CISALa Gouvernance et la   Gestion des TI
ObjectifsA la fin de cette leçon ,vous serez capable de : Décrire les comités de gouvernance des TI: Comité stratégique d...
Gouvernance d’entreprise   Système selon lequel les organisations sont dirigées et    contrôlées.   Ensemble de responsa...
Gouvernance des TI   Processus visant à favoriser la prise de décisions    efficace en ce qui a trait aux investissements...
Principaux enjeux de la gouvernance                   des TI   Amener les unités à être parties prenantes des    décision...
Processus généraux de           Gouvernance des TI   La gestion des ressources TI : Tenir un    inventaire à jour de tout...
Rôle de la vérification dans la                gouvernance   Faire des recommandations importantes à la haute    directio...
Comités de gouvernance des TI Comité Stratégique des TI        Conseil le CA sur l’alignement des TI sur l’orientation d...
Tableau de Bord de Performance des TI   Technique pour évaluer la gestion des    processus qui peut être appliqué au proc...
Tableau de Bord de Performance des TIObjectifs financiers          Processus internesPerception du CA ?            Process...
Gouvernance de la sécurité de        l’information   La mesure de la performance : Mesurer,    surveiller et communiquer ...
Rôles et responsabilités de la      haute direction et du CA   Le CA et les dirigeants : Approbation des politiques,    s...
Rôles et responsabilités de la      haute direction et du CA   L’officier principal de la sécurité de l’information : Déf...
Architecture d’entreprise     Documentation des actifs TI d’une façon structurée afin      de faciliter la compréhension,...
Planification stratégique   Stratégique : Long terme, 3 – 5 ans, Tient compte des    objectifs de l’entreprise, de la rég...
Politiques et Procédures   Les P&P reflètent l’orientation et les conseils apportés    par la direction relativement au d...
Politique de sécurité de                  l’information   Communique une norme de sécurité cohérente aux    utilisateurs,...
Politique de sécurité de               l’information En général, l’organisation peut documenter les PSI comme une série d...
Révision de la PSI   Les éléments de la révision de gestion:       Les résultats des révisions indépendantes       L’ét...
Procédures   Ensemble d’étapes détaillées, définies et documentées    permettant l’implantation des politiques.   Mets e...
Gestion du risque   Processus d’identification des vulnérabilités et    des menaces touchant les ressources    informatio...
Stratégie de gestion du risque En fonction du type de risque et de son  importance pour l’entreprise, les  gestionnaires ...
Processus de gestion du risque   1- Etablir une taxonomie (Identification et    classification) des actifs informationnel...
Niveaux de gestion de risques   Opérations : risques qui pourraient compromettre    l’efficacité des systèmes TI et de l’...
Méthodes d’analyse du risque   Méthodes d’analyse qualitative : utilise un classement    en mots ou un classement descrip...
Pratique de gestion des SI :Gestion des ressources humaines   Politique d’embauche et de cessation d’emploi   Guide du n...
Pratique de gestion des SI :               L’impartition   L’impartition ou externalisation fait référence à la    façon ...
Pratique de gestion des SI :              La mondialisation   La mondialisation des fonctions des SI exige que la    dire...
Pratique de gestion des SI :         L’informatique en nuage   Informatique en nuage (Cloud Computing) : Modèle    permet...
Pratique de gestion des SI :       L’informatique en nuage Les caractéristiques essentielles :        Libre service à la...
Pratique de gestion des SI : La     gouvernance dans l’impartition   La gouvernance dans l’impartition étend la responsab...
Pratique de gestion des SI :         Gestion des changements   Processus défini et documenté pour identifier et apporter ...
Pratique de gestion des SI :           Gestion de la qualité   Moyen par lequel les procédés établis par la division des ...
Pratique de gestion des SI :     Optimisation de la performance   C’est un processus mené par des indicateurs de    perfo...
Structure organisationnelle   Elle montre la division des SI, normalement dirigée par    un gestionnaire / directeur des ...
Séparation des tâches au sein               des SI   La séparation des tâches évite le risque qu’une    seule personne so...
Mécanismes de contrôle de la       séparation des tâches Formulaire d’autorisation : Les gestionnaires des divisions  d’u...
Imaginez une entreprise Une Banque avec 1 Million de comptes clients, les  numéros de sécurité sociales, les numéros de  ...
Planification de la continuité des        opérations (PCO)   L’objectif de la continuité des opérations et de la reprise ...
Planification de la continuité des   opérations des SI (PCO)   Le traitement des SI revêt une importance stratégique. Il ...
Imaginez un sinistre   Défaillance d’un serveur   Défaillance d’un disque   Bris de confidentialité   Attaque de Déni ...
Sinistres et autres évènements         perturbateurs   Les sinistres constituent des perturbations    causant l’arrêt du ...
Gestion des atteintes à l’image   Des rumeurs néfastes, provenant des sources    diverses (même à l’interne), peuvent êtr...
Processus de planification de la   continuité des opérations   1- Planification du projet (Politique de CA, portée du    ...
Politique de continuité des               opérations   Un document approuvé par la haute direction qui définit    l’étend...
Gestion des incidents Un incident constitue un événement imprévu, même  s’il ne provoque aucun dommage significatif. De  ...
Classification des incidents   Négligeables : ne causent aucun dommage perceptible    ou significatif.   Mineurs : bien ...
Analyse de l’impact des risques     de l’entreprise (BIA)   Quelles sont les processus stratégiques de l’entreprise ?   ...
Classification des opérations et          analyse de criticité Essentiel : Ces fonctions ne peuvent être effectuées à moi...
Coûts d’interruption et de                 reprise                                                  Opérations interrompue...
Développement du PCO   La préparation avant le sinistre couvrant la gestion de la réaction    aux incidents dans le but d...
Eléments d’un PCO   Plan de continuité des opérations   Plan de continuité des activités   Plan de reprise des opératio...
Eléments d’un PCO   Les politiques qui régiront le travail de continuité et de    reprise;   Les objectifs, exigences ou...
Eléments d’un PCO   Décideurs clés : Répertoire de notification des décideurs    clés et des utilisateurs finaux qui doiv...
Mise à l’essai du plan   Vérifier l’exhaustivité et la précision du PCO;   Evaluer la performance du personnel qui parti...
Exécution de la mise à l’essai Pré-test : Ensemble des actions nécessaires à la mise à l’essai du plan. Test : Mise à l’...
Type de test du PCO   Evaluation sur papier : Survol du plan sur papier    impliquant les acteurs clés de l’exécution du ...
Audit du PCO   Révision du PCO   Evaluation des résultats de test précédents   Evaluation de l’installation d’entreposa...
Question type examen Lequel des éléments suivants serait le MIEUX adapté pour que la direction fasse un suivi efficace du...
Question type examen Lequel des éléments suivants ferait partie d’un plan stratégique des SI ?     A. Les spécifications...
Question type examen   Lequel des énoncés suivants décrit le MIEUX le    processus de planification stratégique d’un    d...
Question type examen La responsabilité la PLUS importante d’un administrateur de la sécurité des données au sein d’une en...
Question type examen Lequel des éléments suivants est jugé le PLUS critique pour l’implantation réussie d’un programme de...
Question type examen Un auditeur des SI doit s’assurer que les mesures de la performance de la gouvernance des TI :     ...
Question type examen   Laquelle des tâches suivantes peut être    effectuée par la même personne dans un centre    inform...
Question type examen Lequel des énoncés suivants est le contrôle le PLUS important concernant l’administration d’une base...
Question type examen   Lorsqu’une séparation complète des tâches ne    peut être réalisée dans un environnement de    sys...
Question type examen   Dans une petite entreprise, où la séparation des tâches    n’est pas pratique, un employé effectue...
Question type examenThe MOST important function of the IT   department is:1. Cost effective implementation of IS   functio...
Question type examenProduct testing is most closely associated   with which department:1. Audit2. Quality Assurance3. Qual...
Question type examen“Implement virtual private network in the   next year” is a goal at the level:1. Strategic2. Operation...
Question type examenWhich of the following is not a valid purpose of the IS Audit?1.   Ensure IS strategic plan matches th...
Question type examenDocumentation that would not be viewed by   the IT Strategy Committee would be:1. IT Project Plans2. R...
Question type examenWho can contribute the MOST to   determining the priorities and risk   impacts to the organization’s i...
Question type examenA document that describes how access   permission is defined and allocated is   the:1. Data Classifica...
Question type examenThe role of the Information Security   Manager in relation to the security   strategy is:1. Primary au...
Question type examenThe role most likely to test a control is the:1. Security Administrator2. Security Architect3. Quality...
Question type examenThe Role responsible for defining security   objectives and instituting a security   organization is t...
Question type examenWhen implementing a control, the PRIMARY   guide to implementation adheres to:1. Organizational Policy...
Question type examenThe persons on the Security Steering   Committee who can contribute the BEST   information relating to...
Remerciements Pour IBT ( Institute of Business and  Technologies) BP: 15441 Douala - Cameroun Par Arsène Edmond NGATO, ...
Upcoming SlideShare
Loading in...5
×

Gouvernance et Gestion des TI

3,680

Published on

Second chapitre du Manuel de préparation CISA 2012.

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,680
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
493
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide
  • La gouvernance et la gestion des TI font partie intégrante de la gouvernance d’entreprise et consistent en des structures de direction et des processus qui garantissent que les TI soutiennent et prolongent les stratégies et les objectifs de l’organisation. La connaissance de la gouvernance des TI est essentielle au travail du vérificateur des SI. Elle constitue une fondation pour le développement de pratiques et de mécanismes de contrôle solide au service des activités de surveillance et d’examen de la direction. L’objectif de ce domaine est de garantir que le candidat au titre de CISA comprend et peut fournir l’assurance que l’encadrement, les structures et processus organisationnels nécessaires sont en place pour atteindre les objectifs et soutenir la stratégie de l’organisation. Ce domaine représente 14% des questions de l’examen CISA (soit environ 28 questions).
  • Une bonne gouvernance publique aide à renforcer la démocratie et les droits humains, favorise la prospérité économique et la cohésion sociale, réduit la pauvreté, améliore la protection de l’environnement et l’utilisation durable des ressources naturelles, et augmente la confiance en l’administration publique et le gouvernement. OCDE La gouvernance d’entreprise implique une série de relations entre la direction de l’entreprise, son conseil d’administration, ses actionnaires et les autres parties prenantes. Une bonne gouvernance d’entreprise doit fournir les incitatifs adéquats au conseil d’administration ainsi qu’à la direction afin d’atteindre les objectifs qui sont dans l’intérêt de l’entreprise et de ses actionnaires.
  • L’idée ici est que la gouvernance TI serve l’entreprise et non elle-même. Fondamentalement, la gouvernance des TI se préoccupe de deux questions : que les TI puissent apporter une valeur à l’entreprise et que les risques des TI soient gérés. La première est guidée par l’alignement des TI sur l’entreprise. La seconde est guidée par l’enchâssement de la responsabilité dans l’entreprise.
  • Le but de la gouvernance des TI est d’orienter les efforts des TI vers l’atteinte des objectifs d’alignement des TI sur les objectifs de l’entreprise et la réalisation des avantages promis. De plus, les TI doivent permettre à l’entreprise de tirer partie des opportunités et d’optimiser les profits. Les ressources en TI doivent être utilisées de manière responsable et les risques liés aux TI doivent être gérés convenablement. Les processus généraux sont : 1, 2 et 3.
  • Premier chapitre : Pratiques de surveillance et d’assurance des technologies de l’information pour le conseil et les dirigeants Traditionnellement, les organisations disposaient de comités de direction pour traiter des questions de TI pertinentes dans l’ensemble de l’organisation. Il doit y avoir une compréhension claire de la stratégie des TI et des niveaux de direction.
  • Le tableau de bord des performances TI défini les objectifs TI et comment l’atteinte de ces objectifs peut être mesurée. La mission c’est la direction pour le département Les stratégies sont des objectifs spécifiques qui supportent la mission Les mesures sont des statistiques ou métriques qui déterminent le niveau d’atteint des objectifs.
  • The IT Balanced scorecard can address different areas, such as Financial goals, customer goals, internal business process goals, and learning and growth goals.
  • Au sein de la gouvernance des TI, la gouvernance de la sécurité de l’information doit devenir une activité primordiale reposant sur des valeurs particulières : la confidentialité, l’intégrité et la disponibilité de l’information, la continuité des services et la protection des actifs d’information. La sécurité est devenue un problème significatif en raison du réseautage mondial, de l’innovation et des changements technologiques rapides, de l’augmentation de la dépendance aux TI, de la sophistication des agents menaçants et du prolongement de l’entreprise au-delà de ses frontières géographiques traditionnelles. Les résultats fondamentaux d’une gouvernance en matière de sécurité de l’information efficace devraient inclure l’harmonisation stratégique, la gestion du risque et la réalisation de la valeur. L’atteinte de ces résultats est rendue possible grâce à l’élaboration de : SMART : Stratégique, Mesurable, Atteignable, Réaliste et en Temps opportun
  • La gouvernance de la sécurité de l’information nécessite une orientation stratégique et une force d’impulsion. Elle nécessite un engagement, des ressources et l’assignation de la responsabilité pour la gestion de la sécurité de l’information, ainsi qu’un moyen pour le CA de déterminer que son objectif est atteint.
  • En conclusion : Le cadre de gouvernance comprend généralement les éléments suivants : Une stratégie complète de sécurité intrinsèquement liée aux objectifs opérationnels Des politiques essentielles de sécurité qui touchent chacun des aspects de la stratégie, des contrôles et de la réglementation Un jeu complet de normes pour chaque politique pour garantir que les procédures et les directives sont conformes à la politique Une puissante structure organisationnelle de sécurité qui ne présente aucun conflit d’intérêts Des processus institutionnalisés de surveillance pour garantir la conformité et fournir une rétroaction sur l’efficience.
  • Repose souvent sur la représentation de l’état actuel et de l’état futur optimisé (feuille de route) Ce modèle s’appuie soit sur les technologies, soit sur les processus d’entreprise. A l’horizontale, ce sont les différents aspect à considerer et à la verticale les différents niveaux d’abstraction.
  • La planification stratégique du point de vue des SI fait référence aux orientations à long terme sur lesquelles s’appuie une entreprise pour mobiliser les technologies de l’information nécessaires à l’amélioration de ses processus d’entreprise. Une planification stratégique efficace des TI s’accompagne d’une réflexion sur les besoins de l’entreprise en matière de systèmes des TI, nouveaux ou actualisés, et sur la capacité de l’organisation des TI à livrer de nouvelles fonctionnalités par l’intermédiaire des projets bien gouvernés. Pour ce faire, il faut examiner de manière systématique les intentions stratégiques de l’entreprise, comment elles se traduisent en objectifs spécifiques et en initiatives commerciales, et quelles capacités TI seront essentielles pour appuyer ces objectifs et ces initiatives. Un manque d’implication des TI dans la création de la stratégie d’entreprise indique la présence d’un risque que les plans ou la stratégie des TI ne soient pas alignés avec la stratégie d’entreprise.
  • Premier chapitre : Investissement et pratique d’allocation Chaque entreprise doit relever le défi d’utiliser ses ressources limitées, y compris ses ressources humaines et financières, pour atteindre ses buts et objectifs.
  • La politique de sécurité de l’information doit être approuvée par la direction. Elle doit être documentée et communiquée à tous les employés, fournisseurs de services et partenaires d’affaires pertinents. La PSSI doit être utilisée par l’auditeur des SI en tant que cadre de référence lors de l’exécution des diverses affectations d’audit des SI. La justesse et l’exactitude de la politique de sécurité peuvent aussi faire l’objet d’un examen par l’auditeur des SI.
  • Aller sur www.sans.org pour des exemples de modèles de politiques de sécurité. La norme ISO 27002 (ou la norme nationale équivalente) peut être considérée comme un point de référence pour le contenu couvert par le document lié à la politique de sécurité de l’information. 1 Comprend les énoncés sur la confidentialité, l’intégrité et la disponibilité. 2 Décrit les classification, les niveaux de contrôle pour chaque classification et les responsabilités de tous les utilisateurs potentiels, y compris le propriétaire 3 Décrit les permissions organisationnelles d’utilisation des TI et des ressources informationnelles liées 4 Décrit les paramètres et l’utilisation des outils de bureau par les utilisateurs 5 Décrit les méthodes pour définir et accorder l’accès aux diverses ressources des TI.
  • L’auditeur des SI doit examiner : La base de définition de la PSI, généralement c’est un processus de gestion du risque, le caractère approprié de ces politiques, le contenu des politiques, les exceptions aux politiques, le processus d’approbation des politiques, le processus de mise en œuvre des politiques, l’efficacité de la mise en place des politiques, la conscientisation et formation, l’examen périodique et les processus de mise à jour.
  • Les procédures sont formulées par les propriétaires des processus et traduisent de façon efficace le politiques Il est très important que les procédures soient bien connues des gens à qui elle s’adressent. Une procédure mal connue par le personnel visé est, essentiellement, inefficace.
  • Début du chapitre : Gestion du risque Ce processus comprend le choix des mesures de prévention (dispositif de sécurité ou de contrôle), s’il y a lieu, qui seront mises en place pour réduire le risque jusqu’à un niveau acceptable (i e risque résiduel) en se fondant sur la valeur que représentent les ressources informationnelles pour l’entreprise. Pour ce faire il est possible de mettre en place des stratégies de gestion des risques et de préciser les responsabilités lorsque la propension à prendre les risques et les risques d’exposition ont été définis.
  • Evitement : lorsque cela est possible, ne pas mettre en œuvre certains processus et activités s’ils risquent d’entraîner un risque plus élevé (i e éliminer le risque en éliminant la cause) Par exemple si une organisation envisage d’implémenter une solution Wireless mais se rend compte des risque dus à la position géographique ou de l’architecture du bâtiment, ils décide d’implémenter un réseau filaire. Atténuation : réduire la probabilité ou l’impact d’un risque en définissant ou implantant des mesures de contrôle appropriées Transfert : partager le risque avec des partenaires ou le transférer grâce à une couverture d’assurance, une entente ou autre Acceptation : reconnaitre formellement l’existence du risque et en assurer le suivi
  • 1- Information et données, matériel, logiciel, services, documents, personnel, bâtiment, image, réputation, … 2- les classes de menaces usuelles : erreurs, attaques ou dommages malveillants, fraudes, vols, bris d’équipement et de logiciels Les vulnérabilités sont des caractéristiques propres aux ressources informationnelles. Ex: Manque dans les connaissances de l’utilisateur, Lacune dans la fonctionnalité de la sécurité, Mauvais choix de mots de passe, utilisation des technologies non testées, transmission de communication non protégées, … 3- Le résultat de l’exploitation d’une vulnérabilité est un impact et peut se traduire par différents types de perte financières directes à court, moyen ou long terme. Ex: perte directe en argent(comptant ou crédit), violation de règlement, atteinte à la réputation, mise en danger du personnel ou des clients, bris de confiance, perte d’une opportunité d’affaire, diminution de l’efficacité ou du rendement lié aux opérations, interruption des activités de l’entreprise. 4- Le risque est proportionnel à la valeur de la perte ou du dommage et à la fréquence estimée de la menace (choisir la bonne méthode) 5- Le niveau de risque qui demeure, une fois les mesures de contrôle appliquées est appelé risque résiduel et peut être utilisé par les gestionnaires pour identifier les secteurs qui nécessitent davantage de mesures de contrôle
  • Le processus de gestion des risques doit permettre un équilibre économique entre l’application des mesures de contrôle rattachées à la sécurité à titre de mesures de protection et les menaces importantes. Certaines des menaces sont liées aux questions concernant la sécurité et peuvent être particulièrement critiques pour certaines organisations.
  • 1- Elles sont les plus utilisées et s’appuient sur des listes de contrôles et des dégrées de risque subjectifs, tels que élevé, moyen, bas 2- Utilisées lorsqu’il n’est pas possible d’utiliser une méthode quantitative ou de réduire la subjectivité des méthodes qualitatives 3- Très utilisées dans les secteurs militaires, nucléaires, financiers et de la chimie. Habituellement utilisée lors d’une analyse d’impact sur les affaires BIA. Il faut connaitre les définitions de ces méthodes dans le cadre de l’examen de certification.
  • Première partie du chapitre : Pratique de gestion La gestion des ressources humaines fait référence aux politiques et aux procédures organisationnelles entourant la sélection, le recrutement, la formation et la promotion du personnel, l’évaluation du rendement, l’application de la discipline et la cessation d’emploi, la planification de la succession et la rétention du personnel. L’efficacité de ces activités se rattachant à la fonction SI a un effet sur la qualité du personnel et sur l’exécution des tâches liées aux SI. Rechercher des modèles sur internet (sample employee handbook) 1- Embauche : Importants pour assurer la présence d’un personnel le plus efficace et efficient possible et la conformité de l’organisation aux exigences juridiques en matière de recrutement : vérification des antécédents(criminels, financiers, professionnels, références, …), les ententes de confidentialités, la formation des liens entre employés, les ententes liés aux conflits d’interêt, les code de bonne conduites professionnelle et les codes éthiques, les ententes de non concurrence. Cessation : Indique clairement les étapes à suivre lors du départ d’un employé, important pour assurer la protection adéquate des biens informatiques et des données appartenant à l’organisation. Doit englober les cessations d’emplois volontaires et involontaires(immédiates)? Dans certains cas de départ involontaires dans des conditions difficiles, une organisation doit avoir été défini clairement et documenté les procédures pour escorter l’employé jusqu’à sa sortie des installations de l’organisation. ; retour de toutes les clés d’accès, les badges, destruction ou révocation des identifiants et des mots de passe assignés pour l’entrée dans les systèmes, l’avertissement au personnel concernant le nouveau statut de l’employé qui a quitté l’organisation, la préparation du paiement final (solde de tout compte), la tenue d’une rencontre de cessation d’emploi pour essayer de comprendre la perception qu’a l’employé des gestionnaires de l’entreprise, la remise de tout ce qui appartient à l’entreprise. 2- Distribué à tous les employés à l’embauche et comprend les explications concernant les politiques et procédures de sécurité, les conduites acceptables et inacceptables, les valeurs de l’organisation et le code éthique, les attentes de l’organisation, les avantages sociaux pour l’employé, les politiques de congés, les règles concernant les heures supplémentaires, l’emploi extérieur, les évaluations de rendement, les procédures d’urgence, les mesures disciplinaires pour retard, absences excessives, bris de confidentialité ou de sécurité, non-conformité aux politiques, … 3- Elles doivent être justes, équitables et comprises par les employés. Se fonder sur les critères objectifs et prendre en compte la performance individuelle, l’éducation, l’expérience et le niveau de responsabilité. 4- Particulièrement importante pour les professionnels en SI, compte tenue de la rapidité à laquelle les technologies et les produits changent. Elle garantie non seulement la présences des ressources plus efficaces et plus efficientes, mais aussi le renforcement du moral des employés. 5- Une répartition appropriés du temps de travail apporte plus d’efficacité dans l’exécution des opération informatique et d’utilisation des ressources informatiques. La déclaration permet aux gestionnaires de suivre le processus de répartition et de déterminer si l’embauche de personnel est adéquate et si les opérations se déroulent de manière efficace. 6- Les vacances obligatoires garantissent qu’une fois par année, au minimum, une personne autre que l’employé régulier réalisera les tâches de ce dernier? Cela diminue la possibilité de commettre des actes illégaux ou irréguliers. La rotation dans les emplois permet un contrôle supplémentaire puisque le même individu ne réalise pas les mêmes tâches en tout temps. 7- L’évaluation du rendement de l’employé doit être une norme et une activité régulière pour tout le personnel SI. Les augmentations de salaires, les primes au rendement et les promotions doivent être obtenues en fonction du rendement.
  • L’entreprise doit évaluer ses fonctions de SI et déterminer la méthode la plus appropriée pour réaliser ces fonctions tout en tenant compte des points suivants: S’agit il d’une fonction de base pour l’entreprise ? Est-ce que cette fonction requiert une connaissance, un processus et un personnel spécifiques essentiels à l’atteinte de ses buts et de ses objectifs et qui ne peuvent être reproduits à l’externe ou dans un autre endroit? Est-ce que cette fonction peut être exécutée par une autre partie ou dans un autre endroit pour le même prix ou un prix inférieur, avec la même qualité ou une qualité supérieure, sans augmenter les risques? - Est-ce que l’entreprise possède de l’expérience en gestion de tierces parties ou dans l’utilisation de lieux éloignés à l’étranger pour effectuer les fonctions de SI ou opérationnelles ?
  • 1- Avoir des activités dans une région ou un pays différent peut présenter de nouveaux risques que pourrait mal connaître une entreprise 2- La continuité des affaires et la reprise après sinistre peuvent ne pas être offertes ni testées adéquatement 3- Les modifications nécessaires sur les politiques du personnel peuvent ne pas être considérées 4- Les contrôles de réseau et l’accès à partir de lieux éloignés ou de l’étranger peuvent être sujets à des interruptions de services plus fréquentes ou à un nombre plus élevé d’exposition à la sécurité 5- La gestion de gens et de procédés qui passent par plusieurs fuseaux horaires, différentes langues et cultures peut présenter des défis et des problèmes imprévus
  • Se compare au service publique et au services telles que l’eau, l’électricité et le gaz que l’on paie en fonction des consommations. Iaas : Capacité de dimensionner des fonctions de traitement ou stockage, des réseaux ou toute autre ressource informatique fondamentale, permettant au client de déployer et d’exécuter les logiciels de son choix, y compris des systèmes d’exploitation et des applications. L’IaaS confie ses opérations à une tierce partie. PaaS : Capacité à déployer, dans l’infrastructure en nuage, des applications créees par le client ou des applications créees à l’aide de langages et d’outils de programmation pris en charge par le fournisseur. SaaS : Capacités à utiliser les applications du fournisseur qui tournent sur l’infrastructure en nuage. Les applications sont accessibles à partir de divers appareils du client, grâce à une interface client allégées, notamment un fureteur web (ex: courrier web). Privé : opéré uniquement pour une organisation et peut être géré par l’organisation ou une tierce partie. Peut se trouver sur site ou hors site. Communautaire : Partagé par plusieurs organisations, appuie une communauté d’acteurs ayant une mission ou un intérêt en commun. Peut être géré par l’organisation ou une tierce partie. Peut se trouver sur site ou hors site. Public : Mis à la disposition du public ou d’un grand groupe de l’industrie. Appartient à une organisation qui vend des services en nuage. Hybride : Ensemble composé de deux nuages ou plus (privés, communautaires ou publics) qui demeurent des entités uniques mais sont reliés par une technologie normalisée ou exclusive qui permet la portabilité des données et applications (ex. transfert de capacités pour équilibrer la charge entre deux nuages)
  • 1- Le client de nuage doit avoir la capacité de dimensionner automatiquement, selon les besoins, les ressources informatiques comme le stockage sur le serveur ou en réseau, sans qu’une intervention humaine avec le fournisseur de service soit nécessaire. 2 Le réseau infonuagique doit être accessible partout, à l’aide de pratiquement n’importe quel appareil (Ex : téléphone intelligent, ordinateur portatif, ANP, …) 3 Les ressources informatiques du fournisseur sont mises en commun pour servir plusieurs clients selon le modèle partagé 4 Les capacités peuvent être dimensionnées rapidement et avec souplesse, souvent automatiquement lorsque la demande augmente, et diffusées rationnellement lorsque la demande diminue 5 Les systèmes en nuage contrôlent et optimisent automatiquement l’utilisation des ressources et tirant partie des capacités mesurables (Ex; traitement, stockage, bande passante et comptes d’utilisateur actifs
  • Le principe de base de l’impartition est d’accepter que, même si la réalisation des services est transférée, la direction de l’entreprise cliente demeure fermement imputable et doit s’assurer que les risques sont gérés adéquatement et qu’il y a une réalisation de valeur continue de la part du fournisseur de service. La transparence et le droit de propriété du processus décisionnel doivent être du ressort du client.
  • L’optimisation fait référence au processus d’amélioration de la productivité des systèmes d’information au plus haut niveau sans devoir investir inutilement dans l’infrastructure des TI.
  • Premier chapitre : structure organisationnelle des SI et responsabilité Les structures organisationnelles varient suivant les entreprises, mais le candidat au titre de CISA doit s’intéresser aux responsabilités reconnues universellement telles que les fonction reliées aux propriétaires d’entreprises, à la sécurité de l’information ainsi qu’aux dirigeants
  • 1 La garde des actifs de l’entreprise doit être déterminée et affectée convenablement. Le propriétaire des données es t normalement affecté à une division d’utilisateur en particulier et ses responsabilités doivent être spécifiées par écrit. Le propriétaire des données doit déterminer les niveaux d’autorisation requis afin d’offrir une sécurité adéquate, tandis que le groupe d’administration est souvent chargé de la mise en place et de l’application du système de sécurité. 2 L’autorisation de transaction relève de la division de l’utilisateur. L’autorisation est déléguée au degré auquel elle fait référence au niveau particulier de responsabilité de la personne autorisée au sein de la division. Des vérification périodiques doivent être effectuées par la direction de l’audit afin de détecter les saisies non autorisées de transaction. 3 Les contrôles sur l’accès aux données sont fournis par un mélange de sécurité physique, de système et d’application dans le secteur de l’utilisateur et de l’installation des traitements de l’information. L’environnement physique doit être sécurisé afin d’empêcher le personnel non autorisé d’avoir accès aux divers appareils tangibles reliés à l’unité centrale, ce qui permet un accès aux données
  • Plusieurs mécanismes peuvent être utilisés pour mettre en application la séparation des tâches
  • PCA PRS : utilisé pour récupérer une installation devenue inopérable, y compris la relocalisation des opérations à un nouvel emplacement. PR : utilisé pour reprendre les opérations normales, que ce soit dans une installation restaurés ou nouvelle. En fonction de la complexité de l’organisation, il pourrait y avoir un ou plusieurs plans correspondant aux divers aspects de la continuité des opération et de la reprise après sinistre. Ces plans ne doivent pas nécessairement être intégrés en un seul plan. Toutefois, chacun doit être cohérent avec les autres plans afin d’avoir une stratégie de PCO viable. Il est important d’avoir un seul plan intégré afin de s’assurer que tous les aspects sont traités et que les ressources engagées sont utilisées de façon efficace et efficiente.
  • La criticité des divers systèmes d’application déployés dans l’entreprise dépend de la nature des activités et de la valeur de chacune des applications pour l’entreprise La valeur de chaque application pour l’entreprise est directement proportionnelle au rôle du système d’information dans le soutien de la stratégie d’entreprise. La reprise après sinistre en SI se produit généralement dans des circonstances inhabituelles et stressantes (incendie, inondation, dommages causés par un ouragan). Souvent, les contrôles de sécurité (tant physiques que de SI) risquent de ne pas fonctionner. On recommande par conséquent que l’entreprise mette en place un système de gestion de la sécurité de l’information (ISMS) pour maintenir l’intégrité, la confidentialité et la disponibilité des SI, et pas seulement dans les conditions normales.
  • Toutes les perturbations importantes aux services ne sont pas nécessairement causées par un sinistre. Par exemple, une perturbation de service peut parfois être causée par un mauvais fonctionnement du système, par la suppression accidentelle d’un fichier, une version non testée d’une application, la perte d’une copie de sauvegarde, une attaque de déni de service (DoS) du réseau, une intrusion ou un virus.
  • Réagir de façon appropriée en public (ou en présence des médias) lors d’une crise n’est pas chose simple. Un porte-parole formé adéquatement doit être désigné et préparé au préalable. Mis à part le porte-parole, personne ne doit effectuer de déclaration publique, et ce, peu importe son échelon dans la hiérarchie de l’entreprise. Pour bien se préparer, le porte-parole devrait rédiger et conserver en mémoire un communiqué de base comportant des vides à remplir en fonction des circonstances particulières. Ce processus doit être respecté pour éviter l’improvisation, ou lorsque certaines contraintes de temps existent. Le communiqué ne doit pas mentionner les causes de l’incident, mais plutôt indiquer qu’une enquête est en cours et que les résultats seront publiés. Aucune responsabilité ne doit être assumée. Le système ou le processus ne doit pas être blâmé.
  • Le processus de PCO peut être divisé selon les phases de cycle de vie
  • Il s’agit d’une déclaration de l’entreprise, qui renforce la position des personnes en charge de la continuité des opérations. Il peut définir les grandes lignes des processus généraux sur lesquels se basera la continuité des opérations. Une politique de continuité des opérations doit être proactive, le message transmis doit être que tous les moyens de contrôle possible pour détecter et prévenir les perturbations devraient être utilisés, et que si une perturbation se produit malgré tout, les mécanismes nécessaires pour en atténuer les conséquences doivent être en place. Le PCO est la mesure de contrôle la plus critique des TI et dépend de l’efficacité des autres contrôles, particulièrement de la gestion des incidents et des solutions de sauvegarde et de reprise. Les incidents et leurs impacts peuvent, jusqu’à un certain point, être atténué par des contrôles préventifs.
  • 1- Ex : panne très brève du système d’exploitation avec récupération complète de l’information, ou une panne d’électricité avec un système d’alimentation sans interruption. 2- Ex : Perte d’un disque dur d’un poste de bureau avec récupération complète des informations de l’utilisateur après changement du disque. 4- La gravité des impacts est fonction de l’industrie et des circonstances, mais est généralement directement proportionnelle au laps de temps écoulé entre la survenue de l’incident et sa résolution. La classification peut changer dynamiquement jusqu’à ce que l’incident soit résolu. Il s’agit d’un processus dynamique, puisque l’importance d’un incident majeur peut diminuer de façon momentanée, pour ensuite augmenter et se transformer en une crise majeure. Les incidents négligeables peuvent être analysés statistiquement afin d’identifier toute cause systémique ou évitable. L’agent de sécurité, ou toute autre personne désignée, doit être averti de tous les incidents pertinents dès qu’un événement déclencheur survient. Cette personne devrait alors respecter un protocole de recours à la hiérarchie préétabli (p ex. téléphoner à un porte parole, alerter la haute direction et demander l’intervention des agences de réglementation), qui peut être suivi ou non de l’invocation d’un plan de reprise. En général, le critère principal permettant de juger du niveau de sévérité d’un incident est le temps estimé d’arrêt des opérations. D’autres critères peuvent comprendre l’ampleur de l’impact sur les données ou les plateformes.
  • L’analyse d’impact sur les affaires est une étape critique du développement de la stratégie de continuité des opérations et de l’implantation ultérieures des mesures pour contrer le risque, en particulier du PCO. Elle sert à évaluer les processus critiques (et les composants TI qui les soutiennent) et à déterminer les délais, priorités, ressources et interdépendances. Il existe plusieurs approches pour effectuer une analyse de l’impact des risques à savoir, l’utilisation d’un questionnaire (la plus populaire), les entrevues des utilisateurs clés du secteur ou encore les réunions avec le personnel des TI et les utilisateurs finaux. 4- Exemples de processus d’entreprise potentiellement critiques : Réception des paiements, production, paiement des employés, publicité, distribution des biens finis, respect des règlementations et des lois
  • Le classement du risque des systèmes est une méthode qui permet d’évaluer le risque en se fondant sur son impact durant la période critique de reprise des opérations ainsi que sur la probabilité qu’une interruption dommageable se reproduise. Par exemple, si le risque qu’au cours des cinq prochaines années, que l’organisation subisse une interruption importante est de 0,1% (soit 1 pour 1000), et que l’impact financier de cette interruption est évalué à 10 millions de dollars US, alors le coût raisonnable maximal de la préparation pourrait être de 10 millions de dollars US x 0,1% = 10 000 dollars US sur cinq ans. (Estimation des Pertes Annuelles) A partir de ce processus d’analyse basé sur le risque, le classement par ordre de priorité des systèmes essentiels peut se faire en élaborant des stratégies de reprise des opérations.
  • Le premier coût lié à l’arrêt des opérations lors du sinistre, est un élément à court terme (heures, jours, semaines) qui croît rapidement avec le temps puisque l’impact d’une perturbation augmente avec le temps. A un certain moment, il cesse de croître, ce qui reflète le moment ou le point où l’entreprise ne peut plus fonctionner. Le coût de l’arrêt des opérations (qui augmente avec le temps) comporte plusieurs éléments (en fonction de l’industrie, de l’entreprise et des circonstances), dont : les coûts des ressources fonctionnant au ralenti (p. ex. en production), la baisse des ventes (p. ex. les commandes), les coûts financiers (p.ex. pas de facturation ou de collecte), les délais (p.ex. l’approvisionnement) et les coûts indirects (p.ex. la perte des parts de marché, de l’image et de la clientèle). L’autre facteur est le coût des mesures correctives de secours (l’activation du PCO), qui diminue en fonction de l’objectif de période de reprise. Les coûts de reprise possèdent aussi plusieurs éléments (la plupart d’entre eux sont rigides et non flexibles). Ceci comprend les couts de préparation et de mise à l’essai périodique du PCO, les coûts liés aux installations de secours hors site, les coûts des assurances, les coût annuels associés aux sites de secours, etc. Des stratégies de reprises peuvent être représentées par des points dont les coordonnées sont le temps et les coûts. Les deux paramètres qui aident à déterminer les stratégies de reprise sont les RPO et les RTO seront examinés en détail au chapitre 4 « Exploitation, Entretien et Soutien des Systèmes d’Information.
  • Il faut élaborer un PCO et un PRS détaillés, ou les réviser, en se servant des données d’analyse de l’impact des risques de l’entreprise, des données d’analyse de la criticité et de la stratégie de reprise choisie par la direction. Ils doivent traiter tous les problèmes inclus dans la portée de la continuité des opérations liés à l’interruption des processus d’entreprise, y compris la reprise des opérations après sinistre. Les facteurs à considérer lors du développement ou de la révision du plan sont les suivants : 4- Toutes les interruptions ne sont pas des sinistres, mais un problème mineur qui n’est pas résolu rapidement et adéquatement peut devenir un sinistre. Par exemple, une attaque par un virus qui ne serait pas reconnue et maîtrisée rapidement pourrait causer une interruption des activités dans l’installation des TI. 9- La liste du personnel, et ses coordonnées, requis pour exécuter les fonctions essentielles à court, à moyen et à long termes; La configuration des installations (bureaux, chaises, téléphones, etc) nécessaires pour exécuter les fonctions essentielles à court, à moyen et à long termes. Les ressources nécessaires pour reprendre ou continuer les activités (pas nécessairement des ressources de TI ni même de technologies), comme le papier à correspondre officiellement de l’entreprise. Le plan doit être documenté et écrit dans un langage simple et facile à comprendre. Des copies du plan doivent être conservées à l’extérieur de l’installation.
  • En fonction de la taille ou des exigences d’une organisation, un PCO global peut comprendre plus d’un plan: 1- Etablit les procédures nécessaires à la poursuite des opérations essentielles de l’entreprise tout en récupérant d’une interruption significative. 2- Etablit les procédures et les capacités nécessaires pour soutenir les fonctions stratégiques et essentielles d’une organisation avec une installation de remplacement pour une période allant jusqu’à 30 jours 3- Etablit les procédures de reprise des opérations immédiatement après un sinistre 4- Etablit les procédures et les capacités nécessaires pour rétablir une application essentielle ou un système de soutien général 5- Etablit les procédures de diffusion des rapports sur l’état des choses au personnel et au public. 6-Etablit les stratégies pour détecter les cyber attaques, y répondre et en limiter les dégâts. 7- 8-Etablit les procédures coordonnées pour minimiser les pertes de vie ou les blessures et pour éviter les dommages à la propriété en réponse à une menace physique.
  • Pour la phase de planification, de mise en œuvre et d’évaluation du PCO, il faut que les éléments suivants soient approuvés :
  • 1- Il s’agit habituellement du répertoire téléphonique des personnes qui doivent être averties en cas d’incidents, de sinistre ou de catastrophe. Ce répertoire doit contenir les renseignements suivants : Une liste des personnes-ressources prioritaires (i e qui doivent être contactées en premier) Les coordonnées principales et d’urgence de chaque personnes ressource clé. Il s’agira habituellement des chefs d’équipe qui seront responsables de communiquer avec les membres de leur équipe. Les coordonnées des représentants des fournisseurs d’équipement et de logiciels. Les numéros de téléphone des personnes-ressources de l’entreprise ayant été désignées pour assurer l’approvisionnement en fournitures, en équipement ou en services. Les numéros de téléphone des personnes-ressources aux installations de reprise, y compris les représentants du centre de secours immédiat et les services prédéfinis de réacheminement des réseaux de communication. Les numéros de téléphone des personnes-ressources aux installations extérieures de stockage des supports informatiques ainsi que les coordonnées des personnes-ressources de l’entreprise ayant l’autorisation de récupérer les supports à l’installation extérieure. Les numéros de téléphone des agents de compagnies d’assurance; Les numéros de téléphone des personnes-ressources aux services du personnel contractuel; Les coordonnées des bureaux d’avocats et d’agences gouvernementales, si nécessaire; Une procédure pour déterminer combien de personnes ont été jointes à l’aide de la chaîne téléphonique. 2- Ceci inclut les procédures détaillées, à jour et sur papier pouvant être suivies facilement par les employés et le personnel sous contrat qui ne connaissent pas bien les opérations normales et les opérations de reprise. 3- La police d’assurance relative au traitement des SI est habituellement de type multirisque et est conçue pour offrir divers types de couverture. Elle doit être conçue en plusieurs modules pour être adaptée à l’environnement spécifique des SI de l’assuré. Les garanties spécifiques disponibles sont les suivantes : Equipement et installation des SI : Couvre les dommages physiques aux CTI ainsi qu’aux équipements dont l’organisation est propriétaire. Reconstruction des médias (logiciels) : Couvre les dommages aux médias des SI qui sont la propriété de l’assuré et pour lesquels l’assuré est responsable. Assurance des frais supplémentaires : Couvre les coûts supplémentaires des opérations courantes à la suite du bris ou de la destruction au CTI. Interruption des opérations : Couvre la perte de profits causée par la perturbation des activités de l’entreprise en raison du mauvais fonctionnement des SI de l’organisation. Documentation et enregistrements précieux : Couvre la valeur réelle des documents et enregistrements (non considérés comme des médias) situés aux installations de l’assuré advenant le cas de perte physique directe ou de bris. Fautes d’action et omissions : Accorde un protection juridique au professionnel qui commet un acte, une faute d’action ou une omission qui résulte en une perte financière pour le client. Assurance détournement et vol : Garantie globale des banquiers, d’une assurance détournement excédentaires et d’une assurance détournements-garantie collective restreinte et couvre les pertes liées à des actes malhonnêtes ou frauduleux de la part des employés. Transport des médias informatiques : Couvre les pertes ou les dommages potentiels aux médias informatiques en transit vers les CTI hors lieu. La plupart des assurances ne couvrent que les pertes financières fondées sur le niveau de performance antérieur et non sur le niveau de performance actuel. De plus, les assurances n’offrent pas de compensation pour la perte de l’image ou du fonds de commerce.
  • La plupart des tests de planification de la continuité des opérations, s’ils sont effectués, ne constituent pas des mises à l’assai à grande échelle de toutes les opérations de l’entreprise. Ceci ne devrait toutefois pas empêcher les mises à l’essai complètes ou partielles, car l’un des objectifs du test de PCO est de déterminer le niveau de fonctionnement du plan ou les parties qui doivent être améliorées. La mise à l’essai doit être effectuées à un moment qui ne nuira pas aux opérations normales. La fin de la semaine constituent habituellement le meilleur moment pour effectuer ces tests. La mise à l’essai doit permettre d’évaluer tous les éléments essentiels du plan et simuler les conditions réelles de traitement, même si elle se déroule hors des heures normales d’opération. La mise à l’essai doit viser la réalisation des tâches suivantes :
  • Pour effectuer la mise à l’essai, chacune des phases suivantes doit être exécutée : 1- Ces actions vont de la mise en place de tables dans la zone de reprise des opérations appropriée au transport et à l’installation de l’équipement téléphonique de secours. Cette phase ne fait pas partie des activités qui seraient effectuées normalement lors d’une situation d’urgence, puisque dans ce cas, il n’y a pas d’avertissement : par conséquent : pas de temps pour effectuer des actions préparatoires. 2- Les activités opérationnelles courantes sont exécutées pour évaluer les objectifs spécifiques du plan. Les actions suivantes doivent être effectuées : la saisie des données, les appels téléphoniques, le traitement des systèmes d’information, la prise de commandes et le déplacement du personnel, de l’équipement et des fournisseurs. 3-Cette phase regroupe les phases telles que le retour de toutes les ressources à leurs emplacements appropriés, le débranchement de l’équipement, le retour du personnel à ses activités régulières et la suppression de toutes les données de l’entreprise des systèmes tiers. Le post-test comprend également l’évaluation formelle du plan et la mise en œuvre des améliorations indiquées.
  • 1 –L’évaluation sur papier précède habituellement le test de préparation. 2 -Ce test permet de tester régulièrement différents aspect du plan et peut constituer une façon économique d’obtenir progressivement les preuves de l’efficacité du plan. 3- L’organisation doit avoir correctement testé le plan sur papier et dans sa version localisée avant d’interrompre complètement les opérations.
  • 1- Lors de la révision du plan, l’auditeur des SI doit s’assurer que les éléments de base ont été développés dans le plan. Les procédures liés à ces éléments de base sont les suivantes : Examiner les documents (PCO, ARO, RTO, RPO, …), Révision des applications couvertes par le plan, Révision des équipes de continuité des opérations, Mise à l’essai du plan. 2- Le coordonnateur du PCO doit tenir à jour une documentation historique des résultats des tests de continuité des opérations. L’auditeur doit examiner ces résultats et déterminer si des mesures correctives ont été apportées au plan. 3- L’installation d’entreposage hors lieu doit être vérifiée pour assurer la présence, la synchronisation et la fiabilité des médias et de la documentation essentiels à la reprise des opérations. 4- L’auditeur des SI doit s’entretenir avec le personnel qui est responsable de la réussite de la reprise des opérations. Ces personnes doivent comprendre les tâches que l’on attend d’elles et connaître la documentation à jour et détaillée de ces tâches. 5- La sécurité à l’installation hors lieu doit être vérifiée pour s’assurer que des mesures de contrôle pour l’accès physique et l’accès aux systèmes de ventilation/réfrigération sont établies. 6- L’auditeur des SI doit se procurer une copie du contrat avec le fournisseur de l’installation de traitement de secours. Les références du fournisseur doivent être validées et toutes les promesses du fournisseurs doivent être consignées par écrit. 7- Il est essentiel que la couverture d’assurance reflète les coûts réels de reprise des opérations. En considérant la prime d’assurance (coût), la couverture pour les dommages aux médias informatiques, l’interruption des opérations, le remplacement de l’équipement et le processus de continuité des opérations doit être revue pour s’assurer qu’elle est suffisante.
  • C Un tableau de bord fournit un ensemble de renseignement qui illustrent la conformité des processus, applications et éléments configurables et maintient l’entreprise sur la bonne voie. Un dépôt central de documents fournit beaucoup de données, mais pas nécessairement l’information spécifique nécessaire pour assurer la surveillance et la conformité. Un système de gestion des connaissances fournit de l’information précieuse, mais n’est généralement pas utilisé par la direction à des fins de conformité. L’analyse comparative fournit des renseignements qui aident la direction à adapter l’organisation, de façon opportune, en fonction des tendances et du milieu.
  • B Les plans de stratégie des SI doivent traiter des besoins de l’entreprise et permettre d’atteindre les objectifs futurs de l’entreprise. Les achats de matériel peuvent être mentionnés mais non spécifiés, et ni les objectifs de budget ni les projets de conception ne sont des choix pertinents. Les choix A,C et D ne représentent pas des éléments stratégiques.
  • C La planification à long terme du département des TI doit reconnaître les objectifs organisationnels, les avancées technologiques et les exigences réglementaires. Généralement, le département des TI possède des plans pour la planification à court et long termes qui sont conforment et intégrés aux plans de l’entreprise. Ces plans doivent être orientés dans le temps et par rapport au projet et satisfaire les plans les plus généraux de l’entreprise vers l’atteinte des objectifs.
  • A La principale responsabilité d’un administrateur de la sécurité des données est de recommander les politiques de sécurité des données et d’en assurer le suivi. Une des responsabilités d’un administrateur de la sécurité des données est de promouvoir la sensibilisation à la sécurité au sein de l’entreprise. Cependant, cette tâche n’est pas aussi importante que celle de recommander des politiques de sécurité des données et d’en assurer le suivi. La division des TI, et non pas l’administrateur de la sécurité des données, est chargé d’établir des procédures pour les politiques de sécurité des TI recommandées par l’administrateur de la sécurité des données et pour l’administration des mesures de contrôle d’accès physique et logique.
  • B L’engagement de la haute direction est la base du succès lors de l’implantation d’un programme de sécurité de l’information. Un cadre de gestion du risque d’entreprise n’est pas un facteur clé pour la réussite d’un programme de SI. Bien qu’un processus budgétaire de Si adéquat contribue au succès, c’est l’engagement de la haute direction qui fait toute la différence. La planification de programme est importante, mais ne sera pas suffisante sans l’engagement de la haute direction.
  • A L’évaluation des activités des commissions et des comités qui fournissent une vue d’ensemble représente un aspect important de la gouvernance et doit être mesurée. Les choix B,C et D ne sont pas pertinents par rapport à l’évaluation des mesures de performance de la gouvernance des TI.
  • D Il est fréquent que le développement et la maintenance d’un système soit pris en charge par la même personne. Dans ces deux cas, le programmeur doit avoir accès au code source dans l’environnement de développement, mais ne doit pas avoir accès à l’environnement de production. Le choix A est incorrect parce que les rôles d’administration de la sécurité et de la gestion des changements sont incompatibles. Le niveau caractérisant les droits d’accès des administrateurs de la sécurité pourrait empêcher la détection des changements. Les activités informatiques et la conception de système (choix B) ne sont pas compatibles, puisqu’il est possible pour un opérateur de faire fonctionner un programme qu’il ou elle a modifié. Le choix C est incorrect parce que la combinaison conception de système et contrôle des changements permettrait que des modifications apportées aux programmes puissent se soustraire à l’approbation des mesures de contrôle du changement.
  • B La répartition des tâches préviendra la combinaison des tâches conflictuelles. Il s’agit d’une mesure de contrôle préventive et la mesure de contrôle la plus importante dans l’administration de la base de données. L’approbation des activités de l’ABD n’empêche pas la combinaison des tâches conflictuelles. La révision des journaux d’accès et des activités représente une mesure de contrôle de détection. Si les activités d’un ABD ne sont pas approuvées correctement, la révision des journaux d’accès et des activités pourrait ne pas réduire les risques. La révision et l’utilisation des outils de bases de données n’entraine pas une réduction des risques, puisqu’il s’agit seulement d’une mesure de contrôle de détection et qu’elle n’empêche pas la combinaison de tâches conflictuelles.
  • B L’autorisation doit âtre séparée de tous les aspects de la consignation (émission, enregistrement et correction). Une telle séparation améliore la capacité de détecter l’enregistrement de transactions non autorisées.
  • C Dans de plus petites entreprises, l’embauche de main d’œuvre supplémentaires pour assurer une répartition des tâches stricte n’est habituellement pas appropriée. L’auditeur des Si doit trouver d’autres solutions. De tous les choix offerts, C est le seul qui est pratique et qui a un impact. L’auditeur des SI doit recommander l’utilisation des processus qui permettent la détection des changements dans la source de production et le code objet, par exemple les comparaisons de codes, afin que les changements puissent être revus par une tierce partie de façon régulière. Il s’agirait d’un processus de contrôle compensatoire. Le choix A, qui nécessite l’enregistrement des changements apportés aux bibliothèques de conception, ne permettrait pas la détection des changements apportés aux bibliothèques de production. Le choix D exige qu’une tierce partie réalise les changements, ce qui ne serait pas pratique dans le cas d’une petite entrprise.
  • 2 – Alignment with enterprise objectives
  • 3. Quality Control = Test Audit and Compliance verify controls are defined and implemented properly – but this assumes product testing, not security controls. Quality Assurance is concerned with quality throughout the process.
  • 3 This is a 1-year type general goal that can be broken down into multiple smaller Operational goals.
  • 4 – The auditor is most concerned with documented processes and implementation. Where documentation is voluminous (e.g., code or transactions) randomly selected or selectively chosen samples may be evaluated.
  • 1 – Project Plans. The IT Strategy Committee is the highest level committee, and thus would be interested in high-level documentation, such as Risk, BIA, IT Balanced Scorecard, and policies. However detailed project plans are not a concern.
  • 2
  • 4 – Access Control Polices is concerned with permissions. Acceptable Use and End-User Computing are concerned with end user use of computers, including access. But Access Control Policies are detailed directions on how permissions are granted.
  • 1 Primary author – with help from business mgmt. Security strategy is approved by Executive Mgmt.
  • Security Administrator – like a system administrator runs security software & hardware
  • “ Instituting the security organization” … can’t be the CSO or CISO who is part of the security organization (since you can’t institute yourself). So Executive Management is the correct answer: 2. Board of Directors approves security objectives, but does not define them. CSO = Security guard management
  • Controls are designed from Policy
  • 2 Business Process owners. They know the most what needs protecting. They provide the requirements for security.
  • Gouvernance et Gestion des TI

    1. 1. CISALa Gouvernance et la Gestion des TI
    2. 2. ObjectifsA la fin de cette leçon ,vous serez capable de : Décrire les comités de gouvernance des TI: Comité stratégique des TI, Comité directeur des TI, Comité de sécurité des TI. Décrire les missions, le plan stratégique, le plan tactique, le plan opérationnel. Définir les termes de qualité: Assurance qualité, le contrôle qualité Décrire les membres des structures des sécurité : CISO, CIO, CSO, Conseil d’administration, Encadrement supérieur, Architecte de la sécurité, Administrateur de la sécurité. Définir politique, conformité, Tableau de bord de performance des TI, ISO 9001, architecture d’entreprise. Définir les pratiques d’impartition : sur site, hors site, à l’étranger, hybride, en interne, impartie. Définir les documents de politiques : classification des données, politique d’utilisation acceptable, politique de contrôle d’accès.
    3. 3. Gouvernance d’entreprise Système selon lequel les organisations sont dirigées et contrôlées. Ensemble de responsabilités et de pratique qu’utilise la direction d’une organisation pour fournir une orientation stratégique, de façon à s’assurer que les objectifs peuvent être atteints, que les risques sont gérés convenablement et que les ressources organisationnelles sont utilisées correctement. Structure par laquelle sont fixés les objectifs, les moyens d’atteindre ces objectifs et les moyens de surveillance de la performance d’une organisation.
    4. 4. Gouvernance des TI Processus visant à favoriser la prise de décisions efficace en ce qui a trait aux investissements et aux activités de TI arrimer les investissements des TI aux activités de l’organisation pour permettre l’atteinte des objectifs stratégiques et le respect des priorités atténuer les risques – au sein des TI et alentour Assure l’alignement des stratégies TI à la stratégie d’entreprise. Se concentre sur la valeur ajoutée des TI pour l’organisation et la gestion des risques. Relève du Conseil d’Administration et des Dirigeants
    5. 5. Principaux enjeux de la gouvernance des TI Amener les unités à être parties prenantes des décisions relatives aux TI Financement des coûts d’exploitation généré par l’investissement en capital Amener la direction à considérer l’investissement dans les TI comme une mesure stratégique Mise à jour continue de l’équipement Difficultés liées au marché et à la réglementation Gestion du portefeuille de projets
    6. 6. Processus généraux de Gouvernance des TI La gestion des ressources TI : Tenir un inventaire à jour de toutes les ressources des TI et qui gère le processus de gestion des risques. La mesure des performances : s’assurer que les ressources fonctionnent comme prévu pour livrer de la valeur à l’organisation. La gestion de la conformité : Exigences de conformité aux lois et règlements.
    7. 7. Rôle de la vérification dans la gouvernance Faire des recommandations importantes à la haute direction afin qu’elle puisse améliorer la qualité et l’efficacité des initiatives mises en place par la gouvernance des TI. Garantir la conformité des initiatives de gouvernances. Evaluer les aspects suivants :  Alignement des fonctions SI sur la mission, la vision, les valeurs, les objectifs et les stratégies de l’organisation.  Les exigences légales, environnementales, qualitatives, fiduciaires, sécuritaires et confidentielles de l’information.  L’environnement de contrôle de l’organisation.  Les risques inhérents au sein de l’environnement des SI.  L’investissement et les dépenses en TI
    8. 8. Comités de gouvernance des TI Comité Stratégique des TI  Conseil le CA sur l’alignement des TI sur l’orientation de l’organisation, l’optimisation des coûts et risques TI.  Se concentre sur les questions actuelles et futures des stratégie des TI.  (Membre du CA et spécialistes non membres). Comité Directeur des TI  Gère les projets TI courants et décide des dépenses TI.  Supervise la gestion quotidienne de la prestation des services de TI.  Se concentre sur la mise en œuvre.  (Cadre, Utilisateurs clés, CIO, Conseil clés
    9. 9. Tableau de Bord de Performance des TI Technique pour évaluer la gestion des processus qui peut être appliqué au processus de gouvernance des TI lors de l’évaluation des fonctions et des processus. Mission = Direction. Ex.: fournir des applications et des services TI efficaces, efficients et économiques; Stratégies = Objectifs. Ex.: Qualité et disponibilité, Maturité des processus; Mesures = Statistiques. Ex.: Satisfaction client, Efficacité opérationnelle.
    10. 10. Tableau de Bord de Performance des TIObjectifs financiers Processus internesPerception du CA ? Processus métiers à soutenirMission : Mission :Stratégie : Stratégie :Mesures : Mesures :Satisfaction du client Aptitude à innoverPerception des utilisateurs Amélioration interneMission : Mission :Stratégie : Stratégie :Mesures : Mesures :
    11. 11. Gouvernance de la sécurité de l’information La mesure de la performance : Mesurer, surveiller et communiquer les processus de sécurité de l’information pour garantir le respect des objectifs SMART. La gestion des ressources : Utiliser avec efficacité et efficience les connaissances et l’infrastructure en sécurité de l’information. L’intégration des processus : Mettre l’accent sur l’intégration des processus d’assurance de gestion relatifs à la sécurité.
    12. 12. Rôles et responsabilités de la haute direction et du CA Le CA et les dirigeants : Approbation des politiques, surveillance, définition des paramètres appropriés, production de rapports et analyse des tendances. La haute direction : Assure l’intégration du programme de sécurité auprès des responsables des procédés administratifs et la coopération de ces derniers. Le comité directeur : Formé de responsables des groupes concernés par la sécurité de l’information, il aide à réaliser un consensus sur les priorités et les compromis et sert de canal de communication efficace et fournit une base continue pour garantir l’alignement du programme de sécurité sur les objectifs opérationnels.
    13. 13. Rôles et responsabilités de la haute direction et du CA L’officier principal de la sécurité de l’information : Défini les politiques de sécurité et assure l’alignement efficace des objectifs opérationnels et des activités de sécurité.
    14. 14. Architecture d’entreprise  Documentation des actifs TI d’une façon structurée afin de faciliter la compréhension, la gestion et la planification des investissements des TI.  Cadre d’architecture d’entreprise de Zachman Données Fonctionnelles Réseau Personnes Processus Stratégie (Application) (Technologie) (Organisation) (Déroulement des opérations)DomaineModèled’entrepriseModèle desystèmesModèle detechnologieReprésentationdétaillée
    15. 15. Planification stratégique Stratégique : Long terme, 3 – 5 ans, Tient compte des objectifs de l’entreprise, de la réglementation et des avancées technologiques. Tactique : 1 an, traduction en objectif du plan stratégique. Stratégique Opérationnel : Plan détaillé. Tactique Opérationnel
    16. 16. Politiques et Procédures Les P&P reflètent l’orientation et les conseils apportés par la direction relativement au développement des contrôles pour les systèmes d’information, les ressources connexes et les processus du service des SI. Les politiques constituent des documents de haut niveau et représentent la philosophie de l’organisation. La direction doit créer un environnement de contrôle positif en assumant la responsabilité de formuler, développer, documenter, diffuser et contrôler les politiques ayant trait aux directives et aux objectifs globaux. La direction doit réviser les politiques périodiquement (Nouvelles régulations, organisations, technologies, …). L’auditeur IS s’intéresse d’avantage à la PSI
    17. 17. Politique de sécurité de l’information Communique une norme de sécurité cohérente aux utilisateurs, à la direction et au personnel technique après approbation et publication. Première étape dans la mise en place d’une infrastructure de sécurité. Doit stipuler :  Définition de la sécurité de l’information, ses objectifs généraux et sa portée.  Les intentions de la direction appuyant les objectifs de sécurité.  Le cadre définissant les objectifs de contrôle et les contrôles.  Une brève explication des politiques, principes et normes de sécurités, les exigences de conformité.  Une définition des responsabilités générales et spécifiques.  Les références à la documentation appuyant les politique.
    18. 18. Politique de sécurité de l’information En général, l’organisation peut documenter les PSI comme une série de politique :  Politique de sécurité de l’information de haut niveau  Politique de classification des données  Politique d’utilisation acceptable  Politique d’utilisateur final  Politique de contrôle d’accès
    19. 19. Révision de la PSI Les éléments de la révision de gestion:  Les résultats des révisions indépendantes  L’état des mesures préventives, de détection et correctrices  Les résultats des révisions antérieures  Les performance du processus et la conformité à la PSI  Les changements de nature à affecter l’approche de l’organisation relativement à la gestion de la sécurité  Les tendances liées aux menaces et aux vulnérabilités  Les signalement des incidents de sécurité  Les recommandations des autorités concernées, …. Les résultats de la révision:  L’amélioration de l’harmonisation de la sécurité de l’information avec les objectifs métiers  L’amélioration de l’approche de l’organisation face à la gestion de la sécurité de l’information et de ses processus  L’amélioration des objectifs de contrôle et des contrôles  L’amélioration de l’attribution des ressources et des responsabilités, ….
    20. 20. Procédures Ensemble d’étapes détaillées, définies et documentées permettant l’implantation des politiques. Mets en œuvre l’idée de l’énoncé de politique. Plus dynamiques que les politiques apparentées, elles reflètent les changements courants intervenus dans les priorités de l’entreprise et son environnement. L’auditeur IS révise les procédures pour identifier, évaluer et tester les contrôles en lien avec les processus d’entreprise. L’auditeur doit s’intéresser particulièrement aux méthodes de déploiement et à l’automatisation des mécanismes pour entreposer, distribuer et gérer les procédures des TI.
    21. 21. Gestion du risque Processus d’identification des vulnérabilités et des menaces touchant les ressources informationnelles utilisées par une organisation pour atteindre les objectifs de l’entreprise. Commence par la compréhension adéquate de la propension de l’organisation à prendre des risques. Comprend l’identification, l’analyse, l’évaluation, le traitement, le suivi et la communication des impacts des risques dans les processus en TI.
    22. 22. Stratégie de gestion du risque En fonction du type de risque et de son importance pour l’entreprise, les gestionnaires et le CA peuvent choisir : Une stratégie d’évitement Une stratégie d’atténuation Une stratégie de transfert (détourner ou attribuer) Une stratégie d’acceptation
    23. 23. Processus de gestion du risque 1- Etablir une taxonomie (Identification et classification) des actifs informationnels. Suivant la valeur de l’actif, ou de l’importance et de la sensibilité. 2- Evaluer les menaces et les vulnérabilités associées aux actifs et les risques de survenance. 3- Analyser les impacts. 4- Evaluer le risque global. 5- Evaluer les contre-mesures actuelles et futures.
    24. 24. Niveaux de gestion de risques Opérations : risques qui pourraient compromettre l’efficacité des systèmes TI et de l’infrastructure de soutien, la capacité de contourner les contre-mesures, la possibilité de perte ou un caractère non fonctionnel des ressources clés et l’échec de conformité aux lois et règlements. Projet : capacité à comprendre et à gérer la complexité du projet. Stratégie : La manière dont les capacités des TI s’alignent sur la stratégie de l’entreprise, la manière dont elles se comparent à celles des compétiteurs et les menaces provoquées par les changements technologiques.
    25. 25. Méthodes d’analyse du risque Méthodes d’analyse qualitative : utilise un classement en mots ou un classement descriptif pour décrire les impacts ou la probabilité. Méthodes d’analyse semiquantitative : Les classements descriptifs sont associés à une échelle numérique Méthodes d’analyse quantitative : utilise les valeurs numériques pour décrire la probabilité de risques et leurs impacts à l’aide de données provenant de plusieurs types de sources(documents historiques, expériences passées, pratiques, documents de l’industries, théories statistiques, tests et expériences)
    26. 26. Pratique de gestion des SI :Gestion des ressources humaines Politique d’embauche et de cessation d’emploi Guide du nouvel embauché (politiques et procédures) Politiques de promotion Politique de formation et de développement personnel Répartition et déclaration du temps de travail Vacances et congés Evaluation du rendement de l’employé
    27. 27. Pratique de gestion des SI : L’impartition L’impartition ou externalisation fait référence à la façon par laquelle l’entreprise obtiendra les fonctions des SI requises afin de soutenir ses activités. Les entreprises peuvent exécuter toutes les fonctions en internes des SI d’une manière centralisée, ou impartir l’ensemble ou une partie des fonctions partout dans le monde. La stratégie d’impartition doit être propre à chaque fonction qui peut être exécutée sur site, hors site ou à l’étranger.
    28. 28. Pratique de gestion des SI : La mondialisation La mondialisation des fonctions des SI exige que la direction supervise activement les lieux éloignés. L’auditeur SI doit s’assurer que la direction des SI prenne en considération les risques liés et la complétion de la transition à des lieux éloignés :  Les problèmes légaux, réglementaires et fiscaux.  La continuité des opérations  Le personnel  Les problèmes de télécommunication  Les problèmes internationaux et interculturels (globalisation)
    29. 29. Pratique de gestion des SI : L’informatique en nuage Informatique en nuage (Cloud Computing) : Modèle permettant un accès réseau, pratique et sur demande, à un ensemble partagé de ressources informatiques configurables (ex. réseaux, serveurs, stockage, applications et services) qui peuvent être rapidement dimensionnées et diffusées en limitant au minimum les démarches de la part de la direction ou les interaction avec le fournisseur de services. NIST & Cloud Security Alliance. Trois modèles de services : IaaS; PaaS et SaaS Quatre modèle de déploiement : Privé, Communautaire, Public et Hybride
    30. 30. Pratique de gestion des SI : L’informatique en nuage Les caractéristiques essentielles :  Libre service à la demande  Accès étendu au réseau  Mise en commun des ressources  Rapidité et élasticité  Service mesuré
    31. 31. Pratique de gestion des SI : La gouvernance dans l’impartition La gouvernance dans l’impartition étend la responsabilité des deux parties aux points suivants :  L’assurance pour les deux partie de la viabilité contractuelle grâce à la révision et l’amélioration aux gains  L’inclusion d’un calendrier de gouvernance clairement défini dans le contrat  La gestion de la relation pour s’assurer que les obligations contractuelles sont respectées grâce aux accords sur les niveaux de service et aux accords sur les niveaux opérationnels.  L’identification et la gestion de tous les partenaires, de leur relation et de leurs attentes  La définition claire des rôles et des responsabilités pour : la prise de décision, la signalisation progressive, la gestion de conflit, la gestion de la demande et la fourniture de service.  L’attribution des ressources, des dépenses et la consommation des services pour répondre aux besoins priorisés.  L’évaluation continue de la performance, du coût, de la satisfaction de l’utilisateur et de l’efficacité  La communication en cours parmi tous les partenaires
    32. 32. Pratique de gestion des SI : Gestion des changements Processus défini et documenté pour identifier et apporter des améliorations technologiques au niveau de l’infrastructure et de l’application qui profite à l’entreprise et qui font participer tous les niveaux de l’entreprise touchés par les changements. Le service SI est au centre des changements technologiques Les changements doivent être soutenus par les dirigeants Le processus de communication informe les utilisateurs des changements, de leurs conséquences et avantages, et fournit la façon d’obtenir les commentaires et la participation des utilisateurs. Processus de validation des exigences d’affaires, de la formation et des tests sur les fonctionnalités nouvelles ou modifiées.
    33. 33. Pratique de gestion des SI : Gestion de la qualité Moyen par lequel les procédés établis par la division des SI sont contrôlés, mesurés et améliorés. Le développement et l’entretien de procédés définis et documentés par la division des SI sont la preuve d’une gouvernance efficace des ressources d’information. Les volets de contrôle de la qualité peuvent inclure : la conception, l’entretien et l’implantation des logiciels; l’acquisition de matériel et de logiciels; les opérations quotidiennes; la gestion du service; la sécurité; la gestion des RH; l’administration générale. S’informer sur les normes ISO 9001 www.iso.org
    34. 34. Pratique de gestion des SI : Optimisation de la performance C’est un processus mené par des indicateurs de performance définis en fonction de la complexité des procédés et des activités d’une organisation, de sa solution stratégique des TI et des objectifs essentiels et stratégiques concernant l’implantation des TI. Les grandes phases de la mesure de performance sont :  La mise en place et la mise à jour des mesures de la performance.  L’instauration du principe d’imputabilité pour les mesures de la performance.  Le recueil et l’analyse des données sur la performance.  Les rapports et l’utilisation de l’information sur la performance.
    35. 35. Structure organisationnelle Elle montre la division des SI, normalement dirigée par un gestionnaire / directeur des TI ou, au sein de grandes organisations, par un dirigeant principal de l’information. L’auditeur des SI doit passer du temps dans le secteur de l’entité qui se fait vérifier pour observer et déterminer si la description de l’emploi et les structures sont adéquates. L’auditeur des SI doit évaluer la relation entre diverses fonctions, les responsabilités et les autorités lors de l’évaluation adéquate de la séparation des tâches.
    36. 36. Séparation des tâches au sein des SI La séparation des tâches évite le risque qu’une seule personne soit responsable de diverses tâches essentielles, ce qui pourrait provoquer des erreurs ou des détournements qui ne seraient pas détectés rapidement dans le cours normal des procédés d’affaires. Les tâches à séparées sont :  La garde des actifs  L’autorisation des transactions  L’accès aux données
    37. 37. Mécanismes de contrôle de la séparation des tâches Formulaire d’autorisation : Les gestionnaires des divisions d’utilisateur doivent fournir aux SI les formulaires officiels d’autorisation qui définissent les droits d’accès de leurs employés. Liste des droits d’accès de l’utilisateur : La division des SI doit utiliser les données provenant des formulaires d’autorisation pour créer et maintenir des listes des droits d’accès de l’utilisateur. Celles-ci définiront qui est autorisé à mettre à jour, à modifier, à supprimer ou à visionner les données Contrôles compensatoires : Contrôles correctifs mises en place pour atténuer le risque qui résulte d’un manque de séparation des tâches (Pistes d’audit, réconciliation, rapport d’anomalies, journaux de transaction, révisions de contrôles, révisions indépendantes).
    38. 38. Imaginez une entreprise Une Banque avec 1 Million de comptes clients, les numéros de sécurité sociales, les numéros de cartes de crédit, les informations de prêts. Une compagnie aérienne desservant quotidiennement 250 vols pour près de 50.000 personnes… Un SI de pharmacie enregistrant près de 5 million de prescriptions par années, certains de ces prescriptions étant vitales pour les malades… Une industries de 200 employés produisant 200,000 produits par jour avec l’aide des robots…
    39. 39. Planification de la continuité des opérations (PCO) L’objectif de la continuité des opérations et de la reprise après sinistre est de permettre à une entreprise de continuer à offrir ses services essentiels advenant une perturbation et de survivre à une interruption désastreuse des activités. La première étape d’un PCO est d’identifier les processus de l’entreprise ayant une importance stratégique. La haute direction est la première responsable du PCO, puisque ces dirigeants ont la mission de sauvegarder les actifs et la viabilité de l’organisation. Plan de continuité des activités, plan de reprise de services, plan de restauration.
    40. 40. Planification de la continuité des opérations des SI (PCO) Le traitement des SI revêt une importance stratégique. Il s’agit d’un élément critique puisque la plupart des processus clés d’entreprise dépendent de la disponibilité des composants et données clés de l’infrastructure du système. Le plan de continuité des opérations des Si doit s’aligner sur la stratégie de l’entreprise. Le PCO du SI doit être cohérent avec le PCO d’entreprise et doit s’appuyer sur ce dernier. Toutefois, des mesures doivent être mises en place pour réduire ou éliminer l’éventualité d’une interruption. C’est la mesure de contrôle la plus critique et dépend de l’efficacité des autres contrôles(particulièrement de la gestion des incidents et des solutions de sauvegarde et de reprise)
    41. 41. Imaginez un sinistre Défaillance d’un serveur Défaillance d’un disque Bris de confidentialité Attaque de Déni de Services Panne d’alimentation électrique Neige Spyware Virus ou Vers Tornade, Séisme Erreur d’utilisateurs Quel impact sur les processus d’entreprise ?
    42. 42. Sinistres et autres évènements perturbateurs Les sinistres constituent des perturbations causant l’arrêt du fonctionnement des ressources informationnelles critiques pendant un laps de temps, ce qui a un impact négatif sur les opérations d’entreprise. La perturbation pourrait durer quelques minutes ou quelques mois en fonction des dommages causés aux ressources informationnelles. A la suite d’un sinistre, des efforts sont nécessaires pour revenir au statut opérationnel.
    43. 43. Gestion des atteintes à l’image Des rumeurs néfastes, provenant des sources diverses (même à l’interne), peuvent être associées ou non à un incident important ou une crise majeure et avoir des conséquences dévastatrices pour l’entreprise. L’une des pires conséquences d’une crise est la perte de la confiance. Des activités de relations publiques au sein d’une organisation peuvent jouer un rôle important pour limiter les atteintes à l’image et s’assurer que la crise n’empire pas.
    44. 44. Processus de planification de la continuité des opérations 1- Planification du projet (Politique de CA, portée du projet) 2- Evaluation des risques et analyse 3- Analyse de l’impact des risques de l’entreprise 4- Développement d’une stratégie de CA 5- Développement du plan de CA (Exécution de la stratégie, mise en œuvre des contre-mesures des risques) 6- Formation de conscientisation (Sensibilisation) 7- Test du plan 8- Surveillance du plan de CA, maintenance et mise à jour
    45. 45. Politique de continuité des opérations Un document approuvé par la haute direction qui définit l’étendue et la portée des efforts de continuité des opérations au sein de l’entreprise. Sa portion interne est un message à l’intention des parties prenantes à l’interne ( employés, gestionnaires, directeurs) déclarant que l’entreprise met en œuvre des efforts et investit ses ressources, et s’attend à ce que le reste de l’organisation en fasse autant. Sa portion publique est un message à l’intention des parties prenantes à l’externe (actionnaires, régulateurs, autorités? Etc) déclarant que l’entreprise prend ses obligations (fourniture de service, conformité) au sérieux.
    46. 46. Gestion des incidents Un incident constitue un événement imprévu, même s’il ne provoque aucun dommage significatif. De nature dynamique, ils évoluent, changent avec le temps et selon les circonstances. En raison de cela, leur gestion doit être dynamique, proactive et bien documentée. Tous les types d’incidents doivent être classés en fonction de l’estimation de leur niveau de nuisance à l’organisation. La classification de l’incident peut cependant changer dynamiquement jusqu’à ce que l’incident soit résolu.
    47. 47. Classification des incidents Négligeables : ne causent aucun dommage perceptible ou significatif. Mineurs : bien que non négligeables, n’ont pas d’impacts matériels (d’importance relatives) ou financiers négatifs. Majeurs : causent des impacts matériels négatifs sir les processus de l’entreprise et peuvent affecter d’autres systèmes, services ou même des clients externes. Crise : incidents majeurs pouvant avoir d’importants impacts matériels (d’importance relative) sur le fonctionnement continu de l’entreprise et des impacts négatifs sur d’autres systèmes ou tiers.
    48. 48. Analyse de l’impact des risques de l’entreprise (BIA) Quelles sont les processus stratégiques de l’entreprise ? A quelles sinistre l’entreprise l’entreprise est – elle exposée ? Quels peuvent être les conséquences de ces sinistres sur le plan financier, humain, réglementaire, image, environnement, … Quelles sont les ressources d’information essentielles liées aux processus critiques de l’organisation ? Quelle est la période de reprise critique des ressources d’information pour lesquelles le traitement doit être repris avant que des pertes significatives ou inacceptables ne surviennent ?
    49. 49. Classification des opérations et analyse de criticité Essentiel : Ces fonctions ne peuvent être effectuées à moins d’être remplacées par des capacités identiques. Les applications essentielles ne peuvent être remplacées par des méthodes manuelles. La tolérance aux interruptions est très faible; par conséquent, le coût d’une interruption est très élevée. Vital : Ces fonctions peuvent être exécutées manuellement, mais seulement pour une courte période? La tolérance aux interruptions est plus élevée que pour les systèmes essentiels, et les coût d’interruption moins élevés, à la condition que les fonctions soient restaurées dans un temps donné (habituellement cinq jours ou moins). Important : Ces fonctions peuvent être exécutées manuellement, à un coût acceptable et pour une période de temps prolongée. Bien qu’elles puissent être exécutées manuellement, il s’agit habituellement d’un processus difficile qui nécessite l’ajout de personnel supplémentaire. Non important : Ces fonctions peuvent être interrompues pendant un long moment, à peu de frais ou sans frais pour l’entreprise, et nécessitent peu ou pas de mises à jours lors de la restauration.
    50. 50. Coûts d’interruption et de reprise Opérations interrompuesCoûts * Site miroir Temps d’arrêt * Salle rouge Strategies de reprise de secours Minimum * Salle blanche Temps
    51. 51. Développement du PCO La préparation avant le sinistre couvrant la gestion de la réaction aux incidents dans le but de traiter tous les incidents pertinents affectant les processus de l’entreprise; La procédure d’évacuation; La procédure de déclaration d’un sinistre; Les circonstances de déclaration d’un sinistre; La définition claire des responsabilités dans le plan; Le définition claire des personnes responsables de chaque fonction dans le plan; La détermination claire de l’information contractuelle; L’explication de chaque étape du processus de reprise des opérations; La détermination claire des diverses ressources requises pour la reprise et la poursuite des opérations de l’organisation;
    52. 52. Eléments d’un PCO Plan de continuité des opérations Plan de continuité des activités Plan de reprise des opérations Plan de continuité du soutien/plan de secours des TI Plan de communication en cas de crise Plan de réaction aux incidents informatiques Plan de transport Plan d’urgence pour les occupants Plan d’évacuation et de relocalisation d’urgence
    53. 53. Eléments d’un PCO Les politiques qui régiront le travail de continuité et de reprise; Les objectifs, exigences ou résultats pour chaque phase; Les installations de remplacement pour exécuter les tâches et le opérations; Les ressources informationnelles essentielles qu’il faut déployer; Les personnes responsables du déroulement des opérations; Les ressources disponibles pour aider au déploiement (y compris les ressources humaines); L’échéancier des activités avec la liste des priorités.
    54. 54. Eléments d’un PCO Décideurs clés : Répertoire de notification des décideurs clés et des utilisateurs finaux qui doivent initier et exécuter le travail de reprise des opérations. Réserve de fournitures requises : Réserve de toutes les fournitures nécessaires à la poursuite des activités normales de l’entreprise au cours du travail de reprise. Assurances : Informations clés sur les assurances de l’organisation.
    55. 55. Mise à l’essai du plan Vérifier l’exhaustivité et la précision du PCO; Evaluer la performance du personnel qui participe à l’exercice Evaluer la formation et déterminer la perception des employés qui ne sont pas membres d’une équipe de CO; Evaluer la coordination entrée les équipes de CO et les fournisseurs externes; Mesurer la capacité de l’installation de remplacement à effectuer le traitement prescrit; Evaluer la capacité de récupération des enregistrements essentiels; Evaluer l’état de l’équipement et des fournitures déménagés à l’installation de reprise ainsi que la quantité; Evaluer la performance globale des activités de traitement des SI et des opérations liées au fonctionnement de l’entité commerciale.
    56. 56. Exécution de la mise à l’essai Pré-test : Ensemble des actions nécessaires à la mise à l’essai du plan. Test : Mise à l’essai réelle du plan de continuité des opérations. Post-test : Le nettoyage à la suite des activités de groupe.
    57. 57. Type de test du PCO Evaluation sur papier : Survol du plan sur papier impliquant les acteurs clés de l’exécution du plan qui essaye de prévoir ce qui pourrait survenir dans le cas d’un type particulier de perturbation du service. Test de préparation : Version localisé du test complet au cours duquel les ressources actuelles simulent une panne de système. Test opérationnel complet : Etape précédent une interruption de service.
    58. 58. Audit du PCO Révision du PCO Evaluation des résultats de test précédents Evaluation de l’installation d’entreposage hors lieu Entretien avec le personnel clé Evaluation de la sécurité à l’installation hors lieu Révision du contrat pour l’installation de traitement de secours Révision de la couverture d’assurance
    59. 59. Question type examen Lequel des éléments suivants serait le MIEUX adapté pour que la direction fasse un suivi efficace du respect des processus et des applications?  A. Un dépôt central de documents  B. Un système de gestion des connaissances  C. Un tableau de bord  D. Une analyse comparative
    60. 60. Question type examen Lequel des éléments suivants ferait partie d’un plan stratégique des SI ?  A. Les spécifications pour les achats planifiés de matériel.  B. L’analyse des objectifs de l’entreprise pour le futur.  C. Les dates butoir pour les projets de développement.  D. Les cibles budgétaires annuelles pour le service des SI.
    61. 61. Question type examen Lequel des énoncés suivants décrit le MIEUX le processus de planification stratégique d’un département TI ?  A. Le département des TI aura des plans à court ou long terme, en fonction des plans et des objectifs globaux de l’organisation.  B. Le plan stratégique du département des TI doit être axé sur le temps et le projet, mais ne doit pas trop entrer dans les détails, par exemple en ce qui concerne la détermination des priorités pour répondre aux besoins de l’entreprise.  C. La planification à long terme du département des TI doit reconnaitre les objectifs organisationnels, les avancées technologiques et les exigences réglementaires.  D. La planification à court terme du département des TI n’a pas à être intégré aux plans à court terme de l’organisation, puisque les avancées technologiques stimuleront le département des TI plus rapidement que les plans organisationnels.
    62. 62. Question type examen La responsabilité la PLUS importante d’un administrateur de la sécurité des données au sein d’une entreprise est :  A. La recommandation et le contrôle des politiques de sécurité des données.  B. La sensibilisation à la sécurité au sein de l’entreprise.  C. La mise en place de politiques de sécurité pour les TI.  D. L’administration des contrôles d’accès physiques et logiques.
    63. 63. Question type examen Lequel des éléments suivants est jugé le PLUS critique pour l’implantation réussie d’un programme de sécurité de l’information (SI) ?  A. Un cadre efficace de gestion du risque d’entreprise.  B. L’engagement de la haute direction.  C. Un processus budgétaire adéquat.  D. Une planification de programme rigoureuse.
    64. 64. Question type examen Un auditeur des SI doit s’assurer que les mesures de la performance de la gouvernance des TI :  A. évaluent les activités des comités qui surveillent les TI.  B. fournissent les pilotes stratégiques des TI.  C. respectent les normes et les définitions des réglementations.  D. évaluent la division des TI.
    65. 65. Question type examen Laquelle des tâches suivantes peut être effectuée par la même personne dans un centre informatique de traitement de l’information bien contrôlé?  A. L’administration de la sécurité et la gestion des modifications.  B. Les opérations informatiques et la conception des systèmes.  C. La conception des systèmes et la gestion des modifications.  D. Le développement du système et l’entretien des systèmes.
    66. 66. Question type examen Lequel des énoncés suivants est le contrôle le PLUS important concernant l’administration d’une base de données ?  A. L’approbation des activités de l’ABD  B. La séparation des tâches.  C. La révision des journaux d’accès et des activités.  D. La révision de l’utilisation des outils de base de données.
    67. 67. Question type examen Lorsqu’une séparation complète des tâches ne peut être réalisée dans un environnement de système en direct, laquelle des fonctions suivantes doit être séparée des autres ?  A. Emission  B. Autorisation  C. Enregistrement  D. Correction
    68. 68. Question type examen Dans une petite entreprise, où la séparation des tâches n’est pas pratique, un employé effectue la fonction d’opérateur d’ordinateur et de programmeur d’application. Lequel des contrôles suivants un auditeur des SI doit-il recommander ?  A. Des journaux automatisés des changements apportés aux bibliothèques de conception.  B. L’embauche de main d’œuvre supplémentaire pour permettre la séparation des tâches.  C. Des procédures qui vérifient que seuls les changements autorisés au programme sont implantés.  D. Des contrôles d’accès pour empêcher l’opérateur d’apporter des modifications au programme.
    69. 69. Question type examenThe MOST important function of the IT department is:1. Cost effective implementation of IS functions2. Alignment with business objectives3. 24/7 Availability4. Process improvement
    70. 70. Question type examenProduct testing is most closely associated with which department:1. Audit2. Quality Assurance3. Quality Control4. Compliance
    71. 71. Question type examen“Implement virtual private network in the next year” is a goal at the level:1. Strategic2. Operational3. Tactical4. Mission
    72. 72. Question type examenWhich of the following is not a valid purpose of the IS Audit?1. Ensure IS strategic plan matches the intent of the enterprise strategic plan2. Ensure that IS has developed documented processes for software acquisition and/or development (depending on IS functions)3. Verify that contracts followed a documented process that ensures no conflicts of interest4. Investigate program code for backdoors, logic bombs, or Trojan horses
    73. 73. Question type examenDocumentation that would not be viewed by the IT Strategy Committee would be:1. IT Project Plans2. Risk Analysis & Business Impact Analysis3. IT Balanced Scorecard4. IT Policies
    74. 74. Question type examenWho can contribute the MOST to determining the priorities and risk impacts to the organization’s information resources?1. Chief Risk Officer2. Business Process Owners3. Security Manager4. Auditor
    75. 75. Question type examenA document that describes how access permission is defined and allocated is the:1. Data Classification2. Acceptable Usage Policy3. End-User Computing Policy4. Access Control Policies
    76. 76. Question type examenThe role of the Information Security Manager in relation to the security strategy is:1. Primary author with business input2. Communicator to other departments3. Reviewer4. Approves the strategy
    77. 77. Question type examenThe role most likely to test a control is the:1. Security Administrator2. Security Architect3. Quality Control Analyst4. Security Steering Committee
    78. 78. Question type examenThe Role responsible for defining security objectives and instituting a security organization is the:1. Chief Security Officer2. Executive Management3. Board of Directors4. Chief Information Security Officer
    79. 79. Question type examenWhen implementing a control, the PRIMARY guide to implementation adheres to:1. Organizational Policy2. Security frameworks such as COBIT, NIST, ISO/IEC3. Prevention, Detection, Correction4. A layered defense
    80. 80. Question type examenThe persons on the Security Steering Committee who can contribute the BEST information relating to insuring Information Security success is:1. Chief Information Security Officer2. Business process owners3. Executive Management4. Chief Information Officer
    81. 81. Remerciements Pour IBT ( Institute of Business and Technologies) BP: 15441 Douala - Cameroun Par Arsène Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g Téléphone- 99183886 Email- arsenengato@yahoo.fr Sources : Manuel de préparation CISA 2012, Divers articles téléchargés sur Internet.
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×