Vous êtes sur la page 1sur 32

AH !

CE CADRE NORMATIF
UN OUTIL POUR SE PARLER

HackerSpace 27 janvier 2011

Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

DEUX SOLLITUDES
- Affaires - Technologies

TROIS CADEAUX POUR VOUS


Cadre de rfrences en gouvernance des technologies de linformation Cadre de rfrence en scurit de linformation
Cadre normatif

QUI EST MARIO LAPOINTE

Ingnieur en informatique
(un des premiers au Qubec)

MBA Universit Laval CISA Auditeur en TI CGEIT Gouvernance TI

MARIO LAPOINTE (SUITE)

Plus de 25 ans en pratique professionnel en TI (fonction publique et priv)


Dveloppement de systme Conception et gestion de rseau Architecte technologique Architecte daffaires Gestion de projets (tout gabarit, GMF, Info-Sant 811) Architecte de scurit Responsable de la scurit de linformation

QUI ETES-VOUS ?

AFFAIRES (adm. ) TECHNOLOLGIES (Informatique, ing) SCURIT ( ??? ) JE NE LE SAIT PAS

ETAPE 1

Cadre de rfrences en gouvernance des technologies de linformation

Processus

Gouvernance

Cadre de rfrence Gouvernance TI

Organisation

Personnel

Infrastructure TI

Facteurs humains

ETAPE 2
Cadre de rfrences en scurit de linformation D Disponibilit I C Intgrit Confidentialit

Cadre de rfrence en scurit de linformation


Contexte gouvernemental Contexte de lorganisation Mission, besoins daffaires, lois et rglements, architecture dentreprise, etc. Contexte externe Normes, standards, tendances, meilleures, pratiques

Lois

Directives gouvernementales

Guides et orientations

Gouvernance en SI
Politique de la scurit de linformation de lorganisation

Registre dautorit et Catgorisation des actifs informationnel

Analyse de risque en SI

Plan daction global en scurit

Stratgique

Architectures de scurit de linformation numrique (ASIN)

Directives en scurit de linformation

Vue Affaires

Vue Informations numriques

Vue Applications

Vue Infrastructures Technologiques

Architecture technologique de scurit

Vue Infrastructures Technologiques

lments propres lorganisation

Cadre de gestion de la scurit de linformation

Architecture en SI

Tactique

Rgles de scurit de linformation

Solution daffaires
Architectures de scurit de solutions daffaires (ASSA)

Vue Affaires

Vue Informations numriques

Vue Applications

Vue Infrastructures Technologiques

Oprationnel

Ententes Registres oprationnels Processus Architecture de systme scuritaire Interfaces scuritaires

Procdures et guides oprationnels

ETAPE 3

Cadre normatif en scurit de linformation

Beaucoup de notions
Nos organisations ont besoin doutils de communication collectifs pour se comprendre Le cadre normatif constitue un outil de premier plan au niveau de lorganisation.

Le cadre normatif (1)


Politique Directive Cadre de gestion Recueil de rgles Processus daffaires Procdure Mesure de scurit Contrle Indicateur Mtrique

Normaliss dans la plupart des organisations

Politique de scurit de linformation


Description Contenu est un nonc formel de principes ou de rgles servant de guide et de cadre aux dcisions que doivent respecter les membres dune organisation. Ce sont des principes gnraux adopts par lorganisation pour lexercice de ses activits. Elle reflte la position officielle de lorganisation sur un sujet donn. Elle concerne un aspect important de la mission ou des oprations de lorganisation. Elle dtermine les frontires de laction o le dirigeant se trouve engag et prcise le quoi, le pourquoi et les intervenants.

1 nonc de principe 2 Prsentation des buts 3 Cadre juridique ou cadre de rfrence 4 Champs dapplication 5 Dfinitions 6 Principes directeurs 7 Structure fonctionnelle 8 Reddition de compte 9 Sanctions et mesures disciplinaires

Directive de la scurit de linformation


Description Contenu

dcoule dune politique ou dun rglement et en dtermine le cadre. la ligne de conduite adopter, lorientation suivre ou la faon de procder. Elle vise rendre uniforme une activit ou une situation commune tous les employs afin dassurer une plus grande cohrence des actes accomplis par les employs dans lapplication des lois et des rglements, et dexpliquer aux personnes intresses le sens dans lequel on doit orienter la prise de dcision. Elle explique comment lorganisation doit atteindre les principes directeurs d'une politique.

1 nonc de principe 2 Prsentation des buts 3 Cadre juridique ou cadre de rfrence 4 Champ dapplication 5 Dfinitions 6 Dimension juridique, humaine, organisationnelle et technologique 7 Structure fonctionnelle 8 Reddition de compte

Cadre de gestion de la scurit de linformation


Description Contenu documente tous les lments de la gestion 1 lments de contexte de la scurit. 2 Objectifs 3 Principes directeurs Il couvre les actifs devant tre protgs, la 4 Stratgie de gestion dmarche du domaine de confiance en 5 Domaines de scurit matire de gestion des risques, les objectifs couverts et les mesures de contrle ainsi que le 6 Partage des rles et niveau dassurance requis. responsabilits Il met en relief les lments de contexte, numre les principes directeurs, dcrit la stratgie de gestion, trace un portrait des domaines de scurit couverts, et sattarde sur le partage des rles et responsabilits.

Recueil des rgles de scurit de linformation


Description Les rgles de scurit sont les prcautions dusage respecter et le recueil des rgles de scurit est louvrage qui liste toutes les rgles que doivent respecter les quipes oprationnelles de scurit, darchitecture, de dveloppement et de support. Contrairement la procdure dont elle hrite les qualits, elle renferme des ordres et des instructions. Contenu 1 Introduction 2 Mise en contexte 3 nonc des rgles 4 Rpertoire des rgles dtailles

Processus daffaires
Description Contenu

Un processus est un systme organis d'activits qui utilise des ressources (personnel, quipement, matriels, machines, matire premire et informations) pour transformer des lments entrants en lments de sortie dont le rsultat final attendu est un produit. Le processus a un propritaire qui est garant de la bonne fin et du bon fonctionnement de celui-ci.

Le processus se compose d'une suite d'oprations normalises effectues en tout ou en partie par des employs et/ou systmes d'informations, comporte des procdures, un ordonnancement et une rpartition dans le temps.

Procdure
Description Contenu La procdure reprsente la manire concrte Les procdures dtaillent les pour mettre en uvre le tout ou une partie d'un acteurs, les actions, l'actif processus daffaires. informationnel touch, les outils mcaniques ou logiques utiliss Le processus reprsente le quoi , la ainsi que la squence d'activits. procdure reprsente le qui fait quoi , o , quand , comment , combien et pourquoi (QQOQCCP). un processus peuvent plusieurs procdures. correspondre

Mesure de scurit
Description Contenu Les mesures de scurit se composent de processus, de procdures, de contrles et de mcanismes de scurit qui visent assurer la protection des renseignements personnels recueillis, utiliss, communiqus, conservs ou dtruits et qui sont raisonnables compte tenu, notamment, de leur sensibilit, de la finalit de leur utilisation, de leur quantit, de leur rpartition et de leur support.

Moyen concret qui assure, partiellement ou totalement, la protection de l'actif informationnel contre une ou plusieurs menaces, et dont la mise en uvre vise amoindrir la probabilit de survenance de ces menaces ou minimiser les pertes qui en rsultent.

Contrle
Description Contenu

Le contrle est une opration destine dterminer avec des moyens appropris si les processus d'affaires, les mesures de scurit, les procdures sont conformes ou non aux spcifications ou exigences prtablies.

Les paramtres dfinissant les contrles sont sa frquence, la mthode (mesure, comparaison, apprciation), les moyens utiliser (ex. rfrentiels, rapports) et l'entit qui le Le contrle inclut une dcision ralise. d'acceptation, de rejet ou un plan d'actions correctives.

Indicateurs
Description Contenu
Un indicateur efficace doit rpondre plusieurs critres : 1) Comprhensible et utilisable par tous les acteurs (Protocole simple et applicable dans le temps, d'heure en heure ou d'anne en anne par exemple) 2) Robuste, fiable, prcis et donc spcifique (il doit reflter effectivement les variations de ce qu'il est cens synthtiser ou mesurer) 3) Pertinent par rapport lobjectif concern (par exemple pour mettre en vidence les liens entre les diffrents composants du systme ou de l'cosystme) 4) Cot acceptable par rapport au service qu'il rend 5) avoir une temporalit (ou parfois une chance)

Un indicateur est un outil d'valuation et d'aide la dcision (pilotage, ajustements et rtrocorrection) grce auquel on va pouvoir mesurer une situation ou une tendance, de faon relativement objective, un instant donn, ou dans le temps et/ou l'espace.

Mtriques
Description Unit de mesure concrte et prcise, habituellement de type quantitatif, utilis pour mesurer l'efficience, l'efficacit, la performance et les impacts de l'implmentation des mesures de scurit. Contenu Les mtriques peuvent tre exprimes sous forme de pourcentage, de temps ou de dlais (ex. frquence, nb. de jours, de mois), de valeurs numriques (i.e. quantit) ou en valeurs budgtaires.

Le cadre normatif (2)


Registre de catgorisation Registre dautorit Architecture de scurit Spcifiques pour Gestion des incidents chacune des Procdure des incidents organisations Programme de continuit Plan daction en scurit

Registre de catgorisation
Description La catgorisation est un processus dassignation dune valeur certaines caractristiques dune information ou dun processus, lesquelles caractrisent le degr de sensibilit de cette information ou ce processus et, consquemment, la protection lui accorder. La catgorisation donne lieu un registre du mme nom quon associe avec le registre dautorit, pour la gestion des incidents et lapplication de mesures de scurit sur les actifs et processus. Contenu 1 Liste des processus ou actifs 2 Liste des activits relies aux processus ou actifs 2 Catgorisation selon le DIC et la PRP 4 Exigences spcifiques 5 Dtenteur 6 Unit dtentrice 7 Liste du personnel ayant particip la catgorisation 8 Commentaires 9 Historique des modifications 10 Lgende

Registre dautorit
Description Contenu Registre dautorit de la scurit de lorganisme 1 Liste des dtenteurs et leurs est un registre o sont consigns les noms et actifs responsabilits des dtenteurs. Il devient un outil dcisionnel pour de nombreuses situations, lorsquappari avec le registre issu de la catgorisation, avec lequel il forme un tout oprationnel.

Architecture de scurit de linformation (ASI)


Description
Permet de construire et capitaliser sur un cadre contenant les prescriptions darchitecture, les principes de scurit, la modlisation ou cartographie de la scurit de linformation. LASI prend en compte le concept de domaine de confiance, d'interface scuritaire et d'entente de scurit pour la protection des informations lors d'changes lectroniques. Elle vise assurer la scurit des renseignements personnels et renforcer la confiance des particuliers lgard de la protection de ces renseignements et du respect de la vie prive. Elle doit englober un certain nombre de composantes physiques et de solutions technologiques ayant pour but dassurer la scurit des informations et des changes numriques de mme que des quipements et infrastructures dchange et de traitement de linformation numrique. Larchitecture adresse les quatre dimensions de la scurit cest--dire la dimension juridique, humaine, organisationnelle et technique.

Contenu
1 Introduction 2 Mise en contexte 3 Orientations 4 Vue Affaires 5 Vue de linformation numrique 6 Vue applications

Gestion des incidents de scurit de linformation


Description
La gestion des incidents consiste coordonner les actions entre les autorits de lorganisation, les dtenteurs, les gestionnaires, la vrification, les communications et les technologues de faon rgler le problme et donner aux autorits une vision claire et continue de lvolution de la situation.

Contenu
1 Description du problme en terme stratgique 2 Description des causes possibles 3 Description des solutions envisageables 4 Comptes rendus de runions 5 Formulaire de suivi 6 Planification des actions

Procdure de gestion des incidents


Description
La procdure est un ensemble des tapes franchir, des moyens prendre et des mthodes suivre dans lexcution dune tche. Elle prcise le quoi, le comment, le quand et les intervenants. La procdure indique aux membres dune organisation comment mettre en uvre les principes tablis dans une politique. Une procdure constitue un guide davantage ax sur laction que sur la rflexion. Elle n'a pas le caractre contraignant de la directive, c'est--dire qu'elle ne renferme pas d'ordres ni d'instructions, mais elle fournit plutt un guide pour l'action en indiquant de quelle faon excuter une tche.

Contenu
1 nonc de principe 2 Prsentation des buts 3 Cadre juridique ou cadre de rfrence 4 Champ dapplication 5 Dfinitions 6 Structure fonctionnelle 7 Modalits dapplication

Elle est bien souvent accompagne dun formulaire. La qualit dune procdure est dtre prcise.

Programme de continuit des affaires


Description
Le programme de continuit des affaires dcrit, qui fait quoi et comment en cas de catastrophe. Le programme prend en charge les catastrophes physiques, les catastrophes informatiques et les catastrophes humaines.

Contenu
1 Se prparer une crise 2 Ragir en cas de force majeure 3 Traiter la crise 4 Maintenir les services essentiels 5 Procder au retour la normale

Plan daction de la scurit


Description
Le plan daction de la scurit est un plan bas sur les risques et conforme aux priorits. Il comprend notamment : la mise en place des processus de gestion des risques, de gestion des incidents, de gestion de la continuit des services; de la capacit de lorganisation maintenir la qualit de service et le niveau de disponibilit requis. Il comprend aussi le programme de formation et de sensibilisation et des actions dattnuation des risques de scurit de linformation comme : dfinir les mesures dapprciation de la performance produire et maintenir un tableau de bord laborer et mettre en uvre un processus de gestion du changement rdiger des directives, des pratiques (guides) et des procdures de scurit de linformation et toute autre action juge utile.

Contenu
1 Historique des travaux passs 2 Portrait de la maturit en SI 3 Analyse des risques en SI 4 Liste des objectifs pour lavenir 5 Description des activits prvues

En conclusion
Ces outils Cadre de rfrence gouvernance TI Cadre de rfrence scurit Cadre normatif

Sont l pour vous aider. Demander les vos gestionnaires !

Merci pour votre attention

Des questions ?