• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Méthodologie - adoption d'une norme en 7 étapes
 

Méthodologie - adoption d'une norme en 7 étapes

on

  • 375 views

Afin de protéger une organisation, il est essentiel de mettre en oeuvre des normes de sécurité. Ainsi, il est possible de contrôler les activités et réaliser des investigations.

Afin de protéger une organisation, il est essentiel de mettre en oeuvre des normes de sécurité. Ainsi, il est possible de contrôler les activités et réaliser des investigations.

Statistics

Views

Total Views
375
Views on SlideShare
375
Embed Views
0

Actions

Likes
0
Downloads
2
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Méthodologie - adoption d'une norme en 7 étapes Méthodologie - adoption d'une norme en 7 étapes Presentation Transcript

    • Les 7 étapes menant à l’adoption d’une norme. Version 1.1 Méthodologie Auteur: Marc-André Héroux INVESTIGATION ET CONTRÔLE DE LA SÉCURITÉ MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques SOMMAIRE EXÉCUTIF Dans le but d’atteindre ses objectifs de conformité et mettre en œuvre un système de protection et d’investigation des activités, il est nécessaire pour une organisation d’adopter une méthode afin d’adopter des normes. Ce document propose une approche permettant la réalisation d’une norme en 7 étapes. L’approche propose la livraison de versions concluant chacune des étapes. MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -2-
    • Constats et enjeux 1re PARTIE Les contrôles normatifs MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Éléments clés de réussites  IDENTIFICATION DES ACTIFS C’est seulement après avoir identifié les actifs informationnels selon leurs niveaux de risques qu’il est possible de définir une portée, les limitations, les objectifs et plus particulièrement, les normes qui préciseront les exigences de l’organisation. C’est à partir de ces exigences (de niveau tactique et enligne avec les directives stratégiques) que les opérations pourront adopter et mettre en œuvre des contrôles opérationnels de sécurité.  COLLABORATION INTERNE-EXTERNE Bien qu’une collaboration étroite entre les différents groupes de l’organisation soit essentielle, la participation des partenaires (ou des opérations) à la réalisation d’une norme est essentielle et doit figurer, à juste titre, comme un élément clé de réussite. Le partenaire (ou le groupe opérationnel) peut souvent fournir des informations essentielles dont il faut tenir compte avant la création d’une norme. MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -4-
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Processus normatif détaillé Tactique Tactique MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. Opérationnel Opérationnel -5-
    • La méthode détaillée en 7 étapes 2e PARTIE Mise en oeuvre MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Cadre normatif de sécurité 1. 2. 3. 4. 5. 6. 7. Identification (selon la priorité établie) des actifs informationnels visés par les objectifs de contrôle Rédaction d’une norme préliminaire (gabarit de base et pratiques standards) Entretien avec les fournisseurs de services (ou les opérations) pour définir l’écart entre les contrôles existants et les contrôles manquants Adaptation de la norme préliminaire afin de tenir compte des contrôles déjà en place et des contrôles exigés; rencontre de groupe (interne, sans le(s) partenaire(s)) afin de statuer sur l’enlignement tactique du comité de direction (steering comitee) Entretien avec les fournisseurs pour déterminer les efforts nécessaires pour rencontrer la norme Présentation à la direction des délais pour la création de la norme (et des efforts suggérés par les fournisseurs de services); acceptation de poursuivre ou négociation de la position de l’organisation auprès du fournisseur (ou du groupe opérationnel) concernant les efforts anticipés (ex.: négociation des coûts $$$). Suite à l’acceptation des délais et efforts, rédaction de la norme et présentation aux groupes stratégique et opérationnel pour révision; approbation de la norme par la direction; communication de la norme aux ressources concernées MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -7-
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 1- Cueillette des intrants visés par les objectifs de contrôle des exigences (Aucun livrable) Identification des directives, politiques ou objectifs de contrôle Identification des actifs à protéger et des ressources humaines concernées Identification du besoin d’affaires et des responsables de la protection des actifs visés par la norme:  Qui sont les propriétaires et les responsable de l’actif?  Qui peu faire quoi, quand, où et comment?  Quelles sont les obligations (réglementaires, exigences existantes, vérification, ententes, etc.)  Quels sont les niveaux de privilèges selon le besoin de connaître et d’utiliser l’actif?  Qui est responsable de protéger l’actif, d’appliquer la protection et d’effectuer le contrôle?  Qui doit approuver les actions? Identification des risques préliminaires associés aux actifs de la portée  Analyse de risques Identification les informations existantes et utiles à l’écriture de la norme (cadre de sécurité ainsi que les documents disponibles) Mise en relation des informations recueillies versus les objectifs de contrôle à rencontrer Recherche d’informations complémentaires MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -8-
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 2 – Premier entretien avec les partenaires Obtenir une liste préliminaire de l’inventaire visé par la porté de la directive (ou de la politique) Recueillir une première appréciation des contrôles en place pour répondre au sujet donné Obtenir liste de projets qui touche le sujet Obtenir la liste des exceptions spécifiques La participation du partenaire (ou des opérations) est essentielle et permettra d’obtenir des intrants directement à la norme en cours de développement. Bonnes pratiques de gestion  Informer le partenaire (ou les opérations) de la relation participative plutôt que directive qui est envisagée pour assurer la collaboration  Demander aux partenaires (ou aux opérations) de participer en rassemblant de l’information sur le sujet préalablement à la rencontre MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -9-
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 2- Rédaction d’une norme préliminaire (gabarit de base et pratiques standards)  Basé sur les documents existants et utiles à l’écriture de la norme (cadre de sécurité ainsi que les documents disponibles (ex.: analyses de risques), les documents recueillis lors des entrevues, les pratiques de l’industrie (ainsi que sur des sources pertinentes telles que le NIST), une norme préliminaire de travail sera produite.  Cette norme doit présenter les principaux enjeux sans couvrir les détails de bas niveaux (opérationnels). Le but est de faire ressortir les principaux actifs informationnels (entités, ressources, objets, sujets, etc.) à tenir compte dans la norme tel qu’on le fait généralement à l’aide d’un cadre de référence. MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 10 -
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 4. Adaptation de la norme de base afin de tenir compte des contrôles déjà en place…  Puisqu’à cette étape, nous possédons plus d’information concernant la norme en cours de réalisation, il est approprié de l’ajuster (en tenant compte des contrôles existants qui couvrent déjà certaines exigences permettant de respecter les directives; bien qu’une exigence soit parfois souhaitable, elle n’est pas nécessairement toujours matérialisable puisqu’il faut tenir compte, entre autres, des besoins d’affaires et fonctionnels)  À cette étape, et il s’avère approprié de consulter un autre professionnel du groupe afin de partager (avis d’un autre expert) sur les tactiques adoptées et celles qui seraient appropriées de tenir compte afin de compléter l’élaboration de la norme en cours  Après cette rencontre, nous devrions être prêt pour l’étape 5, un appel conférence avec le partenaire (ou les opérations) pour identifier les contrôles manquants; à défaut de tenir de longues rencontres face à face, des appels conférences dont l’agenda est connue des différents actants s’avère souvent, plus efficace MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 11 -
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 5. Entretien avec les fournisseurs pour déterminer les efforts nécessaires pour respecter la norme Certaines exigences (ou contrôles tactiques) sont toujours en suspend et sont adressées lors d’une conférence téléphonique avec le fournisseur alors que les points suivants sont traités:  Déterminer les efforts du fournisseur de services (ou des opérations) pour rencontrer les exigences (ou contrôles tactiques) de la norme  Déterminer si des mesures compensatoires existent ou pourraient exister  S’entendre sur la direction à prendre pour chacun des contrôles identifiés afin qu’une démarche soit acceptée des fournisseurs (ou des opérations) et entériné par l’organisation  Émission par le fournisseur (ou des opérations) d’un plan d’action pour répondre aux exigences  Émission d’un compte rendu par l’organisation au fournisseur (ou aux opérations) confirmant les mesures acceptées et celles en suspends MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 12 -
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 6. Présentation à la direction des délais (et efforts) pour la création de la norme...  Ayant maintenant en main les efforts suggérés par le fournisseur (ou les opérations) pour se conformer aux exigences (ou contrôles tactiques), l’information est soumise à la haute direction à des fins d’approbation et de révision des délais estimés pour compléter la norme en cours  Si les efforts (et délais) estimés sont approuvés, la norme passe à la prochaine étape pour être complétée conformément aux acceptations des mesures de contrôles entendues avec le fournisseur de service (ou les opérations)  À défaut d’obtenir l’approbation par la haute direction, le groupe tactique pourrait être assigné à s’entretenir de nouveau avec le fournisseur (ou les opérations) afin de négocier les efforts (et délais) estimés et identifier des contrôles compensatoires potentiels MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 13 -
    • CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 7. Suite à l’acceptation des délais (et efforts), rédaction de la norme et présentation aux groupes stratégique et opréationnel… L’organisation a acceptée les mesures de contrôles que les fournisseurs de services (ou les opérations) mettront en place ainsi que les délais (et efforts) liés aux exigences de la norme Nous pouvons compléter la rédaction de la norme et procéder à la présentation de celle-ci aux groupes stratégique et opérationnel pour révision, approbation et prévision de la de mise en œuvre Communication (centralisée) de la norme et avis au personnel concerner de leur imputabilité face à la norme MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 14 -