la sécurité informatique - Comptables agréés du Canada

Comité consultatif sur les technologies de l’information
20 Questions que les administrateurs devraient poser sur
la sécurité informatique
Rédaction Robert Reimer, ca•ti, ca•ciSa, ciSM, cGEit

20 Questions que les administrateurs devraient poser sur
la sécurité informatique
Rédaction Robert Reimer, ca•ti, ca•ciSa, ciSM, cGEit

© 2010 L’Institut Canadien des Comptables Agréés
Tous droits réservés. Cette publication est protégée par des droits d’auteur et
ne peut être reproduite, stockée dans un système de recherche documentaire ou
transmise de quelque manière que ce soit (électroniquement, mécaniquement,
par photocopie, enregistrement ou toute autre méthode) sans autorisation écrite
préalable.
Pour obtenir des renseignements concernant l’obtention de cette autorisation,
veuillez écrire à permissions@cica.ca.
Catalogage avant publication de Bibliothèque et Archives Canada
Reimer, Robert J.
20 questions que les administrateurs devraient poser sur la sécurité
informatique / Robert J. Reimer.
Publ. également en anglais sous le titre : 20 questions directors should ask about
information technology security.
ISBN 978-1-55385-494-4
1. Technologie de l’information--Sécurité--Mesures. 2. Protection de
l’information (Informatique)--Gestion. 3. Sécurité informatique--Gestion.
4. Évaluation du risque. I. Institut canadien des comptables agréés II. Titre.
III. Titre : Vingt questions que les administrateurs devraient poser sur la sécurité
informatique.
HF5548.37.R4514 2010 658.4’78 C2010-903123-7

20 Questions que les administrateurs devraient poser sur la sécurité informatique 1
INTRoduCTIoN
Le Comité consultatif sur les technologies de l’information de l’ICCA a préparé
le présent document pour aider les conseils d’administration à évaluer les
questions de sécurité informatique. Ce document peut également être utile
aux autres instances participant à la gouvernance, en particulier aux comités
d’audit, et à des groupes stratégiques tels que les comités d’orientation sur
les TI, les comités de gestion des risques et les comités pour l’attestation des
contrôles par le chef de la direction ou le chef des finances.
Il incombe aux administrateurs d’acquérir la conviction que les risques
d’atteinte à l’intégrité des données, de non-disponibilité des systèmes
d’information et d’exploitation, de non-respect de la confidentialité des données
confidentielles et de non-observation des exigences des autorités de
réglementation sont identifiés et atténués ou éliminés. Le présent document
expose une série de questions que les conseils d’administration pourraient
poser aux cadres supérieurs, ainsi que le contexte dans lequel il convient de
les poser et d’évaluer les réponses.
dans le présent document, on entend par sécurité informatique la protection
des données saisies, traitées, transmises, communiquées et stockées
de façon électronique. La sécurité informatique comprend également la
protection des composants connexes (systèmes d’applications, logiciels
de base, réseaux et matériel) et englobe les personnes, les politiques, les
procédures, les processus et l’organisation servant ce but.
L’ICCA exprime sa reconnaissance à l’auteur principal du présent document,
Robert J. Reimer, CA•TI, CA•CISA, CISM, CGEIT, membre du Comité consultatif
sur les technologies de l’information, ainsi qu’aux autres membres de ce
comité pour les conseils et les commentaires qu’ils ont fournis.

2
20 Questions que les administrateurs devraient poser sur la sécurité informatique
Auteur
Robert J. Reimer, CA•TI, CA•CISA, CISM, CGEIT
Directeur de projet
Malik datardina, CA, CISA
Comité consultatif sur les technologies de l’information
de l’ICCA
Président
Ray Henrickson, CA•TI, CA•CISA, Banque Scotia, Toronto
Membres
Chris Anderson CA(NZ), CISA, CMC, CISSP, PCI QSA
Efrim Boritz, FCA, CA•TI, CA•CISA, Ph.d., université de Waterloo, Toronto
Nancy Y. Cheng, FCA, Bureau du vérificateur général du Canada, ottawa
Malik datardina, CA, CISA, data Sync Consulting Inc., Mississauga
(consultant auprès du Comité)
Mario durigon, CA, KPMG LLP, Toronto
Henry Grunberg, CA•TI, Ernst & Young LLP, Toronto
Andrew Kwong, M.B.A., CA, CISA, CISSP, CISM, deloitte & Touche LLP,
Toronto
Carole Le Néal, M.B.A., CISA, CISSP, CIA, Mouvement des caisses desjardins,
Montréal
Richard Livesley, BMo Groupe financier, Toronto
James R. Murray, CA•CISA, CA•CIA, Grant Thornton LLP, Halifax
Robert G. Parker, FCA, CA•CISA, deloitte & Touche LLP, Toronto
Robert. J. Reimer, CA•TI, CA•CISA, CISM, CGEIT, PricewaterhouseCoopers
LLP, Winnipeg
douglas G. Timmins, CA, Bureau du vérificateur général du Canada, ottawa
Gerald d. Trites, FCA, CA•TI, CA•CISA, Zorba Research Inc., Heatherton
(et aussi conseiller technique du Comité)
Bryan C. Walker, CA, L’Institut Canadien des Comptables Agréés, Toronto
Permanent de l’ICCA
dave Pollard, CA, vice-président, orientation et soutien
Le Comité consultatif sur les technologies de l’information (CCTI) relève de la
division orientation et soutien de l’ICCA. Il joue un rôle de soutien et de conseil
sur les questions de TI auprès de la profession de CA et du milieu des affaires.

20 Questions que les administrateurs devraient poser sur la sécurité informatique 3
RESPoNSABILITÉS du CoNSEIL
EN MATIèRE dE SÉCuRITÉ
INFoRMATIQuE
L’utilisation des technologies de l’information (TI) fait maintenant partie intégrante
des activités d’une organisation. La saisie, le traitement, la transmission
et le stockage de données sont des activités essentielles pour la plupart des
organisations. Compte tenu de l’augmentation rapide de la complexité des systèmes
et du partage de l’accès aux systèmes et aux données de l’organisation
avec des tiers, les risques d’atteinte à l’intégrité, à la confidentialité et à la disponibilité
des données font peser une menace croissante sur la réputation et le
fonctionnement de toutes les organisations.
Il n’y a pas si longtemps, l’implantation d’un système de sécurité informatique
était considérée comme un luxe ou comme un simple élément de frais généraux.
En conséquence, les fonds budgétés pour le déploiement de la politique et de
la fonction de sécurité informatique pouvaient être facilement réaffectés lorsque
des besoins plus urgents se présentaient. Cette attitude n’est plus aussi
généralisée qu’auparavant. La conscience de l’importance de la sécurité est
plus vive que jamais, de plus en plus de fonds y sont consacrés, un nombre
croissant de personnes y consacrent leurs efforts, et de meilleurs processus et
technologies sont mis en place.
Les pirates informatiques, les voleurs d’identité, les pertes de données sur les
clients et les atteintes aux systèmes continuent de faire les manchettes, et
le risque d’atteinte à la réputation des organisations continue de croître. Les
entreprises doivent satisfaire aux exigences de plus en plus strictes de leur clientèle,
de leurs fournisseurs et de leurs partenaires commerciaux en matière de
sécurité informatique. Si l’on ajoute à cela l’attention croissante que les autorités
de réglementation portent à la protection de l’information (règlements concernant
l’attestation par le chef de la direction ou le chef des finances, Normes
en matière de sécurité des données du secteur des cartes de paiement (PCI
dSS), lois sur la protection des renseignements personnels, etc.), il est clair qu’il
incombe au conseil d’administration de s’assurer que les questions de sécurité
informatique sont bien prises en main au sein de l’organisation, et que les stratégies
d’affaires, de TI et de gestion des risques sont bien coordonnées.
Étant donné que de nombreux conseils d’administration examinent la sécurité
informatique sous une variété d’angles, notamment les résultats de l’attestation
par le chef de la direction ou le chef des finances, les activités de conformité
aux normes PCI dSS ou les rapports d’audit interne, la question de la sécurité
devrait être à l’ordre du jour du conseil au moins tous les six mois. La direction
devrait rendre compte régulièrement au conseil de l’état de ce dossier, et le
conseil devrait inclure la sécurité informatique dans toutes ses discussions sur
la gestion des risques et demander à la fonction d’audit interne d’intégrer la
sécurité informatique à son programme de travail.

4
20 Questions que les administrateurs devraient poser sur la sécurité informatique
GouVERNANCE
dE LA SÉCuRITÉ INFoRMATIQuE
En raison de son importance stratégique et tactique pour l’atteinte des objectifs
d’affaires, la sécurité informatique doit être intégrée aux plans d’affaires et
aux plans de développement informatique. Les données doivent être protégées
contre les risques de modification et de communication non autorisées,
d’indisponibilité ou de perte. Leur protection doit être envisagée comme concernant
l’ensemble de l’entreprise. Pour que les ressources de l’organisation
soient adéquatement protégées, le souci et la prise en charge de la sécurité
informatique doivent commencer aux plus hauts échelons de l’organisation.
Les parties prenantes à la sécurité informatique comprennent le conseil
d’administration, la direction générale, les directions sectorielles, les fournisseurs
de services, les autres fournisseurs, les partenaires commerciaux, les
clients, les auditeurs, les actionnaires, le personnel et les autorités de réglementation.
Chaque partie prenante s’attend à ce que les échanges électroniques
avec l’organisation soient sécurisés et fiables afin de pouvoir faire
confiance aux systèmes et aux données qu’ils fournissent.
Comme la sécurité informatique n’est pas une simple question technique,
elle ne concerne pas seulement la technologie. une bonne sécurité informatique
exige une compréhension approfondie de l’importance de chaque
type de données; les contrôles visant à réduire les risques associés à chaque
type de données doivent correspondre au niveau de risque acceptable pour
l’organisation. L’équilibrage des risques et des coûts permet à la sécurité
informatique d’être un générateur de valeur plutôt qu’un obstacle. Les politiques
approuvées par le conseil d’administration donnent une orientation
qui tient compte de ces risques, des stratégies d’entreprise et de la réglementation.
La gouvernance de la sécurité informatique découle du cadre de
gouvernance global; elle s’insère dans le cadre de gouvernance des TI pour
permettre au conseil de surveiller la sécurité informatique comme toute
autre ressource essentielle.
La fonction sécurité informatique doit collaborer avec les autres fonctions
de l’entreprise, y compris la gestion des risques, les conseils juridiques, les
ressources humaines, les TI, la comptabilité, la finance et l’audit. Elle doit
compter sur une équipe suffisante de personnes formées et expérimentées.
Sa position dans l’organigramme doit lui permettre d’agir indépendamment
et lui procurer suffisamment d’autorité pour lui permettre de s’assurer
que l’organisation conçoit, met en place, gère et contrôle efficacement les
mesures de sécurité informatiques requises par les politiques, les risques, la
réglementation et la stratégie d’entreprise. L’organisation doit maximiser les
synergies entre la sécurité des systèmes, la protection des actifs corporels,
la protection des renseignements personnels, la planification de la continuité
des affaires et la gestion des documents.

20 Questions que les administrateurs devraient poser sur la sécurité informatique 5
Pour évaluer l’importance que l’organisation accorde à la gouvernance de la
sécurité informatique, le conseil d’administration devrait se poser les questions
suivantes :
1. La direction a-t-elle clairement défini ses objectifs en matière de sécurité
informatique, sa tolérance au risque et le niveau visé de sécurité
informatique?
2. La direction a-t-elle mis en place un cadre de gouvernance de la sécurité
informatique grâce auquel les objectifs de sécurité liés aux activités, à
la technologie, à l’information financière et à la conformité sont convenablement
reflétés dans la stratégie globale de sécurité de l’organisation,
les cibles de déploiement, les fonds attribués et les niveaux de tolérance
au risque?
3. L’organisation a-t-elle une fonction sécurité informatique clairement
définie, pourvue des compétences, de la capacité, des outils et des
méthodes nécessaires pour évaluer et gérer de façon continue la qualité
de la sécurité informatique, et pour se tenir au courant de l’évolution
des risques, de la technologie, de la réglementation et des attentes des
parties prenantes?
4. Les politiques, les normes et les priorités de l’organisation en matière
de sécurité informatique ont-elles été communiquées efficacement au
personnel et aux autres parties prenantes?
5. Le conseil d’administration reçoit-il en temps utile des rapports adéquats
sur la performance en matière de sécurité informatique et sur les
indicateurs clés?
FoRMALISATIoN
dE LA SÉCuRITÉ INFoRMATIQuE
La plupart des organisations ne peuvent pas tenir la sécurité informatique
pour acquise. Le personnel des services informatiques n’a pas toujours le
temps de se tenir au fait des questions de sécurité et de mettre en œuvre
des mesures de protection tout en accomplissant d’autres tâches. une
bonne sécurité informatique passe par la formalisation de cette fonction.
un cadre global de sécurité informatique crée une structure qui permet de
concevoir et de mettre en œuvre les mesures nécessaires. La compréhension
des initiatives commerciales et de la stratégie de TI, associée à une évaluation
des menaces et des risques, permet d’établir une politique de sécurité
informatique qui recevra l’aval du conseil d’administration. L’importance
accordée à la sécurité informatique par les dirigeants doit être clairement
communiquée lors de la diffusion de la politique, et transparaître dans la
mise en œuvre d’une structure de gestion de la sécurité informatique. une
fois ces éléments intégrés, il est possible de mettre en place un programme
de contrôle et de conformité efficace, comportant la reddition de comptes

6
20 Questions que les administrateurs devraient poser sur la sécurité informatique
et la présentation régulière de rapports à la direction générale et au conseil
d’administration.
Il existe un certain nombre de cadres et de programmes reconnus, tels que le
référentiel CoBIT de l’Association des professionnels de la vérification et du
contrôle des systèmes d’information (ISACA), les normes ISo 17799 et 27001
de l’organisation internationale de normalisation, les recommandations de
l’Information Security Forum (ISF), les Services Trust (AICPA-ICCA), La gestion
du contrôle de l’information, publié par l’ICCA, et les recommandations
du National Institute of Standards and Technology (NIST). Le cadre choisi
doit s’harmoniser avec les autres initiatives de l’organisation (gestion du risque
d’entreprise, gouvernance des TI, attestation du chef de la direction ou
du chef des finances, etc.). La solution adoptée doit comprendre des mécanismes
assurant l’application des bonnes pratiques du secteur d’activité et
le respect des lois et des règlements qui concernent l’organisation.
La promotion auprès de toutes les parties prenantes d’une culture
d’entreprise favorisant la sécurité informatique est un élément important.
des programmes de formation et de sensibilisation doivent régulièrement
rappeler la respon sabilité de chacun en matière de sécurité informatique.
Afin d’évaluer l’importance réelle que l’organisation accorde à la sécurité
informatique, le conseil d’administration devrait notamment poser les questions
suivantes à la direction :
6. des politiques globales de sécurité informatique, de protection de
l’information, d’utilisation acceptable et de déontologie ont-elles été
rédigées, soumises à l’approbation du conseil d’administration et communiquées
à tous les niveaux de l’organisation?
7. des processus et procédures appropriés ont-ils été conçus et mis en
œuvre dans les unités fonctionnelles et les services informatiques à
l’échelle de l’organisation?
8. des fonds adéquats ont-ils été affectés pour satisfaire aux exigences de
sécurité informatique et soutenir les initiatives connexes?
9. Y a-t-il un mécanisme établi pour contrôler régulièrement le respect de
ces politiques, de ces normes et de ces procédures?
10. Y a-t-il un programme structuré de sensibilisation en matière de sécurité
informatique?

20 Questions que les administrateurs devraient poser sur la sécurité informatique 7
ÉVALuATIoN ET ATTÉNuATIoN
dES RISQuES
La mise en œuvre d’un programme de sécurité informatique nécessite de
comprendre la nature de l’information ainsi que les systèmes à protéger et
les mesures de protection appropriées compte tenu du niveau de risque
identifié et de sa probabilité.
Les contrôles de sécurité informatique contribuent largement à atténuer les
risques d’atteinte à la confidentialité, à l’intégrité ou à la disponibilité des
données et des systèmes d’information critiques. Les informations à protéger
sont toutes celles qui, en cas de fuite, pourraient causer un embarras ou
nuire à l’avantage concurrentiel. une bonne sécurité informatique permet
également à l’organisation de profiter des nouvelles opportunités fondées
sur l’échange de données protégées.
L’évaluation des risques est un élément essentiel de la sécurité informatique.
utilisée à bon escient, elle sensibilise à l’exposition potentielle aux risques,
constitue un mécanisme pratique pour apprécier l’ampleur de cette exposition,
et aide à déterminer les mesures à mettre en place. Même si l’évaluation
est axée avant tout sur les activités d’exploitation, la compréhension des
me naces et des vulnérabilités, ainsi que des exigences réglementaires, en
constitue un volet important.
Lorsque l’organisation réalise déjà une évaluation des risques dans le cadre
d’une autre initiative, il convient d’en tirer parti pour l’évaluation des risques
en matière de sécurité. Parmi les évaluations des risques pouvant déjà être
en cours, mentionnons :
• le programme gestion des risques;
• la planification de l’audit interne;
• le programme d’attestation par le chef de la direction ou le chef des
finances;
• une étude d’impact liée à la planification de la continuité de l’entreprise;
• une initiative liée à la gouvernance des TI ou à l’application des normes
PCI dSS.
une fois évalués les risques et leur probabilité, il faut mettre en œuvre des
contrôles d’atténuation suffisants, constitués d’une combinaison de politiques,
de procédures, de processus, d’activités de formation et de solutions
techniques. La direction doit :
• démontrer qu’une évaluation des risques en bonne et due forme a eu
lieu;
• consigner et expliquer le seuil de risque établi dans chaque secteur;
• présenter les stratégies mises en œuvre pour l’atténuer;
• démontrer que le fonctionnement des contrôles fait l’objet de tests et
de rapports périodiques.

8
20 Questions que les administrateurs devraient poser sur la sécurité informatique
L’évaluation des risques doit être mise à jour régulièrement, au fil de
l’évolution des technologies et des activités de l’organisation. Le conseil
d’administration ne doit pas oublier que, quels que soient les budgets et
le temps consacrés à la sécurité informatique, de nouvelles menaces et
vulnérabilités ne cesseront de se faire jour et de requérir l’attention de
l’organisation.
Afin de s’assurer que les risques de sécurité sont bien gérés, le conseil d’admi-
nistration devrait notamment poser les questions suivantes à la direction :
11. L’organisation a-t-elle adopté un programme de gestion des risques en
bonne et due forme et celui-ci comprend-il une analyse régulière, pour
l’ensemble de l’organisation, des menaces internes et externes et des vulnérabilités,
tant sur le plan opérationnel que sur le plan technologique?
12. Les données critiques et confidentielles sont-elles identifiées et classées
et a-t-on pris des mesures suffisantes pour atténuer les risques en
te-nant compte du classement établi?
13. Si des éléments du traitement des données sont externalisés, a-t-on mis
en œuvre des mesures documentées et appropriées pour communiquer
au fournisseur les attentes en matière de sécurité informatique et
s’assurer de leur respect?
14. Les initiatives et les projets opérationnels ou technologiques ont-ils fait
l’objet d’une évaluation des risques en bonne et due forme pour identifier
et atténuer leurs incidences potentielles sur la sécurité informatique?
FoNCTIoN
SÉCuRITÉ INFoRMATIQuE
ET oRGANISATIoN
Tout cadre global de sécurité informatique doit comprendre une fonction
sécurité informatique et une instance de gestion connexe. Les personnes
désignées pour assurer ces fonctions doivent avoir les pouvoirs nécessaires
pour qu’une attention particulière soit portée continuellement aux questions
de sécurité informatique. Les responsabilités associées aux différents rôles
doivent être clairement définies, de même que leur étendue et la structure
hiérarchique, afin de permettre la mise en œuvre et le contrôle de politiques
de sécurité informatique. dans les organisations où la sécurité informatique
revêt une importance particulière, des personnes qualifiées doivent être
nommées à des postes de direction portant des titres tels que responsable
de la sécurité des systèmes d’information (RSSI) ou chef de la sécurité de
l’information.
Les responsables de la sécurité informatique doivent être formés, expérimentés,
totalement intègres et détenir un titre professionnel reconnu. Parmi
les titres reconnus courants, citons celui de CISM (Certified Information Systems
Manager) de l’ISACA et celui de CISSP (Certified Information Systems

20 Questions que les administrateurs devraient poser sur la sécurité informatique 9
Secur ity Professional) de l’International Information Systems Security Certification
Consortium ((ISC)2 ® ).
La fonction sécurité informatique doit être séparée des autres unités fonctionnelles
afin de mieux asseoir son autorité et d’assurer la reddition de
comptes. Malheureusement, de nombreuses organisations voient encore
cette fonction comme faisant partie des TI et la font relever du chef de
l’information ou, parfois, du chef des finances, ce qui déroge au principe de
la séparation des tâches. Il est conseillé de faire relever cette fonction du
conseil d’administration, du chef de la direction, du chef de l’exploitation ou
du conseiller juridique. Sinon, il faut établir des paramètres clairs pour éviter
les conflits d’intérêts.
La fonction de sécurité informatique est généralement subdivisée en trois
secteurs clés :
1) politiques et conformité;
2) conception et mise en œuvre;
3) fonctionnement et administration.
En même temps, des responsabilités en matière de sécurité informatique
doivent être réparties dans l’ensemble de l’organisation pour permettre
l’interaction et la coopération entre les services et une mise en œuvre concertée
au plan opérationnel. Au niveau technique, la sécurité informatique
peut alors être prise en compte à toutes les étapes du cycle de développement
des systèmes, et englober tous les aspects des systèmes tels que
les réseaux (internes, externes et sans fil), les systèmes d’exploitation et
d’application, et les divers supports de transmission et de stockage tels que
les assistants numériques (PdA).
Afin d’évaluer l’importance que l’organisation accorde réellement à la sécurité
informatique, le conseil d’administration devrait notamment poser les
questions suivantes à la direction :
15. Les responsabilités en matière de sécurité informatique sont-elles
clairement attribuées et les responsables désignés doivent-ils rendre
des comptes à un niveau approprié de l’organisation?
16. L’organisation a-t-elle élaboré un processus pour assurer la formation en
temps opportun du personnel de sécurité informatique et exige-t-on le
maintien de titres professionnels reconnus dans le cadre de ce processus?

10
20 Questions que les administrateurs devraient poser sur la sécurité informatique
SÉCuRITÉ INFoRMATIQuE —
ACTIVITÉS ET CoNFoRMITÉ
La sécurité informatique requiert un ensemble équilibré de ressources
humaines, de processus, d’organisation et d’outils technologiques. Cet
ensemble est défini dans le cadre de sécurité informatique. Les processus
visent la prévention, la détection ou la correction, selon ce qui est le plus
efficient dans les circonstances. des mécanismes doivent permettre de contrôler
le respect des politiques de sécurité et d’identifier les problèmes en
temps opportun. Il faut également prévoir des procédures pour documenter
et régler les incidents, et en informer la direction lorsque leur nature ou leur
fréquence le requiert. Il faut notamment se préparer à réagir aux attaques
des pirates informatiques, aux pourriels, aux virus et aux autres programmes
malveillants, et pouvoir prendre des décisions rapides pour réduire au minimum
leur incidence si les mesures de prévention sont déjouées.
L’efficacité des contrôles de sécurité informatique doit être testée périodiquement.
La direction doit être en mesure d’effectuer sa propre évaluation
de la rigueur de ses contrôles, à laquelle doit s’ajouter une évaluation
régulière et indépendante effectuée soit par la fonction audit interne, si elle
est compétente à cet égard, soit par un cabinet spécialisé indépendant.
Les résultats de ces tests et de ces audits doivent être présentés au conseil
d’administration pour lui donner l’assurance que des contrôles d’efficacité
ont lieu et le ren-seigner sur la qualité des contrôles de sécurité informatique.
Pour déterminer si l’organisation gère efficacement son programme de
sécurité informatique, le conseil d’administration devrait notamment poser
les questions suivantes à la direction :
17. L’organisation surveille-t-elle efficacement le respect des contrôles de
sécurité informatique et est-elle également efficace dans l’identification
des attaques informatiques, des intrus et des activités non autorisées
sur les réseaux externe et interne, les processeurs clés, les applications,
les ordinateurs portables, les stockages hors réseaux et les installations
matérielles?
18. A-t-on désigné un responsable chargé de l’identification proactive des
nouveaux facteurs de vulnérabilité et des problèmes de sécurité informatique,
ainsi que de la mise en œuvre de patchs, de mises à jour et
d’autres mesures correctives?
19. Y a-t-il un processus documenté de traitement des incidents, définissant
les responsabilités et les tâches, et prévoyant les procédures de limitation
des dommages et d’atténuation des risques, l’analyse approfondie
des causes, ainsi que des protocoles d’alerte par paliers et de communication
aux cadres supérieurs et au conseil d’administration?
20. L’organisation assure-t-elle un suivi de l’évolution de la législation et de
la réglementation et ajuste-t-elle en conséquence son programme de
sécurité informatique?

20 Questions que les administrateurs devraient poser sur la sécurité informatique 11
ANNExE :
SoMMAIRE dES QuESTIoNS
1. La direction a-t-elle clairement défini ses objectifs en matière de sécurité
informatique, sa tolérance au risque et le niveau visé de sécurité
informatique?
2. La direction a-t-elle mis en place un cadre de gouvernance de la
sécurité informatique grâce auquel les objectifs de sécurité liés aux
activités, à la technologie, à l’information financière et à la conformité
sont conve-nablement reflétés dans la stratégie globale de sécurité
de l’organisation, les cibles de déploiement, les fonds attribués et les
niveaux de tolérance au risque?
3. L’organisation a-t-elle une fonction sécurité informatique clairement
définie, pourvue des compétences, de la capacité, des outils et des méthodes
nécessaires pour évaluer et gérer de façon continue la qualité
de la sécurité informatique, et pour se tenir au courant de l’évolution
des risques, de la technologie, de la réglementation et des attentes des
parties prenantes?
4. Les politiques, les normes et les priorités de l’organisation en matière
de sécurité informatique ont-elles été communiquées efficacement au
personnel et aux autres parties prenantes?
5. Le conseil d’administration reçoit-il en temps utile des rapports adéquats
sur la performance en matière de sécurité informatique et sur les
indicateurs clés?
6. des politiques globales de sécurité informatique, de protection de
l’information, d’utilisation acceptable et de déontologie ont-elles été
rédigées, soumises à l’approbation du conseil d’administration et communiquées
à tous les niveaux de l’organisation?
7. des processus et procédures appropriés ont-ils été conçus et mis en
œuvre dans les unités fonctionnelles et les services informatiques à
l’échelle de l’organisation?
8. des fonds adéquats ont-ils été affectés pour satisfaire aux exigences
de sécurité informatique et soutenir les initiatives connexes?
9. Y a-t-il un mécanisme établi pour contrôler régulièrement le respect de
ces politiques, de ces normes et de ces procédures?
10. Y a-t-il un programme structuré de sensibilisation en matière de sécurité
informatique?

12
20 Questions que les administrateurs devraient poser sur la sécurité informatique
11. L’organisation a-t-elle adopté un programme de gestion des risques
en bonne et due forme et celui-ci comprend-il une analyse régulière,
pour l’ensemble de l’organisation, des menaces internes et externes et
des vulnérabilités, tant sur le plan opérationnel que sur le plan technologique?
12. Les données critiques et confidentielles sont-elles identifiées et classées
et a-t-on pris des mesures suffisantes pour atténuer les risques en
tenant compte du classement établi?
13. Si des éléments du traitement des données sont externalisés, a-t-on
mis en œuvre des mesures documentées et appropriées pour communiquer
au fournisseur les attentes en matière de sécurité informatique
et s’assurer de leur respect?
14. Les initiatives et les projets opérationnels ou technologiques ont-ils
fait l’objet d’une évaluation des risques en bonne et due forme pour
identifier et atténuer leurs incidences potentielles sur la sécurité informatique?
15. Les responsabilités en matière de sécurité informatique sont-elles
clairement attribuées et les responsables désignés doivent-ils rendre
des comptes à un niveau approprié de l’organisation?
16. L’organisation a-t-elle élaboré un processus pour assurer la formation
en temps opportun du personnel de sécurité informatique et exiget-on
le maintien de titres professionnels reconnus dans le cadre de ce
processus?
17. L’organisation surveille-t-elle efficacement le respect des contrôles
de sécurité informatique et est-elle également efficace dans
l’identification des attaques informatiques, des intrus et des activités
non autorisées sur les réseaux externe et interne, les processeurs clés,
les applications, les ordinateurs portables, les stockages hors réseaux
et les installations matérielles?
18. A-t-on désigné un responsable chargé de l’identification proactive des
nouveaux facteurs de vulnérabilité et des problèmes de sécurité informatique,
ainsi que de la mise en œuvre de patchs, de mises à jour et
d’autres mesures correctives?
19. Y a-t-il un processus documenté de traitement des incidents, définissant
les responsabilités et les tâches, et prévoyant les procédures de
limitation des dommages et d’atténuation des risques, l’analyse approfondie
des causes, ainsi que des protocoles d’alerte par paliers et de
communication aux cadres supérieurs et au conseil d’administration?
20. L’organisation assure-t-elle un suivi de l’évolution de la législation et de
la réglementation et ajuste-t-elle en conséquence son programme de
sécurité informatique?