la sécurité informatique - Comptables agréés du Canada
la sécurité informatique - Comptables agréés du Canada
la sécurité informatique - Comptables agréés du Canada
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Comité consultatif sur les technologies de l’information<br />
20 Questions que les administrateurs devraient poser sur<br />
<strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
Rédaction Robert Reimer, ca•ti, ca•ciSa, ciSM, cGEit
20 Questions que les administrateurs devraient poser sur<br />
<strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
Rédaction Robert Reimer, ca•ti, ca•ciSa, ciSM, cGEit
© 2010 L’Institut Canadien des <strong>Comptables</strong> Agréés<br />
Tous droits réservés. Cette publication est protégée par des droits d’auteur et<br />
ne peut être repro<strong>du</strong>ite, stockée dans un système de recherche documentaire ou<br />
transmise de quelque manière que ce soit (électroniquement, mécaniquement,<br />
par photocopie, enregistrement ou toute autre méthode) sans autorisation écrite<br />
préa<strong>la</strong>ble.<br />
Pour obtenir des renseignements concernant l’obtention de cette autorisation,<br />
veuillez écrire à permissions@cica.ca.<br />
Catalogage avant publication de Bibliothèque et Archives <strong>Canada</strong><br />
Reimer, Robert J.<br />
20 questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong><br />
<strong>informatique</strong> / Robert J. Reimer.<br />
Publ. également en ang<strong>la</strong>is sous le titre : 20 questions directors should ask about<br />
information technology security.<br />
ISBN 978-1-55385-494-4<br />
1. Technologie de l’information--Sécurité--Mesures. 2. Protection de<br />
l’information (Informatique)--Gestion. 3. Sécurité <strong>informatique</strong>--Gestion.<br />
4. Évaluation <strong>du</strong> risque. I. Institut canadien des comptables <strong>agréés</strong> II. Titre.<br />
III. Titre : Vingt questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong><br />
<strong>informatique</strong>.<br />
HF5548.37.R4514 2010 658.4’78 C2010-903123-7
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> 1<br />
INTRo<strong>du</strong>CTIoN<br />
Le Comité consultatif sur les technologies de l’information de l’ICCA a préparé<br />
le présent document pour aider les conseils d’administration à évaluer les<br />
questions de <strong>sécurité</strong> <strong>informatique</strong>. Ce document peut également être utile<br />
aux autres instances participant à <strong>la</strong> gouvernance, en particulier aux comités<br />
d’audit, et à des groupes stratégiques tels que les comités d’orientation sur<br />
les TI, les comités de gestion des risques et les comités pour l’attestation des<br />
contrôles par le chef de <strong>la</strong> direction ou le chef des finances.<br />
Il incombe aux administrateurs d’acquérir <strong>la</strong> conviction que les risques<br />
d’atteinte à l’intégrité des données, de non-disponibilité des systèmes<br />
d’information et d’exploitation, de non-respect de <strong>la</strong> confidentialité des données<br />
confidentielles et de non-observation des exigences des autorités de<br />
réglementation sont identifiés et atténués ou éliminés. Le présent document<br />
expose une série de questions que les conseils d’administration pourraient<br />
poser aux cadres supérieurs, ainsi que le contexte dans lequel il convient de<br />
les poser et d’évaluer les réponses.<br />
dans le présent document, on entend par <strong>sécurité</strong> <strong>informatique</strong> <strong>la</strong> protection<br />
des données saisies, traitées, transmises, communiquées et stockées<br />
de façon électronique. La <strong>sécurité</strong> <strong>informatique</strong> comprend également <strong>la</strong><br />
protection des composants connexes (systèmes d’applications, logiciels<br />
de base, réseaux et matériel) et englobe les personnes, les politiques, les<br />
procé<strong>du</strong>res, les processus et l’organisation servant ce but.<br />
L’ICCA exprime sa reconnaissance à l’auteur principal <strong>du</strong> présent document,<br />
Robert J. Reimer, CA•TI, CA•CISA, CISM, CGEIT, membre <strong>du</strong> Comité consultatif<br />
sur les technologies de l’information, ainsi qu’aux autres membres de ce<br />
comité pour les conseils et les commentaires qu’ils ont fournis.
2<br />
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
Auteur<br />
Robert J. Reimer, CA•TI, CA•CISA, CISM, CGEIT<br />
Directeur de projet<br />
Malik datardina, CA, CISA<br />
Comité consultatif sur les technologies de l’information<br />
de l’ICCA<br />
Président<br />
Ray Henrickson, CA•TI, CA•CISA, Banque Scotia, Toronto<br />
Membres<br />
Chris Anderson CA(NZ), CISA, CMC, CISSP, PCI QSA<br />
Efrim Boritz, FCA, CA•TI, CA•CISA, Ph.d., université de Waterloo, Toronto<br />
Nancy Y. Cheng, FCA, Bureau <strong>du</strong> vérificateur général <strong>du</strong> <strong>Canada</strong>, ottawa<br />
Malik datardina, CA, CISA, data Sync Consulting Inc., Mississauga<br />
(consultant auprès <strong>du</strong> Comité)<br />
Mario <strong>du</strong>rigon, CA, KPMG LLP, Toronto<br />
Henry Grunberg, CA•TI, Ernst & Young LLP, Toronto<br />
Andrew Kwong, M.B.A., CA, CISA, CISSP, CISM, deloitte & Touche LLP,<br />
Toronto<br />
Carole Le Néal, M.B.A., CISA, CISSP, CIA, Mouvement des caisses desjardins,<br />
Montréal<br />
Richard Livesley, BMo Groupe financier, Toronto<br />
James R. Murray, CA•CISA, CA•CIA, Grant Thornton LLP, Halifax<br />
Robert G. Parker, FCA, CA•CISA, deloitte & Touche LLP, Toronto<br />
Robert. J. Reimer, CA•TI, CA•CISA, CISM, CGEIT, PricewaterhouseCoopers<br />
LLP, Winnipeg<br />
doug<strong>la</strong>s G. Timmins, CA, Bureau <strong>du</strong> vérificateur général <strong>du</strong> <strong>Canada</strong>, ottawa<br />
Gerald d. Trites, FCA, CA•TI, CA•CISA, Zorba Research Inc., Heatherton<br />
(et aussi conseiller technique <strong>du</strong> Comité)<br />
Bryan C. Walker, CA, L’Institut Canadien des <strong>Comptables</strong> Agréés, Toronto<br />
Permanent de l’ICCA<br />
dave Pol<strong>la</strong>rd, CA, vice-président, orientation et soutien<br />
Le Comité consultatif sur les technologies de l’information (CCTI) relève de <strong>la</strong><br />
division orientation et soutien de l’ICCA. Il joue un rôle de soutien et de conseil<br />
sur les questions de TI auprès de <strong>la</strong> profession de CA et <strong>du</strong> milieu des affaires.
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> 3<br />
RESPoNSABILITÉS <strong>du</strong> CoNSEIL<br />
EN MATIèRE dE SÉCuRITÉ<br />
INFoRMATIQuE<br />
L’utilisation des technologies de l’information (TI) fait maintenant partie intégrante<br />
des activités d’une organisation. La saisie, le traitement, <strong>la</strong> transmission<br />
et le stockage de données sont des activités essentielles pour <strong>la</strong> plupart des<br />
organisations. Compte tenu de l’augmentation rapide de <strong>la</strong> complexité des systèmes<br />
et <strong>du</strong> partage de l’accès aux systèmes et aux données de l’organisation<br />
avec des tiers, les risques d’atteinte à l’intégrité, à <strong>la</strong> confidentialité et à <strong>la</strong> disponibilité<br />
des données font peser une menace croissante sur <strong>la</strong> réputation et le<br />
fonctionnement de toutes les organisations.<br />
Il n’y a pas si longtemps, l’imp<strong>la</strong>ntation d’un système de <strong>sécurité</strong> <strong>informatique</strong><br />
était considérée comme un luxe ou comme un simple élément de frais généraux.<br />
En conséquence, les fonds budgétés pour le déploiement de <strong>la</strong> politique et de<br />
<strong>la</strong> fonction de <strong>sécurité</strong> <strong>informatique</strong> pouvaient être facilement réaffectés lorsque<br />
des besoins plus urgents se présentaient. Cette attitude n’est plus aussi<br />
généralisée qu’auparavant. La conscience de l’importance de <strong>la</strong> <strong>sécurité</strong> est<br />
plus vive que jamais, de plus en plus de fonds y sont consacrés, un nombre<br />
croissant de personnes y consacrent leurs efforts, et de meilleurs processus et<br />
technologies sont mis en p<strong>la</strong>ce.<br />
Les pirates <strong>informatique</strong>s, les voleurs d’identité, les pertes de données sur les<br />
clients et les atteintes aux systèmes continuent de faire les manchettes, et<br />
le risque d’atteinte à <strong>la</strong> réputation des organisations continue de croître. Les<br />
entreprises doivent satisfaire aux exigences de plus en plus strictes de leur clientèle,<br />
de leurs fournisseurs et de leurs partenaires commerciaux en matière de<br />
<strong>sécurité</strong> <strong>informatique</strong>. Si l’on ajoute à ce<strong>la</strong> l’attention croissante que les autorités<br />
de réglementation portent à <strong>la</strong> protection de l’information (règlements concernant<br />
l’attestation par le chef de <strong>la</strong> direction ou le chef des finances, Normes<br />
en matière de <strong>sécurité</strong> des données <strong>du</strong> secteur des cartes de paiement (PCI<br />
dSS), lois sur <strong>la</strong> protection des renseignements personnels, etc.), il est c<strong>la</strong>ir qu’il<br />
incombe au conseil d’administration de s’assurer que les questions de <strong>sécurité</strong><br />
<strong>informatique</strong> sont bien prises en main au sein de l’organisation, et que les stratégies<br />
d’affaires, de TI et de gestion des risques sont bien coordonnées.<br />
Étant donné que de nombreux conseils d’administration examinent <strong>la</strong> <strong>sécurité</strong><br />
<strong>informatique</strong> sous une variété d’angles, notamment les résultats de l’attestation<br />
par le chef de <strong>la</strong> direction ou le chef des finances, les activités de conformité<br />
aux normes PCI dSS ou les rapports d’audit interne, <strong>la</strong> question de <strong>la</strong> <strong>sécurité</strong><br />
devrait être à l’ordre <strong>du</strong> jour <strong>du</strong> conseil au moins tous les six mois. La direction<br />
devrait rendre compte régulièrement au conseil de l’état de ce dossier, et le<br />
conseil devrait inclure <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> dans toutes ses discussions sur<br />
<strong>la</strong> gestion des risques et demander à <strong>la</strong> fonction d’audit interne d’intégrer <strong>la</strong><br />
<strong>sécurité</strong> <strong>informatique</strong> à son programme de travail.
4<br />
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
GouVERNANCE<br />
dE LA SÉCuRITÉ INFoRMATIQuE<br />
En raison de son importance stratégique et tactique pour l’atteinte des objectifs<br />
d’affaires, <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> doit être intégrée aux p<strong>la</strong>ns d’affaires et<br />
aux p<strong>la</strong>ns de développement <strong>informatique</strong>. Les données doivent être protégées<br />
contre les risques de modification et de communication non autorisées,<br />
d’indisponibilité ou de perte. Leur protection doit être envisagée comme concernant<br />
l’ensemble de l’entreprise. Pour que les ressources de l’organisation<br />
soient adéquatement protégées, le souci et <strong>la</strong> prise en charge de <strong>la</strong> <strong>sécurité</strong><br />
<strong>informatique</strong> doivent commencer aux plus hauts échelons de l’organisation.<br />
Les parties prenantes à <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> comprennent le conseil<br />
d’administration, <strong>la</strong> direction générale, les directions sectorielles, les fournisseurs<br />
de services, les autres fournisseurs, les partenaires commerciaux, les<br />
clients, les auditeurs, les actionnaires, le personnel et les autorités de réglementation.<br />
Chaque partie prenante s’attend à ce que les échanges électroniques<br />
avec l’organisation soient sécurisés et fiables afin de pouvoir faire<br />
confiance aux systèmes et aux données qu’ils fournissent.<br />
Comme <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> n’est pas une simple question technique,<br />
elle ne concerne pas seulement <strong>la</strong> technologie. une bonne <strong>sécurité</strong> <strong>informatique</strong><br />
exige une compréhension approfondie de l’importance de chaque<br />
type de données; les contrôles visant à ré<strong>du</strong>ire les risques associés à chaque<br />
type de données doivent correspondre au niveau de risque acceptable pour<br />
l’organisation. L’équilibrage des risques et des coûts permet à <strong>la</strong> <strong>sécurité</strong><br />
<strong>informatique</strong> d’être un générateur de valeur plutôt qu’un obstacle. Les politiques<br />
approuvées par le conseil d’administration donnent une orientation<br />
qui tient compte de ces risques, des stratégies d’entreprise et de <strong>la</strong> réglementation.<br />
La gouvernance de <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> découle <strong>du</strong> cadre de<br />
gouvernance global; elle s’insère dans le cadre de gouvernance des TI pour<br />
permettre au conseil de surveiller <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> comme toute<br />
autre ressource essentielle.<br />
La fonction <strong>sécurité</strong> <strong>informatique</strong> doit col<strong>la</strong>borer avec les autres fonctions<br />
de l’entreprise, y compris <strong>la</strong> gestion des risques, les conseils juridiques, les<br />
ressources humaines, les TI, <strong>la</strong> comptabilité, <strong>la</strong> finance et l’audit. Elle doit<br />
compter sur une équipe suffisante de personnes formées et expérimentées.<br />
Sa position dans l’organigramme doit lui permettre d’agir indépendamment<br />
et lui procurer suffisamment d’autorité pour lui permettre de s’assurer<br />
que l’organisation conçoit, met en p<strong>la</strong>ce, gère et contrôle efficacement les<br />
mesures de <strong>sécurité</strong> <strong>informatique</strong>s requises par les politiques, les risques, <strong>la</strong><br />
réglementation et <strong>la</strong> stratégie d’entreprise. L’organisation doit maximiser les<br />
synergies entre <strong>la</strong> <strong>sécurité</strong> des systèmes, <strong>la</strong> protection des actifs corporels,<br />
<strong>la</strong> protection des renseignements personnels, <strong>la</strong> p<strong>la</strong>nification de <strong>la</strong> continuité<br />
des affaires et <strong>la</strong> gestion des documents.
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> 5<br />
Pour évaluer l’importance que l’organisation accorde à <strong>la</strong> gouvernance de <strong>la</strong><br />
<strong>sécurité</strong> <strong>informatique</strong>, le conseil d’administration devrait se poser les questions<br />
suivantes :<br />
1. La direction a-t-elle c<strong>la</strong>irement défini ses objectifs en matière de <strong>sécurité</strong><br />
<strong>informatique</strong>, sa tolérance au risque et le niveau visé de <strong>sécurité</strong><br />
<strong>informatique</strong>?<br />
2. La direction a-t-elle mis en p<strong>la</strong>ce un cadre de gouvernance de <strong>la</strong> <strong>sécurité</strong><br />
<strong>informatique</strong> grâce auquel les objectifs de <strong>sécurité</strong> liés aux activités, à<br />
<strong>la</strong> technologie, à l’information financière et à <strong>la</strong> conformité sont convenablement<br />
reflétés dans <strong>la</strong> stratégie globale de <strong>sécurité</strong> de l’organisation,<br />
les cibles de déploiement, les fonds attribués et les niveaux de tolérance<br />
au risque?<br />
3. L’organisation a-t-elle une fonction <strong>sécurité</strong> <strong>informatique</strong> c<strong>la</strong>irement<br />
définie, pourvue des compétences, de <strong>la</strong> capacité, des outils et des<br />
méthodes nécessaires pour évaluer et gérer de façon continue <strong>la</strong> qualité<br />
de <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong>, et pour se tenir au courant de l’évolution<br />
des risques, de <strong>la</strong> technologie, de <strong>la</strong> réglementation et des attentes des<br />
parties prenantes?<br />
4. Les politiques, les normes et les priorités de l’organisation en matière<br />
de <strong>sécurité</strong> <strong>informatique</strong> ont-elles été communiquées efficacement au<br />
personnel et aux autres parties prenantes?<br />
5. Le conseil d’administration reçoit-il en temps utile des rapports adéquats<br />
sur <strong>la</strong> performance en matière de <strong>sécurité</strong> <strong>informatique</strong> et sur les<br />
indicateurs clés?<br />
FoRMALISATIoN<br />
dE LA SÉCuRITÉ INFoRMATIQuE<br />
La plupart des organisations ne peuvent pas tenir <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
pour acquise. Le personnel des services <strong>informatique</strong>s n’a pas toujours le<br />
temps de se tenir au fait des questions de <strong>sécurité</strong> et de mettre en œuvre<br />
des mesures de protection tout en accomplissant d’autres tâches. une<br />
bonne <strong>sécurité</strong> <strong>informatique</strong> passe par <strong>la</strong> formalisation de cette fonction.<br />
un cadre global de <strong>sécurité</strong> <strong>informatique</strong> crée une structure qui permet de<br />
concevoir et de mettre en œuvre les mesures nécessaires. La compréhension<br />
des initiatives commerciales et de <strong>la</strong> stratégie de TI, associée à une évaluation<br />
des menaces et des risques, permet d’établir une politique de <strong>sécurité</strong><br />
<strong>informatique</strong> qui recevra l’aval <strong>du</strong> conseil d’administration. L’importance<br />
accordée à <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> par les dirigeants doit être c<strong>la</strong>irement<br />
communiquée lors de <strong>la</strong> diffusion de <strong>la</strong> politique, et transparaître dans <strong>la</strong><br />
mise en œuvre d’une structure de gestion de <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong>. une<br />
fois ces éléments intégrés, il est possible de mettre en p<strong>la</strong>ce un programme<br />
de contrôle et de conformité efficace, comportant <strong>la</strong> reddition de comptes
6<br />
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
et <strong>la</strong> présentation régulière de rapports à <strong>la</strong> direction générale et au conseil<br />
d’administration.<br />
Il existe un certain nombre de cadres et de programmes reconnus, tels que le<br />
référentiel CoBIT de l’Association des professionnels de <strong>la</strong> vérification et <strong>du</strong><br />
contrôle des systèmes d’information (ISACA), les normes ISo 17799 et 27001<br />
de l’organisation internationale de normalisation, les recommandations de<br />
l’Information Security Forum (ISF), les Services Trust (AICPA-ICCA), La gestion<br />
<strong>du</strong> contrôle de l’information, publié par l’ICCA, et les recommandations<br />
<strong>du</strong> National Institute of Standards and Technology (NIST). Le cadre choisi<br />
doit s’harmoniser avec les autres initiatives de l’organisation (gestion <strong>du</strong> risque<br />
d’entreprise, gouvernance des TI, attestation <strong>du</strong> chef de <strong>la</strong> direction ou<br />
<strong>du</strong> chef des finances, etc.). La solution adoptée doit comprendre des mécanismes<br />
assurant l’application des bonnes pratiques <strong>du</strong> secteur d’activité et<br />
le respect des lois et des règlements qui concernent l’organisation.<br />
La promotion auprès de toutes les parties prenantes d’une culture<br />
d’entreprise favorisant <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> est un élément important.<br />
des programmes de formation et de sensibilisation doivent régulièrement<br />
rappeler <strong>la</strong> respon sabilité de chacun en matière de <strong>sécurité</strong> <strong>informatique</strong>.<br />
Afin d’évaluer l’importance réelle que l’organisation accorde à <strong>la</strong> <strong>sécurité</strong><br />
<strong>informatique</strong>, le conseil d’administration devrait notamment poser les questions<br />
suivantes à <strong>la</strong> direction :<br />
6. des politiques globales de <strong>sécurité</strong> <strong>informatique</strong>, de protection de<br />
l’information, d’utilisation acceptable et de déontologie ont-elles été<br />
rédigées, soumises à l’approbation <strong>du</strong> conseil d’administration et communiquées<br />
à tous les niveaux de l’organisation?<br />
7. des processus et procé<strong>du</strong>res appropriés ont-ils été conçus et mis en<br />
œuvre dans les unités fonctionnelles et les services <strong>informatique</strong>s à<br />
l’échelle de l’organisation?<br />
8. des fonds adéquats ont-ils été affectés pour satisfaire aux exigences de<br />
<strong>sécurité</strong> <strong>informatique</strong> et soutenir les initiatives connexes?<br />
9. Y a-t-il un mécanisme établi pour contrôler régulièrement le respect de<br />
ces politiques, de ces normes et de ces procé<strong>du</strong>res?<br />
10. Y a-t-il un programme structuré de sensibilisation en matière de <strong>sécurité</strong><br />
<strong>informatique</strong>?
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> 7<br />
ÉVALuATIoN ET ATTÉNuATIoN<br />
dES RISQuES<br />
La mise en œuvre d’un programme de <strong>sécurité</strong> <strong>informatique</strong> nécessite de<br />
comprendre <strong>la</strong> nature de l’information ainsi que les systèmes à protéger et<br />
les mesures de protection appropriées compte tenu <strong>du</strong> niveau de risque<br />
identifié et de sa probabilité.<br />
Les contrôles de <strong>sécurité</strong> <strong>informatique</strong> contribuent <strong>la</strong>rgement à atténuer les<br />
risques d’atteinte à <strong>la</strong> confidentialité, à l’intégrité ou à <strong>la</strong> disponibilité des<br />
données et des systèmes d’information critiques. Les informations à protéger<br />
sont toutes celles qui, en cas de fuite, pourraient causer un embarras ou<br />
nuire à l’avantage concurrentiel. une bonne <strong>sécurité</strong> <strong>informatique</strong> permet<br />
également à l’organisation de profiter des nouvelles opportunités fondées<br />
sur l’échange de données protégées.<br />
L’évaluation des risques est un élément essentiel de <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong>.<br />
utilisée à bon escient, elle sensibilise à l’exposition potentielle aux risques,<br />
constitue un mécanisme pratique pour apprécier l’ampleur de cette exposition,<br />
et aide à déterminer les mesures à mettre en p<strong>la</strong>ce. Même si l’évaluation<br />
est axée avant tout sur les activités d’exploitation, <strong>la</strong> compréhension des<br />
me naces et des vulnérabilités, ainsi que des exigences réglementaires, en<br />
constitue un volet important.<br />
Lorsque l’organisation réalise déjà une évaluation des risques dans le cadre<br />
d’une autre initiative, il convient d’en tirer parti pour l’évaluation des risques<br />
en matière de <strong>sécurité</strong>. Parmi les évaluations des risques pouvant déjà être<br />
en cours, mentionnons :<br />
• le programme gestion des risques;<br />
• <strong>la</strong> p<strong>la</strong>nification de l’audit interne;<br />
• le programme d’attestation par le chef de <strong>la</strong> direction ou le chef des<br />
finances;<br />
• une étude d’impact liée à <strong>la</strong> p<strong>la</strong>nification de <strong>la</strong> continuité de l’entreprise;<br />
• une initiative liée à <strong>la</strong> gouvernance des TI ou à l’application des normes<br />
PCI dSS.<br />
une fois évalués les risques et leur probabilité, il faut mettre en œuvre des<br />
contrôles d’atténuation suffisants, constitués d’une combinaison de politiques,<br />
de procé<strong>du</strong>res, de processus, d’activités de formation et de solutions<br />
techniques. La direction doit :<br />
• démontrer qu’une évaluation des risques en bonne et <strong>du</strong>e forme a eu<br />
lieu;<br />
• consigner et expliquer le seuil de risque établi dans chaque secteur;<br />
• présenter les stratégies mises en œuvre pour l’atténuer;<br />
• démontrer que le fonctionnement des contrôles fait l’objet de tests et<br />
de rapports périodiques.
8<br />
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
L’évaluation des risques doit être mise à jour régulièrement, au fil de<br />
l’évolution des technologies et des activités de l’organisation. Le conseil<br />
d’administration ne doit pas oublier que, quels que soient les budgets et<br />
le temps consacrés à <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong>, de nouvelles menaces et<br />
vulnérabilités ne cesseront de se faire jour et de requérir l’attention de<br />
l’organisation.<br />
Afin de s’assurer que les risques de <strong>sécurité</strong> sont bien gérés, le conseil d’admi-<br />
nistration devrait notamment poser les questions suivantes à <strong>la</strong> direction :<br />
11. L’organisation a-t-elle adopté un programme de gestion des risques en<br />
bonne et <strong>du</strong>e forme et celui-ci comprend-il une analyse régulière, pour<br />
l’ensemble de l’organisation, des menaces internes et externes et des vulnérabilités,<br />
tant sur le p<strong>la</strong>n opérationnel que sur le p<strong>la</strong>n technologique?<br />
12. Les données critiques et confidentielles sont-elles identifiées et c<strong>la</strong>ssées<br />
et a-t-on pris des mesures suffisantes pour atténuer les risques en<br />
te-nant compte <strong>du</strong> c<strong>la</strong>ssement établi?<br />
13. Si des éléments <strong>du</strong> traitement des données sont externalisés, a-t-on mis<br />
en œuvre des mesures documentées et appropriées pour communiquer<br />
au fournisseur les attentes en matière de <strong>sécurité</strong> <strong>informatique</strong> et<br />
s’assurer de leur respect?<br />
14. Les initiatives et les projets opérationnels ou technologiques ont-ils fait<br />
l’objet d’une évaluation des risques en bonne et <strong>du</strong>e forme pour identifier<br />
et atténuer leurs incidences potentielles sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong>?<br />
FoNCTIoN<br />
SÉCuRITÉ INFoRMATIQuE<br />
ET oRGANISATIoN<br />
Tout cadre global de <strong>sécurité</strong> <strong>informatique</strong> doit comprendre une fonction<br />
<strong>sécurité</strong> <strong>informatique</strong> et une instance de gestion connexe. Les personnes<br />
désignées pour assurer ces fonctions doivent avoir les pouvoirs nécessaires<br />
pour qu’une attention particulière soit portée continuellement aux questions<br />
de <strong>sécurité</strong> <strong>informatique</strong>. Les responsabilités associées aux différents rôles<br />
doivent être c<strong>la</strong>irement définies, de même que leur éten<strong>du</strong>e et <strong>la</strong> structure<br />
hiérarchique, afin de permettre <strong>la</strong> mise en œuvre et le contrôle de politiques<br />
de <strong>sécurité</strong> <strong>informatique</strong>. dans les organisations où <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
revêt une importance particulière, des personnes qualifiées doivent être<br />
nommées à des postes de direction portant des titres tels que responsable<br />
de <strong>la</strong> <strong>sécurité</strong> des systèmes d’information (RSSI) ou chef de <strong>la</strong> <strong>sécurité</strong> de<br />
l’information.<br />
Les responsables de <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> doivent être formés, expérimentés,<br />
totalement intègres et détenir un titre professionnel reconnu. Parmi<br />
les titres reconnus courants, citons celui de CISM (Certified Information Systems<br />
Manager) de l’ISACA et celui de CISSP (Certified Information Systems
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> 9<br />
Secur ity Professional) de l’International Information Systems Security Certification<br />
Consortium ((ISC)2 ® ).<br />
La fonction <strong>sécurité</strong> <strong>informatique</strong> doit être séparée des autres unités fonctionnelles<br />
afin de mieux asseoir son autorité et d’assurer <strong>la</strong> reddition de<br />
comptes. Malheureusement, de nombreuses organisations voient encore<br />
cette fonction comme faisant partie des TI et <strong>la</strong> font relever <strong>du</strong> chef de<br />
l’information ou, parfois, <strong>du</strong> chef des finances, ce qui déroge au principe de<br />
<strong>la</strong> séparation des tâches. Il est conseillé de faire relever cette fonction <strong>du</strong><br />
conseil d’administration, <strong>du</strong> chef de <strong>la</strong> direction, <strong>du</strong> chef de l’exploitation ou<br />
<strong>du</strong> conseiller juridique. Sinon, il faut établir des paramètres c<strong>la</strong>irs pour éviter<br />
les conflits d’intérêts.<br />
La fonction de <strong>sécurité</strong> <strong>informatique</strong> est généralement subdivisée en trois<br />
secteurs clés :<br />
1) politiques et conformité;<br />
2) conception et mise en œuvre;<br />
3) fonctionnement et administration.<br />
En même temps, des responsabilités en matière de <strong>sécurité</strong> <strong>informatique</strong><br />
doivent être réparties dans l’ensemble de l’organisation pour permettre<br />
l’interaction et <strong>la</strong> coopération entre les services et une mise en œuvre concertée<br />
au p<strong>la</strong>n opérationnel. Au niveau technique, <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
peut alors être prise en compte à toutes les étapes <strong>du</strong> cycle de développement<br />
des systèmes, et englober tous les aspects des systèmes tels que<br />
les réseaux (internes, externes et sans fil), les systèmes d’exploitation et<br />
d’application, et les divers supports de transmission et de stockage tels que<br />
les assistants numériques (PdA).<br />
Afin d’évaluer l’importance que l’organisation accorde réellement à <strong>la</strong> <strong>sécurité</strong><br />
<strong>informatique</strong>, le conseil d’administration devrait notamment poser les<br />
questions suivantes à <strong>la</strong> direction :<br />
15. Les responsabilités en matière de <strong>sécurité</strong> <strong>informatique</strong> sont-elles<br />
c<strong>la</strong>irement attribuées et les responsables désignés doivent-ils rendre<br />
des comptes à un niveau approprié de l’organisation?<br />
16. L’organisation a-t-elle é<strong>la</strong>boré un processus pour assurer <strong>la</strong> formation en<br />
temps opportun <strong>du</strong> personnel de <strong>sécurité</strong> <strong>informatique</strong> et exige-t-on le<br />
maintien de titres professionnels reconnus dans le cadre de ce processus?
10<br />
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
SÉCuRITÉ INFoRMATIQuE —<br />
ACTIVITÉS ET CoNFoRMITÉ<br />
La <strong>sécurité</strong> <strong>informatique</strong> requiert un ensemble équilibré de ressources<br />
humaines, de processus, d’organisation et d’outils technologiques. Cet<br />
ensemble est défini dans le cadre de <strong>sécurité</strong> <strong>informatique</strong>. Les processus<br />
visent <strong>la</strong> prévention, <strong>la</strong> détection ou <strong>la</strong> correction, selon ce qui est le plus<br />
efficient dans les circonstances. des mécanismes doivent permettre de contrôler<br />
le respect des politiques de <strong>sécurité</strong> et d’identifier les problèmes en<br />
temps opportun. Il faut également prévoir des procé<strong>du</strong>res pour documenter<br />
et régler les incidents, et en informer <strong>la</strong> direction lorsque leur nature ou leur<br />
fréquence le requiert. Il faut notamment se préparer à réagir aux attaques<br />
des pirates <strong>informatique</strong>s, aux pourriels, aux virus et aux autres programmes<br />
malveil<strong>la</strong>nts, et pouvoir prendre des décisions rapides pour ré<strong>du</strong>ire au minimum<br />
leur incidence si les mesures de prévention sont déjouées.<br />
L’efficacité des contrôles de <strong>sécurité</strong> <strong>informatique</strong> doit être testée périodiquement.<br />
La direction doit être en mesure d’effectuer sa propre évaluation<br />
de <strong>la</strong> rigueur de ses contrôles, à <strong>la</strong>quelle doit s’ajouter une évaluation<br />
régulière et indépendante effectuée soit par <strong>la</strong> fonction audit interne, si elle<br />
est compétente à cet égard, soit par un cabinet spécialisé indépendant.<br />
Les résultats de ces tests et de ces audits doivent être présentés au conseil<br />
d’administration pour lui donner l’assurance que des contrôles d’efficacité<br />
ont lieu et le ren-seigner sur <strong>la</strong> qualité des contrôles de <strong>sécurité</strong> <strong>informatique</strong>.<br />
Pour déterminer si l’organisation gère efficacement son programme de<br />
<strong>sécurité</strong> <strong>informatique</strong>, le conseil d’administration devrait notamment poser<br />
les questions suivantes à <strong>la</strong> direction :<br />
17. L’organisation surveille-t-elle efficacement le respect des contrôles de<br />
<strong>sécurité</strong> <strong>informatique</strong> et est-elle également efficace dans l’identification<br />
des attaques <strong>informatique</strong>s, des intrus et des activités non autorisées<br />
sur les réseaux externe et interne, les processeurs clés, les applications,<br />
les ordinateurs portables, les stockages hors réseaux et les instal<strong>la</strong>tions<br />
matérielles?<br />
18. A-t-on désigné un responsable chargé de l’identification proactive des<br />
nouveaux facteurs de vulnérabilité et des problèmes de <strong>sécurité</strong> <strong>informatique</strong>,<br />
ainsi que de <strong>la</strong> mise en œuvre de patchs, de mises à jour et<br />
d’autres mesures correctives?<br />
19. Y a-t-il un processus documenté de traitement des incidents, définissant<br />
les responsabilités et les tâches, et prévoyant les procé<strong>du</strong>res de limitation<br />
des dommages et d’atténuation des risques, l’analyse approfondie<br />
des causes, ainsi que des protocoles d’alerte par paliers et de communication<br />
aux cadres supérieurs et au conseil d’administration?<br />
20. L’organisation assure-t-elle un suivi de l’évolution de <strong>la</strong> légis<strong>la</strong>tion et de<br />
<strong>la</strong> réglementation et ajuste-t-elle en conséquence son programme de<br />
<strong>sécurité</strong> <strong>informatique</strong>?
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong> 11<br />
ANNExE :<br />
SoMMAIRE dES QuESTIoNS<br />
1. La direction a-t-elle c<strong>la</strong>irement défini ses objectifs en matière de <strong>sécurité</strong><br />
<strong>informatique</strong>, sa tolérance au risque et le niveau visé de <strong>sécurité</strong><br />
<strong>informatique</strong>?<br />
2. La direction a-t-elle mis en p<strong>la</strong>ce un cadre de gouvernance de <strong>la</strong><br />
<strong>sécurité</strong> <strong>informatique</strong> grâce auquel les objectifs de <strong>sécurité</strong> liés aux<br />
activités, à <strong>la</strong> technologie, à l’information financière et à <strong>la</strong> conformité<br />
sont conve-nablement reflétés dans <strong>la</strong> stratégie globale de <strong>sécurité</strong><br />
de l’organisation, les cibles de déploiement, les fonds attribués et les<br />
niveaux de tolérance au risque?<br />
3. L’organisation a-t-elle une fonction <strong>sécurité</strong> <strong>informatique</strong> c<strong>la</strong>irement<br />
définie, pourvue des compétences, de <strong>la</strong> capacité, des outils et des méthodes<br />
nécessaires pour évaluer et gérer de façon continue <strong>la</strong> qualité<br />
de <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong>, et pour se tenir au courant de l’évolution<br />
des risques, de <strong>la</strong> technologie, de <strong>la</strong> réglementation et des attentes des<br />
parties prenantes?<br />
4. Les politiques, les normes et les priorités de l’organisation en matière<br />
de <strong>sécurité</strong> <strong>informatique</strong> ont-elles été communiquées efficacement au<br />
personnel et aux autres parties prenantes?<br />
5. Le conseil d’administration reçoit-il en temps utile des rapports adéquats<br />
sur <strong>la</strong> performance en matière de <strong>sécurité</strong> <strong>informatique</strong> et sur les<br />
indicateurs clés?<br />
6. des politiques globales de <strong>sécurité</strong> <strong>informatique</strong>, de protection de<br />
l’information, d’utilisation acceptable et de déontologie ont-elles été<br />
rédigées, soumises à l’approbation <strong>du</strong> conseil d’administration et communiquées<br />
à tous les niveaux de l’organisation?<br />
7. des processus et procé<strong>du</strong>res appropriés ont-ils été conçus et mis en<br />
œuvre dans les unités fonctionnelles et les services <strong>informatique</strong>s à<br />
l’échelle de l’organisation?<br />
8. des fonds adéquats ont-ils été affectés pour satisfaire aux exigences<br />
de <strong>sécurité</strong> <strong>informatique</strong> et soutenir les initiatives connexes?<br />
9. Y a-t-il un mécanisme établi pour contrôler régulièrement le respect de<br />
ces politiques, de ces normes et de ces procé<strong>du</strong>res?<br />
10. Y a-t-il un programme structuré de sensibilisation en matière de <strong>sécurité</strong><br />
<strong>informatique</strong>?
12<br />
20 Questions que les administrateurs devraient poser sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong><br />
11. L’organisation a-t-elle adopté un programme de gestion des risques<br />
en bonne et <strong>du</strong>e forme et celui-ci comprend-il une analyse régulière,<br />
pour l’ensemble de l’organisation, des menaces internes et externes et<br />
des vulnérabilités, tant sur le p<strong>la</strong>n opérationnel que sur le p<strong>la</strong>n technologique?<br />
12. Les données critiques et confidentielles sont-elles identifiées et c<strong>la</strong>ssées<br />
et a-t-on pris des mesures suffisantes pour atténuer les risques en<br />
tenant compte <strong>du</strong> c<strong>la</strong>ssement établi?<br />
13. Si des éléments <strong>du</strong> traitement des données sont externalisés, a-t-on<br />
mis en œuvre des mesures documentées et appropriées pour communiquer<br />
au fournisseur les attentes en matière de <strong>sécurité</strong> <strong>informatique</strong><br />
et s’assurer de leur respect?<br />
14. Les initiatives et les projets opérationnels ou technologiques ont-ils<br />
fait l’objet d’une évaluation des risques en bonne et <strong>du</strong>e forme pour<br />
identifier et atténuer leurs incidences potentielles sur <strong>la</strong> <strong>sécurité</strong> <strong>informatique</strong>?<br />
15. Les responsabilités en matière de <strong>sécurité</strong> <strong>informatique</strong> sont-elles<br />
c<strong>la</strong>irement attribuées et les responsables désignés doivent-ils rendre<br />
des comptes à un niveau approprié de l’organisation?<br />
16. L’organisation a-t-elle é<strong>la</strong>boré un processus pour assurer <strong>la</strong> formation<br />
en temps opportun <strong>du</strong> personnel de <strong>sécurité</strong> <strong>informatique</strong> et exiget-on<br />
le maintien de titres professionnels reconnus dans le cadre de ce<br />
processus?<br />
17. L’organisation surveille-t-elle efficacement le respect des contrôles<br />
de <strong>sécurité</strong> <strong>informatique</strong> et est-elle également efficace dans<br />
l’identification des attaques <strong>informatique</strong>s, des intrus et des activités<br />
non autorisées sur les réseaux externe et interne, les processeurs clés,<br />
les applications, les ordinateurs portables, les stockages hors réseaux<br />
et les instal<strong>la</strong>tions matérielles?<br />
18. A-t-on désigné un responsable chargé de l’identification proactive des<br />
nouveaux facteurs de vulnérabilité et des problèmes de <strong>sécurité</strong> <strong>informatique</strong>,<br />
ainsi que de <strong>la</strong> mise en œuvre de patchs, de mises à jour et<br />
d’autres mesures correctives?<br />
19. Y a-t-il un processus documenté de traitement des incidents, définissant<br />
les responsabilités et les tâches, et prévoyant les procé<strong>du</strong>res de<br />
limitation des dommages et d’atténuation des risques, l’analyse approfondie<br />
des causes, ainsi que des protocoles d’alerte par paliers et de<br />
communication aux cadres supérieurs et au conseil d’administration?<br />
20. L’organisation assure-t-elle un suivi de l’évolution de <strong>la</strong> légis<strong>la</strong>tion et de<br />
<strong>la</strong> réglementation et ajuste-t-elle en conséquence son programme de<br />
<strong>sécurité</strong> <strong>informatique</strong>?