Évolution Des Bonnes Pratiques en Sécurité de L Information Avec Cobit 5 [PDF]

Zitiervorschau

ÉVOLUTION DES BONNES  PRATIQUES EN SÉCURITÉ DE  L’INFORMATION AVEC COBIT 5 CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC… 

6 FÉVRIER 2013

http://www.isaca‐quebec.ca

VOLET GOUVERNANCE Ordre du jour

 Introduction/Objectifs;  Survol de Cobit 5;  Avancées majeures de Cobit 5 en  sécurité de l’information:   Gouvernance selon Cobit 5 pour la  sécurité de l’information;   Gouvernance de la sécurité des  équipements mobiles;  Gouvernance  reliée au Cloud  Modèle d’implantation de Cobit 5

2

INTRODUCTION

COBIT 5 peut être utilisé •Intégralement •Partiellement •En complément

3

OBJECTIFS – VOLET GOUVERNANCE

Objectifs  Préciser sous le volet de la gouvernance et des aspects  de gestion, les avancées de COBIT 5 en terme de  sécurité de l’information. Note : Concernant le vocabulaire utilisé…                                               ex : Catalyseur/enabler

4

COBIT 5 VERSUS 4.1 •COBIT 5 s'appuie et intègre les éléments de la précédente version de COBIT • • • •

COBIT 4.1 Val IT Risk IT Bussiness Model for Infornation Security (BMIS)

•Les entreprises peuvent s'appuyer sur les outils qu’ils ont développés à l'aide des versions antérieures…

5

NORMES ET BONNES PRATIQUES

6

PRINCIPAUX ENJEUX DE LA GOUVERNANCE  DES TI La gouvernance des TI vise à répondre à 5 objectifs de  contrôle:  1

Aligner les investissements  TI  sur les besoins d’affaires.

2

Évaluer et gérer les risques  technologiques et d’affaires

3

Gérer les ressources humaines  et matérielles

4

Mesurer la performance des TI

5

S’assurer que les  investissements TI  sont  sources de plus value

Création de la valeur

7

CRÉATION DE LA VALEUR

Créer de la valeur

8

9

COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA  CRÉATION DE LA VALEUR Analyse  risques

Traitement  risques

Suivi et  contrôle

Gérer ressources TI de l’organisation

Réduire risques à un niveau acceptable

10

COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA  CRÉATION DE LA VALEUR Analyse  risques

Traitement  risques

Suivi et contrôle

11

COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA  CRÉATION DE LA VALEUR Analyse  risques

Traitement  risques

Suivi et  contrôle

Gérer ressources TI de l’organisation

Réduire risques à un niveau acceptable

Créer de la valeur

COBIT 5 aide les organisation à créer de la valeur par la gestion équilibrée des ressources TI et la réduction des risques à un niveau acceptable.

12

LA DISTINCTION GOUVERNANCE ET  MANAGEMENT/GESTION Management/Gestion

Gouvernance

Planifier

Évaluer

Surveiller

Mesurer

Diriger

.

Concevoir

.

Processus

Réaliser

 Gouvernance: évaluer, diriger, mesurer la réalisation des objectifs d’affaires,

ainsi que la conformité aux lois et règlements. La gouvernance relève du conseil d’administration sous la direction du Président  Management/Gestion: planifier, concevoir, réaliser et surveiller la mise en œuvre des orientations d’affaires définies par la gouvernance. Le management est sous la responsabilité de la Direction générale qui relève du CEO (chief executive officer)

13

COBIT 5: UN RÉFÉRENTIEL APPLICABLE À  TOUT TYPE D’ORGANISATION  Les principes et les catalyseurs développés par COBIT 5 sont applicables aux organisations de toute sorte et de toute taille:  Organisations gouvernementales et municipales;  Firmes de services-conseils;  Organisations industrielles et commerciales;  Établissements bancaires, d’assurances;  Organisations sans but lucratif (OSBL)...

14

COBIT 5 ET LA SÉCURITÉ DE L’INFORMATION COBIT 5 traite spécifiquement de la sécurité de l’information:  En mettant l’accent sur la nécessité d’un système de gestion de la sécurité de l’information aligné sur le domaine “Align, Plan and Organise” notamment le processus APO13 Gestion de la sécurité de l’information;  Le processus APO13 met l’emphase sur la nécessité d’un système de gestion de la sécurité de l’information (SGSI) pour soutenir les principes de gouvernance et les objectifs d’affaires impactés par la sécurité, en liaison avec le domaine « Evaluate, direct and monitor »

15

TROIS AVANCÉES MAJEURES EN SÉCURITÉ DE  L’INFORMATION !  COBIT 5 pour la sécurité de l’information;   La sécurité des équipements mobiles avec  COBIT 5  Objectifs de contrôle TI pour le Cloud

16

17

JUSQU’OÙ ALLER DANS LA SÉCURITÉ ?

18

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI

1. Principes, Politiques, Cadre de référence « Framework »

19

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 2. Processus

1. Principes, Politiques, Cadre de référence

20

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI

2. Processus

21

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 2. Processus

3. Structure organisationnelle

1. Principes, Politiques, Cadre de référence 

22

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 3. Structure organisationnelle

23

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 2. Processus

3. Structure organisationnelle

4. Éthique, culture organisationnelle

1. Principes, Politiques, Cadre de référence 

24

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 4. Éthique, culture organisationnelle

25

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 2. Processus

3. Structure organisationnelle

4. Éthique, culture organisationnelle

1. Principes, Politiques, Cadre de référence  5. Information

Ressources de l’Organisation

26

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI

5. Information

27

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 2. Processus

3. Structure organisationnelle

4. Éthique, culture organisationnelle

1. Principes, Politiques, Cadre de référence  5. Information

6. Services, applications et infrastructure

Ressources de l’Organisation

28

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 6. Services, applications et infrastructure

29

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 2. Processus

3. Structure organisationnelle

4. Éthique, culture organisationnelle

1. Principes, Politiques, Cadre de référence  5. Information

6. Services, applications et infrastructure

7. Profils de personnes et compétences

Ressources de l’Organisation

30

CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 7. Profils des personnes et compétences

31

MODÈLE GÉNÉRIQUE POUR LA MISE EN ŒUVRE  DES CATALYSEURS Approche selon Cobit 5 pour la SI

Gestion performance catalyseur

Dimensions catalyseur

Parties prenantes

•Internes; •Externes.

Les besoins des parties  prenantes sont ils  adressés ?

Objectifs

Cycle de vie

• Qualité intrinsèque; •Qualité contextuelle; •Accessibilité et sécurité

Planifier, Modéliser, concevoir, acquérir, opérer, évaluer, mettre à jour, disposer

A ‐ t‐on défini les  objectifs ?

Le cycle de vie  est‐il géré ?

Métriques pour mesurer l’atteinte des objectifs (Lag indicators)

Bonnes pratiques

Adapter selon le catalyseur

Applique t‐on les  bonnes pratiques ?

Métriques pour l’application des catalyseurs

(Lead indicators)

32

CATALYSEUR 1: PRINCIPES, POLITIQUES ET  CADRE DE RÉFÉRENCE EN SI

Véhicules utilisés pour communiquer les orientations de l’entreprise en relation avec les objectifs de gouvernance définis par le conseil d’administration et la Direction exécutive.

33

CATALYSEUR 1: PRINCIPES, POLITIQUES ET  CADRE DE RÉFÉRENCE EN SI Approche selon Cobit 5 pour la SI

Politiques Intrants

Principes en sécurité Politique de sécurité

• Informations obligatoires; • Standards, normes de  sécurité; • Modèles et référentiels

Politiques spécifiques de sécurité Procédures de sécurité Exigences de sécurité et documentation

•Informations génériques; • Standards, normes de  sécurité; • Modèles et référentiels

34

PRINCIPES EN SÉCURITÉ DE L’INFORMATION

•Véhicules utilisés pour vulgariser les  orientations de sécurité en relation  avec les objectifs de gouvernance. •ISACA, ISF et ISC ont développé des  principes en SI orientés sur 3 axes: 

35

PRINCIPES EN SÉCURITÉ DE L’INFORMATION

1. Soutenir les affaires

2. Sécuriser les actifs

• Intégrer la SI dans les activités d’affaires essentielles; •Évaluer et traiter les risques de sécurité; •Promouvoir une culture d’amélioration continue en SI

• Définir une approche formelle pour gérer les risques; •Catégoriser/classifier les actifs; •Adopter des méthodes de développement sécuritaire

3. Sensibiliser les ressources •Sensibilisation afin d’obtenir des réflexes de sécurité; •Implication de la haute direction

36

POLITIQUES EN SÉCURITÉ DE L’INFORMATION Traduire sous forme de règles les principes de sécurité définis ainsi que leurs  interrelations avec les processus décisionnels.  Doivent être adaptées à la culture et au contexte organisationnel de l’entreprise. 

Types de politique • Politique de continuité et de  reprise après sinistre

Portée dans la fonction SI  Analyse d’impact d’affaires (BIA);  Plans de contingence d’affaires; Exigences de relève pour les systèmes  critiques;  Plan de reprise après sinistre (DRP);  Formation et tests du plan de reprise….

37

POLITIQUES EN SÉCURITÉ DE L’INFORMATION

Types de politique

•Politique de gestion des actifs

Portée dans la fonction SI  Classification des données;  Propriété des données;  Gestion du cycle de vie des actifs; Mesures de protection des actifs…

38

POLITIQUES EN SÉCURITÉ DE L’INFORMATION

Types de politique

Portée dans la fonction SI

Définir les exigences de sécurité dans les  processus d’acquisition ou de  • Politique d’acquisition, de  développement; développement et maintenance  Pratiques de codage sécuritaire; Tester tester tester… des systèmes et solutions  logicielles  Intégrer la sécurité de l'information  dans la gestion des changements et des  configurations.

39

CATALYSEUR 2: PROCESSUS EN SÉCURITÉ DE L’INFORMATION Les processus décrivent, suivant un ordre séquentiel, les  intrants et extrants nécessaires pour l’atteinte des  objectifs de contrôle en sécurité de l’information. Composants des processus selon Cobit 5 pour la SI Identifier le processus Décrire le processus Définir le processus Définir les buts et métriques du processus Activités du processus (Description détaillée )

40

ARCHITECTURE DE PROCESSUS EN SÉCURITÉ  DE L’INFORMATION Area: Management Domain: APO

APO001 Manage the IT Management Framework

Description du processus:  Clarifier et maintenir la gouvernance TI au sein de l'entreprise. Mettre en œuvre et promouvoir les mécanismes et l’autorité nécessaire  pour gérer l'information et l'utilisation des TI à l'appui des objectifs de gouvernance. Déclaration d’intention Fournir une approche de gestion cohérente afin de réaliser les exigences de gouvernance d'entreprise incluant les processus de  gestion, et les structures organisationnelles (rôles et responsabilités) ... Objectifs spécifiques à la sécurité

Métriques spécifiques à la sécurité

1. S’assurer de l’alignement de la sécurité avec les TI, cadres  méthodologiques et référentiels d’entreprise.

• % des activités de sécurité à l’intérieur du portefeuille de projets qui sont  alignés sur la stratégie d'entreprise.

Description détaillée des activités (exemple) Intrants  APO01.06:   Définir la propriété des données et des systèmes.

APO01.05 : Définition et  positionnement de la fonction SI  à l’intérieur de l’organisation.

Extrants APO11.01: Rôles et responsabilités en SI DSS05.02 : Lignes directrices pour la classification des  données.  

Activités spécifiques à la sécurité:  1.Définir  la propriété des systèmes et des données à l’intérieur des processus de gestion de la sécurité; 2.Assigner un responsable de la sécurité des systèmes et des données à l’intérieur des processus de gestion de la sécurité

41

ARCHITECTURE DE PROCESSUS EN SÉCURITÉ  DE L’INFORMATION APO001 Manage the IT Management Framework

Area: Management Domain: APO

Description du processus:  Clarifier et maintenir la gouvernance TI au sein de  l'entreprise. Mettre en œuvre et promouvoir les  mécanismes et l’autorité nécessaire pour gérer  l'information et l'utilisation des TI à l'appui des  objectifs de gouvernance.

42

ARCHITECTURE DE PROCESSUS EN SÉCURITÉ  DE L’INFORMATION APO001 Manage the IT Management Framework

Area: Management Domain: APO

Déclaration d’intention Fournir une approche de gestion cohérente  afin de réaliser les exigences de gouvernance  d'entreprise incluant les processus de gestion,  et les structures organisationnelles (rôles et  responsabilités) ...

43

ARCHITECTURE DE PROCESSUS EN SÉCURITÉ  DE L’INFORMATION APO001 Manage the IT Management Framework Objectifs spécifiques à la sécurité

1. S’assurer de  l’alignement de la  sécurité avec les TI,  cadres  méthodologiques  et référentiels  d’entreprise.

Area: Management Domain: APO

Métriques spécifiques à la sécurité

• % des activités de  sécurité à l’intérieur du  portefeuille  de projets  qui sont alignés sur la  stratégie d'entreprise.

44

ARCHITECTURE DE PROCESSUS EN SÉCURITÉ  DE L’INFORMATION APO001 Manage the IT Management Framework

Area: Management Domain: APO

Description détaillée des activités (exemple) Intrants  APO01.06:   Définir la propriété des  données et des systèmes.

APO01.05 :  Définition et   positionnement de  la fonction SI à  l’intérieur de  l’organisation.

Extrants APO11.01: Rôles et  responsabilités en SI DSS05.02 : Lignes directrices pour  la classification des données.  

Activités spécifiques à la sécurité:  1.Définir  la propriété des systèmes et des données à l’intérieur des processus de gestion de  la sécurité; 2.Assigner un responsable de la sécurité des systèmes et des données à l’intérieur des  processus de gestion de la sécurité

45

CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI.

CISO

Responsabilités du CISO : • Établir et maintenir le SMSI • Définir et gérer le plan de gestion/traitement des risques et le plan de reprise • Contrôle et audit du SMSI Niveau d'autorité : Responsable/imputable de la mise en œuvre et du maintien de la stratégie de sécurité de l'information. La reddition de comptes (imputabilité) et l'approbation des décisions importantes reliées à la sécurité de l’information.

46

CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Comité directeur/sécurité

•Regrouper les spécialistes qui permettront de bien gérer la sécurité de l’information en entreprise. Exemples : RH-Auditeurs internes-Légal etc. •Communication des bonnes pratiques de sécurité de l’information de même que leur implantation et suivi.

47

CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Comités de gestion des risques d’entreprises

• Responsable de certains processus ou applications d’affaires •Responsable de communiquer les liens entre les affaires et la sécurité (impacts sur les usagers) •Connaissance des risques reliés à l’opération de même que les coûts/bénéfices des besoins de sécurité pour les directions

48

CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Responsable de la sécurité de l’information •Développe une vision commune pour l’équipe de sécurité et le reste de l’entreprise •Gère le personnel relié à la sécurité de l’information en fonction des besoins d’affaires •Effectue les évaluations de risque et définit les profils de risque •Développe le plan de sécurité de l’information •Surveille les indicateurs de gestions reliés à la SI •Identifie/communique les besoins en sensibilisation •Responsable de l’adhésion des ressources et de la haute direction aux bonnes pratiques de sécurité

49

CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Propriétaires de processus / responsables de la sécurité des données et des systèmes

•Communiquer, coordonner et conseiller l’entreprise sur les efforts requis pour gérer les risques avec les gestionnaires hiérarchiques •Rapporter les changement dans les besoins d’affaires et les stratégies liés aux nouveaux produits ou aux changements des produits existants •Responsable de rendre plus visible les aspects de sécurité de l’information au travers de toute l’entreprise.

50

CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SI Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI.

CISO

Collabore avec 

Comité directeur en sécurité

Soutenus par:  

Responsable de la sécurité de  l’information

Comités de gestion des risques  d’entreprises

Propriétaires de processus /  responsables de la sécurité des  données et des systèmes

51

EXEMPLE DE STRUCTURE ORGANISATIONNELLE  LE COMITÉ DIRECTEUR EN SI (EXEMPLE) Comité directeur en SI Composition

Responsabilités

Chief Information security officer  (CISO)

• Préside le comité directeur en SI;  • S’assure de la collaboration entre le comité directeur et le comité de gestion des risques d’entreprise  • Responsable de la sécurité de l’information à la grandeur de l’entreprise.  Conception des communications, mise en œuvre et suivi des pratiques

Responsable de la sécurité de  l’information

Propriétaires de processus /  responsables de la sécurité des  données et des systèmes 

Lorsque requis, traite de la conception des solutions avec les architectes en sécurité de l’information  afin de mitiger les risques identifiés. • Responsable de certains processus ou applications d’affaires;  • Responsable de la communication de certaines initiatives d’affaires qui peuvent avoir des incidences  sur la sécurité de l’information, ou de pratiques qui peuvent impacter les utilisateurs finaux; • Avoir une bonne compréhension des risques opérationnels, les coûts et bénéfices de la sécurité de  l’information ainsi que les exigences de sécurité de leurs domaines d’affaires. 

Gestionnaires TI

Formalise des rapports sur l'état des TI ainsi que les initiatives liées à la sécurité de l'information

Représentants de fonctions  spécialisées

Présence de certaines fonctions spécialisées lorsque requis (représentants de l'audit interne, ressources  humaines, juridiques, la gestion du projet); Ces fonctions peuvent être invitées à l'occasion ou en tant que membres permanents.  Possibilité d'avoir des représentants de l'audit interne afin de conseiller le comité sur les risques de  conformité.

52

CATALYSEUR 4: ÉTHIQUE, CULTURE ET  COMPORTEMENTS EN SI Éthique organisationnelle:

« Valeurs sur lesquelles l’organisation veut évoluer »

Éthique individuelle

« Valeurs intrinsèques à chaque individu au sein de  l’organisation »  Leadership

« Moyens pouvant influencer le comportement désiré » 

Comportement 1

Prise en compte de la sécurité de l’information dans les opérations quotidiennes.

Comportement 2 Respect de l'importance des   principes et politiques  en sécurité de  l’information

Comportement 3 Chacun est  responsable de la  protection de  l’information au sein  de l'entreprise

…8

Comportement n

Les parties prenantes sont  sensibles aux  risques en sécurité  de l’information

53

CATALYSEUR 5: INFORMATION Gérer le cycle de vie de l’information  S’assurer de la destruction  sécurisée de l’information

Identifier, collecter  et classifier  l’information. 

Stockage de l'information  (fichiers électroniques,  bases de données,  entrepôts de données….)

S’assurer de la disponibilité  de l’intégrité et de la  confidentialité de  l’information   Utilisation de l’information (décisions  de gestion, exécution des processus  automatisés…..)

54

CATALYSEUR 7: PROFILS ET COMPÉTENCES  DES PERSONNES EN SI COBIT 5 pour la sécurité de l’information fournit des exemples d’aptitudes  et de compétences liés à la fonction  SI (un exemple). Spécialiste en gouvernance de la sécurité Exigences

Description

Expériences

Plusieurs années d'expérience en SI:  • Concevoir et mettre en œuvre des politiques de sécurité informatique; • S’assurer de la conformité avec la réglementation externe; • Aligner la stratégie de sécurité de l'information avec la gouvernance d’entreprise; • Communiquer avec la direction exécutive

Certifications pertinentes

CISM

Connaissances

Aptitudes : • Définir les mesures de sécurité spécifiques à la gouvernance de la SI • Créer un modèle de mesure de la performance  • Élaborer une analyse de rentabilité des investissements en sécurité de l’information Connaissances: • Exigences légales et réglementaires concernant la sécurité des informations • Rôles et responsabilités nécessaires à la sécurité de l'information dans toute l'entreprise • Concepts fondamentaux en gouvernance de la SI • Normes internationales, cadres référentiels et bonnes pratiques…

55

CATALYSEUR 6  SERVICES, APPLICATIONS ET INFRASTRUCTURES

56

Securing Mobile Devices Using COBIT® 5 for Information Security

57

LA MOBILITÉ AU SEIN DE L’ENTREPRISE, UNE  RÉALITÉ ! Accès aux ressources TI de l’entreprise via différentes plateformes et connexions réseau.

Serveur d’annuaires Serveur web

Stockage

Serveur fichiers

Pare-feu Serveur messagerie

Serveur BD

Accès depuis des réseaux publics (aérogares, hôtels, restaurants….)

Accès utilisateurs, réseau interne

58

PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS  À LA MOBILITÉ Risques physiques: vol, divulgation d’informations confidentielles

L’avènement de la mobilité comporte comme corollaire un accroissement  exponentiel des risques de sécurité. 

59

PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS  À LA MOBILITÉ Risques technologiques: propagation de virus dans toute l’infrastructure …

60

PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS  À LA MOBILITÉ RISQUES ORGANISATIONNELS ET OPÉRATIONNELS: GESTION DES ÉQUIPEMENTS MOBILES, ESPIONNAGE INDUSTRIEL….

61

RÉALISER UN DOSSIER D’AFFAIRES SUR LA  MOBILITÉ AU SEIN DE L’ENTREPRISE  Réaliser des études d’opportunités:  L'utilisation d’équipements mobiles doit être liée à une  recherche d’efficacité et d’efficience dans la réalisation des   objectifs d’affaires;    Plus‐value et bénéfices:  S’assurer que l’utilisation d’équipements mobiles est source  de valeur ajoutée au sein de l’organisation; Risques:  Identifier et évaluer les risques technologiques  (interopérabilité), d’affaires et de sécurité liés à la mobilité

62

NORMALISER L’UTILISATION DES SOLUTIONS  MOBILES AU SEIN DE L’ENTREPRISE Normaliser l’utilisation des équipements mobiles Politique de sécurité Politiques et normes

Politique d’utilisation des équipements  mobiles

Gestion des équipements mobiles (MDM) Règles de sécurité

Gestion de la configuration

Équipements Mobiles Gestion à distance

Définir noyau des applicatifs

63

NORMALISER L’UTILISATION DES SOLUTIONS  MOBILES AU SEIN DE L’ENTREPRISE Centrer les efforts de gouvernance sur l’utilisateur Politique de sécurité Politique d’utilisation des équipements  mobiles

Politiques et normes

Utilisateur Exigences minimales

Acceptation des règles

Équipements Mobiles Gestion  par l’utilisateur

Applications à risque

64

GÉRER LE CYCLE DE VIE DES ÉQUIPEMENTS  MOBILES (BYOD)

• Contrat d’achat (clause de sécurité, de responsabilité…)

• Cycle de test des équipements;

• Personnalisation (privilèges utilisateurs)

• Configuration (profil utilisateur), gestion de la sécurité;

• Services et maintenance;

• Formatage / destruction physique;

• Gestion des utilisateurs;

• Opérations parallèles

• Gestion des risques / incidents de sécurité

65

IT Control Objectives for Cloud Computing

66

GOUVERNANCE DANS LE CLOUD Réaliser un  dossier  d’affaires Assurer la  continuité  des affaires

Conformité  légale

Intégrité

Gérer les  risques du  Cloud Confidentialité

Gestion de la  performance

67

GOUVERNANCE DANS LE CLOUD •Gérer de manière efficace les risques reliés au Cloud, les projets et les  partenaires •Assurer la continuité des affaires au‐delà du centre de traitement  informatique de l’entreprise •Communiquer clairement les objectifs relatifs au Cloud tant à l’interne qu’à  l’externe •Adaptation rapide, flexibilité , capacité et services… tout change avec le  Cloud •Création d’opportunités et amélioration des coûts •Assurer une continuité des connaissances  • Gérer la conformité

68

69

MODÈLE D’IMPLANTATION DE COBIT 5 Gestion de programme Gestion du changement Amélioration continue

70

Gestion de programme

Amélioration continue

Gestion du changement

CONCLUSION  (VOLET GOUVERNANCE) •Réduire la complexité •Accroire la rentabilité et la satisfaction des clientèles •Améliorer l’intégration de la sécurité des TI dans l’entreprise •Prise de décision éclairées avec une meilleure connaissance des risques • Amélioration de la prévention, détection et reprise des opération • Réduction des impacts des incidents de sécurité • Meilleure gestion budgétaire des coûts liés à la sécurité de l’information •Distinction entre la gouvernance et la gestion • Meilleure compréhension de la sécurité des TI

73

CONCLUSION  (VOLET GOUVERNANCE)

Les avancées de COBIT 5  permettent une prise en  compte de bout en bout des préoccupations de sécurité pour l’entreprise 74

MERCI

Contact : Martin M Samson Directeur Exécutif Associé, Sécurité de l’information martin.samson‐À‐nurun.com Martin.samson‐À‐videotron.ca 418‐627‐0999 poste 55395

75