Gouvernance et Gestion des TI

CISACISALa Gouvernance et la La Gouvernance et la

Gestion des TIGestion des TI

ObjectifsObjectifsA la fin de cette leçon ,vous serez capable de :A la fin de cette leçon ,vous serez capable de : Décrire les comités de gouvernance des TI: Comité stratégique des TI, Décrire les comités de gouvernance des TI: Comité stratégique des TI,

Comité directeur des TI, Comité de sécurité des TI.Comité directeur des TI, Comité de sécurité des TI. Décrire les missions, le plan stratégique, le plan tactique, le plan Décrire les missions, le plan stratégique, le plan tactique, le plan

opérationnel.opérationnel. Définir les termes de qualité: Assurance qualité, le contrôle qualitéDéfinir les termes de qualité: Assurance qualité, le contrôle qualité Décrire les membres des structures des sécurité : CISO, CIO, CSO, Décrire les membres des structures des sécurité : CISO, CIO, CSO,

Conseil d’administration, Encadrement supérieur, Architecte de la sécurité, Conseil d’administration, Encadrement supérieur, Architecte de la sécurité, Administrateur de la sécurité. Administrateur de la sécurité.

Définir politique, conformité, Tableau de bord de performance des TI, ISO Définir politique, conformité, Tableau de bord de performance des TI, ISO 9001, architecture d’entreprise.9001, architecture d’entreprise.

Définir les pratiques d’impartition : sur site, hors site, à l’étranger, hybride, Définir les pratiques d’impartition : sur site, hors site, à l’étranger, hybride, en interne, impartie.en interne, impartie.

Définir les documents de politiques : classification des données, politique Définir les documents de politiques : classification des données, politique d’utilisation acceptable, politique de contrôle d’accès.d’utilisation acceptable, politique de contrôle d’accès.

Gouvernance d’entrepriseGouvernance d’entreprise

Système selon lequel les organisations sont dirigées et Système selon lequel les organisations sont dirigées et contrôlées.contrôlées.

Ensemble de responsabilités et de pratique qu’utilise la Ensemble de responsabilités et de pratique qu’utilise la direction d’une organisation pour fournir une orientation direction d’une organisation pour fournir une orientation stratégique, de façon à s’assurer que les objectifs stratégique, de façon à s’assurer que les objectifs peuvent être atteints, que les risques sont gérés peuvent être atteints, que les risques sont gérés convenablement et que les ressources convenablement et que les ressources organisationnelles sont utilisées correctement.organisationnelles sont utilisées correctement.

Structure par laquelle sont fixés les objectifs, les moyens Structure par laquelle sont fixés les objectifs, les moyens d’atteindre ces objectifs et les moyens de surveillance de d’atteindre ces objectifs et les moyens de surveillance de la performance d’une organisation.la performance d’une organisation.

Gouvernance des TIGouvernance des TI

Processus visant à favoriser la prise de décisions efficace Processus visant à favoriser la prise de décisions efficace en ce qui a trait aux investissements et aux activités de TIen ce qui a trait aux investissements et aux activités de TI

arrimer les investissements des TI aux activités de arrimer les investissements des TI aux activités de l’organisation pour permettre l’atteinte des objectifs l’organisation pour permettre l’atteinte des objectifs stratégiques et le respect des prioritésstratégiques et le respect des priorités

atténuer les risques – au sein des TI et alentour atténuer les risques – au sein des TI et alentour Assure l’alignement des stratégies TI à la stratégie Assure l’alignement des stratégies TI à la stratégie

d’entreprise.d’entreprise. Se concentre sur la valeur ajoutée des TI pour Se concentre sur la valeur ajoutée des TI pour

l’organisation et la gestion des risques.l’organisation et la gestion des risques. Relève du Conseil d’Administration et des DirigeantsRelève du Conseil d’Administration et des Dirigeants

Principaux enjeux de la gouvernance Principaux enjeux de la gouvernance des TIdes TI

Amener les unités à être parties prenantes des Amener les unités à être parties prenantes des décisions relatives aux TIdécisions relatives aux TI

Financement des coûts d’exploitation généré par Financement des coûts d’exploitation généré par l’investissement en capitall’investissement en capital

Amener la direction à considérer l’investissement Amener la direction à considérer l’investissement dans les TI comme une mesure stratégiquedans les TI comme une mesure stratégique

Mise à jour continue de l’équipementMise à jour continue de l’équipement Difficultés liées au marché et à la réglementationDifficultés liées au marché et à la réglementation Gestion du portefeuille de projetsGestion du portefeuille de projets

Processus généraux de Processus généraux de Gouvernance des TIGouvernance des TI

La gestion des ressources TI : Tenir un La gestion des ressources TI : Tenir un inventaire à jour de toutes les ressources des TI inventaire à jour de toutes les ressources des TI et qui gère le processus de gestion des risques.et qui gère le processus de gestion des risques.

La mesure des performances : s’assurer que les La mesure des performances : s’assurer que les ressources fonctionnent comme prévu pour ressources fonctionnent comme prévu pour livrer de la valeur à l’organisation.livrer de la valeur à l’organisation.

La gestion de la conformité : Exigences de La gestion de la conformité : Exigences de conformité aux lois et règlements.conformité aux lois et règlements.

Rôle de la vérification dans la Rôle de la vérification dans la gouvernancegouvernance

Faire des recommandations importantes à la haute Faire des recommandations importantes à la haute direction afin qu’elle puisse améliorer la qualité et direction afin qu’elle puisse améliorer la qualité et l’efficacité des initiatives mises en place par la l’efficacité des initiatives mises en place par la gouvernance des TI.gouvernance des TI.

Garantir la conformité des initiatives de gouvernances.Garantir la conformité des initiatives de gouvernances. Evaluer les aspects suivants : Evaluer les aspects suivants :

Alignement des fonctions SI sur la mission, la vision, les valeurs, les objectifs et Alignement des fonctions SI sur la mission, la vision, les valeurs, les objectifs et les stratégies de l’organisation.les stratégies de l’organisation.

Les exigences légales, environnementales, qualitatives, fiduciaires, sécuritaires Les exigences légales, environnementales, qualitatives, fiduciaires, sécuritaires et confidentielles de l’information.et confidentielles de l’information.

L’environnement de contrôle de l’organisation.L’environnement de contrôle de l’organisation. Les risques inhérents au sein de l’environnement des SI.Les risques inhérents au sein de l’environnement des SI. L’investissement et les dépenses en TIL’investissement et les dépenses en TI

Comités de gouvernance des TIComités de gouvernance des TI

Comité Stratégique des TIComité Stratégique des TI Conseil le CA sur l’alignement des TI sur l’orientation de Conseil le CA sur l’alignement des TI sur l’orientation de

l’organisation, l’optimisation des coûts et risques TI.l’organisation, l’optimisation des coûts et risques TI. Se concentre sur les questions actuelles et futures des stratégie Se concentre sur les questions actuelles et futures des stratégie

des TI.des TI. (Membre du CA et spécialistes non membres).(Membre du CA et spécialistes non membres).

Comité Directeur des TIComité Directeur des TI Gère les projets TI courants et décide des dépenses TI.Gère les projets TI courants et décide des dépenses TI. Supervise la gestion quotidienne de la prestation des services Supervise la gestion quotidienne de la prestation des services

de TI.de TI. Se concentre sur la mise en œuvre.Se concentre sur la mise en œuvre. (Cadre, Utilisateurs clés, CIO, Conseil clés(Cadre, Utilisateurs clés, CIO, Conseil clés

Tableau de Bord de Performance des TITableau de Bord de Performance des TI

Technique pour évaluer la gestion des processus Technique pour évaluer la gestion des processus qui peut être appliqué au processus de qui peut être appliqué au processus de gouvernance des TI lors de l’évaluation des gouvernance des TI lors de l’évaluation des fonctions et des processus.fonctions et des processus.

Mission = Direction. Ex.: fournir des applications et Mission = Direction. Ex.: fournir des applications et des services TI efficaces, efficients et économiques;des services TI efficaces, efficients et économiques;

Stratégies = Objectifs. Ex.: Qualité et disponibilité, Stratégies = Objectifs. Ex.: Qualité et disponibilité, Maturité des processus;Maturité des processus;

Mesures = Statistiques. Ex.: Satisfaction client, Mesures = Statistiques. Ex.: Satisfaction client, Efficacité opérationnelle.Efficacité opérationnelle.

Tableau de Bord de Performance des TITableau de Bord de Performance des TI

Objectifs financiers

Perception du CA ?

Mission :

Stratégie :

Mesures :

Processus internes

Processus métiers à soutenir

Mission :

Stratégie :

Mesures :

Satisfaction du client

Perception des utilisateurs

Mission :

Stratégie :

Mesures :

Aptitude à innover

Amélioration interne

Mission :

Stratégie :

Mesures :

Gouvernance de la sécurité de Gouvernance de la sécurité de l’informationl’information

La mesure de la performance : Mesurer, La mesure de la performance : Mesurer, surveiller et communiquer les processus de surveiller et communiquer les processus de sécurité de l’information pour garantir le respect sécurité de l’information pour garantir le respect des objectifs SMART.des objectifs SMART.

La gestion des ressources : Utiliser avec La gestion des ressources : Utiliser avec efficacité et efficience les connaissances et efficacité et efficience les connaissances et l’infrastructure en sécurité de l’information.l’infrastructure en sécurité de l’information.

L’intégration des processus : Mettre l’accent sur L’intégration des processus : Mettre l’accent sur l’intégration des processus d’assurance de l’intégration des processus d’assurance de gestion relatifs à la sécurité.gestion relatifs à la sécurité.

Rôles et responsabilités de la Rôles et responsabilités de la haute direction et du CAhaute direction et du CA

Le CA et les dirigeants : Approbation des politiques, Le CA et les dirigeants : Approbation des politiques, surveillance, définition des paramètres appropriés, surveillance, définition des paramètres appropriés, production de rapports et analyse des tendances.production de rapports et analyse des tendances.

La haute direction : Assure l’intégration du programme La haute direction : Assure l’intégration du programme de sécurité auprès des responsables des procédés de sécurité auprès des responsables des procédés administratifs et la coopération de ces derniers.administratifs et la coopération de ces derniers.

Le comité directeur : Formé de responsables des Le comité directeur : Formé de responsables des groupes concernés par la sécurité de l’information, il groupes concernés par la sécurité de l’information, il aide à réaliser un consensus sur les priorités et les aide à réaliser un consensus sur les priorités et les compromis et sert de canal de communication efficace et compromis et sert de canal de communication efficace et fournit une base continue pour garantir l’alignement du fournit une base continue pour garantir l’alignement du programme de sécurité sur les objectifs opérationnels.programme de sécurité sur les objectifs opérationnels.

Rôles et responsabilités de la Rôles et responsabilités de la haute direction et du CAhaute direction et du CA

L’officier principal de la sécurité de l’information : Défini L’officier principal de la sécurité de l’information : Défini les politiques de sécurité et assure l’alignement efficace les politiques de sécurité et assure l’alignement efficace des objectifs opérationnels et des activités de sécurité.des objectifs opérationnels et des activités de sécurité.

Architecture d’entrepriseArchitecture d’entreprise

Documentation des actifs TI d’une façon structurée afin Documentation des actifs TI d’une façon structurée afin de faciliter la compréhension, la gestion et la de faciliter la compréhension, la gestion et la planification des investissements des TI.planification des investissements des TI.

Cadre d’architecture d’entreprise de ZachmanCadre d’architecture d’entreprise de Zachman

Données Fonctionnelles (Application)

Réseau (Technologie)

Personnes (Organisation)

Processus (Déroulement des opérations)

Stratégie

Domaine

Modèle d’entreprise

Modèle de systèmes

Modèle de technologie

Représentation détaillée

Planification stratégiquePlanification stratégique

Stratégique : Long terme, 3 – 5 ans, Tient compte des Stratégique : Long terme, 3 – 5 ans, Tient compte des objectifs de l’entreprise, de la réglementation et des objectifs de l’entreprise, de la réglementation et des avancées technologiques.avancées technologiques.

Tactique : 1 an, traduction en objectif du plan Tactique : 1 an, traduction en objectif du plan stratégique.stratégique.

Opérationnel : Plan détaillé.Opérationnel : Plan détaillé.

Opérationnel

Tactique

Stratégique

Politiques et ProcéduresPolitiques et Procédures

Les P&P reflètent l’orientation et les conseils apportés par la Les P&P reflètent l’orientation et les conseils apportés par la direction relativement au développement des contrôles pour direction relativement au développement des contrôles pour les systèmes d’information, les ressources connexes et les les systèmes d’information, les ressources connexes et les processus du service des SI.processus du service des SI.

Les politiques constituent des documents de haut niveau et Les politiques constituent des documents de haut niveau et représentent la philosophie de l’organisation. La direction doit représentent la philosophie de l’organisation. La direction doit créer un environnement de contrôle positif en assumant la créer un environnement de contrôle positif en assumant la responsabilité de formuler, développer, documenter, diffuser responsabilité de formuler, développer, documenter, diffuser et contrôler les politiques ayant trait aux directives et aux et contrôler les politiques ayant trait aux directives et aux objectifs globaux.objectifs globaux.

La direction doit réviser les politiques périodiquement La direction doit réviser les politiques périodiquement (Nouvelles régulations, organisations, technologies, …).(Nouvelles régulations, organisations, technologies, …).

L’auditeur IS s’intéresse d’avantage à la PSIL’auditeur IS s’intéresse d’avantage à la PSI

Politique de sécurité de Politique de sécurité de l’informationl’information

Communique une norme de sécurité cohérente aux utilisateurs, Communique une norme de sécurité cohérente aux utilisateurs, à la direction et au personnel technique après approbation et à la direction et au personnel technique après approbation et publication.publication.

Première étape dans la mise en place d’une infrastructure de Première étape dans la mise en place d’une infrastructure de sécurité.sécurité.

Doit stipuler : Doit stipuler : Définition de la sécurité de l’information, ses objectifs généraux et sa Définition de la sécurité de l’information, ses objectifs généraux et sa

portée.portée. Les intentions de la direction appuyant les objectifs de sécurité.Les intentions de la direction appuyant les objectifs de sécurité. Le cadre définissant les objectifs de contrôle et les contrôles.Le cadre définissant les objectifs de contrôle et les contrôles. Une brève explication des politiques, principes et normes de sécurités, Une brève explication des politiques, principes et normes de sécurités,

les exigences de conformité.les exigences de conformité. Une définition des responsabilités générales et spécifiques.Une définition des responsabilités générales et spécifiques. Les références à la documentation appuyant les politique.Les références à la documentation appuyant les politique.

Politique de sécurité de Politique de sécurité de l’informationl’information

En général, l’organisation peut En général, l’organisation peut documenter les PSI comme une série de documenter les PSI comme une série de politique :politique : Politique de sécurité de l’information de haut niveauPolitique de sécurité de l’information de haut niveau Politique de classification des donnéesPolitique de classification des données Politique d’utilisation acceptablePolitique d’utilisation acceptable Politique d’utilisateur finalPolitique d’utilisateur final Politique de contrôle d’accèsPolitique de contrôle d’accès

Révision de la PSIRévision de la PSI Les éléments de la révision de gestion:Les éléments de la révision de gestion:

Les résultats des révisions indépendantesLes résultats des révisions indépendantes L’état des mesures préventives, de détection et correctricesL’état des mesures préventives, de détection et correctrices Les résultats des révisions antérieuresLes résultats des révisions antérieures Les performance du processus et la conformité à la PSILes performance du processus et la conformité à la PSI Les changements de nature à affecter l’approche de l’organisation relativement à la Les changements de nature à affecter l’approche de l’organisation relativement à la

gestion de la sécuritégestion de la sécurité Les tendances liées aux menaces et aux vulnérabilitésLes tendances liées aux menaces et aux vulnérabilités Les signalement des incidents de sécuritéLes signalement des incidents de sécurité Les recommandations des autorités concernées, ….Les recommandations des autorités concernées, ….

Les résultats de la révision:Les résultats de la révision: L’amélioration de l’harmonisation de la sécurité de l’information avec les objectifs métiersL’amélioration de l’harmonisation de la sécurité de l’information avec les objectifs métiers L’amélioration de l’approche de l’organisation face à la gestion de la sécurité de L’amélioration de l’approche de l’organisation face à la gestion de la sécurité de

l’information et de ses processusl’information et de ses processus L’amélioration des objectifs de contrôle et des contrôlesL’amélioration des objectifs de contrôle et des contrôles L’amélioration de l’attribution des ressources et des responsabilités, ….L’amélioration de l’attribution des ressources et des responsabilités, ….

ProcéduresProcédures

Ensemble d’étapes détaillées, définies et documentées Ensemble d’étapes détaillées, définies et documentées permettant l’implantation des politiques.permettant l’implantation des politiques.

Mets en œuvre l’idée de l’énoncé de politique.Mets en œuvre l’idée de l’énoncé de politique. Plus dynamiques que les politiques apparentées, elles Plus dynamiques que les politiques apparentées, elles

reflètent les changements courants intervenus dans les reflètent les changements courants intervenus dans les priorités de l’entreprise et son environnement.priorités de l’entreprise et son environnement.

L’auditeur IS révise les procédures pour identifier, évaluer L’auditeur IS révise les procédures pour identifier, évaluer et tester les contrôles en lien avec les processus et tester les contrôles en lien avec les processus d’entreprise.d’entreprise.

L’auditeur doit s’intéresser particulièrement aux méthodes L’auditeur doit s’intéresser particulièrement aux méthodes de déploiement et à l’automatisation des mécanismes de déploiement et à l’automatisation des mécanismes pour entreposer, distribuer et gérer les procédures des TI.pour entreposer, distribuer et gérer les procédures des TI.

Gestion du risqueGestion du risque

Processus d’identification des vulnérabilités et Processus d’identification des vulnérabilités et des menaces touchant les ressources des menaces touchant les ressources informationnelles utilisées par une organisation informationnelles utilisées par une organisation pour atteindre les objectifs de l’entreprise.pour atteindre les objectifs de l’entreprise.

Commence par la compréhension adéquate de Commence par la compréhension adéquate de la propension de l’organisation à prendre des la propension de l’organisation à prendre des risques.risques.

Comprend l’identification, l’analyse, l’évaluation, Comprend l’identification, l’analyse, l’évaluation, le traitement, le suivi et la communication des le traitement, le suivi et la communication des impacts des risques dans les processus en TI.impacts des risques dans les processus en TI.

Stratégie de gestion du risqueStratégie de gestion du risque

En fonction du type de risque et de son En fonction du type de risque et de son importance pour l’entreprise, les importance pour l’entreprise, les gestionnaires et le CA peuvent choisir : gestionnaires et le CA peuvent choisir :

Une stratégie d’évitementUne stratégie d’évitement Une stratégie d’atténuationUne stratégie d’atténuation Une stratégie de transfert (détourner ou Une stratégie de transfert (détourner ou

attribuer)attribuer) Une stratégie d’acceptationUne stratégie d’acceptation

Processus de gestion du risqueProcessus de gestion du risque

1- Etablir une taxonomie (Identification et 1- Etablir une taxonomie (Identification et classification) des actifs informationnels. Suivant la classification) des actifs informationnels. Suivant la valeur de l’actif, ou de l’importance et de la valeur de l’actif, ou de l’importance et de la sensibilité.sensibilité.

2- Evaluer les menaces et les vulnérabilités 2- Evaluer les menaces et les vulnérabilités associées aux actifs et les risques de survenance.associées aux actifs et les risques de survenance.

3- Analyser les impacts.3- Analyser les impacts. 4- Evaluer le risque global.4- Evaluer le risque global. 5- Evaluer les contre-mesures actuelles et futures.5- Evaluer les contre-mesures actuelles et futures.

Niveaux de gestion de risquesNiveaux de gestion de risques

Opérations : risques qui pourraient compromettre l’efficacité Opérations : risques qui pourraient compromettre l’efficacité des systèmes TI et de l’infrastructure de soutien, la capacité des systèmes TI et de l’infrastructure de soutien, la capacité de contourner les contre-mesures, la possibilité de perte ou de contourner les contre-mesures, la possibilité de perte ou un caractère non fonctionnel des ressources clés et l’échec un caractère non fonctionnel des ressources clés et l’échec de conformité aux lois et règlements.de conformité aux lois et règlements.

Projet : capacité à comprendre et à gérer la complexité du Projet : capacité à comprendre et à gérer la complexité du projet.projet.

Stratégie : La manière dont les capacités des TI s’alignent Stratégie : La manière dont les capacités des TI s’alignent sur la stratégie de l’entreprise, la manière dont elles se sur la stratégie de l’entreprise, la manière dont elles se comparent à celles des compétiteurs et les menaces comparent à celles des compétiteurs et les menaces provoquées par les changements technologiques. provoquées par les changements technologiques.

Méthodes d’analyse du risqueMéthodes d’analyse du risque

Méthodes d’analyse qualitative Méthodes d’analyse qualitative : utilise un classement : utilise un classement en mots ou un classement descriptif pour décrire les en mots ou un classement descriptif pour décrire les impacts ou la probabilité.impacts ou la probabilité.

Méthodes d’analyse semiquantitative Méthodes d’analyse semiquantitative : Les : Les classements descriptifs sont associés à une échelle classements descriptifs sont associés à une échelle numériquenumérique

Méthodes d’analyse quantitative Méthodes d’analyse quantitative : utilise les valeurs : utilise les valeurs numériques pour décrire la probabilité de risques et leurs numériques pour décrire la probabilité de risques et leurs impacts à l’aide de données provenant de plusieurs impacts à l’aide de données provenant de plusieurs types de sources(documents historiques, expériences types de sources(documents historiques, expériences passées, pratiques, documents de l’industries, théories passées, pratiques, documents de l’industries, théories statistiques, tests et expériences)statistiques, tests et expériences)

Pratique de gestion des SI : Pratique de gestion des SI : Gestion des ressources humainesGestion des ressources humaines

Politique d’embauche et de cessation d’emploiPolitique d’embauche et de cessation d’emploi Guide du nouvel embauché (politiques et Guide du nouvel embauché (politiques et

procédures)procédures) Politiques de promotionPolitiques de promotion Politique de formation et de développement Politique de formation et de développement

personnelpersonnel Répartition et déclaration du temps de travailRépartition et déclaration du temps de travail Vacances et congésVacances et congés Evaluation du rendement de l’employéEvaluation du rendement de l’employé

Pratique de gestion des SI : Pratique de gestion des SI : L’impartitionL’impartition

L’impartition ou externalisation fait référence à la L’impartition ou externalisation fait référence à la façon par laquelle l’entreprise obtiendra les façon par laquelle l’entreprise obtiendra les fonctions des SI requises afin de soutenir ses fonctions des SI requises afin de soutenir ses activités. Les entreprises peuvent exécuter activités. Les entreprises peuvent exécuter toutes les fonctions en internes des SI d’une toutes les fonctions en internes des SI d’une manière centralisée, ou impartir l’ensemble ou manière centralisée, ou impartir l’ensemble ou une partie des fonctions partout dans le monde.une partie des fonctions partout dans le monde.

La stratégie d’impartition doit être propre à La stratégie d’impartition doit être propre à chaque fonction qui peut être exécutée sur site, chaque fonction qui peut être exécutée sur site, hors site ou à l’étranger.hors site ou à l’étranger.

Pratique de gestion des SI : Pratique de gestion des SI : La mondialisationLa mondialisation

La mondialisation des fonctions des SI exige que la La mondialisation des fonctions des SI exige que la direction supervise activement les lieux éloignés.direction supervise activement les lieux éloignés.

L’auditeur SI doit s’assurer que la direction des SI L’auditeur SI doit s’assurer que la direction des SI prenne en considération les risques liés et la complétion prenne en considération les risques liés et la complétion de la transition à des lieux éloignés :de la transition à des lieux éloignés :

Les problèmes légaux, réglementaires et fiscaux.Les problèmes légaux, réglementaires et fiscaux. La continuité des opérationsLa continuité des opérations Le personnelLe personnel Les problèmes de télécommunicationLes problèmes de télécommunication Les problèmes internationaux et interculturels (globalisation)Les problèmes internationaux et interculturels (globalisation)

Pratique de gestion des SI : Pratique de gestion des SI : L’informatique en nuageL’informatique en nuage

Informatique en nuage (Cloud Computing) : Modèle Informatique en nuage (Cloud Computing) : Modèle permettant un accès réseau, pratique et sur demande, à permettant un accès réseau, pratique et sur demande, à un ensemble partagé de ressources informatiques un ensemble partagé de ressources informatiques configurables (ex. réseaux, serveurs, stockage, configurables (ex. réseaux, serveurs, stockage, applications et services) qui peuvent être rapidement applications et services) qui peuvent être rapidement dimensionnées et diffusées en limitant au minimum les dimensionnées et diffusées en limitant au minimum les démarches de la part de la direction ou les interaction démarches de la part de la direction ou les interaction avec le fournisseur de services. NIST & Cloud Security avec le fournisseur de services. NIST & Cloud Security Alliance.Alliance.

Trois modèles de services : IaaS; PaaS et SaaSTrois modèles de services : IaaS; PaaS et SaaS Quatre modèle de déploiement : Privé, Communautaire, Quatre modèle de déploiement : Privé, Communautaire,

Public et HybridePublic et Hybride

Pratique de gestion des SI : Pratique de gestion des SI : L’informatique en nuageL’informatique en nuage

Les caractéristiques essentielles : Les caractéristiques essentielles : Libre service à la demandeLibre service à la demande Accès étendu au réseauAccès étendu au réseau Mise en commun des ressourcesMise en commun des ressources Rapidité et élasticitéRapidité et élasticité Service mesuréService mesuré

Pratique de gestion des SI : La Pratique de gestion des SI : La gouvernance dans l’impartitiongouvernance dans l’impartition

La gouvernance dans l’impartition étend la responsabilité des deux La gouvernance dans l’impartition étend la responsabilité des deux parties aux points suivants :parties aux points suivants :

L’assurance pour les deux partie de la viabilité contractuelle grâce à la révision et L’assurance pour les deux partie de la viabilité contractuelle grâce à la révision et l’amélioration aux gainsl’amélioration aux gains

L’inclusion d’un calendrier de gouvernance clairement défini dans le contratL’inclusion d’un calendrier de gouvernance clairement défini dans le contrat La gestion de la relation pour s’assurer que les obligations contractuelles sont La gestion de la relation pour s’assurer que les obligations contractuelles sont

respectées grâce aux accords sur les niveaux de service et aux accords sur les respectées grâce aux accords sur les niveaux de service et aux accords sur les niveaux opérationnels.niveaux opérationnels.

L’identification et la gestion de tous les partenaires, de leur relation et de leurs L’identification et la gestion de tous les partenaires, de leur relation et de leurs attentesattentes

La définition claire des rôles et des responsabilités pour : la prise de décision, la La définition claire des rôles et des responsabilités pour : la prise de décision, la signalisation progressive, la gestion de conflit, la gestion de la demande et la signalisation progressive, la gestion de conflit, la gestion de la demande et la fourniture de service.fourniture de service.

L’attribution des ressources, des dépenses et la consommation des services pour L’attribution des ressources, des dépenses et la consommation des services pour répondre aux besoins priorisés.répondre aux besoins priorisés.

L’évaluation continue de la performance, du coût, de la satisfaction de l’utilisateur et L’évaluation continue de la performance, du coût, de la satisfaction de l’utilisateur et de l’efficacitéde l’efficacité

La communication en cours parmi tous les partenairesLa communication en cours parmi tous les partenaires

Pratique de gestion des SI : Pratique de gestion des SI : Gestion des changementsGestion des changements

Processus défini et documenté pour identifier et apporter des Processus défini et documenté pour identifier et apporter des améliorations technologiques au niveau de l’infrastructure et améliorations technologiques au niveau de l’infrastructure et de l’application qui profite à l’entreprise et qui font participer de l’application qui profite à l’entreprise et qui font participer tous les niveaux de l’entreprise touchés par les changements.tous les niveaux de l’entreprise touchés par les changements.

Le service SI est au centre des changements technologiquesLe service SI est au centre des changements technologiques Les changements doivent être soutenus par les dirigeantsLes changements doivent être soutenus par les dirigeants Le processus de communication informe les utilisateurs des Le processus de communication informe les utilisateurs des

changements, de leurs conséquences et avantages, et fournit changements, de leurs conséquences et avantages, et fournit la façon d’obtenir les commentaires et la participation des la façon d’obtenir les commentaires et la participation des utilisateurs.utilisateurs.

Processus de validation des exigences d’affaires, de la Processus de validation des exigences d’affaires, de la formation et des tests sur les fonctionnalités nouvelles ou formation et des tests sur les fonctionnalités nouvelles ou modifiées.modifiées.

Pratique de gestion des SI : Pratique de gestion des SI : Gestion de la qualitéGestion de la qualité

Moyen par lequel les procédés établis par la division des Moyen par lequel les procédés établis par la division des SI sont contrôlés, mesurés et améliorés. SI sont contrôlés, mesurés et améliorés.

Le développement et l’entretien de procédés définis et Le développement et l’entretien de procédés définis et documentés par la division des SI sont la preuve d’une documentés par la division des SI sont la preuve d’une gouvernance efficace des ressources d’information.gouvernance efficace des ressources d’information.

Les volets de contrôle de la qualité peuvent inclure : la Les volets de contrôle de la qualité peuvent inclure : la conception, l’entretien et l’implantation des logiciels; conception, l’entretien et l’implantation des logiciels; l’acquisition de matériel et de logiciels; les opérations l’acquisition de matériel et de logiciels; les opérations quotidiennes; la gestion du service; la sécurité; la quotidiennes; la gestion du service; la sécurité; la gestion des RH; l’administration générale.gestion des RH; l’administration générale.

S’informer sur les normes ISO 9001 www.iso.orgS’informer sur les normes ISO 9001 www.iso.org

Pratique de gestion des SI : Pratique de gestion des SI : Optimisation de la performanceOptimisation de la performance

C’est un processus mené par des indicateurs de C’est un processus mené par des indicateurs de performance définis en fonction de la complexité des performance définis en fonction de la complexité des procédés et des activités d’une organisation, de sa procédés et des activités d’une organisation, de sa solution stratégique des TI et des objectifs essentiels et solution stratégique des TI et des objectifs essentiels et stratégiques concernant l’implantation des TI.stratégiques concernant l’implantation des TI.

Les grandes phases de la mesure de performance sont :Les grandes phases de la mesure de performance sont : La mise en place et la mise à jour des mesures de la La mise en place et la mise à jour des mesures de la

performance.performance. L’instauration du principe d’imputabilité pour les mesures de la L’instauration du principe d’imputabilité pour les mesures de la

performance.performance. Le recueil et l’analyse des données sur la performance.Le recueil et l’analyse des données sur la performance. Les rapports et l’utilisation de l’information sur la performance.Les rapports et l’utilisation de l’information sur la performance.

Structure organisationnelleStructure organisationnelle

Elle montre la division des SI, normalement dirigée par Elle montre la division des SI, normalement dirigée par un gestionnaire / directeur des TI ou, au sein de grandes un gestionnaire / directeur des TI ou, au sein de grandes organisations, par un dirigeant principal de l’information.organisations, par un dirigeant principal de l’information.

L’auditeur des SI doit passer du temps dans le secteur L’auditeur des SI doit passer du temps dans le secteur de l’entité qui se fait vérifier pour observer et déterminer de l’entité qui se fait vérifier pour observer et déterminer si la description de l’emploi et les structures sont si la description de l’emploi et les structures sont adéquates.adéquates.

L’auditeur des SI doit évaluer la relation entre diverses L’auditeur des SI doit évaluer la relation entre diverses fonctions, les responsabilités et les autorités lors de fonctions, les responsabilités et les autorités lors de l’évaluation adéquate de la séparation des tâches.l’évaluation adéquate de la séparation des tâches.

Séparation des tâches au sein Séparation des tâches au sein des SIdes SI

La séparation des tâches évite le risque qu’une La séparation des tâches évite le risque qu’une seule personne soit responsable de diverses seule personne soit responsable de diverses tâches essentielles, ce qui pourrait provoquer tâches essentielles, ce qui pourrait provoquer des erreurs ou des détournements qui ne des erreurs ou des détournements qui ne seraient pas détectés rapidement dans le cours seraient pas détectés rapidement dans le cours normal des procédés d’affaires.normal des procédés d’affaires.

Les tâches à séparées sont : Les tâches à séparées sont : La garde des actifsLa garde des actifs L’autorisation des transactionsL’autorisation des transactions L’accès aux donnéesL’accès aux données

Mécanismes de contrôle de la Mécanismes de contrôle de la séparation des tâchesséparation des tâches

Formulaire d’autorisation : Les gestionnaires des divisions Formulaire d’autorisation : Les gestionnaires des divisions d’utilisateur doivent fournir aux SI les formulaires officiels d’utilisateur doivent fournir aux SI les formulaires officiels d’autorisation qui définissent les droits d’accès de leurs employés. d’autorisation qui définissent les droits d’accès de leurs employés.

Liste des droits d’accès de l’utilisateur : La division des SI doit Liste des droits d’accès de l’utilisateur : La division des SI doit utiliser les données provenant des formulaires d’autorisation pour utiliser les données provenant des formulaires d’autorisation pour créer et maintenir des listes des droits d’accès de l’utilisateur. créer et maintenir des listes des droits d’accès de l’utilisateur. Celles-ci définiront qui est autorisé à mettre à jour, à modifier, à Celles-ci définiront qui est autorisé à mettre à jour, à modifier, à supprimer ou à visionner les donnéessupprimer ou à visionner les données

Contrôles compensatoires : Contrôles correctifs mises en place Contrôles compensatoires : Contrôles correctifs mises en place pour atténuer le risque qui résulte d’un manque de séparation des pour atténuer le risque qui résulte d’un manque de séparation des tâches (Pistes d’audit, réconciliation, rapport d’anomalies, tâches (Pistes d’audit, réconciliation, rapport d’anomalies, journaux de transaction, révisions de contrôles, révisions journaux de transaction, révisions de contrôles, révisions indépendantes).indépendantes).

Imaginez une entrepriseImaginez une entreprise

Une Banque avec 1 Million de comptes clients, les Une Banque avec 1 Million de comptes clients, les numéros de sécurité sociales, les numéros de numéros de sécurité sociales, les numéros de cartes de crédit, les informations de prêts.cartes de crédit, les informations de prêts.

Une compagnie aérienne desservant Une compagnie aérienne desservant quotidiennement 250 vols pour près de 50.000 quotidiennement 250 vols pour près de 50.000 personnes…personnes…

Un SI de pharmacie enregistrant près de 5 million Un SI de pharmacie enregistrant près de 5 million de prescriptions par années, certains de ces de prescriptions par années, certains de ces prescriptions étant vitales pour les malades…prescriptions étant vitales pour les malades…

Une industries de 200 employés produisant 200,000 Une industries de 200 employés produisant 200,000 produits par jour avec l’aide des robots…produits par jour avec l’aide des robots…

Planification de la continuité des Planification de la continuité des opérations (PCO)opérations (PCO)

L’objectif de la continuité des opérations et de la reprise L’objectif de la continuité des opérations et de la reprise après sinistre est de permettre à une entreprise de après sinistre est de permettre à une entreprise de continuer à offrir ses services essentiels advenant une continuer à offrir ses services essentiels advenant une perturbation et de survivre à une interruption désastreuse perturbation et de survivre à une interruption désastreuse des activités.des activités.

La première étape d’un PCO est d’identifier les processus La première étape d’un PCO est d’identifier les processus de l’entreprise ayant une importance stratégique.de l’entreprise ayant une importance stratégique.

La haute direction est la première responsable du PCO, La haute direction est la première responsable du PCO, puisque ces dirigeants ont la mission de sauvegarder les puisque ces dirigeants ont la mission de sauvegarder les actifs et la viabilité de l’organisation.actifs et la viabilité de l’organisation.

Plan de continuité des activités, plan de reprise de Plan de continuité des activités, plan de reprise de services, plan de restauration.services, plan de restauration.

Planification de la continuité des Planification de la continuité des opérations des SI (PCO)opérations des SI (PCO)

Le traitement des SI revêt une importance stratégique. Il s’agit Le traitement des SI revêt une importance stratégique. Il s’agit d’un élément critique puisque la plupart des processus clés d’un élément critique puisque la plupart des processus clés d’entreprise dépendent de la disponibilité des composants et d’entreprise dépendent de la disponibilité des composants et données clés de l’infrastructure du système.données clés de l’infrastructure du système.

Le plan de continuité des opérations des Si doit s’aligner sur la Le plan de continuité des opérations des Si doit s’aligner sur la stratégie de l’entreprise.stratégie de l’entreprise.

Le PCO du SI doit être cohérent avec le PCO d’entreprise et Le PCO du SI doit être cohérent avec le PCO d’entreprise et doit s’appuyer sur ce dernier.doit s’appuyer sur ce dernier.

Toutefois, des mesures doivent être mises en place pour Toutefois, des mesures doivent être mises en place pour réduire ou éliminer l’éventualité d’une interruption.réduire ou éliminer l’éventualité d’une interruption.

C’est la mesure de contrôle la plus critique et dépend de C’est la mesure de contrôle la plus critique et dépend de l’efficacité des autres contrôles(particulièrement de la gestion l’efficacité des autres contrôles(particulièrement de la gestion des incidents et des solutions de sauvegarde et de reprise)des incidents et des solutions de sauvegarde et de reprise)

Imaginez un sinistreImaginez un sinistre

Défaillance d’un serveur Défaillance d’un serveur Défaillance d’un disqueDéfaillance d’un disque Bris de confidentialitéBris de confidentialité Attaque de Déni de ServicesAttaque de Déni de Services Panne d’alimentation électriquePanne d’alimentation électrique NeigeNeige SpywareSpyware Virus ou VersVirus ou Vers Tornade, SéismeTornade, Séisme Erreur d’utilisateursErreur d’utilisateurs Quel impact sur les processus d’entreprise ?Quel impact sur les processus d’entreprise ?

Sinistres et autres évènements Sinistres et autres évènements perturbateursperturbateurs

Les sinistres constituent des perturbations Les sinistres constituent des perturbations causant l’arrêt du fonctionnement des causant l’arrêt du fonctionnement des ressources informationnelles critiques pendant ressources informationnelles critiques pendant un laps de temps, ce qui a un impact négatif sur un laps de temps, ce qui a un impact négatif sur les opérations d’entreprise.les opérations d’entreprise.

La perturbation pourrait durer quelques minutes La perturbation pourrait durer quelques minutes ou quelques mois en fonction des dommages ou quelques mois en fonction des dommages causés aux ressources informationnelles.causés aux ressources informationnelles.

A la suite d’un sinistre, des efforts sont A la suite d’un sinistre, des efforts sont nécessaires pour revenir au statut opérationnel.nécessaires pour revenir au statut opérationnel.

Gestion des atteintes à l’imageGestion des atteintes à l’image

Des rumeurs néfastes, provenant des sources Des rumeurs néfastes, provenant des sources diverses (même à l’interne), peuvent être associées diverses (même à l’interne), peuvent être associées ou non à un incident important ou une crise majeure ou non à un incident important ou une crise majeure et avoir des conséquences dévastatrices pour et avoir des conséquences dévastatrices pour l’entreprise.l’entreprise.

L’une des pires conséquences d’une crise est la L’une des pires conséquences d’une crise est la perte de la confiance.perte de la confiance.

Des activités de relations publiques au sein d’une Des activités de relations publiques au sein d’une organisation peuvent jouer un rôle important pour organisation peuvent jouer un rôle important pour limiter les atteintes à l’image et s’assurer que la limiter les atteintes à l’image et s’assurer que la crise n’empire pas.crise n’empire pas.

Processus de planification de la Processus de planification de la continuité des opérationscontinuité des opérations

1- Planification du projet (Politique de CA, portée du projet)1- Planification du projet (Politique de CA, portée du projet) 2- Evaluation des risques et analyse2- Evaluation des risques et analyse 3- Analyse de l’impact des risques de l’entreprise3- Analyse de l’impact des risques de l’entreprise 4- Développement d’une stratégie de CA4- Développement d’une stratégie de CA 5- Développement du plan de CA (Exécution de la 5- Développement du plan de CA (Exécution de la

stratégie, mise en œuvre des contre-mesures des risques)stratégie, mise en œuvre des contre-mesures des risques) 6- Formation de conscientisation (Sensibilisation)6- Formation de conscientisation (Sensibilisation) 7- Test du plan7- Test du plan 8- Surveillance du plan de CA, maintenance et mise à jour8- Surveillance du plan de CA, maintenance et mise à jour

Politique de continuité des Politique de continuité des opérationsopérations

Un document approuvé par la haute direction qui définit Un document approuvé par la haute direction qui définit l’étendue et la portée des efforts de continuité des l’étendue et la portée des efforts de continuité des opérations au sein de l’entreprise.opérations au sein de l’entreprise.

Sa portion interne est un message à l’intention des Sa portion interne est un message à l’intention des parties prenantes à l’interne ( employés, gestionnaires, parties prenantes à l’interne ( employés, gestionnaires, directeurs) déclarant que l’entreprise met en œuvre des directeurs) déclarant que l’entreprise met en œuvre des efforts et investit ses ressources, et s’attend à ce que le efforts et investit ses ressources, et s’attend à ce que le reste de l’organisation en fasse autant.reste de l’organisation en fasse autant.

Sa portion publique est un message à l’intention des Sa portion publique est un message à l’intention des parties prenantes à l’externe (actionnaires, régulateurs, parties prenantes à l’externe (actionnaires, régulateurs, autorités? Etc) déclarant que l’entreprise prend ses autorités? Etc) déclarant que l’entreprise prend ses obligations (fourniture de service, conformité) au sérieux.obligations (fourniture de service, conformité) au sérieux.

Gestion des incidentsGestion des incidents

Un incident constitue un événement imprévu, même s’il Un incident constitue un événement imprévu, même s’il ne provoque aucun dommage significatif. De nature ne provoque aucun dommage significatif. De nature dynamique, ils évoluent, changent avec le temps et dynamique, ils évoluent, changent avec le temps et selon les circonstances. En raison de cela, leur gestion selon les circonstances. En raison de cela, leur gestion doit être dynamique, proactive et bien documentée.doit être dynamique, proactive et bien documentée.

Tous les types d’incidents doivent être classés en Tous les types d’incidents doivent être classés en fonction de l’estimation de leur niveau de nuisance à fonction de l’estimation de leur niveau de nuisance à l’organisation.l’organisation.

La classification de l’incident peut cependant changer La classification de l’incident peut cependant changer dynamiquement jusqu’à ce que l’incident soit résolu.dynamiquement jusqu’à ce que l’incident soit résolu.

Classification des incidentsClassification des incidents

Négligeables : ne causent aucun dommage perceptible Négligeables : ne causent aucun dommage perceptible ou significatif.ou significatif.

Mineurs : bien que non négligeables, n’ont pas d’impacts Mineurs : bien que non négligeables, n’ont pas d’impacts matériels (d’importance relatives) ou financiers négatifs.matériels (d’importance relatives) ou financiers négatifs.

Majeurs : causent des impacts matériels négatifs sir les Majeurs : causent des impacts matériels négatifs sir les processus de l’entreprise et peuvent affecter d’autres processus de l’entreprise et peuvent affecter d’autres systèmes, services ou même des clients externes.systèmes, services ou même des clients externes.

Crise : incidents majeurs pouvant avoir d’importants Crise : incidents majeurs pouvant avoir d’importants impacts matériels (d’importance relative) sur le impacts matériels (d’importance relative) sur le fonctionnement continu de l’entreprise et des impacts fonctionnement continu de l’entreprise et des impacts négatifs sur d’autres systèmes ou tiers. négatifs sur d’autres systèmes ou tiers.

Analyse de l’impact des risques Analyse de l’impact des risques de l’entreprise (BIA)de l’entreprise (BIA)

Quelles sont les processus stratégiques de l’entreprise ?Quelles sont les processus stratégiques de l’entreprise ? A quelles sinistre l’entreprise l’entreprise est – elle A quelles sinistre l’entreprise l’entreprise est – elle

exposée ?exposée ? Quels peuvent être les conséquences de ces sinistres sur Quels peuvent être les conséquences de ces sinistres sur

le plan financier, humain, réglementaire, image, le plan financier, humain, réglementaire, image, environnement, …environnement, …

Quelles sont les ressources d’information essentielles Quelles sont les ressources d’information essentielles liées aux processus critiques de l’organisation ?liées aux processus critiques de l’organisation ?

Quelle est la période de reprise critique des ressources Quelle est la période de reprise critique des ressources d’information pour lesquelles le traitement doit être repris d’information pour lesquelles le traitement doit être repris avant que des pertes significatives ou inacceptables ne avant que des pertes significatives ou inacceptables ne surviennent ?surviennent ?

Classification des opérations et Classification des opérations et analyse de criticitéanalyse de criticité

Essentiel : Ces fonctions ne peuvent être effectuées à moins d’être remplacées Essentiel : Ces fonctions ne peuvent être effectuées à moins d’être remplacées par des capacités identiques. Les applications essentielles ne peuvent être par des capacités identiques. Les applications essentielles ne peuvent être remplacées par des méthodes manuelles. La tolérance aux interruptions est remplacées par des méthodes manuelles. La tolérance aux interruptions est très faible; par conséquent, le coût d’une interruption est très élevée.très faible; par conséquent, le coût d’une interruption est très élevée.

Vital : Ces fonctions peuvent être exécutées manuellement, mais seulement Vital : Ces fonctions peuvent être exécutées manuellement, mais seulement pour une courte période? La tolérance aux interruptions est plus élevée que pour une courte période? La tolérance aux interruptions est plus élevée que pour les systèmes essentiels, et les coût d’interruption moins élevés, à la pour les systèmes essentiels, et les coût d’interruption moins élevés, à la condition que les fonctions soient restaurées dans un temps donné condition que les fonctions soient restaurées dans un temps donné (habituellement cinq jours ou moins).(habituellement cinq jours ou moins).

Important : Ces fonctions peuvent être exécutées manuellement, à un coût Important : Ces fonctions peuvent être exécutées manuellement, à un coût acceptable et pour une période de temps prolongée. Bien qu’elles puissent être acceptable et pour une période de temps prolongée. Bien qu’elles puissent être exécutées manuellement, il s’agit habituellement d’un processus difficile qui exécutées manuellement, il s’agit habituellement d’un processus difficile qui nécessite l’ajout de personnel supplémentaire.nécessite l’ajout de personnel supplémentaire.

Non important : Ces fonctions peuvent être interrompues pendant un long Non important : Ces fonctions peuvent être interrompues pendant un long moment, à peu de frais ou sans frais pour l’entreprise, et nécessitent peu ou moment, à peu de frais ou sans frais pour l’entreprise, et nécessitent peu ou pas de mises à jours lors de la restauration.pas de mises à jours lors de la restauration.

Coûts d’interruption et de Coûts d’interruption et de reprisereprise

CoûtsCoûts

TempsTemps

Temps d’arrêtTemps d’arrêt

Strategies de reprise de secoursStrategies de reprise de secours

MinimumMinimum

** Site miroir Site miroir

* Salle rouge* Salle rouge

* Salle blanche* Salle blanche

Opérations interrompuesOpérations interrompues

Développement du PCODéveloppement du PCO La préparation avant le sinistre couvrant la gestion de la réaction aux La préparation avant le sinistre couvrant la gestion de la réaction aux

incidents dans le but de traiter tous les incidents pertinents affectant incidents dans le but de traiter tous les incidents pertinents affectant les processus de l’entreprise;les processus de l’entreprise;

La procédure d’évacuation;La procédure d’évacuation; La procédure de déclaration d’un sinistre;La procédure de déclaration d’un sinistre; Les circonstances de déclaration d’un sinistre;Les circonstances de déclaration d’un sinistre; La définition claire des responsabilités dans le plan;La définition claire des responsabilités dans le plan; Le définition claire des personnes responsables de chaque fonction Le définition claire des personnes responsables de chaque fonction

dans le plan;dans le plan; La détermination claire de l’information contractuelle;La détermination claire de l’information contractuelle; L’explication de chaque étape du processus de reprise des L’explication de chaque étape du processus de reprise des

opérations;opérations; La détermination claire des diverses ressources requises pour la La détermination claire des diverses ressources requises pour la

reprise et la poursuite des opérations de l’organisation;reprise et la poursuite des opérations de l’organisation;

Eléments d’un PCOEléments d’un PCO

Plan de continuité des opérationsPlan de continuité des opérations Plan de continuité des activitésPlan de continuité des activités Plan de reprise des opérationsPlan de reprise des opérations Plan de continuité du soutien/plan de secours des TIPlan de continuité du soutien/plan de secours des TI Plan de communication en cas de crisePlan de communication en cas de crise Plan de réaction aux incidents informatiquesPlan de réaction aux incidents informatiques Plan de transportPlan de transport Plan d’urgence pour les occupantsPlan d’urgence pour les occupants Plan d’évacuation et de relocalisation d’urgencePlan d’évacuation et de relocalisation d’urgence


Les politiques qui régiront le travail de continuité et de Les politiques qui régiront le travail de continuité et de reprise;reprise;

Les objectifs, exigences ou résultats pour chaque phase;Les objectifs, exigences ou résultats pour chaque phase; Les installations de remplacement pour exécuter les tâches Les installations de remplacement pour exécuter les tâches

et le opérations;et le opérations; Les ressources informationnelles essentielles qu’il faut Les ressources informationnelles essentielles qu’il faut

déployer;déployer; Les personnes responsables du déroulement des Les personnes responsables du déroulement des

opérations;opérations; Les ressources disponibles pour aider au déploiement (y Les ressources disponibles pour aider au déploiement (y

compris les ressources humaines);compris les ressources humaines); L’échéancier des activités avec la liste des priorités.L’échéancier des activités avec la liste des priorités.


Décideurs clés : Répertoire de notification des décideurs Décideurs clés : Répertoire de notification des décideurs clés et des utilisateurs finaux qui doivent initier et clés et des utilisateurs finaux qui doivent initier et exécuter le travail de reprise des opérations. exécuter le travail de reprise des opérations.

Réserve de fournitures requises : Réserve de toutes les Réserve de fournitures requises : Réserve de toutes les fournitures nécessaires à la poursuite des activités fournitures nécessaires à la poursuite des activités normales de l’entreprise au cours du travail de reprise.normales de l’entreprise au cours du travail de reprise.

Assurances : Informations clés sur les assurances de Assurances : Informations clés sur les assurances de l’organisation.l’organisation.

Mise à l’essai du planMise à l’essai du plan Vérifier l’exhaustivité et la précision du PCO;Vérifier l’exhaustivité et la précision du PCO; Evaluer la performance du personnel qui participe à l’exerciceEvaluer la performance du personnel qui participe à l’exercice Evaluer la formation et déterminer la perception des employés qui Evaluer la formation et déterminer la perception des employés qui

ne sont pas membres d’une équipe de CO;ne sont pas membres d’une équipe de CO; Evaluer la coordination entrée les équipes de CO et les fournisseurs Evaluer la coordination entrée les équipes de CO et les fournisseurs

externes;externes; Mesurer la capacité de l’installation de remplacement à effectuer le Mesurer la capacité de l’installation de remplacement à effectuer le

traitement prescrit;traitement prescrit; Evaluer la capacité de récupération des enregistrements essentiels;Evaluer la capacité de récupération des enregistrements essentiels; Evaluer l’état de l’équipement et des fournitures déménagés à Evaluer l’état de l’équipement et des fournitures déménagés à

l’installation de reprise ainsi que la quantité;l’installation de reprise ainsi que la quantité; Evaluer la performance globale des activités de traitement des SI et Evaluer la performance globale des activités de traitement des SI et

des opérations liées au fonctionnement de l’entité commerciale.des opérations liées au fonctionnement de l’entité commerciale.

Exécution de la mise à l’essaiExécution de la mise à l’essai

Pré-test : Ensemble des actions Pré-test : Ensemble des actions nécessaires à la mise à l’essai du plan.nécessaires à la mise à l’essai du plan.

Test : Mise à l’essai réelle du plan de Test : Mise à l’essai réelle du plan de continuité des opérations.continuité des opérations.

Post-test : Le nettoyage à la suite des Post-test : Le nettoyage à la suite des activités de groupe. activités de groupe.

Type de test du PCOType de test du PCO

Evaluation sur papier : Survol du plan sur papier Evaluation sur papier : Survol du plan sur papier impliquant les acteurs clés de l’exécution du impliquant les acteurs clés de l’exécution du plan qui essaye de prévoir ce qui pourrait plan qui essaye de prévoir ce qui pourrait survenir dans le cas d’un type particulier de survenir dans le cas d’un type particulier de perturbation du service.perturbation du service.

Test de préparation : Version localisé du test Test de préparation : Version localisé du test complet au cours duquel les ressources complet au cours duquel les ressources actuelles simulent une panne de système. actuelles simulent une panne de système.

Test opérationnel complet : Etape précédent une Test opérationnel complet : Etape précédent une interruption de service.interruption de service.

Audit du PCOAudit du PCO

Révision du PCORévision du PCO Evaluation des résultats de test précédentsEvaluation des résultats de test précédents Evaluation de l’installation d’entreposage hors Evaluation de l’installation d’entreposage hors

lieulieu Entretien avec le personnel cléEntretien avec le personnel clé Evaluation de la sécurité à l’installation hors lieuEvaluation de la sécurité à l’installation hors lieu Révision du contrat pour l’installation de Révision du contrat pour l’installation de

traitement de secourstraitement de secours Révision de la couverture d’assuranceRévision de la couverture d’assurance

Question type examenQuestion type examen

Lequel des éléments suivants serait le Lequel des éléments suivants serait le MIEUX adapté pour que la direction fasse MIEUX adapté pour que la direction fasse un suivi efficace du respect des processus un suivi efficace du respect des processus et des applications?et des applications? A. Un dépôt central de documentsA. Un dépôt central de documents B. Un système de gestion des connaissancesB. Un système de gestion des connaissances C. Un tableau de bordC. Un tableau de bord D. Une analyse comparativeD. Une analyse comparative


Lequel des éléments suivants ferait partie Lequel des éléments suivants ferait partie d’un plan stratégique des SI ?d’un plan stratégique des SI ? A. Les spécifications pour les achats planifiés A. Les spécifications pour les achats planifiés

de matériel.de matériel. B. L’analyse des objectifs de l’entreprise pour le B. L’analyse des objectifs de l’entreprise pour le

futur.futur. C. Les dates butoir pour les projets de C. Les dates butoir pour les projets de

développement.développement. D. Les cibles budgétaires annuelles pour le D. Les cibles budgétaires annuelles pour le

service des SI.service des SI.


Lequel des énoncés suivants décrit le MIEUX le Lequel des énoncés suivants décrit le MIEUX le processus de planification stratégique d’un processus de planification stratégique d’un département TI ?département TI ?

A. Le département des TI aura des plans à court ou long terme, en fonction des A. Le département des TI aura des plans à court ou long terme, en fonction des plans et des objectifs globaux de l’organisation.plans et des objectifs globaux de l’organisation.

B. Le plan stratégique du département des TI doit être axé sur le temps et le B. Le plan stratégique du département des TI doit être axé sur le temps et le projet, mais ne doit pas trop entrer dans les détails, par exemple en ce qui projet, mais ne doit pas trop entrer dans les détails, par exemple en ce qui concerne la détermination des priorités pour répondre aux besoins de concerne la détermination des priorités pour répondre aux besoins de l’entreprise.l’entreprise.

C. La planification à long terme du département des TI doit reconnaitre les C. La planification à long terme du département des TI doit reconnaitre les objectifs organisationnels, les avancées technologiques et les exigences objectifs organisationnels, les avancées technologiques et les exigences réglementaires.réglementaires.

D. La planification à court terme du département des TI n’a pas à être intégré D. La planification à court terme du département des TI n’a pas à être intégré aux plans à court terme de l’organisation, puisque les avancées technologiques aux plans à court terme de l’organisation, puisque les avancées technologiques stimuleront le département des TI plus rapidement que les plans stimuleront le département des TI plus rapidement que les plans organisationnels.organisationnels.


La responsabilité la PLUS importante d’un La responsabilité la PLUS importante d’un administrateur de la sécurité des données administrateur de la sécurité des données au sein d’une entreprise est : au sein d’une entreprise est : A. La recommandation et le contrôle des politiques de A. La recommandation et le contrôle des politiques de

sécurité des données.sécurité des données. B. La sensibilisation à la sécurité au sein de B. La sensibilisation à la sécurité au sein de

l’entreprise.l’entreprise. C. La mise en place de politiques de sécurité pour les C. La mise en place de politiques de sécurité pour les

TI.TI. D. L’administration des contrôles d’accès physiques et D. L’administration des contrôles d’accès physiques et

logiques.logiques.


Lequel des éléments suivants est jugé le Lequel des éléments suivants est jugé le PLUS critique pour l’implantation réussie PLUS critique pour l’implantation réussie d’un programme de sécurité de d’un programme de sécurité de l’information (SI) ?l’information (SI) ? A. Un cadre efficace de gestion du risque A. Un cadre efficace de gestion du risque

d’entreprise.d’entreprise. B. L’engagement de la haute direction.B. L’engagement de la haute direction. C. Un processus budgétaire adéquat.C. Un processus budgétaire adéquat. D. Une planification de programme rigoureuse.D. Une planification de programme rigoureuse.


Un auditeur des SI doit s’assurer que les Un auditeur des SI doit s’assurer que les mesures de la performance de la mesures de la performance de la gouvernance des TI : gouvernance des TI : A. évaluent les activités des comités qui A. évaluent les activités des comités qui

surveillent les TI.surveillent les TI. B. fournissent les pilotes stratégiques des TI.B. fournissent les pilotes stratégiques des TI. C. respectent les normes et les définitions des C. respectent les normes et les définitions des

réglementations.réglementations. D. évaluent la division des TI.D. évaluent la division des TI.


Laquelle des tâches suivantes peut être effectuée Laquelle des tâches suivantes peut être effectuée par la même personne dans un centre informatique par la même personne dans un centre informatique de traitement de l’information bien contrôlé?de traitement de l’information bien contrôlé? A. L’administration de la sécurité et la gestion des A. L’administration de la sécurité et la gestion des

modifications.modifications. B. Les opérations informatiques et la conception des B. Les opérations informatiques et la conception des

systèmes.systèmes. C. La conception des systèmes et la gestion des C. La conception des systèmes et la gestion des

modifications.modifications. D. Le développement du système et l’entretien des D. Le développement du système et l’entretien des

systèmes.systèmes.


Lequel des énoncés suivants est le Lequel des énoncés suivants est le contrôle le PLUS important concernant contrôle le PLUS important concernant l’administration d’une base de données ?l’administration d’une base de données ? A. L’approbation des activités de l’ABDA. L’approbation des activités de l’ABD B. La séparation des tâches.B. La séparation des tâches. C. La révision des journaux d’accès et des C. La révision des journaux d’accès et des

activités.activités. D. La révision de l’utilisation des outils de D. La révision de l’utilisation des outils de

base de données.base de données.


Lorsqu’une séparation complète des tâches ne Lorsqu’une séparation complète des tâches ne peut être réalisée dans un environnement de peut être réalisée dans un environnement de système en direct, laquelle des fonctions système en direct, laquelle des fonctions suivantes doit être séparée des autres ?suivantes doit être séparée des autres ? A. EmissionA. Emission B. AutorisationB. Autorisation C. EnregistrementC. Enregistrement D. CorrectionD. Correction


Dans une petite entreprise, où la séparation des tâches n’est Dans une petite entreprise, où la séparation des tâches n’est pas pratique, un employé effectue la fonction d’opérateur pas pratique, un employé effectue la fonction d’opérateur d’ordinateur et de programmeur d’application. Lequel des d’ordinateur et de programmeur d’application. Lequel des contrôles suivants un auditeur des SI doit-il recommander ?contrôles suivants un auditeur des SI doit-il recommander ? A. Des journaux automatisés des changements apportés aux A. Des journaux automatisés des changements apportés aux

bibliothèques de conception.bibliothèques de conception. B. L’embauche de main d’œuvre supplémentaire pour B. L’embauche de main d’œuvre supplémentaire pour

permettre la séparation des tâches.permettre la séparation des tâches. C. Des procédures qui vérifient que seuls les changements C. Des procédures qui vérifient que seuls les changements

autorisés au programme sont implantés.autorisés au programme sont implantés. D. Des contrôles d’accès pour empêcher l’opérateur D. Des contrôles d’accès pour empêcher l’opérateur

d’apporter des modifications au programme. d’apporter des modifications au programme.


The MOST important function of the IT The MOST important function of the IT department is:department is:

1.1. Cost effective implementation of IS Cost effective implementation of IS functionsfunctions

2.2. Alignment with business objectivesAlignment with business objectives

3.3. 24/7 Availability24/7 Availability

4.4. Process improvementProcess improvement


Product testing is most closely associated Product testing is most closely associated with which department:with which department:

1.1. AuditAudit

2.2. Quality AssuranceQuality Assurance

3.3. Quality ControlQuality Control

4.4. ComplianceCompliance


““Implement virtual private network in the Implement virtual private network in the next year” is a goal at the level:next year” is a goal at the level:

1.1. StrategicStrategic

2.2. OperationalOperational

3.3. TacticalTactical

4.4. MissionMission


Which of the following is not a valid purpose Which of the following is not a valid purpose of the IS Audit?of the IS Audit?

1.1. Ensure IS strategic plan matches the intent of Ensure IS strategic plan matches the intent of the enterprise strategic planthe enterprise strategic plan

2.2. Ensure that IS has developed documented Ensure that IS has developed documented processes for software acquisition and/or processes for software acquisition and/or development (depending on IS functions)development (depending on IS functions)

3.3. Verify that contracts followed a documented Verify that contracts followed a documented process that ensures no conflicts of interestprocess that ensures no conflicts of interest

4.4. Investigate program code for backdoors, logic Investigate program code for backdoors, logic bombs, or Trojan horsesbombs, or Trojan horses


Documentation that would not be viewed by Documentation that would not be viewed by the IT Strategy Committee would be:the IT Strategy Committee would be:

1.1. IT Project PlansIT Project Plans

2.2. Risk Analysis & Business Impact Risk Analysis & Business Impact AnalysisAnalysis

3.3. IT Balanced ScorecardIT Balanced Scorecard

4.4. IT PoliciesIT Policies


Who can contribute the MOST to Who can contribute the MOST to determining the priorities and risk impacts determining the priorities and risk impacts to the organization’s information to the organization’s information resources?resources?

1.1. Chief Risk OfficerChief Risk Officer

2.2. Business Process OwnersBusiness Process Owners

3.3. Security ManagerSecurity Manager

4.4. AuditorAuditor


A document that describes how access A document that describes how access permission is defined and allocated is permission is defined and allocated is the:the:

1.1. Data ClassificationData Classification

2.2. Acceptable Usage PolicyAcceptable Usage Policy

3.3. End-User Computing PolicyEnd-User Computing Policy

4.4. Access Control PoliciesAccess Control Policies


The role of the Information Security The role of the Information Security Manager in relation to the security Manager in relation to the security strategy is:strategy is:

1.1. Primary author with business inputPrimary author with business input2.2. Communicator to other departmentsCommunicator to other departments3.3. ReviewerReviewer4.4. Approves the strategyApproves the strategy


The role most likely to test a control is the:The role most likely to test a control is the:

1.1. Security AdministratorSecurity Administrator

2.2. Security ArchitectSecurity Architect

3.3. Quality Control AnalystQuality Control Analyst

4.4. Security Steering CommitteeSecurity Steering Committee


The Role responsible for defining security The Role responsible for defining security objectives and instituting a security objectives and instituting a security organization is the:organization is the:

1.1. Chief Security OfficerChief Security Officer2.2. Executive ManagementExecutive Management3.3. Board of DirectorsBoard of Directors4.4. Chief Information Security OfficerChief Information Security Officer


When implementing a control, the PRIMARY When implementing a control, the PRIMARY guide to implementation adheres to:guide to implementation adheres to:

1.1. Organizational PolicyOrganizational Policy

2.2. Security frameworks such as COBIT, Security frameworks such as COBIT, NIST, ISO/IECNIST, ISO/IEC

3.3. Prevention, Detection, CorrectionPrevention, Detection, Correction

4.4. A layered defenseA layered defense


The persons on the Security Steering The persons on the Security Steering Committee who can contribute the BEST Committee who can contribute the BEST information relating to insuring information relating to insuring Information Security success is:Information Security success is:

1.1. Chief Information Security OfficerChief Information Security Officer

2.2. Business process ownersBusiness process owners

3.3. Executive ManagementExecutive Management

4.4. Chief Information OfficerChief Information Officer

RemerciementsRemerciements

Pour IBT ( Institute of Business and Pour IBT ( Institute of Business and Technologies)Technologies)

BP: 15441 Douala - CamerounBP: 15441 Douala - Cameroun Par Arsène Edmond NGATO, CISA, CISM, Par Arsène Edmond NGATO, CISA, CISM,

PMP, OCP 10g/11gPMP, OCP 10g/11g Téléphone- 99183886Téléphone- 99183886 Email- Email- [email protected] Sources : Manuel de préparation CISA 2012, Sources : Manuel de préparation CISA 2012,

Divers articles téléchargés sur Internet.Divers articles téléchargés sur Internet.

Gouvernance et Gestion des TI

Documents

Transcript of Gouvernance et Gestion des TI