jeudi 29 décembre 2011

Classify the information? No doubt it is a... sexy step!

Classify the information? No doubt it is a... sexy step!
For a decade now, we can see that, before implementing an information security policy, some agencies have already established, for several years now, safety –sometimes preventive in nature–  detection and/or even corrective measures. On each occasion, these bodies have invested in large projects, infrastructure and, very often, in the procurement of commercial products.

In fact, Daniel Geer pointed it out in the following statement: '' three quarters of all data losses are discovered by unrelated third parties, from which one can inevitably infer that the victim's network and infrastructure security regimes were neither effective nor relevant.'' (See: http://www.scmagazineus.com/the-enterprise-information-protection-paradigm/article/164341/)(It should also be noted that data is not just digital, demonstrating that information security does not depend only on information technologies.)
If lacking a previous and effective management of the information (information assets under ISO2700x), it is very hard for these bodies, if not impossible, to know what to protect and how. Finally, the implementation of security measures results in users’ complaints, as, not only information security does not generate efficacy if taken in the wrong way, but, on the contrary, it can generate constraints, not to mention the dangerous circumventions of rebels.

Thankfully, to implement such a thing is simple even as, due to the fact of being strongly linked to a cultural change, it is still necessary to go step-by-step, and, as with all great changes, it is recommended to go slowly but surely in order to ensure continuity.
In our experience, several bodies –after having followed our 6 steps– have managed to enforce their own information classification policy with the goal of better applying security measures and managing their risks efficiently:
1) Identifying sensitive and indispensable information for the smooth progress of affairs
This step, based on the agency’s highest priorities and its business lines, helps to swiftly illustrate all sensitive information. Sometimes, the data can also be subject to laws and regulations, thus facilitating the identification task. At the time of the identification, care should be taken to distinguish between primary and support assets –when applying security measures for the latter, we should keep in mind this differentiation and do it accordingly to sensitivity of the primary assets they support.


(“Find out why identification is the first step towards a more intelligent protection of information and to avoid costly data breaches”:
http://www.cerberis.com/actualite-une-protection-des-donnees-plus-intelligente-grace-a-l---identification-133.html)
2) Localizing relevant information
In this step, all relevant information, in any form –digital or not–, is localized physically and logically. Partners and entities with varying degrees of confidence are increasingly sharing data. It is necessary to regain some control or, at least, know where the data is.

3) Defining all participant’s roles and responsibilities
This very important step is to define information owners, officers and holders’ roles and responsibilities. Indeed, without this step, there is no responsibility and, therefore, no accountability. Thanks to it, holders will be able to apply security measures appropriately, according to the sensitivity expressed by information officers and owners.

4) Establishing a grid of sensitivity, basis for the classification of the information
This step aims at defining a classification in terms of criteria such as the indispensable availability, integrity and even confidentiality. With regards to the latter, we can find the following categories: external, internal, confidential and strategic.

Nevertheless, it can be subject to discussions and distortions as universal classifications cannot be ignored and, hence, are widely criticized. It would therefore be appropriate to offer a level of corporate classification and allow an extra and internal sensitivity level to each service or directorate. 5) Marking the information
Finally, this step, crucial to ensure continuity in the classification, involves marking the information with a label (physically) or even in a cartridge (logically). The information management process becomes therefore easy and intuitive, even invisible, as users, step-by-step, will be led to classify the information since the creation of the data.

6) Engaging users
Since the very beginning of your implementation project, it is critical to engage users via a pilot project, showing benefits and managing changes of theirs processes.

During this step, users will consider again the sensitivity of their data, bringing you the opportunity to set the classification grid.
By following these six steps, the cornerstone of your security policy will take shape, whatever the underlying technologies are, in a continuous process of improvement.

However, once your data starts becoming localized; responsible stakeholders, designated; and data, classified according to its sensitivity, you will start coming out of the mist. The application of security measures will become more efficient and logical; supervision, more focused; and justification of organizational measures or technological security solutions expenses, easier.

Your questions, comments or suggestions are most welcomed. Thanks.

mardi 13 décembre 2011

La classifica​tion de l'informat​ion ? Une étape incontesta​blement... sexy !

La classification de l'information ? Une étape incontestablement... sexy !

On remarque, depuis une décennie, qu'avant de mettre en force une politique de sécurité de l’information, les organismes ont déjà, depuis plusieurs années, mis en place des mesures de sécurité, parfois de nature préventive, de détection et/ou encore de correction. Et, à chaque fois, ces organismes ont investi dans de grands projets, de grandes infrastructures et, très souvent, dans l'acquisition de produits commerciaux.

D’ailleurs, Daniel Geer le mentionne si bien dans : ''  three quarters of all data losses are discovered by unrelated third parties, from which one can inevitably infer that the victim's network and infrastructure security regimes were neither effective nor relevant.'' cf. http://www.scmagazineus.com/the-enterprise-information-protection-paradigm/article/164341/

(A noter également que l’information n’est pas que numérique… ce qui démontre que la sécurité de l’information n’est pas seulement tributaire des technologies de l’information.)

Mais, sans avoir au préalable mis en place une gestion efficace de leur information (actifs informationnels selon ISO2700x), il est très difficile pour ces organismes, voire impossible, de savoir ce qu'ils doivent protéger et comment. Finalement, la mise en œuvre de mesure de sécurité entraîne des plaintes des usagers, car, prise du mauvais côté, la sécurité de l’information n'est pas génératrice d'efficacité mais, au contraire, elle génère des contraintes, sans compter les dangereux contournements des rebelles.

Heureusement, la mise en place d'une gestion efficace de l'information est simple ; encore faut-il y aller pas à pas, car c’est grandement lié à un changement de culture et, comme tout grand changement, il est conseillé, pour en assurer une pérennité, d’y aller lentement, mais sûrement.

Selon notre expérience, plusieurs organismes ont - grâce à nos six étapes - réussi à mettre en force leur politique de classification de l'information dans l’objectif de mieux appliquer les mesures de sécurité, de mieux gérer leurs risques, et ce, de façon efficiente :

1) Identifier l'information sensible et indispensable au bon déroulement des affaires
Cette étape, basée sur la raison d'être de l'organisme et ses lignes d'affaires, permet de faire ressortir rapidement l'information sensible. L’information peut parfois être également assujettie à des lois et règlements, ce qui facilite la tâche d’identification.

Lors de l'identification, on prendra soin de faire la distinction entre les actifs primordiaux et de soutien, car c'est grâce à cette distinction que nous devrons, sur les actifs de soutien,  appliquer les mesures de sécurité, selon la sensibilité des actifs primordiaux qu’ils soutiennent.

(''découvrez pourquoi l’identification est la première étape vers une protection des informations plus intelligentes et évitant de coûteuses violations de données'' :
http://www.cerberis.com/actualite-une-protection-des-donnees-plus-intelligente-grace-a-l---identification-133.html)

2) Localiser l'information pertinente
Cette étape consiste à localiser physiquement et logiquement l'information pertinente, et ce, peu importe sa forme, qu'elle soit numérique ou non numérique. De plus en plus, l'information est partagée avec des partenaires, des entités plus ou moins de confiance. Il est nécessaire de reprendre un certain contrôle, ou tout au moins de savoir où se trouve l’information.

3) Définir les rôles et responsabilités de chacun intervenant

Cette étape, très importante, consiste à définir les rôles et responsabilités des propriétaires, des responsables et des détenteurs de l'information. En effet, sans cette étape, il n'y a pas de responsabilisation et donc pas d'imputabilité. Cette étape aidera les détenteurs à appliquer adéquatement les mesures de sécurité selon la sensibilité que leur auront exprimée les responsables et propriétaires de l’information.

4) Établir la grille de sensibilité, base de classification de l'information
Cette étape consiste à définir une classification en termes de critères telles que l'incontournable disponibilité, l'intégrité ou encore la confidentialité. Dans la classe ''confidentialité'' on retrouve, par exemple, les catégories : externe, interne, confidentiel et stratégique.

Cette étape est sujet à discussions, tergiversations car les classifications à vocation universelle ne peuvent faire abstraction d'un point de vue et font, de ce fait, l'objet de nombreuses critiques. Il sera donc pertinent de proposer un niveau de classification corporatif et permettre un niveau de sensibilité supplémentaire et interne à chaque service ou direction.

5) Marquer l'information

Cette étape, enfin, consiste à marquer l'information avec une étiquette (physiquement) ou encore dans un cartouche (logiquement). Le processus de gestion de l’information devient alors simple et intuitif, voire invisible, car les utilisateurs, petit à petit, seront amenés à classifier dès la création de l'information. Cette étape est primordiale pour assurer une pérennité à la classification.

6) Impliquer les utilisateurs
Il est primordial, dès le début de votre projet de mise en œuvre, d'impliquer les utilisateurs par un projet pilote en leur montrant les bénéfices et en gérant le changement de leurs façons de faire.

Lors de cette étape, les utilisateurs se questionneront de nouveau sur la sensibilité de leur information et cela vous permettra d'ajuster la grille de classification.

En suivant ces six étapes, dans un mode d'amélioration continu, la clé de voûte de votre politique de sécurité prendra forme, et ce, peu importent les technologies sous-jacentes.


Désormais, à partir du moment où votre information commencera à être localisée, que des intervenants responsables seront désignés et que l'information sera classifiée selon sa sensibilité, vous commencerez à sortir du brouillard. L'application des mesures de sécurité deviendra plus efficace, plus logique, la surveillance deviendra plus focalisée et la justification des dépenses en mesures organisationnelles ou solutions technologiques de sécurité plus aisées.

Si vous avez des questions, bonifications ou commentaires, elle/ils sont les bienvenu(e)s, merci.

mercredi 2 novembre 2011

Article dans LeSoleil: Apprendre la sécurité par le jeu

Par YTherrein
http://www.cyberpresse.ca/le-soleil/affaires/zone/zone-tic/201111/01/01-4463482-apprendre-la-securite-par-le-jeu.php

(Québec) Dans le monde des technologies de l'information, la sécurité des informations doit être une priorité. C'est le nerf de la guerre dans la société qui mise sur ses réseaux et sa connectivité en temps réel.

Quand des serveurs tombent en panne après avoir été attaqués, comme ce fut le cas avec le réseau PlayStation, des millions d'usagers craignent que leurs informations personnelles, comme les numéros des cartes de crédit, puissent être tombées dans de mauvaises mains. Le réseau PlayStation a été fermé pendant des semaines. Même chose avec le réseau des BlackBerry de Research in Motion qui a subi une panne majeure de son réseau d'information. Sa réputation de fiabilité et de sécurité a été ébranlée.

Si l'on peut implanter des mesures dans le réseau informatique pour protéger certaines données et assurer sa fiabilité, il reste un maillon faible dans la chaîne : l'humain. Ce sont des humains qui gèrent et utilisent les systèmes de traitement des informations, mais ils n'ont pas toujours la même sensibilité quant à l'importance de protéger adéquatement les informations physiques ou numériques passant entre leurs mains.

Christophe Jolivet, de PR4GM4 (pragma), une entreprise spécialisée dans les services-conseils en sécurité de l'information, a décidé de passer par le jeu pour faire en sorte que les membres d'une entreprise prennent conscience de la problématique de la gestion des risques de la sécurité des informations en se basant sur la norme internationale ISO 27000.



Son jeu nommé P4r4risque (pararisque) s'inspire du Monopoly. Contrairement au populaire jeu de planche, P4r4risque ne vise pas à faire de l'argent, mais à provoquer une discussion autour des mesures de protection qu'il faut acheter pour être en sécurité, des trans­ferts avec les autres joueurs, les collègues, pour arriver à un niveau de sécurité acceptable ou à payer les pertes financières parce que les vulnérabilités du système ont provoqué une perte des données sensibles, par exemple.

«Le jeu comporte deux volets, explique M. Jolivet. D'abord, apprendre aux gestionnaires et au personnel ce que veulent dire la gestion des risques, les menaces et les vulnérabilités dans une entreprise et son réseau. Puis, faire la promotion des 133 objectifs de sécurité de la norme ISO 27000. Notre société doit apprendre à se protéger, protéger son savoir, ses informations sensibles et stratégiques.»

Le jeu utilise des cartes pour une vingtaine de scénarios de menaces et de vulnérabilité touchant la perte ou le vol d'information, les accès non autorisés, volontaires ou non, de même que la modification des informations ou l'impossibilité d'accéder aux données.

Former pour sécuriser

Pour M. Jolivet, toute entreprise qui veut renforcer la sécurité de son organisation à tous les niveaux doit former son personnel parce que les mesures technologiques ne suffisent pas. Plus encore, trop de sécurité nuit à la sécurité. Il faut une juste mesure. Il estime que les membres d'une organisation peuvent apprendre plus dans un cadre ludique que dans la lecture des centaines de pages sur le sujet.

Au Canada, une dizaine d'entreprises auraient l'accréditation à la norme de sécurité ISO 27000. Aux États-Unis, il y en aurait une centaine alors que le Japon en compte près de 4000.
Le jeu est offert dans quatre langues : français, anglais, espagnol et portugais.

Site Web : www.p4r4risque.com

Source:
http://www.cyberpresse.ca/le-soleil/affaires/zone/zone-tic/201111/01/01-4463482-apprendre-la-securite-par-le-jeu.php

samedi 22 octobre 2011

Compréhension de la Loi 133 (a)

Depuis son adoption en juin 2011... la loi portant sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement remue les esprits :)

La nouvelle loi porte sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement dans son ensemble (budget, gestion de projet, sécurité de l’information, etc.).
Elle définit des rôles et responsabilités du Détenteur Principale de l’Information à l’échelle gouvernementale qui dépend du Conseil du Trésor à travers lequel, le gouvernement a voté cette loi à l’Assemblée Nationale et s’attend à ce qu’il gère les risques liés à l’information à portée gouvernementale(1)  - indirectement de chaque ministères et organismes - afin de resserre les façons de faire, de mieux gérer et surtout mieux dépenser les sous de l’état(2) afin d’éviter les dépassement de coûts (et par la même occasion les scandales(3), (4), (5)) tels que ceux rappelés depuis quelques temps dans les médias (6), (7). Encore aujourd’hui averc le rapport Duchesneau...
De plus le CT a émis, depuis plus d’une dizaine d’années un ensemble de politiques, de directives et de guides à destination des différents M/O afin de les guider dans leur tâche vis-à-vis de la sécurité de l’information. Ne pouvant attendre, les M/O ont rédigé les leurs...
A noter que l’avènement de cette loi donne aussi le pouvoir au DPI, au nom du gouvernement et à travers la nouvelle politique-cadre (1), de faire maintenant la vérification de l'application de la politique cadre auprés des M/O. Et ce, de façon plus ''officielle'' pourquoi pas avec le temps de façon plus coercitive...
Notons également que le groupe de travail du CT qui s’occupe entre autre de la gestion des risques de la sécurité de l’information à l’échelle gouvernementale attend à ce que ces documents & orientations soient indexées, reliées de quelques manières que ce soit à cette nouvelle loi par le biais de la politique-cadre afin de leur donner une certtaine légitimité. Ces orientations se déclinent en 4 documents qui sont :
-       Cadre gouvernementale de la sécurité de l’information
-       Stratégie de gestion des risques à portée gouvernementales en matière de sécurité de l’information
-       Directive sur la sécurité de l’information gouvernementale
-       Approche stratégique gouvernementale de sécurité de l’information
1.1.  Analyse de la politique-cadre (1)
Notons que la politique cadre est antérieur à la loi 133. On peut lire page 10 l’objectif du gouvernement (Comment?):
Avec la politique-cadre et le projet de loi qui lui conférera la portée requise, le gouvernement dotera l’administration publique québécoise d’une nouvelle philosophie de gestion des ressources informationnelles.

On y peut lire en page 10 :
Au titre de la sécurité de l’information, la politique-cadre prévoit la révision de la Directive sur la sécurité de l’information gouvernementale ainsi que l’élaboration et la mise en oeuvre d’un cadre gouvernemental de gestion et d’une approche stratégique triennale. La production annuelle d’un rapport concernant les risques sur la sécurité de l’information de portée gouvernementale ainsi que la promotion de la sensibilisation à la sécurité de l’information figurent également parmi les énoncés de la politique-cadre pour contribuer à consolider la confiance des citoyens et des entreprises à l’égard des services gouvernementaux.

On y peut lire également : L’importance de la reddition de comptes attendue témoigne de la volonté de transparence du gouvernement à cet égard.

La quatrième partie de cette politique traite de la sécurité de l’information. Voici ce qui est écrit (Quoi?) :
Le quatrième objectif de la Politique-cadre sur la gouvernance et la gestion des ressources informationnelles des organismes publics vise à assurer la sécurité de l’information et, ainsi, à maintenir et à rehausser la confiance des citoyens et des entreprises à l’égard de l’État et des services publics. À cet effet, le gouvernement entend contribuer à l’atteinte des objectifs par cinq actions :
·         réviser la Directive sur la sécurité de l’information gouvernementale, adoptée en 2006;
·         élaborer et mettre en oeuvre un cadre gouvernemental de gestion de la sécurité de l’information;
·         élaborer et mettre en oeuvre une approche stratégique triennale de sécurité de l’information;
·         élaborer et mettre en oeuvre un cadre de gestion des risques et des incidents de portée gouvernementale;
·         promouvoir la sensibilisation en matière de sécurité de l’information.

On y peut lire également cet objectif (Qui?) à la page 48:

désigner des responsables ministériels de la sécurité de l’information, permettant d’assurer une circulation de l’information entre le dirigeant principal de l’information et l’organisme





vendredi 5 août 2011

JUGGLE WITH THE INFORMATION (NOT Information Technology) RISK

Why the IT Governance has failed?

We can read too:
" Whether we like it or not, information technology has become ubiquitous and essential in both ongoing operation and strategic development of almost all organizations. But information technology is troublesome – it can and frequently does go wrong and the consequences of failure can be serious. ''

' the current and future use of information technology includes significant risks for individuals, communities, corporations and governments. It is arguable that the scope of risk today extends to the environment and the entire world. ''

'' But, there is no convincing evidence that following any of the IT Governance guidelines will lead to superior business performance (Young, 2006). ''

SO...
1) To start: Definition
Information = Information in its most restricted technical sense is an ordered sequence of symbols that record or transmit a message. It can be recorded as signs, or conveyed as signals by waves. Information is any kind of event that affects the state of a dynamic system. As a concept, however, information has numerous meanings.[1] Moreover, the concept of information is closely related to notions of constraint, communication, control, data, form, instruction, knowledge, meaning, mental stimulus, pattern, perception, representation, and especially entropy.
BUT we can read too:
The English word was apparently derived from the Latin stem (information-) of the nominative (informatio): this noun is in its turn derived from the verb "informare" (to inform) in the sense of "to give form to the mind", "to discipline", "instruct", "teach": "Men so wise should go and inform their kings." (1330) Inform itself comes (via French informer) from the Latin verb informare, to give form, to form an idea of. Furthermore, Latin itself already contained the word informatio meaning concept or idea, but the extent to which this may have influenced the development of the word information in English is not clear.
Information technology (IT) = the word of computer/server/Internet, information system = datas = 0/1 = It's a tool, a support of know
Information technology (IT) is the acquisition, processing, storage and dissemination of vocal, pictorial, textual and numerical information by a microelectronics-based combination of computing and telecommunications.[1] The term in its modern sense first appeared in a 1958 article published in the Harvard Business Review, in which authors Leavitt and Whisler commented that "the new technology does not yet have a single established name. We shall call it information technology (IT)."[2]
  
The information can be into computer/server/database, a head of human or on paper in a binder (regardless of support) = it's an asset for the corporate to achieve its business objectives
2) To continue: history
History of information = as old as the world human to achieve objectives
History of IT:
1975 = Bill Gates & Paul Allen form Micro-soft
1995 = I work whit Windows 3.1 and the coaxial network is the best... Internet, print in network and mail
2005 = Windows XP is around the World
2010 = Today
History of information technology (IT) director, the ''old'' CIO term:
maybe about 30 years... the first job description.
History of ''new'' CIO term:
Since the world distinguishes the information (regardless of support) from the IT... ISO27002 in 2005, ISO27005 in 2008, ISO31000 in 2009
effectively the work of CIO isn't just IT now...
Reason of CTO appear (the old CIO term)
A chief technology officer is a top corporate executive who makes decisions regarding the development and application of new technologies. He or she often oversees engineers and technical professionals in the research and design of new products and systems. In addition, the chief technology officer often becomes involved in marketing and accounting strategies that utilize information technology (IT) systems. He or she meets regularly with other executives to discuss the success of the business and determine ways to improve profits. In order to fulfill the vast responsibilities of a chief technology officer, an individual must have very strong leadership, communication, and problem solving skills.
3) Conclusion
The information (not IT) is the cornerstone... in computers (IT), on paper or in the heads of employees! It is this one we must properly use and protect. = it's an asset for the corporate to achieve its business objectives
The board must go back to basics (information), please!

--
Christophe Jolivet
ITIL, ABCP, CRISC, ISO 27001 Lead Implementer, ISO 27005 Risk Manager
Pr4gm4tique = Qui se fonde sur l'action, les résultats concrets et l'efficacité
Pr4gm4tic = Which is based on action, the concrete results and effectiveness
Incubator of:

mardi 2 août 2011

Gouvernance de l'information : Vision 2012 de SA.GOV.AU

A la recherche d'informations sur les rôles et responsabilités des CIO vs CTO et du CISO....

SA.GOV. AV est le gouvernement du sud de l'Australie.

Nous pouvons lire sur le site: '' By 2012 the Government of South Australia will be a role model for other Australian governments in the leadership and management of ICT by:
  • transforming government services so that citizens and businesses Ask Just Once to receive what they need from their government
  • enabling continuous improvement in the operational efficiency of government.
This will ensure that the community of South Australia will maintain their trust and confidence in the services and information provided by the Government of South Australia.''

http://www.sa.gov.au/government/entity/1670/About+us+-+Office+of+the+Chief+Information+Officer/Who+we+are/Vision+and+mission

ICT = Information Communication Technology (ICT)

Ailleurs sur le site on peut lire: 
Role of the CIO and CTO : ''The Chief Information Officer (CIO) is an advisor to the Minister for Infrastructure, Cabinet and the Senior Management Council on the value of Information Communication Technology (ICT) investments and prioritising ICT investment across-government. The CIO also assumes responsibility for the functions of Chief Technology Officer (CTO) and Principal Contract Administrator.''
Comment en 2012, le CIO peut-il assumer aussi les responsabilités d'un CTO?

A la recherche du rôle de CISO sur le site.... je ne trouve rien... par contre une multitude de politique, guides, normes sur la sécurité de l'information à caractère technologique... englobant la continuité des affaires, etc.

Rien sur la notion de gestion de la sécurité de l'information non numérique à l'échelle corporative.... Le CIO est encore un gestionnaire TI.

Qu'en pensez-vous?

vendredi 29 juillet 2011

LA GOUVERNANCE D'ENTREPRISE ET LA SÉCURITÉ DE L'INFORMATION

Dans le manuel de préparation au CISA 2009, page 88 il est fait mention de ce qu'est la gouvernance selon l'OCDE: "Le gouvernement d’entreprise (ou gouvernance) est l’un des principaux facteurs d’amélioration de l’efficience et de la croissance économiques et de renforcement de la confiance des investisseurs. Le gouvernement d’entreprise fait référence aux relations entre la direction d’une entreprise, son conseil d’administration, ses actionnaires et d’autres parties prenantes. Il détermine également la structure par laquelle sont définis les objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurer une surveillance des résultats obtenus. Un gouvernement d’entreprise de qualité doit inciter le conseil d’administration et la direction à poursuivre des objectifs conformes aux intérêts de la société et de ses actionnaires et faciliter une surveillance effective des résultats obtenus. L’existence d’un système de gouvernement d’entreprise efficace, au sein de chaque entreprise et dans l’économie considérée dans sa globalité, contribue à assurer la confiance nécessaire au bon fonctionnement d’une économie de marché. Il en résulte une diminution du coût du capital et un encouragement pour les entreprises à employer plus efficacement leurs ressources, et ce faisant, à alimenter la croissance."

Ce document date de 2004 et pas un mot de la sécurité de l'information. Le manuel CISA lui, date de 2009. Nous sommes en 2011. Ou en est-on de la gouvernance, en pratique? Ou en est-on de la place de la sécurité de l'information dans son ensemble (TI et non-TI) ?
Encore aujourd'hui, les organismes ont du mal à situer le CIO, CISO, RSSI, ALT, ont du mal à définir clairement leurs relations, rôles et responsabilités.
Pourtant les bris de sécurité liés à l'information ne manquent pas...vol, perte, consultation ou modification volontaire/involontaire ont des répercussions telles que la mauvaise réputation et la perte de profits.

A noter que les Lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information (VERS UNE CULTURE DE LA SÉCURITÉ) datent de 2002, presque 10 ans déjà...

dimanche 22 mai 2011

P4R4RISQUE : UN SUPPORT INSPIRÉ DU MONOPOLY POUR FAIRE ADHÉRER L’ENTREPRISE A UNE DÉMARCHE DE SÉCURITÉ ISO27000

Par Dominique Ciupa

Christophe Jolivet, expert SSI français vivant à Québec depuis 12 ans, propose une formation et surtout un support à destination des organisations/entreprises pour les faire adhérer à une démarche de gestion de risques de sécurité d’information. Une initiative originale qui s’appuie notamment sur les normes ISO 27002 et ISO 27005 et vise à les rendre accessibles à tous.

La sécurité de nos systèmes d’information passe désormais par une phase préalable de gestion des risques. Ce point est incontournable et partagé par l’ensemble des professionnels de la sécurité de l’information. La gestion des risques TI n’est en effet pas une simple question d’expert en sécurité des SI, mais doit être orientée par toutes les directions métier de l’entreprise. Ce sont elles qui doivent exprimer leurs besoins en termes de disponibilité, d’intégrité et de confidentialité de l’information. Information avec laquelle elles travaillent dans le contexte de l’entreprise. Ce sont elles aussi qui doivent expliquer les événements redoutés et ainsi permettre de mieux comprendre la nature des impacts sur les affaires en cas d’évènements indésirables liés aux TI et la vraisemblance de ces impacts. In fine, ce sont elles qui peuvent apprécier les risques et établir le lien nécessaire avec la direction générale de l'entreprise.

De son côté, l’expert en sécurité, donne des recommandations pour parer ces risques, mais ne peut rien sans le reste des acteurs de l’entreprise (sauf imposer des mesures injustifiées qui risqueront d’être rejetées…).

En d’autre termes, faire la promotion de mesure de sécurité sans prise en compte du contexte, imposer à l’ensemble de ses employés, décideurs compris des cours magistraux sur les normes de la famille ISO 27000 ne peut qu’entraîner rejet, refus, et opposition catégorique.
Christophe Jolivet (cjolivet@pr4gm4.com) propose une approche ludique pour recevoir l’adhésion de ces personnes et les inciter à échanger sur la sécurité de l’information par le biais de son support convivial. Avec « P4R4RISQUE », il met en scène un ensemble de scénarios de risques devant être gérés (accepter, transférer, refuser ou réduire) par l’acquisition de mesures de sécurité de différents types tels que la journalisation, la gestion des accès, la surveillance et la gestion des configurations. Les bonnes pratiques de l’ISO 27002 y sont présentées ainsi que la démarche de gestion des risques de sécurité de l’information ISO 27005 afin de sensibiliser son auditoire aux concepts de la SSI.

Ce qui était rébarbatif et repoussant devient alors ludique et pédagogique afin d’améliorer la compréhension et ainsi assurer une meilleure rétention des bonnes pratiques . Une manière habille pour initier et supporter la mise en œuvre d’un SMSI à travers un programme de sensibilisation.

P4R4RISQUE est disponible en plusieurs langues et est personnalisable pour chaque entreprise :

www.p4r4risque.com www.p4r4riesgo.com www.p4r4risk.com

Un outil à examiner pour tout projet de mise en œuvre d'un SMSI.
lien: http://www.mag-securs.com/News

vendredi 22 avril 2011

Academos vous remercie d'être là pour eux

Par Phone Inthavong, Agent régional Capitale-Nationale et Chaudière-Appalaches

Bonjour monsieur Jolivet,
Dans la cadre de la Semaine de l'action bénévole, l'équipe d'Academos tient à vous remercier chaleureusement pour l'appui que vous apportez aux jeunes dans leur choix professionnel depuis plus de 20 mois.
Grâce à vous, les jeunes peuvent poser des questions, émettre des commentaires ou réflexions sur le métier qu'ils aimeraient faire, et ce, sans avoir peur d'être jugés.
Saviez-vous qu'avec votre appui, Academos existe depuis plus de 11 ans et que durant toutes ces années vous avez aidé près de 64 000 jeunes à travers le Québec?
Nous vous encourageons à continuer à vous investir pour la relève et à partager vos connaissances et votre savoir, car la nouvelle génération a besoin de vous.

lien: http://www.academos.qc.ca

mardi 22 mars 2011

PR4GM4 inc. est nommée dans un article du journal Les Affaires

Déjouer les pirates dans les nuages, par Julien Brault

Les principaux fournisseurs de solutions d'informatique en nuage disposent d'infrastructures plus sécuritaires que la plupart des PME québécoises. Cependant, les nuages ne sont pas à l'abri des pirates, dont les navires n'écument plus seulement les mers, mais s'attaquent maintenant aux cieux.

Selon le Montréalais Michael Calce, alias Mafiaboy, aucun serveur n'est totalement à l'abri, et l'informatique en nuage ne fait pas exception. Pire, les pirates informatiques s'intéressent d'autant plus aux services d'hébergement en nuage, comme Amazon Web Services ou Windows Azure, qu'une immense quantité d'information y est entreposée.
Il est toutefois possible de diminuer les risques en prenant des précautions et en adoptant des solutions conformes à ses besoins en matière de sécurité.

L'erreur est humaine La sécurité informatique, qui est un enjeu pour le moins technique, a cela de particulier que le facteur humain est probablement sa composante la plus importante. Christophe Jolivet, président de la firme de conseils en sécurité informatique PR4GM4, explique d'ailleurs qu'il existe trois principales façons de s'introduire dans un système, dont deux sont du ressort de l'être humain.
" Premièrement, un pirate peut exploiter une vulnérabilité de votre système ; ensuite, il peut profiter d'une mauvaise configuration de votre système pour y entrer ; finalement, il peut manipuler vos employés pour obtenir d'eux leur mot de passe. "
Ainsi, si le client qui opte pour l'informatique en nuage n'a pas le plein contrôle sur l'aspect technique, il peut toutefois s'assurer de la vigilance de ses employés.
La formation en entreprise est ainsi très importante lorsqu'on adopte une solution d'informatique en nuage. " Lors de nos formations, on incite les employés à ne pas choisir des mots de passe faibles (voir les conseils ci-contre) et à changer leurs mots de passe régulièrement ", explique Cédric Vergé, président d'EasyCloud.
Des imprudences dans la gestion d'un serveur en nuage peut également être à l'origine d'une fuite. " Lorsqu'on loue des serveurs virtuels auprès d'Amazon, on est soumis aux mêmes règles de base de sécurité qu'avec n'importe quel serveur physique ", prévient Hugo Bouchard, dont l'entreprise, Intellicloud Technologies, représente notamment Amazon Web Services.

Une question de normes

Avant de choisir un fournisseur, il importe de vérifier s'il a obtenu l'une des deux principales certifications en matière de sécurité. La plus répandue chez les fournisseurs de logiciels en nuage est la norme américaine SAS 70, qui ne porte pas précisément sur la sécurité, mais sur le respect des procédures de toute nature. Google Apps et Box.net sont certifiés SAS 70.

Pour lire la suite:
lien:
http://www.lesaffaires.com/archives/generale/dejouer-les-pirates-dans-les-nuages/528274