L’élaboration d’un plan directeur de sécurité

SEC-911 Cours de perfectionnement
Campus Campus de Québec

Description

La sécurité de l’information est aujourd’hui un enjeu crucial pour toute entreprise. Comment développer une vision globale des actions à poser pour assurer la sécurité des données?

La formation L’élaboration d’un plan directeur de sécurité vous propose un survol des actions essentielles pour toute personne qui planifie les activités permettant de mitiger les risques pouvant affecter les actifs de son organisation.

Objectifs

  • Fournir une méthodologie simple et pratique permettant de préparer un plan directeur de sécurité de l’information.
  • Évaluer la criticité des actifs concernés
  • Évaluer la capacité de gestion des risques et les moyens de mitigation afin de réduire ces derniers
  • Produire un plan d’action comportant les activités détaillées permettant de mitiger les risques à un niveau acceptable

Contenu

Planification de la démarche

  1. Détermination des membres nécessaires à la réalisation du projet
    • Détermination du rôle et des responsabilités de chacun
  2. Recueil des informations préalables
    • Réalisation d’inventaires (documents, fichiers, bases de données, applications, réseaux, fournisseurs, équipements et lieux physiques)
    • Cartographie des processus d’affaires
    • Distinction et recensement des processus, des tâches et des activités

Présentation de la démarche

  1. Catégorisation des actifs informationnels
    • Logique associée à la démarche
    • Établissement de la liste des éléments d’information nécessaires au processus
    • Explication des critères permettant d’évaluer la criticité des actifs et des processus d’affaires
    • Planification des métriques utilisées
    • Techniques d’entrevue
  2. L’analyse de risques
    • Priorisation des actifs à analyser en fonction des objectifs visés, tels l’élaboration des plans de continuité et de reprise
    • Détermination des contrôles
    • Méthodes et techniques reconnues d’analyse
    • Préparation de la démarche d’analyse
    • Préparation des équipes de travail
    • Identification des principaux scénarios de risques associés aux actifs
    • Principaux types de menaces affectant les documents électroniques ou non, les activités de développement et de maintenance, les télécommunications, les équipements et les relations avec les fournisseurs de services
    • Évaluation des impacts
    • Tableaux d’analyse qualitative des contrôles
    • Évaluation du risque résiduel
    • Techniques d’entrevue

Produire un état de situation actuelle

  1. Présentation de la démarche
    • Facteurs de succès
  2. Les contrôles affectant la potentialité et l’impact du risque
    • Contrôles stratégiques
    • Contrôles opérationnels
  3. Outils et méthodes d’évaluation et d’analyse des contrôles
    • Dimension organisationnelle
    • Dimension humaine
    • Dimension technologique
    • Aspect légal
    • Facteurs de pondération
  4. Fiches d’évaluation

Élaboration du plan directeur

  1. Contenu du plan
  2. Sommaire des actions à réaliser à court, moyen et long terme
    • Estimation des efforts
    • Priorisation des actions è la suite de la démarche d’analyse de risques et de la détermination de l’état actuel de la sécurité

Formateurs

Luis Lalancette

Responsable de la sécurité de l’information numérique, Ville de Québec

Luis Lalancette œuvre depuis quinze ans en sécurité de l’information en tant qu’analyste, architecte en sécurité et architecte en infrastructure. Il a également travaillé à titre d’analyste-programmeur, de chef de projet, d’auditeur informatique, de conseiller et de gestionnaire dans le domaine de la santé au Québec. C’est aussi dans ce domaine qu’il a réalisé de nombreux mandats à titre d’architecte et de spécialiste en sécurité de l’information, incluant des mandats en gestion des identités et des accès (GIA). Il est d’ailleurs appelé à donner des conférences sur le sujet.

 

Il a mis à profit sa grande expertise des différents champs associés à la sécurité, notamment en étant directement impliqué dans la rédaction de politiques de sécurité, lors d’analyse de risques, de plans directeurs et pour la formation et la sensibilisation des utilisateurs. Il possède aussi une grande connaissance des lois et normes en vigueur (dont la ISO 27001) associées au monde de l'informatique, plus particulièrement dans le domaine de la santé.

Méthodologie

  • Exposé magistral
  • Démonstrations

Clientèle visée

  • Spécialistes en architecture de système d'information
  • Techniciens informatiques
  • Analystes en informatique
  • Officiers de sécurité
  • Responsables de la sécurité de l'information
  • Pilotes, coordonnateurs d’équipe, chargés/chef de projets
  • Administrateurs de systèmes
  • Gestionnaires et consultants de l’industrie
  • Toute personne désireuse d’approfondir ses connaissances en sécurité informatique