SlideShare ist ein Scribd-Unternehmen logo

Méthodologie - adoption d'une norme en 7 étapes

Marc-Andre Heroux
Marc-Andre Heroux

Afin de protéger une organisation, il est essentiel de mettre en oeuvre des normes de sécurité. Ainsi, il est possible de contrôler les activités et réaliser des investigations.

1 von 14
Downloaden Sie, um offline zu lesen
Les 7 étapes menant à l’adoption d’une norme. Version 1.1 Méthodologie Auteur: Marc-André Héroux INVESTIGATION ET CONTRÔLE DE LA SÉCURITÉ MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques SOMMAIRE EXÉCUTIF Dans le but d’atteindre ses objectifs de conformité et mettre en œuvre un système de protection et d’investigation des activités, il est nécessaire pour une organisation d’adopter une méthode afin d’adopter des normes. Ce document propose une approche permettant la réalisation d’une norme en 7 étapes. L’approche propose la livraison de versions concluant chacune des étapes. MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -2-
Constats et enjeux 1re PARTIE Les contrôles normatifs MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Éléments clés de réussites  IDENTIFICATION DES ACTIFS C’est seulement après avoir identifié les actifs informationnels selon leurs niveaux de risques qu’il est possible de définir une portée, les limitations, les objectifs et plus particulièrement, les normes qui préciseront les exigences de l’organisation. C’est à partir de ces exigences (de niveau tactique et enligne avec les directives stratégiques) que les opérations pourront adopter et mettre en œuvre des contrôles opérationnels de sécurité.  COLLABORATION INTERNE-EXTERNE Bien qu’une collaboration étroite entre les différents groupes de l’organisation soit essentielle, la participation des partenaires (ou des opérations) à la réalisation d’une norme est essentielle et doit figurer, à juste titre, comme un élément clé de réussite. Le partenaire (ou le groupe opérationnel) peut souvent fournir des informations essentielles dont il faut tenir compte avant la création d’une norme. MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -4-
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Processus normatif détaillé Tactique Tactique MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. Opérationnel Opérationnel -5-
La méthode détaillée en 7 étapes 2e PARTIE Mise en oeuvre MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Cadre normatif de sécurité 1. 2. 3. 4. 5. 6. 7. Identification (selon la priorité établie) des actifs informationnels visés par les objectifs de contrôle Rédaction d’une norme préliminaire (gabarit de base et pratiques standards) Entretien avec les fournisseurs de services (ou les opérations) pour définir l’écart entre les contrôles existants et les contrôles manquants Adaptation de la norme préliminaire afin de tenir compte des contrôles déjà en place et des contrôles exigés; rencontre de groupe (interne, sans le(s) partenaire(s)) afin de statuer sur l’enlignement tactique du comité de direction (steering comitee) Entretien avec les fournisseurs pour déterminer les efforts nécessaires pour rencontrer la norme Présentation à la direction des délais pour la création de la norme (et des efforts suggérés par les fournisseurs de services); acceptation de poursuivre ou négociation de la position de l’organisation auprès du fournisseur (ou du groupe opérationnel) concernant les efforts anticipés (ex.: négociation des coûts $$$). Suite à l’acceptation des délais et efforts, rédaction de la norme et présentation aux groupes stratégique et opérationnel pour révision; approbation de la norme par la direction; communication de la norme aux ressources concernées MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -7-
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 1- Cueillette des intrants visés par les objectifs de contrôle des exigences (Aucun livrable) Identification des directives, politiques ou objectifs de contrôle Identification des actifs à protéger et des ressources humaines concernées Identification du besoin d’affaires et des responsables de la protection des actifs visés par la norme:  Qui sont les propriétaires et les responsable de l’actif?  Qui peu faire quoi, quand, où et comment?  Quelles sont les obligations (réglementaires, exigences existantes, vérification, ententes, etc.)  Quels sont les niveaux de privilèges selon le besoin de connaître et d’utiliser l’actif?  Qui est responsable de protéger l’actif, d’appliquer la protection et d’effectuer le contrôle?  Qui doit approuver les actions? Identification des risques préliminaires associés aux actifs de la portée  Analyse de risques Identification les informations existantes et utiles à l’écriture de la norme (cadre de sécurité ainsi que les documents disponibles) Mise en relation des informations recueillies versus les objectifs de contrôle à rencontrer Recherche d’informations complémentaires MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -8-
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 2 – Premier entretien avec les partenaires Obtenir une liste préliminaire de l’inventaire visé par la porté de la directive (ou de la politique) Recueillir une première appréciation des contrôles en place pour répondre au sujet donné Obtenir liste de projets qui touche le sujet Obtenir la liste des exceptions spécifiques La participation du partenaire (ou des opérations) est essentielle et permettra d’obtenir des intrants directement à la norme en cours de développement. Bonnes pratiques de gestion  Informer le partenaire (ou les opérations) de la relation participative plutôt que directive qui est envisagée pour assurer la collaboration  Demander aux partenaires (ou aux opérations) de participer en rassemblant de l’information sur le sujet préalablement à la rencontre MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -9-
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 2- Rédaction d’une norme préliminaire (gabarit de base et pratiques standards)  Basé sur les documents existants et utiles à l’écriture de la norme (cadre de sécurité ainsi que les documents disponibles (ex.: analyses de risques), les documents recueillis lors des entrevues, les pratiques de l’industrie (ainsi que sur des sources pertinentes telles que le NIST), une norme préliminaire de travail sera produite.  Cette norme doit présenter les principaux enjeux sans couvrir les détails de bas niveaux (opérationnels). Le but est de faire ressortir les principaux actifs informationnels (entités, ressources, objets, sujets, etc.) à tenir compte dans la norme tel qu’on le fait généralement à l’aide d’un cadre de référence. MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 10 -
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 4. Adaptation de la norme de base afin de tenir compte des contrôles déjà en place…  Puisqu’à cette étape, nous possédons plus d’information concernant la norme en cours de réalisation, il est approprié de l’ajuster (en tenant compte des contrôles existants qui couvrent déjà certaines exigences permettant de respecter les directives; bien qu’une exigence soit parfois souhaitable, elle n’est pas nécessairement toujours matérialisable puisqu’il faut tenir compte, entre autres, des besoins d’affaires et fonctionnels)  À cette étape, et il s’avère approprié de consulter un autre professionnel du groupe afin de partager (avis d’un autre expert) sur les tactiques adoptées et celles qui seraient appropriées de tenir compte afin de compléter l’élaboration de la norme en cours  Après cette rencontre, nous devrions être prêt pour l’étape 5, un appel conférence avec le partenaire (ou les opérations) pour identifier les contrôles manquants; à défaut de tenir de longues rencontres face à face, des appels conférences dont l’agenda est connue des différents actants s’avère souvent, plus efficace MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 11 -
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 5. Entretien avec les fournisseurs pour déterminer les efforts nécessaires pour respecter la norme Certaines exigences (ou contrôles tactiques) sont toujours en suspend et sont adressées lors d’une conférence téléphonique avec le fournisseur alors que les points suivants sont traités:  Déterminer les efforts du fournisseur de services (ou des opérations) pour rencontrer les exigences (ou contrôles tactiques) de la norme  Déterminer si des mesures compensatoires existent ou pourraient exister  S’entendre sur la direction à prendre pour chacun des contrôles identifiés afin qu’une démarche soit acceptée des fournisseurs (ou des opérations) et entériné par l’organisation  Émission par le fournisseur (ou des opérations) d’un plan d’action pour répondre aux exigences  Émission d’un compte rendu par l’organisation au fournisseur (ou aux opérations) confirmant les mesures acceptées et celles en suspends MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 12 -
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 6. Présentation à la direction des délais (et efforts) pour la création de la norme...  Ayant maintenant en main les efforts suggérés par le fournisseur (ou les opérations) pour se conformer aux exigences (ou contrôles tactiques), l’information est soumise à la haute direction à des fins d’approbation et de révision des délais estimés pour compléter la norme en cours  Si les efforts (et délais) estimés sont approuvés, la norme passe à la prochaine étape pour être complétée conformément aux acceptations des mesures de contrôles entendues avec le fournisseur de service (ou les opérations)  À défaut d’obtenir l’approbation par la haute direction, le groupe tactique pourrait être assigné à s’entretenir de nouveau avec le fournisseur (ou les opérations) afin de négocier les efforts (et délais) estimés et identifier des contrôles compensatoires potentiels MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 13 -
CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 7. Suite à l’acceptation des délais (et efforts), rédaction de la norme et présentation aux groupes stratégique et opréationnel… L’organisation a acceptée les mesures de contrôles que les fournisseurs de services (ou les opérations) mettront en place ainsi que les délais (et efforts) liés aux exigences de la norme Nous pouvons compléter la rédaction de la norme et procéder à la présentation de celle-ci aux groupes stratégique et opérationnel pour révision, approbation et prévision de la de mise en œuvre Communication (centralisée) de la norme et avis au personnel concerner de leur imputabilité face à la norme MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 14 -

Empfohlen

GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référenceYann Riviere CCSK, CISSP, CRISC, CISM
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Audit qualité interne
Audit qualité interneAudit qualité interne
Audit qualité interneGhanou Aztita
 

Empfohlen

GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référenceYann Riviere CCSK, CISSP, CRISC, CISM
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Audit qualité interne
Audit qualité interneAudit qualité interne
Audit qualité interneGhanou Aztita
 
El transporte no urgente de usuarios de la sanidad pública como prestación s...
El transporte no urgente de usuarios de la sanidad pública como prestación s...El transporte no urgente de usuarios de la sanidad pública como prestación s...
El transporte no urgente de usuarios de la sanidad pública como prestación s...Asociación Lazos Pro Solidariedade
 
Forum Villes 2.0 à Paris
Forum Villes 2.0 à ParisForum Villes 2.0 à Paris
Forum Villes 2.0 à Parisguest9ec3c75
 
Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...
Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...
Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...Impex Metro Europa, S.L.
 
Actividad 1.1
Actividad 1.1Actividad 1.1
Actividad 1.1JOHN ALEXANDER
 
Pratique sante n°16 juillet septe. 2012
Pratique sante n°16 juillet septe. 2012Pratique sante n°16 juillet septe. 2012
Pratique sante n°16 juillet septe. 2012Mustapha Ben Mansour
 
Gérer sa e réputation dans le secteur tourisme
Gérer sa e réputation dans le secteur tourismeGérer sa e réputation dans le secteur tourisme
Gérer sa e réputation dans le secteur tourismeOffice Nationale du Tourisme Madagascar
 
Livre blanc de J2ME
Livre blanc de J2MELivre blanc de J2ME
Livre blanc de J2MEBruno Delb
 
La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...
La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...
La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...Universidad Autónoma de Barcelona
 
Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...
Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...
Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...Universidad Autónoma de Barcelona
 
Tecnología al dia
Tecnología al diaTecnología al dia
Tecnología al dia123456789leon
 
IECBW choisit EASI financials comme nouveau logiciel de comptabilite
IECBW choisit EASI financials comme nouveau logiciel de comptabiliteIECBW choisit EASI financials comme nouveau logiciel de comptabilite
IECBW choisit EASI financials comme nouveau logiciel de comptabiliteEASI
 
Incidiendo en los presupuestos públicos para incrementar el financiamiento p...
Incidiendo en los presupuestos públicos para incrementar el financiamiento p... Incidiendo en los presupuestos públicos para incrementar el financiamiento p...
Incidiendo en los presupuestos públicos para incrementar el financiamiento p...Gobernabilidad
 
Votre entreprise et Twitter @TechnoArk
Votre entreprise et Twitter @TechnoArk Votre entreprise et Twitter @TechnoArk
Votre entreprise et Twitter @TechnoArk Valérie Demont (-Steck)
 
Manual prezi
Manual preziManual prezi
Manual preziCesar Abarca
 
Baromètre Mobile Marketing Association France: 2ème trimestre 2014
Baromètre Mobile Marketing Association France: 2ème trimestre 2014Baromètre Mobile Marketing Association France: 2ème trimestre 2014
Baromètre Mobile Marketing Association France: 2ème trimestre 2014Margarita Zlatkova
 
Métricas en Twitter
Métricas en TwitterMétricas en Twitter
Métricas en TwitterOnline Team
 
Taller de blocs cee gener 2013
Taller de blocs cee gener 2013Taller de blocs cee gener 2013
Taller de blocs cee gener 2013e-Inclusión Fundación Esplai
 
Créer un portail netvibes
Créer un portail netvibesCréer un portail netvibes
Créer un portail netvibesladameducdi
 
3 noviembre2009
3 noviembre20093 noviembre2009
3 noviembre2009Linux Para Saltillo
 
Importancia De La Web 2 0
Importancia De La Web 2 0Importancia De La Web 2 0
Importancia De La Web 2 0sanchezmary
 
controle interne master.ppt
controle interne master.pptcontrole interne master.ppt
controle interne master.pptJabirArif
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 

Weitere ähnliche Inhalte

Andere mochten auch

El transporte no urgente de usuarios de la sanidad pública como prestación s...
El transporte no urgente de usuarios de la sanidad pública como prestación s...El transporte no urgente de usuarios de la sanidad pública como prestación s...
El transporte no urgente de usuarios de la sanidad pública como prestación s...Asociación Lazos Pro Solidariedade
 
Forum Villes 2.0 à Paris
Forum Villes 2.0 à ParisForum Villes 2.0 à Paris
Forum Villes 2.0 à Parisguest9ec3c75
 
Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...
Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...
Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...Impex Metro Europa, S.L.
 
Pratique sante n°16 juillet septe. 2012
Pratique sante n°16 juillet septe. 2012Pratique sante n°16 juillet septe. 2012
Pratique sante n°16 juillet septe. 2012Mustapha Ben Mansour
 
Livre blanc de J2ME
Livre blanc de J2MELivre blanc de J2ME
Livre blanc de J2MEBruno Delb
 
La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...
La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...
La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...Universidad Autónoma de Barcelona
 
Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...
Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...
Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...Universidad Autónoma de Barcelona
 
IECBW choisit EASI financials comme nouveau logiciel de comptabilite
IECBW choisit EASI financials comme nouveau logiciel de comptabiliteIECBW choisit EASI financials comme nouveau logiciel de comptabilite
IECBW choisit EASI financials comme nouveau logiciel de comptabiliteEASI
 
Incidiendo en los presupuestos públicos para incrementar el financiamiento p...
Incidiendo en los presupuestos públicos para incrementar el financiamiento p... Incidiendo en los presupuestos públicos para incrementar el financiamiento p...
Incidiendo en los presupuestos públicos para incrementar el financiamiento p...Gobernabilidad
 
Baromètre Mobile Marketing Association France: 2ème trimestre 2014
Baromètre Mobile Marketing Association France: 2ème trimestre 2014Baromètre Mobile Marketing Association France: 2ème trimestre 2014
Baromètre Mobile Marketing Association France: 2ème trimestre 2014Margarita Zlatkova
 
Métricas en Twitter
Métricas en TwitterMétricas en Twitter
Métricas en TwitterOnline Team
 
Créer un portail netvibes
Créer un portail netvibesCréer un portail netvibes
Créer un portail netvibesladameducdi
 
Importancia De La Web 2 0
Importancia De La Web 2 0Importancia De La Web 2 0
Importancia De La Web 2 0sanchezmary
 

Andere mochten auch (20)

El transporte no urgente de usuarios de la sanidad pública como prestación s...
El transporte no urgente de usuarios de la sanidad pública como prestación s...El transporte no urgente de usuarios de la sanidad pública como prestación s...
El transporte no urgente de usuarios de la sanidad pública como prestación s...
 
Forum Villes 2.0 à Paris
Forum Villes 2.0 à ParisForum Villes 2.0 à Paris
Forum Villes 2.0 à Paris
 
Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...
Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...
Presentación coorporativa completa (productos ferrosos, óxidos, carbonatos, a...
 
Actividad 1.1
Actividad 1.1Actividad 1.1
Actividad 1.1
 
Pratique sante n°16 juillet septe. 2012
Pratique sante n°16 juillet septe. 2012Pratique sante n°16 juillet septe. 2012
Pratique sante n°16 juillet septe. 2012
 
Gérer sa e réputation dans le secteur tourisme
Gérer sa e réputation dans le secteur tourismeGérer sa e réputation dans le secteur tourisme
Gérer sa e réputation dans le secteur tourisme
 
Livre blanc de J2ME
Livre blanc de J2MELivre blanc de J2ME
Livre blanc de J2ME
 
La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...
La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...
La (s) reforma (s) laboral (es) de 2012 y 2013. Objetivos declarados. ¿Objeti...
 
Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...
Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...
Reflexiones de un bloguero laboralista sobre el empleo y la formación. Recopi...
 
Tecnología al dia
Tecnología al diaTecnología al dia
Tecnología al dia
 
IECBW choisit EASI financials comme nouveau logiciel de comptabilite
IECBW choisit EASI financials comme nouveau logiciel de comptabiliteIECBW choisit EASI financials comme nouveau logiciel de comptabilite
IECBW choisit EASI financials comme nouveau logiciel de comptabilite
 
Incidiendo en los presupuestos públicos para incrementar el financiamiento p...
Incidiendo en los presupuestos públicos para incrementar el financiamiento p... Incidiendo en los presupuestos públicos para incrementar el financiamiento p...
Incidiendo en los presupuestos públicos para incrementar el financiamiento p...
 
Votre entreprise et Twitter @TechnoArk
Votre entreprise et Twitter @TechnoArk Votre entreprise et Twitter @TechnoArk
Votre entreprise et Twitter @TechnoArk
 
Manual prezi
Manual preziManual prezi
Manual prezi
 
Baromètre Mobile Marketing Association France: 2ème trimestre 2014
Baromètre Mobile Marketing Association France: 2ème trimestre 2014Baromètre Mobile Marketing Association France: 2ème trimestre 2014
Baromètre Mobile Marketing Association France: 2ème trimestre 2014
 
Métricas en Twitter
Métricas en TwitterMétricas en Twitter
Métricas en Twitter
 
Taller de blocs cee gener 2013
Taller de blocs cee gener 2013Taller de blocs cee gener 2013
Taller de blocs cee gener 2013
 
Créer un portail netvibes
Créer un portail netvibesCréer un portail netvibes
Créer un portail netvibes
 
3 noviembre2009
3 noviembre20093 noviembre2009
3 noviembre2009
 
Importancia De La Web 2 0
Importancia De La Web 2 0Importancia De La Web 2 0
Importancia De La Web 2 0
 

Ähnlich wie Méthodologie - adoption d'une norme en 7 étapes

controle interne master.ppt
controle interne master.pptcontrole interne master.ppt
controle interne master.pptJabirArif
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditJihaneMozdalif
 
Responsable qualite 10
Responsable qualite 10Responsable qualite 10
Responsable qualite 10jln94
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptKhouloud Errachedi
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptNourAkka1
 
OT Meeting - Sécurité organisationnelle : Gestion de la sécurité des données ...
OT Meeting - Sécurité organisationnelle : Gestion de la sécurité des données ...OT Meeting - Sécurité organisationnelle : Gestion de la sécurité des données ...
OT Meeting - Sécurité organisationnelle : Gestion de la sécurité des données ...Oceanet Technology
 
Cours Audit General 2019 (1).prof tatouti .pdf
Cours Audit General 2019 (1).prof tatouti .pdfCours Audit General 2019 (1).prof tatouti .pdf
Cours Audit General 2019 (1).prof tatouti .pdfAbdelghani19
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
1 audit des-emplois
1 audit des-emplois1 audit des-emplois
1 audit des-emploisqarji
 
Projet structure organisationnelle
Projet structure organisationnelleProjet structure organisationnelle
Projet structure organisationnelleferiel abidi
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesAbdeslam Menacere
 
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. IsraelAgile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. IsraelENSIBS
 
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilanceMise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilanceSoumayaNebli
 
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilanceMise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilanceIbtissemSlimeni
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 

Ähnlich wie Méthodologie - adoption d'une norme en 7 étapes (20)

controle interne master.ppt
controle interne master.pptcontrole interne master.ppt
controle interne master.ppt
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
 
Responsable qualite 10
Responsable qualite 10Responsable qualite 10
Responsable qualite 10
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
ECM & SharePoint 2013
ECM & SharePoint 2013ECM & SharePoint 2013
ECM & SharePoint 2013
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
OT Meeting - Sécurité organisationnelle : Gestion de la sécurité des données ...
OT Meeting - Sécurité organisationnelle : Gestion de la sécurité des données ...OT Meeting - Sécurité organisationnelle : Gestion de la sécurité des données ...
OT Meeting - Sécurité organisationnelle : Gestion de la sécurité des données ...
 
Cours Audit General 2019 (1).prof tatouti .pdf
Cours Audit General 2019 (1).prof tatouti .pdfCours Audit General 2019 (1).prof tatouti .pdf
Cours Audit General 2019 (1).prof tatouti .pdf
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
Rapport audit one
Rapport audit oneRapport audit one
Rapport audit one
 
1 audit des-emplois
1 audit des-emplois1 audit des-emplois
1 audit des-emplois
 
Projet structure organisationnelle
Projet structure organisationnelleProjet structure organisationnelle
Projet structure organisationnelle
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. IsraelAgile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
Agile Tour Paris 2014 : Contractualisation Agile par T. Beaugrand et S. Israel
 
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilanceMise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilance
 
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilanceMise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilance
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 

Mehr von Marc-Andre Heroux

Enterprise Security Critical Security Functions version 1.0
Enterprise Security Critical Security Functions version 1.0Enterprise Security Critical Security Functions version 1.0
Enterprise Security Critical Security Functions version 1.0Marc-Andre Heroux
 
Monitoring your organization against threats - Critical System Control
Monitoring your organization against threats - Critical System ControlMonitoring your organization against threats - Critical System Control
Monitoring your organization against threats - Critical System ControlMarc-Andre Heroux
 
Frame - MAC Address Threats & Vulnerabilities
Frame - MAC Address Threats & VulnerabilitiesFrame - MAC Address Threats & Vulnerabilities
Frame - MAC Address Threats & VulnerabilitiesMarc-Andre Heroux
 
Modèle de sécurité organisationnelle
Modèle de sécurité organisationnelleModèle de sécurité organisationnelle
Modèle de sécurité organisationnelleMarc-Andre Heroux
 
BUSINESS MATURITY LIFE CYCLE
BUSINESS MATURITY LIFE CYCLEBUSINESS MATURITY LIFE CYCLE
BUSINESS MATURITY LIFE CYCLEMarc-Andre Heroux
 
Assurance compliance management system
Assurance compliance management systemAssurance compliance management system
Assurance compliance management systemMarc-Andre Heroux
 

Mehr von Marc-Andre Heroux (9)

Linux encrypted container
Linux encrypted containerLinux encrypted container
Linux encrypted container
 
IT Control Framework
IT Control FrameworkIT Control Framework
IT Control Framework
 
Enterprise Security Critical Security Functions version 1.0
Enterprise Security Critical Security Functions version 1.0Enterprise Security Critical Security Functions version 1.0
Enterprise Security Critical Security Functions version 1.0
 
Online Authentication
Online AuthenticationOnline Authentication
Online Authentication
 
Monitoring your organization against threats - Critical System Control
Monitoring your organization against threats - Critical System ControlMonitoring your organization against threats - Critical System Control
Monitoring your organization against threats - Critical System Control
 
Frame - MAC Address Threats & Vulnerabilities
Frame - MAC Address Threats & VulnerabilitiesFrame - MAC Address Threats & Vulnerabilities
Frame - MAC Address Threats & Vulnerabilities
 
Modèle de sécurité organisationnelle
Modèle de sécurité organisationnelleModèle de sécurité organisationnelle
Modèle de sécurité organisationnelle
 
BUSINESS MATURITY LIFE CYCLE
BUSINESS MATURITY LIFE CYCLEBUSINESS MATURITY LIFE CYCLE
BUSINESS MATURITY LIFE CYCLE
 
Assurance compliance management system
Assurance compliance management systemAssurance compliance management system
Assurance compliance management system
 

Méthodologie - adoption d'une norme en 7 étapes

  • 1. Les 7 étapes menant à l’adoption d’une norme. Version 1.1 Méthodologie Auteur: Marc-André Héroux INVESTIGATION ET CONTRÔLE DE LA SÉCURITÉ MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.
  • 2. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques SOMMAIRE EXÉCUTIF Dans le but d’atteindre ses objectifs de conformité et mettre en œuvre un système de protection et d’investigation des activités, il est nécessaire pour une organisation d’adopter une méthode afin d’adopter des normes. Ce document propose une approche permettant la réalisation d’une norme en 7 étapes. L’approche propose la livraison de versions concluant chacune des étapes. MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -2-
  • 3. Constats et enjeux 1re PARTIE Les contrôles normatifs MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.
  • 4. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Éléments clés de réussites  IDENTIFICATION DES ACTIFS C’est seulement après avoir identifié les actifs informationnels selon leurs niveaux de risques qu’il est possible de définir une portée, les limitations, les objectifs et plus particulièrement, les normes qui préciseront les exigences de l’organisation. C’est à partir de ces exigences (de niveau tactique et enligne avec les directives stratégiques) que les opérations pourront adopter et mettre en œuvre des contrôles opérationnels de sécurité.  COLLABORATION INTERNE-EXTERNE Bien qu’une collaboration étroite entre les différents groupes de l’organisation soit essentielle, la participation des partenaires (ou des opérations) à la réalisation d’une norme est essentielle et doit figurer, à juste titre, comme un élément clé de réussite. Le partenaire (ou le groupe opérationnel) peut souvent fournir des informations essentielles dont il faut tenir compte avant la création d’une norme. MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -4-
  • 5. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Processus normatif détaillé Tactique Tactique MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. Opérationnel Opérationnel -5-
  • 6. La méthode détaillée en 7 étapes 2e PARTIE Mise en oeuvre MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.
  • 7. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Cadre normatif de sécurité 1. 2. 3. 4. 5. 6. 7. Identification (selon la priorité établie) des actifs informationnels visés par les objectifs de contrôle Rédaction d’une norme préliminaire (gabarit de base et pratiques standards) Entretien avec les fournisseurs de services (ou les opérations) pour définir l’écart entre les contrôles existants et les contrôles manquants Adaptation de la norme préliminaire afin de tenir compte des contrôles déjà en place et des contrôles exigés; rencontre de groupe (interne, sans le(s) partenaire(s)) afin de statuer sur l’enlignement tactique du comité de direction (steering comitee) Entretien avec les fournisseurs pour déterminer les efforts nécessaires pour rencontrer la norme Présentation à la direction des délais pour la création de la norme (et des efforts suggérés par les fournisseurs de services); acceptation de poursuivre ou négociation de la position de l’organisation auprès du fournisseur (ou du groupe opérationnel) concernant les efforts anticipés (ex.: négociation des coûts $$$). Suite à l’acceptation des délais et efforts, rédaction de la norme et présentation aux groupes stratégique et opérationnel pour révision; approbation de la norme par la direction; communication de la norme aux ressources concernées MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -7-
  • 8. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 1- Cueillette des intrants visés par les objectifs de contrôle des exigences (Aucun livrable) Identification des directives, politiques ou objectifs de contrôle Identification des actifs à protéger et des ressources humaines concernées Identification du besoin d’affaires et des responsables de la protection des actifs visés par la norme:  Qui sont les propriétaires et les responsable de l’actif?  Qui peu faire quoi, quand, où et comment?  Quelles sont les obligations (réglementaires, exigences existantes, vérification, ententes, etc.)  Quels sont les niveaux de privilèges selon le besoin de connaître et d’utiliser l’actif?  Qui est responsable de protéger l’actif, d’appliquer la protection et d’effectuer le contrôle?  Qui doit approuver les actions? Identification des risques préliminaires associés aux actifs de la portée  Analyse de risques Identification les informations existantes et utiles à l’écriture de la norme (cadre de sécurité ainsi que les documents disponibles) Mise en relation des informations recueillies versus les objectifs de contrôle à rencontrer Recherche d’informations complémentaires MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -8-
  • 9. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 2 – Premier entretien avec les partenaires Obtenir une liste préliminaire de l’inventaire visé par la porté de la directive (ou de la politique) Recueillir une première appréciation des contrôles en place pour répondre au sujet donné Obtenir liste de projets qui touche le sujet Obtenir la liste des exceptions spécifiques La participation du partenaire (ou des opérations) est essentielle et permettra d’obtenir des intrants directement à la norme en cours de développement. Bonnes pratiques de gestion  Informer le partenaire (ou les opérations) de la relation participative plutôt que directive qui est envisagée pour assurer la collaboration  Demander aux partenaires (ou aux opérations) de participer en rassemblant de l’information sur le sujet préalablement à la rencontre MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. -9-
  • 10. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 2- Rédaction d’une norme préliminaire (gabarit de base et pratiques standards)  Basé sur les documents existants et utiles à l’écriture de la norme (cadre de sécurité ainsi que les documents disponibles (ex.: analyses de risques), les documents recueillis lors des entrevues, les pratiques de l’industrie (ainsi que sur des sources pertinentes telles que le NIST), une norme préliminaire de travail sera produite.  Cette norme doit présenter les principaux enjeux sans couvrir les détails de bas niveaux (opérationnels). Le but est de faire ressortir les principaux actifs informationnels (entités, ressources, objets, sujets, etc.) à tenir compte dans la norme tel qu’on le fait généralement à l’aide d’un cadre de référence. MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 10 -
  • 11. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 4. Adaptation de la norme de base afin de tenir compte des contrôles déjà en place…  Puisqu’à cette étape, nous possédons plus d’information concernant la norme en cours de réalisation, il est approprié de l’ajuster (en tenant compte des contrôles existants qui couvrent déjà certaines exigences permettant de respecter les directives; bien qu’une exigence soit parfois souhaitable, elle n’est pas nécessairement toujours matérialisable puisqu’il faut tenir compte, entre autres, des besoins d’affaires et fonctionnels)  À cette étape, et il s’avère approprié de consulter un autre professionnel du groupe afin de partager (avis d’un autre expert) sur les tactiques adoptées et celles qui seraient appropriées de tenir compte afin de compléter l’élaboration de la norme en cours  Après cette rencontre, nous devrions être prêt pour l’étape 5, un appel conférence avec le partenaire (ou les opérations) pour identifier les contrôles manquants; à défaut de tenir de longues rencontres face à face, des appels conférences dont l’agenda est connue des différents actants s’avère souvent, plus efficace MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 11 -
  • 12. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 5. Entretien avec les fournisseurs pour déterminer les efforts nécessaires pour respecter la norme Certaines exigences (ou contrôles tactiques) sont toujours en suspend et sont adressées lors d’une conférence téléphonique avec le fournisseur alors que les points suivants sont traités:  Déterminer les efforts du fournisseur de services (ou des opérations) pour rencontrer les exigences (ou contrôles tactiques) de la norme  Déterminer si des mesures compensatoires existent ou pourraient exister  S’entendre sur la direction à prendre pour chacun des contrôles identifiés afin qu’une démarche soit acceptée des fournisseurs (ou des opérations) et entériné par l’organisation  Émission par le fournisseur (ou des opérations) d’un plan d’action pour répondre aux exigences  Émission d’un compte rendu par l’organisation au fournisseur (ou aux opérations) confirmant les mesures acceptées et celles en suspends MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 12 -
  • 13. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 6. Présentation à la direction des délais (et efforts) pour la création de la norme...  Ayant maintenant en main les efforts suggérés par le fournisseur (ou les opérations) pour se conformer aux exigences (ou contrôles tactiques), l’information est soumise à la haute direction à des fins d’approbation et de révision des délais estimés pour compléter la norme en cours  Si les efforts (et délais) estimés sont approuvés, la norme passe à la prochaine étape pour être complétée conformément aux acceptations des mesures de contrôles entendues avec le fournisseur de service (ou les opérations)  À défaut d’obtenir l’approbation par la haute direction, le groupe tactique pourrait être assigné à s’entretenir de nouveau avec le fournisseur (ou les opérations) afin de négocier les efforts (et délais) estimés et identifier des contrôles compensatoires potentiels MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 13 -
  • 14. CONTRÔLES DE CONFORMITÉ Gouvernance et gestion de risques Étape 7. Suite à l’acceptation des délais (et efforts), rédaction de la norme et présentation aux groupes stratégique et opréationnel… L’organisation a acceptée les mesures de contrôles que les fournisseurs de services (ou les opérations) mettront en place ainsi que les délais (et efforts) liés aux exigences de la norme Nous pouvons compléter la rédaction de la norme et procéder à la présentation de celle-ci aux groupes stratégique et opérationnel pour révision, approbation et prévision de la de mise en œuvre Communication (centralisée) de la norme et avis au personnel concerner de leur imputabilité face à la norme MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS. - 14 -