Untitled Document

Contexte actuel

Plusieurs lois et directives canadiennes et américaines telles la Loi sur la protection des renseignements personnels, la loi 198 ou Sarbanes & Oxley sur les contrôles financiers du côté américain encadrent et régissent l'utilisation de l'information. Les entreprises et organismes publics sont assujettis à ces lois et doivent s'assurer du respect de celles-ci.

En conséquence, les gestionnaires d'entreprises doivent mettre en place au cadre de gestion approprié qui oriente et détermine l'utilisation appropriée et sécuritaire de l'information et des technologies associées.

Ce cadre de gestion et les politiques et procédures qui l'accompagnent visent à assurer le respect de toute législation à l'égard de l'usage et du traitement de l'information et de l'utilisation des technologies de l'information et des télécommunications. Plus spécifiquement, les principaux objectifs recherchés en matière de sécurité de l'information sont les suivants :

  • C - la confidentialité des données;
  • I - l'intégrité des données;
  • D - la disponibilité des données;
  • Nr - la non répudiation des transactions;
  • Oa - l'authentification des utilisateurs;
  • Od - l'authentification de l'origine des données;
  • Ca - le contrôle des accès;
    • Assurer le respect de la vie privée des individus; notamment, la confidentialité des renseignements à caractère nominatif relatifs aux clients, aux utilisateurs et au personnel;
    • Assurer la conformité aux lois et règlements applicables ainsi que les directives, normes et orientations de l'organisation.


Notre approche

Notre approche se base sur les normes internationales en matière de sécurité des actifs informationnels ainsi que sur une méthodologie propriétaire. Celle ci propose une approche participative d'appropriation du changement pendant laquelle un consultant expert agit comme facilitateur. Elle s'appuie sur des normes internationales reconnues, ainsi que sur les meilleures pratiques de l'industrie.

Contrairement aux approches actuelles, notre approche permet d'évaluer le changement du niveau de risque dans le temps, en fonction des nombreuses variables telles que l'évolution des vulnérabilités, l'amélioration des habilités des pirates informatiques (hackers), le contexte socio-économique et politique.

Cette approche tient aussi compte de mesures de protections plus tangibles (i.e. Coupe-feu ou anti-virus), mais aussi d'éléments difficilement quantifiables, comme des SLA , les politiques et procédures internes ou l'utilisation de normes telles ISO/CEI 9001 et ISO/CEI 14001. Cette différence est significative pour les organismes publics ou parapublics, ainsi que pour des organisations opérant dans divers secteurs d'activités complémentaires de même que dans des entreprises multinationales. Nous tenons aussi compte des nécessités de conformité à des contrôles tels Sarbanes & Oxley, C-198, Bâle II ou à des normes comme ISO/CEI 17799 :2000, ISO/CEI 13335.


Services en Gestion des Risques TI/SI

CADRE DE GESTION DES RISQUES EN SÉCURITÉ DE L'INFORMATION

  • Développement de stratégies de sécurité de l'information en soutien des stratégies d'affaires des entreprises;
  • Établissement de structures de rapports et de canaux de communication qui soutiennent les activités de gouvernance en entreprise;
  • Identification des questions de conformité légales actuelles et potentielles affectant la sécurité de l'information et l'évaluation des impacts de ces dernières sur les entreprises;
  • Développement des procédures et des directives qui soutiennent le cadre de gestion en matière de sécurité de l'information;

GESTION DE LA SÉCURITÉ DE L'INFORMATION

  • Création et maintien de plans permettant la mise en application du cadre de gestion en sécurité de l'information;
  • Identification des niveaux plancher (baselines) de sécurité de l'information dans les entreprises;
  • Rédaction de politiques et procédures en matière de sécurité des actifs informationnels;
  • Gestion du changement au niveau organisationnel;
  • Transfert de connaissances;
  • Formation sur l'utilisation des normes et standards et principes de bonne gouvernance en entreprise;

Résultats et Bénéfices

  • Établir un climat de confiance
  • Sécuriser les partenariats et les échanges
  • Favoriser les échanges électronique
  • Mieux gérer le risque au niveau de l’organisation
  • Réductions de coûts et économies d’échelle
  • Amener une diminution des primes d’assurances
  • Certains appels d’offres le demande
  • Image de marque vis à vis de la sécurité
[Carte du Site]
©Partenaires en Technologie Ltée., 1999-2008