Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management

cobit 5

publicité 
ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L’INFORMATION AVEC COBIT 5
CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC… 6 FÉVRIER 2013
http://www.isaca‐quebec.ca
VOLET GOUVERNANCE
Ordre du jour
 Introduction/Objectifs;
 Survol de Cobit 5;
 Avancées majeures de Cobit 5 en sécurité de l’information:  Gouvernance selon Cobit 5 pour la sécurité de l’information;  Gouvernance de la sécurité des équipements mobiles;
 Gouvernance reliée au Cloud
 Modèle d’implantation de Cobit 5
2
INTRODUCTION
COBIT 5 peut être utilisé
•Intégralement
•Partiellement
•En complément
3
OBJECTIFS – VOLET GOUVERNANCE
Objectifs
 Préciser sous le volet de la gouvernance et des aspects de gestion, les avancées de COBIT 5 en terme de sécurité de l’information.
Note : Concernant le vocabulaire utilisé… ex : Catalyseur/enabler
4
COBIT 5 VERSUS 4.1
•COBIT 5 s'appuie et intègre les éléments de la
précédente version de COBIT
•
•
•
•
COBIT 4.1
Val IT
Risk IT
Bussiness Model for Infornation Security (BMIS)
•Les entreprises peuvent s'appuyer sur les outils
qu’ils ont développés à l'aide des versions
antérieures…
5
NORMES ET BONNES PRATIQUES
6
PRINCIPAUX ENJEUX DE LA GOUVERNANCE DES TI
La gouvernance des TI vise à répondre à 5 objectifs de contrôle: 1
Aligner les investissements TI sur les besoins d’affaires.
2
Évaluer et gérer les risques technologiques et d’affaires
3
Gérer les ressources humaines et matérielles
4
Mesurer la performance des TI
5
S’assurer que les investissements TI sont sources de plus value
Création de
la valeur
7
CRÉATION DE LA VALEUR
Créer de la valeur
8
9
COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA CRÉATION DE LA VALEUR
Analyse risques
Traitement risques
Suivi et contrôle
Gérer ressources TI
de l’organisation
Réduire risques à
un niveau
acceptable
10
COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA CRÉATION DE LA VALEUR
Analyse risques
Traitement risques
Suivi et contrôle
11
COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA CRÉATION DE LA VALEUR
Analyse risques
Traitement risques
Suivi et contrôle
Gérer ressources TI
de l’organisation
Réduire risques à
un niveau
acceptable
Créer de la valeur
COBIT 5 aide les organisation à créer de la valeur
par la gestion équilibrée des ressources TI et la
réduction des risques à un niveau acceptable.
12
LA DISTINCTION GOUVERNANCE ET MANAGEMENT/GESTION
Management/Gestion
Gouvernance
Planifier
Évaluer
Surveiller
Mesurer
Diriger
.
Concevoir
.
Processus
Réaliser
 Gouvernance: évaluer, diriger, mesurer la réalisation des objectifs d’affaires,
ainsi que la conformité aux lois et règlements.
La gouvernance relève du conseil d’administration sous la direction du Président
 Management/Gestion: planifier, concevoir, réaliser et surveiller la mise en
œuvre des orientations d’affaires définies par la gouvernance.
Le management est sous la responsabilité de la Direction générale qui relève du
CEO (chief executive officer)
13
COBIT 5: UN RÉFÉRENTIEL APPLICABLE À TOUT TYPE D’ORGANISATION Les principes et les catalyseurs développés par COBIT 5
sont applicables aux organisations de toute sorte et de
toute taille:
 Organisations gouvernementales et
municipales;
 Firmes de services-conseils;
 Organisations industrielles et
commerciales;
 Établissements bancaires,
d’assurances;
 Organisations sans but lucratif
(OSBL)...
14
COBIT 5 ET LA SÉCURITÉ DE L’INFORMATION
COBIT 5 traite spécifiquement de la sécurité de
l’information:
 En mettant l’accent sur la nécessité d’un système de gestion
de la sécurité de l’information aligné sur le domaine
“Align, Plan and Organise” notamment le processus
APO13 Gestion de la sécurité de l’information;
 Le processus APO13 met l’emphase sur la nécessité d’un
système de gestion de la sécurité de l’information (SGSI)
pour soutenir les principes de gouvernance et les objectifs
d’affaires impactés par la sécurité, en liaison avec le
domaine « Evaluate, direct and monitor »
15
TROIS AVANCÉES MAJEURES EN SÉCURITÉ DE L’INFORMATION !
 COBIT 5 pour la sécurité de l’information;  La sécurité des équipements mobiles avec COBIT 5
 Objectifs de contrôle TI pour le Cloud
16
17
JUSQU’OÙ ALLER DANS LA SÉCURITÉ ?
18
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
1. Principes, Politiques, Cadre de référence « Framework »
19
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
2. Processus
1. Principes, Politiques, Cadre de référence
20
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
2. Processus
21
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
2. Processus
3. Structure organisationnelle
1. Principes, Politiques, Cadre de référence 22
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
3. Structure organisationnelle
23
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
2. Processus
3. Structure organisationnelle
4. Éthique,
culture organisationnelle
1. Principes, Politiques, Cadre de référence 24
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
4. Éthique, culture organisationnelle
25
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
2. Processus
3. Structure organisationnelle
4. Éthique,
culture organisationnelle
1. Principes, Politiques, Cadre de référence 5. Information
Ressources de l’Organisation
26
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
5. Information
27
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
2. Processus
3. Structure organisationnelle
4. Éthique,
culture organisationnelle
1. Principes, Politiques, Cadre de référence 5. Information
6. Services, applications
et infrastructure
Ressources de l’Organisation
28
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
6. Services, applications et infrastructure
29
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
2. Processus
3. Structure organisationnelle
4. Éthique,
culture organisationnelle
1. Principes, Politiques, Cadre de référence 5. Information
6. Services, applications
et infrastructure
7. Profils de personnes
et compétences
Ressources de l’Organisation
30
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5 POUR LA SI
7. Profils des personnes et compétences
31
MODÈLE GÉNÉRIQUE POUR LA MISE EN ŒUVRE DES CATALYSEURS
Approche selon Cobit 5 pour la SI
Gestion
performance
catalyseur
Dimensions
catalyseur
Parties prenantes
•Internes;
•Externes.
Les besoins des parties prenantes sont ils adressés ?
Objectifs
Cycle de vie
• Qualité intrinsèque;
•Qualité contextuelle;
•Accessibilité et
sécurité
Planifier, Modéliser,
concevoir, acquérir,
opérer, évaluer,
mettre à jour,
disposer
A ‐ t‐on défini les objectifs ?
Le cycle de vie est‐il géré ?
Métriques pour mesurer l’atteinte des objectifs
(Lag indicators)
Bonnes pratiques
Adapter selon le
catalyseur
Applique t‐on les bonnes pratiques ?
Métriques pour l’application des catalyseurs
(Lead indicators)
32
CATALYSEUR 1: PRINCIPES, POLITIQUES ET CADRE DE RÉFÉRENCE EN SI
Véhicules utilisés pour communiquer
les orientations de l’entreprise en
relation avec les objectifs de
gouvernance définis par le conseil
d’administration et la Direction
exécutive.
33
CATALYSEUR 1: PRINCIPES, POLITIQUES ET CADRE DE RÉFÉRENCE EN SI
Approche selon Cobit 5 pour la SI
Politiques
Intrants
Principes en sécurité
Politique de sécurité
• Informations obligatoires;
• Standards, normes de sécurité;
• Modèles et référentiels
Politiques spécifiques de sécurité
Procédures de sécurité
Exigences de sécurité et documentation
•Informations génériques;
• Standards, normes de sécurité;
• Modèles et référentiels
34
PRINCIPES EN SÉCURITÉ DE L’INFORMATION
•Véhicules utilisés pour vulgariser les orientations de sécurité en relation avec les objectifs de gouvernance.
•ISACA, ISF et ISC ont développé des principes en SI orientés sur 3 axes: 35
PRINCIPES EN SÉCURITÉ DE L’INFORMATION
1. Soutenir les affaires
2. Sécuriser les actifs
• Intégrer la SI dans les
activités d’affaires
essentielles;
•Évaluer et traiter les
risques de sécurité;
•Promouvoir une culture
d’amélioration continue en
SI
• Définir une approche
formelle pour gérer les
risques;
•Catégoriser/classifier
les actifs;
•Adopter des méthodes
de développement
sécuritaire
3. Sensibiliser les
ressources
•Sensibilisation afin
d’obtenir des réflexes
de sécurité;
•Implication de la
haute direction
36
POLITIQUES EN SÉCURITÉ DE L’INFORMATION
Traduire sous forme de règles les principes de sécurité définis ainsi que leurs interrelations avec les processus décisionnels. Doivent être adaptées à la culture et au contexte organisationnel de l’entreprise. Types de politique
• Politique de continuité et de reprise après sinistre
Portée dans la fonction SI
 Analyse d’impact d’affaires (BIA); Plans de contingence d’affaires;
Exigences de relève pour les systèmes critiques; Plan de reprise après sinistre (DRP); Formation et tests du plan de reprise….
37
POLITIQUES EN SÉCURITÉ DE L’INFORMATION
Types de politique
•Politique de gestion des actifs
Portée dans la fonction SI
 Classification des données; Propriété des données; Gestion du cycle de vie des actifs;
Mesures de protection des actifs…
38
POLITIQUES EN SÉCURITÉ DE L’INFORMATION
Types de politique
Portée dans la fonction SI
Définir les exigences de sécurité dans les processus d’acquisition ou de • Politique d’acquisition, de développement;
développement et maintenance Pratiques de codage sécuritaire;
Tester tester tester…
des systèmes et solutions logicielles
 Intégrer la sécurité de l'information dans la gestion des changements et des configurations.
39
CATALYSEUR 2: PROCESSUS EN SÉCURITÉ DE L’INFORMATION
Les processus décrivent, suivant un ordre séquentiel, les intrants et extrants nécessaires pour l’atteinte des objectifs de contrôle en sécurité de l’information.
Composants des processus selon Cobit 5 pour la SI
Identifier le processus
Décrire le processus
Définir le processus
Définir les buts et métriques du processus
Activités du processus (Description détaillée )
40
ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L’INFORMATION
Area: Management
Domain: APO
APO001 Manage the IT Management Framework
Description du processus: Clarifier et maintenir la gouvernance TI au sein de l'entreprise. Mettre en œuvre et promouvoir les mécanismes et l’autorité nécessaire pour gérer l'information et l'utilisation des TI à l'appui des objectifs de gouvernance.
Déclaration d’intention
Fournir une approche de gestion cohérente afin de réaliser les exigences de gouvernance d'entreprise incluant les processus de gestion, et les structures organisationnelles (rôles et responsabilités) ...
Objectifs spécifiques à la sécurité
Métriques spécifiques à la sécurité
1. S’assurer de l’alignement de la sécurité avec les TI, cadres méthodologiques et référentiels d’entreprise.
• % des activités de sécurité à l’intérieur du portefeuille de projets qui sont alignés sur la stratégie d'entreprise.
Description détaillée des activités (exemple)
Intrants APO01.06: Définir la propriété des données et des systèmes.
APO01.05 : Définition et positionnement de la fonction SI à l’intérieur de l’organisation.
Extrants
APO11.01: Rôles et responsabilités en SI
DSS05.02 : Lignes directrices pour la classification des données. Activités spécifiques à la sécurité: 1.Définir la propriété des systèmes et des données à l’intérieur des processus de gestion de la sécurité;
2.Assigner un responsable de la sécurité des systèmes et des données à l’intérieur des processus de gestion de la sécurité
41
ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L’INFORMATION
APO001 Manage the IT Management Framework
Area: Management
Domain: APO
Description du processus: Clarifier et maintenir la gouvernance TI au sein de l'entreprise. Mettre en œuvre et promouvoir les mécanismes et l’autorité nécessaire pour gérer l'information et l'utilisation des TI à l'appui des objectifs de gouvernance.
42
ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L’INFORMATION
APO001 Manage the IT Management Framework
Area: Management
Domain: APO
Déclaration d’intention
Fournir une approche de gestion cohérente afin de réaliser les exigences de gouvernance d'entreprise incluant les processus de gestion, et les structures organisationnelles (rôles et responsabilités) ...
43
ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L’INFORMATION
APO001 Manage the IT Management Framework
Objectifs spécifiques à la sécurité
1. S’assurer de l’alignement de la sécurité avec les TI, cadres méthodologiques et référentiels d’entreprise.
Area: Management
Domain: APO
Métriques spécifiques à la sécurité
• % des activités de sécurité à l’intérieur du portefeuille de projets qui sont alignés sur la stratégie d'entreprise.
44
ARCHITECTURE DE PROCESSUS EN SÉCURITÉ DE L’INFORMATION
APO001 Manage the IT Management Framework
Area: Management
Domain: APO
Description détaillée des activités (exemple)
Intrants APO01.06: Définir la propriété des données et des systèmes.
APO01.05 : Définition et positionnement de la fonction SI à l’intérieur de l’organisation.
Extrants
APO11.01: Rôles et responsabilités en SI
DSS05.02 : Lignes directrices pour la classification des données. Activités spécifiques à la sécurité: 1.Définir la propriété des systèmes et des données à l’intérieur des processus de gestion de la sécurité;
2.Assigner un responsable de la sécurité des systèmes et des données à l’intérieur des processus de gestion de la sécurité
45
CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI.
CISO
Responsabilités du CISO :
• Établir et maintenir le SMSI
• Définir et gérer le plan de gestion/traitement des risques et le
plan de reprise
• Contrôle et audit du SMSI
Niveau d'autorité : Responsable/imputable de la mise en œuvre
et du maintien de la stratégie de sécurité de l'information.
La reddition de comptes (imputabilité) et l'approbation des
décisions importantes reliées à la sécurité de l’information.
46
CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Comité directeur/sécurité
•Regrouper les spécialistes qui permettront de
bien gérer la sécurité de l’information en
entreprise.
Exemples : RH-Auditeurs internes-Légal etc.
•Communication des bonnes pratiques de
sécurité de l’information de même que leur
implantation et suivi.
47
CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Comités de gestion des risques d’entreprises
• Responsable de certains processus ou
applications d’affaires
•Responsable de communiquer les liens entre les
affaires et la sécurité (impacts sur les usagers)
•Connaissance des risques reliés à l’opération de
même que les coûts/bénéfices des besoins de
sécurité pour les directions
48
CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Responsable de la sécurité de l’information
•Développe une vision commune pour l’équipe de
sécurité et le reste de l’entreprise
•Gère le personnel relié à la sécurité de l’information
en fonction des besoins d’affaires
•Effectue les évaluations de risque et définit les profils
de risque
•Développe le plan de sécurité de l’information
•Surveille les indicateurs de gestions reliés à la SI
•Identifie/communique les besoins en sensibilisation
•Responsable de l’adhésion des ressources et de la
haute direction aux bonnes pratiques de sécurité
49
CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Propriétaires de processus / responsables de la sécurité des données et des systèmes
•Communiquer, coordonner et conseiller
l’entreprise sur les efforts requis pour gérer les
risques avec les gestionnaires hiérarchiques
•Rapporter les changement dans les besoins
d’affaires et les stratégies liés aux nouveaux
produits ou aux changements des produits
existants
•Responsable de rendre plus visible les aspects
de sécurité de l’information au travers de toute
l’entreprise.
50
CATALYSEUR 3
STRUCTURES ORGANISATIONNELLES EN SI
Modèle générique de structure organisationnelle basé sur COBIT 5 pour la SI.
CISO
Collabore avec Comité directeur en sécurité
Soutenus par: Responsable de la sécurité de l’information
Comités de gestion des risques d’entreprises
Propriétaires de processus / responsables de la sécurité des données et des systèmes
51
EXEMPLE DE STRUCTURE ORGANISATIONNELLE LE COMITÉ DIRECTEUR EN SI (EXEMPLE)
Comité directeur en SI
Composition
Responsabilités
Chief Information security officer (CISO)
• Préside le comité directeur en SI; • S’assure de la collaboration entre le comité directeur et le comité de gestion des risques d’entreprise • Responsable de la sécurité de l’information à la grandeur de l’entreprise. Conception des communications, mise en œuvre et suivi des pratiques
Responsable de la sécurité de l’information
Propriétaires de processus / responsables de la sécurité des données et des systèmes Lorsque requis, traite de la conception des solutions avec les architectes en sécurité de l’information afin de mitiger les risques identifiés.
• Responsable de certains processus ou applications d’affaires; • Responsable de la communication de certaines initiatives d’affaires qui peuvent avoir des incidences sur la sécurité de l’information, ou de pratiques qui peuvent impacter les utilisateurs finaux;
• Avoir une bonne compréhension des risques opérationnels, les coûts et bénéfices de la sécurité de l’information ainsi que les exigences de sécurité de leurs domaines d’affaires. Gestionnaires TI
Formalise des rapports sur l'état des TI ainsi que les initiatives liées à la sécurité de l'information
Représentants de fonctions spécialisées
Présence de certaines fonctions spécialisées lorsque requis (représentants de l'audit interne, ressources humaines, juridiques, la gestion du projet);
Ces fonctions peuvent être invitées à l'occasion ou en tant que membres permanents. Possibilité d'avoir des représentants de l'audit interne afin de conseiller le comité sur les risques de conformité.
52
CATALYSEUR 4: ÉTHIQUE, CULTURE ET COMPORTEMENTS EN SI
Éthique organisationnelle:
« Valeurs sur lesquelles l’organisation veut évoluer »
Éthique individuelle
« Valeurs intrinsèques à chaque individu au sein de l’organisation » Leadership
« Moyens pouvant influencer le comportement désiré » Comportement 1
Prise en compte
de la sécurité de
l’information dans
les opérations
quotidiennes.
Comportement 2
Respect de
l'importance des principes et politiques en sécurité de l’information
Comportement 3
Chacun est responsable de la protection de l’information au sein de l'entreprise
…8
Comportement n
Les parties
prenantes sont sensibles aux risques en sécurité de l’information
53
CATALYSEUR 5: INFORMATION
Gérer le cycle de vie de l’information S’assurer de la destruction sécurisée de l’information
Identifier, collecter et classifier l’information. Stockage de l'information (fichiers électroniques, bases de données, entrepôts de données….)
S’assurer de la disponibilité de l’intégrité et de la confidentialité de l’information Utilisation de l’information (décisions de gestion, exécution des processus automatisés…..)
54
CATALYSEUR 7: PROFILS ET COMPÉTENCES DES PERSONNES EN SI
COBIT 5 pour la sécurité de l’information fournit des exemples d’aptitudes et de compétences liés à la fonction SI (un exemple).
Spécialiste en gouvernance de la sécurité
Exigences
Description
Expériences
Plusieurs années d'expérience en SI: • Concevoir et mettre en œuvre des politiques de sécurité informatique;
• S’assurer de la conformité avec la réglementation externe;
• Aligner la stratégie de sécurité de l'information avec la gouvernance d’entreprise;
• Communiquer avec la direction exécutive
Certifications pertinentes
CISM
Connaissances
Aptitudes :
• Définir les mesures de sécurité spécifiques à la gouvernance de la SI
• Créer un modèle de mesure de la performance • Élaborer une analyse de rentabilité des investissements en sécurité de l’information
Connaissances:
• Exigences légales et réglementaires concernant la sécurité des informations
• Rôles et responsabilités nécessaires à la sécurité de l'information dans toute l'entreprise
• Concepts fondamentaux en gouvernance de la SI
• Normes internationales, cadres référentiels et bonnes pratiques…
55
CATALYSEUR 6 SERVICES, APPLICATIONS ET INFRASTRUCTURES
56
Securing Mobile Devices Using COBIT® 5 for Information Security
57
LA MOBILITÉ AU SEIN DE L’ENTREPRISE, UNE RÉALITÉ !
Accès aux ressources TI de l’entreprise via différentes plateformes et
connexions réseau.
Serveur
d’annuaires
Serveur
web
Stockage
Serveur fichiers
Pare-feu
Serveur
messagerie
Serveur
BD
Accès depuis des réseaux publics
(aérogares, hôtels, restaurants….)
Accès utilisateurs, réseau interne
58
PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS À LA MOBILITÉ
Risques physiques: vol,
divulgation d’informations confidentielles
L’avènement de la mobilité comporte comme corollaire un accroissement exponentiel des risques de sécurité. 59
PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS À LA MOBILITÉ
Risques technologiques: propagation
de virus dans toute l’infrastructure …
60
PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS À LA MOBILITÉ
RISQUES ORGANISATIONNELS ET OPÉRATIONNELS:
GESTION DES ÉQUIPEMENTS MOBILES, ESPIONNAGE INDUSTRIEL….
61
RÉALISER UN DOSSIER D’AFFAIRES SUR LA MOBILITÉ AU SEIN DE L’ENTREPRISE
 Réaliser des études d’opportunités: L'utilisation d’équipements mobiles doit être liée à une recherche d’efficacité et d’efficience dans la réalisation des objectifs d’affaires;  Plus‐value et bénéfices: S’assurer que l’utilisation d’équipements mobiles est source de valeur ajoutée au sein de l’organisation;
Risques: Identifier et évaluer les risques technologiques (interopérabilité), d’affaires et de sécurité liés à la mobilité
62
NORMALISER L’UTILISATION DES SOLUTIONS MOBILES AU SEIN DE L’ENTREPRISE
Normaliser l’utilisation des équipements mobiles
Politique de sécurité
Politiques et normes
Politique d’utilisation des équipements mobiles
Gestion des équipements mobiles (MDM)
Règles de sécurité
Gestion de la configuration
Équipements Mobiles
Gestion à distance
Définir noyau des applicatifs
63
NORMALISER L’UTILISATION DES SOLUTIONS MOBILES AU SEIN DE L’ENTREPRISE
Centrer les efforts de gouvernance sur l’utilisateur
Politique de sécurité
Politique d’utilisation des équipements mobiles
Politiques et normes
Utilisateur
Exigences minimales
Acceptation des règles
Équipements Mobiles
Gestion par l’utilisateur
Applications à risque
64
GÉRER LE CYCLE DE VIE DES ÉQUIPEMENTS MOBILES (BYOD)
• Contrat d’achat
(clause de sécurité, de
responsabilité…)
• Cycle de test des
équipements;
• Personnalisation
(privilèges utilisateurs)
• Configuration (profil
utilisateur), gestion de
la sécurité;
• Services et
maintenance;
• Formatage /
destruction physique;
• Gestion des
utilisateurs;
• Opérations parallèles
• Gestion des risques /
incidents de sécurité
65
IT Control Objectives for Cloud Computing
66
GOUVERNANCE DANS LE CLOUD
Réaliser un dossier d’affaires
Assurer la continuité des affaires
Conformité légale
Intégrité
Gérer les risques du Cloud
Confidentialité
Gestion de la performance
67
GOUVERNANCE DANS LE CLOUD
•Gérer de manière efficace les risques reliés au Cloud, les projets et les partenaires
•Assurer la continuité des affaires au‐delà du centre de traitement informatique de l’entreprise
•Communiquer clairement les objectifs relatifs au Cloud tant à l’interne qu’à l’externe
•Adaptation rapide, flexibilité , capacité et services… tout change avec le Cloud
•Création d’opportunités et amélioration des coûts
•Assurer une continuité des connaissances • Gérer la conformité
68
69
MODÈLE D’IMPLANTATION DE COBIT 5
Gestion de programme
Gestion du changement
Amélioration continue
70
Gestion de programme
Amélioration continue
Gestion du changement
CONCLUSION (VOLET GOUVERNANCE)
•Réduire la complexité
•Accroire la rentabilité et la satisfaction des clientèles
•Améliorer l’intégration de la sécurité des TI dans l’entreprise
•Prise de décision éclairées avec une meilleure connaissance
des risques
• Amélioration de la prévention, détection et reprise des
opération
• Réduction des impacts des incidents de sécurité
• Meilleure gestion budgétaire des coûts liés à la sécurité de
l’information
•Distinction entre la gouvernance et la gestion
• Meilleure compréhension de la sécurité des TI
73
CONCLUSION (VOLET GOUVERNANCE)
Les avancées de COBIT 5 permettent une prise en compte de bout en bout des
préoccupations de sécurité
pour l’entreprise
74
MERCI
Contact : Martin M Samson
Directeur Exécutif Associé, Sécurité de l’information
martin.samson‐À‐nurun.com
Martin.samson‐À‐videotron.ca
418‐627‐0999 poste 55395
75
Documents connexes
European e-Competence Framework version 3.0
European e-Competence Framework version 3.0
le cobit - Nordnet
le cobit - Nordnet
COBIT® 5 Foundation Course leaflets
COBIT® 5 Foundation Course leaflets
COBIT 5 Foundation avec certification
COBIT 5 Foundation avec certification
Exemple titre
Exemple titre
L`université ATLANTIS
L`université ATLANTIS
cinétique chimique
cinétique chimique
Halte aux cyber-attaques - Mauritius Institute of Directors
Halte aux cyber-attaques - Mauritius Institute of Directors
ft maitriser les techniques de gestion de projet it
ft maitriser les techniques de gestion de projet it
résumé
résumé
DEVELOPPEMENT DURABLE : VERS DES CATALYSEURS DE
DEVELOPPEMENT DURABLE : VERS DES CATALYSEURS DE
6.2, Exercices pratiques - Le Site Web de Jeff O`Keefe
6.2, Exercices pratiques - Le Site Web de Jeff O`Keefe
IT Gouvernance. Le point sur la mise en œuvre. ANDSI
IT Gouvernance. Le point sur la mise en œuvre. ANDSI
Sciences 10 Ch 6 - Notes eleves
Sciences 10 Ch 6 - Notes eleves
Préparation de la synthèse de l`aspirine
Préparation de la synthèse de l`aspirine
CADRE DE RÉFÉRENCE
CADRE DE RÉFÉRENCE
resume
resume
Gouvernance des technologies de l`information
Gouvernance des technologies de l`information
Correction EMD1 Cinétique Chimique (2011/2012)
Correction EMD1 Cinétique Chimique (2011/2012)
traitement cata eau - Société Chimique de France
traitement cata eau - Société Chimique de France
cobit
cobit
Téléchargement
publicité