un virage agile: réalité ou utopie?
Un virage agile: réalité ou utopie?Un virage agile: réalité ou utopie?
Un virage agile: réalité ou utopie?
 

Université laval présentation sur la gestion des risques 31-03-2015 vf2

  • 1. LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE! PATRICK MAROIS, M. SC., DOCTORANT SC. ADM. CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL GUILLAUME DUBÉ, CISA CRISC CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL 31 MARS 2015 http://www.isaca-quebec.ca
  • 2. OBJECTIF Raconter les expériences vécues et l’évolution des pratiques en gestion des risques en matière de sécurité de l’information à l’Université Laval 2 Mise en garde  Il existe multiples solutions et façons de faire  Des choix en fonction de notre contexte  L’utilisation d’un vocabulaire « fonctionnel »
  • 3. AGENDA  Mise en contexte  Période I : l’application (2000–2012)  Période II : la contextualisation (2013–2015)  Période III : la consolidation (2016+)  Discussions 3
  • 4. MISE EN CONTEXTE L’INSTITUTION 4
  • 5. MISE EN CONTEXTE RÔLES ET RESPONSABILITÉS 5 CU CA Comité exécutif Recteur VREX BSI DTI ...Facultés ... VREX : Vice-rectorat exécutif et au développement BSI : Bureau de sécurité de l’information DTI : Direction des technologies de l’information Notre DPI/CIO Gestion des TI Gestion de la sécurité de l’information CU : Conseil universitaire CA : Conseil d’administration
  • 6. MISE EN CONTEXTE TERRAIN DE RÉALISATION  Principalement la réalisation d’analyses de risques et d’audits de sécurité  Activités déclenchées par un projet ou une demande spécifique  Utilisation des structures de gestion et des processus déjà en place 6
  • 7. PÉRIODE I : L’APPLICATION (2000 – 2012) 7 2000 20122008… 20102009 2011 Analyse de risques Audit de sécurité Portée de l’activité
  • 8. PÉRIODE I : L’APPLICATION (2000 – 2012) Cinq (5) défis durant cette période : 8  L’agrégation des résultats produits  Le niveau de connaissance et de compréhension des concepts relatifs à la gestion des risques en sécurité de l’information  Le moment où est réalisé l’analyse de risques  L’ampleur de la portée et la quantité de recommandations  L’alignement avec le contexte de l’institution et de ses objectifs en ce qui concerne la sécurité de l’information
  • 9. PÉRIODE I : L’APPLICATION (2000 – 2012) Cinq (5) trouvailles durant cette période : 9  Le positionnement des autres domaines d’activités (vérification de conformité, gestion des AI, gestion des incidents, …)  La sensibilisation produite par la réalisation des analyses de risques  La réceptivité et la contribution des intervenants impliqués  L’importance d’adapter les processus à notre contexte  La reconnaissance grandissante du besoin de réaliser des analyses de risques
  • 10. PÉRIODE II : LA CONTEXTUALISATION (2013 – 2015) 10 2013 2014 2015 Analyse de risques Audit de sécurité Évaluation de l’information Portée de l’activité
  • 11. NOS BESOINS EN ANALYSE DE RISQUES 11 • Flexibilité • Simplicité • Adaptabilité • Stabilité • Traiter une majorité de risques sans tomber dans l’exception
  • 12. RÉFÉRENCES ET RÉFLEXIONS 12 • Octave Allegro de l’Université Carnegie Mellon • NIST SP 800-30 rev.1 • Threat agent risk assessment (TARA) d’Intel • ISO 27005:2011 • ISO 27002:2013 • NIST SP 800-53 rev.4 (ITSG-33)
  • 13. APPROCHE PAR MENACES (TARA) 13Source : Intel Information Technology - Prioritizing Information Security Risks with Threat Agent Risk Assessment
  • 14. PRINCIPES GÉNÉRAUX DU PROCESSUS 14 Opérations Gestion Gouvernance Direction Direction d’un axe d’affaires Direction d’un axe d’affaires Direction d’un axe d’affaires Informatique Pilotes Affaires
  • 15. PRINCIPES GÉNÉRAUX DU PROCESSUS 15 Évaluation des menaces Évaluation des mesures Évaluation des risques Traitement des risques
  • 16. EXEMPLE D’APPLICATION MISE EN CONTEXTE (ACTIVITÉ #18) 16  Événement déclencheur : demande d’un projet visant la mise à jour majeure d’un système d’information  Budgets de réalisation : un premier pour l’analyse de risques et un second en prévision du plan d’action  Portée de l’activité : les améliorations prévues, mais également le système d’information dans son ensemble  Latitude de réalisation : la possibilité de rencontrer toutes les parties prenantes nécessaires
  • 17. ÉTAPE 1 : ÉTABLIR LES MESURES DE CRITÈRE DU RISQUE • Qu’est-ce qu’on veut ? • Établir les préoccupations de l’axe de gouvernance au niveau des impacts que pourrait générer une menace. • Comment l’obtient-on ? • Le formulaire 7 d’Octave Allegro qui permet à l’axe de gouvernance de définir les impacts non désirés (5 types d’impact). 17
  • 18. ÉTAPE 2 : DÉFINIR LE PROFIL DE LA FAMILLE D’INFORMATION/SYSTÈME D’INFORMATION • Qu’est-ce qu’on veut ? • Définir ce qu’est la famille d’information ou le système d’information, qui en est le responsable et les besoins de sécurité. • Comment l’obtient-on ? • Le formulaire 8 d’Octave Allegro et des entrevues avec l’axe de gouvernance et les intervenants en gestion de la famille d’information ou le système d’information. 18
  • 19. ÉTAPE 3 : IDENTIFIER LES SUPPORTS DE L’INFORMATION/SYSTÈME D’INFORMATION • Qu’est-ce qu’on veut ? • Définir l’environnement technologique, physique et humain supportant chaque famille d’information ou chaque système d’information. • Comment l’obtient-on ? • Les formulaires 9a, 9b et 9c d’Octave Allegro et des entrevues avec les intervenants de la gestion et les opérations. 19
  • 20. ÉTAPE 4 : IDENTIFIER LES MENACES ET LES IMPACTS • Qu’est-ce qu’on veut ? • Identifier les menaces et les impacts pour chaque famille d’information ou système d’information. • Comment l’obtient-on ? • Les questionnaires de scénarios de menaces 1, 2 et 3 d’Octave Allegro, le formulaire 10 d’Octave Allegro, des entrevues avec l’axe de gouvernance, la gestion et les opérations. 20
  • 21. ÉTAPE 5 : IDENTIFIER « SCÉNARIOS DE MENACES » • Qu’est-ce qu’on veut ? • Assembler les menaces avec les impacts et on définit une valeur à chaque scénario. • Comment l’obtient-on ? • Le résultats des étapes précédentes et on utilise les tables du NIST SP 800-30 rev.1 (annexe E, G et H). • Validation avec l’axe de gouvernance. 21
  • 22. ÉTAPE 6 : ÉVALUER LES MESURES DE SÉCURITÉ • Qu’est-ce qu’on veut ? • Évaluer les mesures de sécurité pouvant mitiger les scénarios de menaces identifiés. • Comment l’obtient-on ? • Entrevues et tests technologiques (lorsque qu’applicable). • Utilisation de l’ISO 27002:2013 et du NIST SP 800-53 rev.4. 22
  • 23. ÉTAPE 7 : ÉVALUER LES VULNÉRABILITÉS • Qu’est-ce qu’on veut ? • Identifier les lacunes et vulnérabilités suite à l’évaluation des mesures. • Comment l’obtient-on ? • Les résultats de l’étape précédente et on quantifie avec l’annexe F du NIST SP 800-30. 23
  • 24. ÉTAPE 8 : DÉFINIR LES RISQUES • Qu’est-ce qu’on veut ? • Associer les scénarios de menaces aux vulnérabilités applicables et les quantifier. • Comment l’obtient-on ? • Les résultats de l’étape précédente et on quantifie avec l’annexe I du NIST SP 800-30 rev.1. 24
  • 25. ÉTAPE 9 : COMMUNIQUER LES RISQUES • Qu’est-ce qu’on veut ? • Présenter à l’axe de gouvernance les risques jugés modérés et importants. • Comment l’obtient-on ? • Rencontre avec l’axe de gouvernance et la gestion de la famille d’information ou du système d’information ! 25
  • 27. EXEMPLE D’APPLICATION TRAITEMENT DES RISQUES 27 Résultat : sept (7) recommandations concernant la mise en place de correctifs visant les vulnérabilités identifiées  1 recommandation avec un budget déjà prévu  2 recommandations jugées importantes à prendre en charge immédiatement dans le projet  1 recommandation pouvant être incorporée dans un autre projet actuellement en préparation  3 recommandations à évaluer et à planifier
  • 28. PÉRIODE III : LA CONSOLIDATION (2016 +) 28 2016 … L’analyse de risques en sécurité de l’information : poursuivre son évolution et son opérationnalisation La gestion des risques en sécurité de l’information : entreprendre des travaux d’adaptation pour favoriser la prise en compte plus spécifiquement de notre contexte
  • 30. VOS PRÉSENTATEURS 30 Patrick Marois, M. Sc., Doctorant Sc. Adm. patrick.marois@dti.ulaval.ca Guillaume Dubé, CISA CRISC guillaume.dube@bsi.ulaval.ca