Le 13 septembre 2000, en tombant sous les balles d’un assassin et en y survivant miraculeusement, Michel Auger, journaliste au Journal de Montréal, est devenu bien malgré lui le symbole de la défense de la liberté d’expression et le porte-étendard de la lutte contre le crime organisé.

Né à Shawinigan, le 27 juin 1944, il a fait ses débuts au quotidien le Nouvelliste en 1964, puis a travaillé à Métro-Express et à la station CKVL. Journaliste à La Presse de 1968 à 1979, il a ensuite été réalisateur délégué de l’émission de télévision "The fifth estate" de la CBC de 1979 à 1984. Depuis dix-sept ans, il est journaliste au Journal de Montréal. Ayant consacré toute sa carrière à fouiller les dessous du monde criminel, il est considéré partout au Canada et à l’étranger comme l’un des meilleurs reporters en ce qui concerne les grands et les petits criminels de ce pays. Il a brossé des portraits saisissants de criminels célèbres ou moins connus qu’il a côtoyés et parfois même interviewés.

Son récent livre, «L’Attentat», est le récit de sa carrière à travers les dossiers des enquêtes auxquelles il a participé jusqu’à l’attentat perpétré contre lui. Il y relate pourquoi les motards criminalisés en sont venus à le considérer comme la personne à abattre. Son style rempli d’humour est personnel, direct et sans fioritures. Il est un conférencier captivant qui ne laissera personne indifférent. Plus jamais vous ne verrez la vie sous le même angle après avoir écouté Michel Auger vous faire partager ses expériences. Cet homme a croisé sa mort dans les yeux de son assassin… et aujourd’hui, il continue à dénoncer le crime organisé et les motards criminalisés.

M. Bédard possède une formation universitaire en comptabilité et en informatique. Il a à son actif près de 25 ans d’expertise et d’expérience en développement, audit et sécurité des technologies de l’information. En 1996 et en 2004, il a obtenu respectivement les titres CISA (Certified Information Systems Auditor) et CISM (Certified Information Security Manager). Ces titres lui confèrent une notoriété en vérification, contrôle et gestion de la sécurité des systèmes d’information. D’ailleurs, il a été le coordonnateur de la certification CISA depuis plusieurs années pour la région de Québec. En 1998-1999, il a été président de l’ISACA section de Québec (APVCSI).

Il participe activement à différents comités interministériels dans les domaines de la gestion des risques et de la sécurité des systèmes d’information. Il est formateur à l’École Nationale d’Administration Publique (ÉNAP) pour le cours «Évaluation des risques organisationnels et prise de décision». Depuis janvier 2005, il est chargé de cours à l’Université de Sherbrooke au Diplôme de 2^e cycle en gouvernance, audit et sécurité des technologies de l'information». Au cours des sept dernières années, M. Bédard a été coordonnateur de la gestion des risques à la Régie des rentes du Québec. Depuis septembre 2007, il agit comme coordonnateur de la gestion des risques à la CARRA.

Le conférencier, M. Bédard démystifiera les principaux concepts reliés à la gouvernance et à la gestion intégrée des risques. Plus particulièrement, l’atelier de travail portera sur une démarche d’identification, d’évaluation et de gestion des risques dans un contexte de sécurité et de risques organisationnels. Il abordera les principaux enjeux et des grandes préoccupations des dirigeants en matière de risques organisationnels. Il présentera quelques approches et référentiels pour gérer les risques. Il fera part de quelques outils et techniques utilisés pour organiser et/ou participer à un atelier d’analyse de risques et finalement, il discutera des facteurs de succès visant à implanter une démarche de gestion des risques dans son organisation.

La gestion des vulnérabilités semble, en théorie, un domaine des TI pouvant être facilement pris en charge. Toutefois, dans la pratique, son application en tant que processus continu en est tout autrement.

D'une part, la gestion des vulnérabilités est une activité provenant de la gestion du risque, qui a été établie par les dirigeants - ils expriment ainsi leur tolérance. De l'autre côté, les responsables de la sécurité tentent de protéger l'organisation contre toute forme de menace. Malgré tous ces efforts, il demeure qu'avec plusieurs dizaines de vulnérabilités applicatives divulguées tous les jours, cette tâche peut facilement virer au cauchemar et monopoliser budget et ressources sans apporter les résultats escomptés si ces efforts ne sont pas tournés vers les bonnes cibles.

De plus, avec l'arrivée de nouvelles menaces : augmentation des exploits au jour zéro, émergence des technologies Web 2.0 et un virage vers une architecture orientée services. Nous devons donc nous poser ces questions essentielles :

• Est-ce que le processus de gestion des vulnérabilités au sein de notre organisation est suffisamment mature pour répondre au niveau de risque toléré par les dirigeants?
• Est-ce que notre structure organisationnelle est propice à la prise en charge efficiente des menaces?
• Est-ce que notre infrastructure technologique nous permet un contrôle efficace sur les vulnérabilités?

En résumé, cette présentation a pour but d'expliquer les fondements de la gestion des vulnérabilités, ses principaux enjeux face aux nouvelles menaces et des outils facilitant une gestion qui soit en ligne avec les besoins d'affaires.

Monsieur Bonneau œuvre dans le domaine des technologies de l’information et de la sécurité informatique depuis plus de dix ans. Il détient un baccalauréat en génie informatique et il est présentement inscrit au programme de maîtrise en administration des affaires (MBA), où il complète une formation en gestion des entreprises. De plus, il possède les certifications CISSP (Certified Information System Security Professionnal) et ITIL (Information Technology Infrastructure Library).

Il a travaillé sur divers mandats pour des organismes gouvernementaux (ministères, hôpitaux, villes) et des compagnies locales, nationales et multinationales. Au cours de ces projets, il fut analyste, architecte et chargé de projet en technologie et sécurité.

Ses compétences en sécurité de l'information couvrent un ensemble de domaines :

• gestion de la vulnérabilité : coupe-feu et sécurité réseau, sécurité des systèmes d'exploitation, audit réseau, analyse de pénétration;
• gestion de la confiance : infrastructure à clé publique (PKI), réseaux privés virtuels (VPN), cryptographie, gestion des droits numériques, signature numérique et intégrité des applications;
• gestion de l'identité : authentification forte et unique (SSO);
• gestion des menaces : prévention et détection d'intrusion, antivirus et gestion des événements de sécurité.

Monsieur Bonneau sait se démarquer par ses qualités de communicateur : rédaction de rapports en français ou en anglais, travail d'équipe, présentations et formations. Il est méthodique, autonome et est doté d'un très bon esprit d’analyse. Il a de l’entregent et il dispose d’aptitudes à diriger des projets et des ressources dans la réalisation d’objectifs. Il agit présentement à titre de responsable de l’offre en sécurité chez Technoconseil.

Architecte national de sécurité : Novell Canada

Richard Cabana est à l’emploi de Novell Canada depuis 1992 et depuis 2005, il occupe le poste d’architecte national de sécurité. Conseiller chevronné auprès d’organismes gouvernementaux importants et des entreprises FP 500 partout au Canada, il partage son expérience dans le domaine de la gestion de l’identité et de l’accès. Pendant sa carrière chez Novell, Richard a été le conférencier principal à plus de 500 occasions principalement en Amérique du Nord et à deux occasions en Europe de l’Est (Russie).

Richard Cabana possède plus de 25 années d’expérience dans l’industrie du logiciel de réseau et plus particulièrement dans les répertoires et l’identité depuis 1993. Avant l’installation de son premier réseau chez un client en 1983, Richard a été un membre des Forces canadiennes où il a obtenu une accréditation de technologue en électronique, spécialisé en radarélectronique.

Première conférence : Protéger les actifs de l’entreprise contre les intentions malfaisantes d’un employé

L’Homme. On ne peut vivre avec lui, on ne peut vivre sans lui! Bien que la technologie occupe une place importante dans l’entreprise, le TI doit se rappeler qui exécute vraiment le travail : la personne au clavier. Votre travail comme administrateur consiste à donner les ressources et les services nécessaires à la productivité de l’utilisateur.

Voilà où se situe le problème, car en donnant l’accès à ces ressources, vous risquez que l’élément humain vienne mettre en danger les actifs de l’entreprise. Que se passe-t-il si un utilisateur installe une application non autorisée ou non licensée qu’on découvre lors d’une vérification de logiciels? Ou bien, un virus d’un courriel contaminé se propage à des systèmes du réseau n'étant pas mis à jour? Ou pire encore, une clé USB qui comprend des informations confidentielles est volée?

Examiner ces données :

• Le vol d’ordinateurs et de données se classe au deuxième rang aux États-Unis juste derrière le vol d’automobiles (FBI et Computer Security Institute).
• Soixante-dix pour cent des attaques par informatique, des brèches de sécurité ou de vols de données sont exécutés à l’intérieur de l’entreprise (Security Leaders et Laggards Survey, Yankee Group).

Cette séance vous informera sur les dangers des appareils d’extrémités et les risques qu’ils représentent pour vos réseaux. Les participants se familiariseront avec une solution qui peut prévenir le vol de la propriété intellectuelle de votre entreprise.

Cette présentation résume l'expérience de Loto-Québec qui vient de mettre en œuvre un nouveau programme de sensibilisation à la sécurité des TI pour tous ses employés. Tous les aspects de l'élaboration d'un tel programme seront présentés (besoins, plans de communication, calendriers, rôles et responsabilités), de même que des exemples tirés de la dernière campagne de sensibilisation annuelle, des formations spécialisées, du matériel d'accompagnement et de promotion.

M. Côté cumule plus de 25 ans d'expérience en informatique, dont
20 ans spécifiquement dédiés au domaine de la sécurité des systèmes d'information. Il a œuvré au sein de grandes entreprises de services, notamment dans le secteur bancaire, et travaille maintenant chez Loto-Québec, à titre de directeur corporatif de la sécurité des technologies de l’information.

Éric Lachapelle (MBA, CISSP, CISA) est formateur associé à BSI en sécurité de l’information, spécialisé dans la norme ISO 27001. Il possède plus de 15 ans d'expérience dans le domaine de la gestion et de la formation dans divers pays. Il conduit des formations de BSI sur les normes ISO 27001, ISO 20000 et BS 25999.

BSI compte plus de 60 000 sites et clients certifiés dans plus de 100 pays dont plus de 12 000 sites en Amérique du Nord, et propose des services d'audit, de certification et de formation pour systèmes de gestion dans le monde entier. BSI figure parmi les organismes d’enregistrement de systèmes de gestion les plus réputés au monde et bénéficie de l'accréditation d'une vingtaine d'organismes nationaux et internationaux.

Il existe deux types d’analyses de risques en sécurité : les analyses globales couvrant l’ensemble d’une organisation et les analyses spécifiques qui visent une solution d’affaires spécifique. Les enjeux de ces dernières diffèrent grandement de ceux des analyses globales, surtout lorsqu’elles portent sur une solution d’affaires en conception. Dans ces cas, l’échéancier est critique : l’analyse doit être réalisée au bon moment et les résultats doivent être obtenus rapidement.

Afin d’offrir une meilleure valeur et pertinence, l’analyse devrait couvrir les risques inhérents à l’opérationnalisation des processus d’affaires en plus des risques introduits par les TI. Finalement, les résultats doivent interpeller les gestionnaires en termes d’affaires concrets.

Cette présentation résumera les enjeux liés aux analyses de risques spécifiques et proposera une approche concrète pour recenser les principaux risques TI et d’affaires en 20 jours.

Le conférencier, M. Guillaume Langlois, conseiller senior en sécurité de l’information chez Nurun, est certifié CISSP et est le concepteur de la méthode d’analyse de risques en 20 jours.

Titulaire d’un baccalauréat en systèmes d’information, M. Chikarians œuvre dans le domaine de la technologie de l’information depuis plus de 17 ans. Il a travaillé avec succès à l’évaluation et à la gestion de plusieurs projets technologiques tels que la sécurité, la gestion d’identité, des annuaires d’entreprises et le commerce électronique. De plus, il a œuvré plusieurs années dans le domaine du service conseil et il a récemment assumé les fonctions d’architecte d’entreprise responsable du développement de diverses architectures d’entreprises pour la gestion d’accès et d’identité, portails d’entreprises et systèmes de gestion.

La convergence est l'art de réunir des éléments disparates, de fusionner des unités, pour en tirer un avantage compétitif. Pour être efficace, la convergence doit concerner les personnes, les processus et la technologie, et permettre de prévenir, détecter, corriger et rétablir les activités après n'importe quel type d'incident de sécurité.

Cette conférence fera état des différentes contraintes qui conduisent à réaliser la convergence et qui amènent l'entreprise à ne plus considérer la sécurité comme un empilement de fonctions et de services permettant de se conformer à la réglementation, mais à réaliser une approche en réfléchissant en termes de risque global pour l'entreprise.

Cette conférence se veut un survol du rôle et bénéfice des interventions d'analyse et de gestion de la fraude. Ainsi, les participants du colloque acquièrent une compréhension générale des méthodes d'analyse et des relations complexes entre les données.

Identification de la fraude

• Survol des techniques d'analyse d'informations
• Compréhension sommaire et application des analyses dans un cycle d'investigation de la fraude
• Formulation d'hypothèses afin d'appuyer les processus d'investigation et de gestion de la fraude

Profilage de la fraude

• Brève description d'une initiative de gestion de la fraude et ses objectifs
• Présentation de quelques méthodes de développement d'un système de gestion de la fraude

Analyse de la fraude et prévention

• Aperçu descriptif du cycle d'analyse
• Évaluation des données
• Conception de stratégies de protection et de prévention appropriées

Les menaces auxquelles font face les organisations ne prennent jamais de repos; ces menaces sont présentes 24 heures par jour et évoluent continuellement. Pour faire face à cette réalité, CGI a bâti un centre de sécurité des opérations qui fonctionne 24 heures, 365 jours par année et qui protège CGI et ses partenaires à travers des solutions et services dynamiques, à la fine pointe de la technologie, supportés par une expertise de pointe. Cette présentation va discuter l’approche de CGI dans le développement de ce centre, les défis rencontrés, sa structure actuelle, et les différents services de sécurité qu’il opère. Cette présentation va explorer les bénéfices d’un centre opérationnel dédié à la sécurité pour les technologies et systèmes d’information.

Après avoir occupé les postes de chef de la sécurité du CRIM et directeur au CRIM-CTL, Jacques Viau a été directeur des opérations chez H+A Computer Forensic Inc., pendant quelque temps, avant de se joindre à l'ISIQ. Auparavant, M. Viau était conseiller en matière de sécurité et de confidentialité chez IBM. Il est spécialiste en sécurité de l'information et en informatique judiciaire, avec plus de 30 années d'expérience au Service de police de la Communauté urbaine de Montréal, dont 18 au poste d'enquêteur et les cinq dernières années au cours desquelles il fonda et supervisa l'unité d'enquête sur la criminalité technologique. M. Viau possède une solide expérience dans la conduite d’évaluations de la sécurité, en dépistage électronique, en informatique judiciaire et en enquête dans un environnement informatique. Il a participé aux enquêtes d’innombrables cas relatifs aux délits informatiques. M. Viau a été invité à de nombreuses reprises à partager ses expériences et ses connaissances en sécurité de l'information lors de conférences, émissions de télévision et de radio et dans la presse écrite. Certifié ISS CSU, M. Viau fait partie du Groupe de travail sur la sécurité et la biométrie du Conseil canadien des normes, qui a pour mission d'élaborer les standards ISO.