Mandats
Sécurité de l’information
Plan directeur de la sécurité de l’information
Notre mandat consistait à définir une approche structurée en sécurité de l’information pour une importante entreprise de Montréal. Il fallait définir une cible ainsi qu’établir les mesures et les contrôles appropriés pour que les actifs informationnels, critiques au TI, soient adéquatement sécurisés. Nous devions aussi planifier les actions et les projets à mettre en place à court et à moyen terme.
De façon générale, la réalisation d’un plan directeur de la sécurité de l’information est justifiée par :
- le besoin d’avoir une approche structurée des interventions et des investissements en sécurité de l’information;
- le besoin d’établir des mesures de contrôle afin d’être conforme aux meilleures pratiques, ainsi qu’aux cadres juridique et règlementaire;
- les besoins d’affaires.
Pour réaliser ce projet, nos experts devaient tenir compte de plusieurs points. D’abord, les technologies de l’information et des communications (TIC) soient :
- l’infrastructure d’exploitation et de communication;
- les produits logiciels;
- les applications et systèmes à l‘interne;
- les processus et les procédures d’opération et de gestion des TI.
Nous devions aussi considérer l’aspect juridique et règlementaire, c’est-à-dire les lois et règlements, ainsi que les politiques et directives. Une attention particulière devait être prêtée aux individus, tant les employés que les non employés, et à l’organisation de cette entreprise tout en tenant compte des obligations liées aux rôles et aux responsabilités de chacun.
Nous avons élaboré le plan directeur la sécurité de l'information en quatre temps qui consistait à :
- analyser la situation et les besoins;
- établir la cible;
- analyser le contexte;
- établir le plan d’action.
Nos défis
Dans ce mandat, nous avions plusieurs défis dont les plus importants étaient de :
- définir une direction relative à la sécurité de l’information TI;
- définir la stratégie de sécurité, déterminer les priorités, identifier les investissements, décrire les rôles et responsabilités de sécurité au sein de l’organisation;
- soutenir la vice-présidence TI dans ses actions, ses moyens et sa planification en vue de sécuriser les actifs informationnels de l’organisation.
La plus-value Larochelle
Les bénéfices tangibles qui ont directement découlé des projets en sécurité se sont manifestés à trois niveaux.
Affaires
Par l’implantation graduelle de l’application d’une norme en sécurité de l’information ISO27002 reconnue sur le plan international, une protection accrue des actifs critiques de l’entreprise, une mise en place des mesures et des contrôles nous permettant de produire les preuves nécessaires à la conformité des lois ainsi que des règlements et un processus de gestion du risque qui appuient les actions et la prise de décision.
Périmètre TI
Par une sécurité accrue du périmètre d’accès aux infrastructures et des systèmes critiques ainsi que par une protection accrue des données et des actifs informationnels.
Organisation
Par une approche structurée des projets et initiatives en sécurité de l’information, une approche préventive et proactive de gestion en sécurité de l’information, une politique d’entreprise de la sécurité de l’information, une augmentation des compétences et des connaissances et une vision globale des besoins et des défis en sécurité de l’information.
Mise en place des mécanismes de contrôle et de conformité
Dans ce projet, nous devions faire l’analyse d’un rapport de vérification, en plus de proposer des stratégies et moyens pour remédier aux lacunes des mécanismes et contrôles de conformité chez notre client. Une fois le projet approuvé par la direction, nous l’avons réalisé.
Notre client avait accordé une priorité absolue à ce projet, car la remise du rapport de vérification certifié avait mis en lumière des lacunes quant aux règles de conformité requises par la loi C-198 (conformité SOX/52-109). La direction des TI se devait donc de mettre en place les mécanismes de contrôles et de conformité requis par la loi, puisque le non-respect des règles de conformité requis par cette loi pourrait entraîner des procédures pénales.
Nos experts ont analysé le dossier d’évaluation ainsi que les contrôles en place et ils ont établi le plan d’action. Ils ont présenté pour chaque lacune, une stratégie de mise en place de processus et de contrôle adéquat. Ils ont également défini les essais requis à la conformité en tenant compte de la provenance de l’information et des intervenants. Finalement, nos spécialistes ont planifié le projet de remédiation des lacunes.
Pendant la réalisation, nous avons mis en place des mécanismes correctifs et avons coordonné l’exécution des essais. Nous avons établi la documentation adéquate aux exigences de la loi C-198, c'est-à-dire la traçabilité. Nous avons pris la mesure des résultats afin de présenter les preuves requises pour obtenir la conformité. Nous avons aussi défini un plan de communication pour les personnes concernées par les activités récurrentes des tests.
Nous avons accompagné la direction des TI pour la mise en place des mécanismes correctifs. Nous avons établi une planification à court et à moyen terme des projets et activités préventives afin d’éviter toutes non-conformités futures. Nous avons soutenu notre client dans la présentation des résultats auprès de la haute direction.
Enfin, nous avons présenté notre dossier aux différents vérificateurs certifiés qui ont reconnu que les mécanismes de contrôle et de conformité requis par la loi avaient été mis en place et que notre client répondait aux règles de conformité.
Nos défis
Il s’agissait surtout d’un défi d’affaires. Il était impératif de conformer les données financières de l’entreprise aux règles de conformité requises par la loi C-198 (conformité SOX/52-109).
La plus-value Larochelle
Nous avions toute l’expertise requise pour ce genre de mandat. Nos spécialistes ont réalisé la mise en place de mécanismes de contrôle et ils ont revu l’ensemble des processus de qualité, d’essais et de livraison pour toutes les fonctions financières de l’entreprise.
RSS