Notes biographiques

Depuis 32 ans, Pierre Carrier se distingue dans le domaine des technologies de l'information, que ce soit à ses débuts à la fonction publique québécoise ou quelques années plus tard en recherche et en formation au niveau collégial et universitaire. Aujourd'hui, c'est chez DMR, au sein de l'équipe Méthode et meilleures pratiques, que M. Carrier s'investit. Cette équipe d'experts en méthode et en formation propose à ses clients une gamme variée d'outils méthodologiques pour encadrer le développement et la maintenance de leurs actifs informationnels. La suite Macroscope et son extension professionnelle, le Guide vert, constituent deux de ces outils et sont largement utilisés dans les ministères et les organismes gouvernementaux.

M. Carrier travaille actuellement à plusieurs projets d'intégration touchant la sécurité, le contrôle et la protection des renseignements personnels au sein de la fonction publique québécoise. Il participe également, pour d'autres clients, à l'accompagnement méthodologique de professionnels engagés dans des projets de développement de systèmes d'information.

Présentation

La prise en charge de la sécurité, du contrôle ainsi que de la protection des renseignements personnels dans les projets de développement de solutions d'affaires faisant appel aux technologies de l'information constitue un enjeu de taille auquel fait face toute la communauté informatique. En effet, comment prendre en considération les nombreuses exigences liées à la sécurité, au contrôle permettant d'assurer l'intégrité des systèmes et la fiabilité des données ainsi qu'à la protection des renseignements personnels?

La réponse se trouve dans l'utilisation d'un outil méthodologique dans la méthode de développement : le Précis SCPRP. En fait, DMR propose aux utilisateurs du Guide vert une démarche systématique de validation de la conformité de la solution aux exigences de sécurité, de contrôle et de protection des renseignements personnels. Le Précis SCPRP répond au besoin maintes fois exprimé d'une approche de prise en charge de la sécurité dans les méthodes de développement de systèmes, approche à laquelle des outils de gestion des risques et des exigences sont ajoutés. Lors de la conférence, les sujets suivants seront abordés :

• Objectifs poursuivis et bénéfices recherchés en gestion des risques dans les méthodes de développement
• Démarche de validation de la conformité proposée par le Précis méthodologique SCPRP
• Démonstration de l'outil intégré au Guide vert de DMR
• Présentation des outils de gestion des risques et des exigences
• Projets en cours au gouvernement du Québec

Notes biographiques

Michel Cusin détient les certifications CISSP, GIAC (GCIH), CEH, OPST, CCNA, CCSI, CCSE+, CCSE, CCSA, NCSA, ITIL, TCSP.

Au cours des dernières années, il a eu l'occasion d'œuvrer à différents niveaux dans le domaine de la sécurité. En tant qu'instructeur certifié Check Point, il a eu à former un bon nombre d'étudiants sur les produits Check Point et a agi comme consultant en sécurité pendant plusieurs années. Ces années d'expérience sur le terrain lui ont permis d'approfondir ses connaissances en sécurité et de développer une expertise très pointue. Il contribue depuis quelques années maintenant au SANS TOP 20 Security Risks à titre d'expert. Il participe également lors de divers événements de sécurité, comme conférencier invité.

M. Cusin occupe présentement le rôle d'officier de Sécurité chez Bell Canada au niveau du Réseau de Télécommunication SocioSanitaire du Québec (RTSS).

Présentation

Le monde change et Internet n'y fait pas exception. Avec l'avènement du Web 2.0, les menaces sont de plus en plus présentes et de moins en moins visibles. Que diriez-vous, si :

• Vos postes de travail protégés par un antivirus, un proxy, une sonde IDS et par un coupe-feu se faisaient quand même attaquer?
• Par la suite, cette intrusion ferait en sorte que votre réseau serait, également, attaqué de l'interne?
• Que votre environnement servirait également à attaquer d'autres réseaux externes, et ce, à votre insu?
• Que le tout ne laisserait aucune trace ou presque?

Vous diriez sûrement que tout ceci ne peut qu'exister dans une dimension parallèle n'est-ce pas? Et bien c'est ce que nous verrons...

Notes biographiques

Régis Desmeules agit à titre de conseiller senior en sécurité de l'information pour Industrielle Alliance depuis plusieurs années. M. Desmeules cumule plus de 18 ans d'expérience en TI, dont 11 ans à titre de conseiller en sécurité de l'information pour les entreprises privées, spécialement celles du secteur des services financiers. Il conseille les hautes directions, les équipes d'architecture, les équipes de développement, les secteurs d'exploitation de la sécurité et accompagne ses clients dans leurs projets en matière de sécurité de l'information. Depuis 10 ans, il a donné de nombreuses conférences et présentations, ainsi que des sessions de formation en sécurité de l'information. M. Desmeules possède les certifications CISSP et CISA en plus d'être instructeur CISSP. Enfin, M. Desmeules est l'auteur du livre Cisco Self-Study: Implementing Cisco IPv6 Networks publié en 2003 par Cisco Press dans plus de 50 pays.

Présentation

L'Industrielle Alliance est une entreprise privée majeure œuvrant dans le secteur des services financiers dont, plus spécifiquement, dans les assurances et l'épargne collective. La conférence vise à présenter différents enjeux et défis en matière de sécurité de l'information auxquels l'entreprise est confrontée dans son quotidien dont, notamment, la sensibilisation de l'entreprise, la conformité (C-198), le vol d'identité, le développement applicatif et la gestion de la sécurité. La présentation vise également à présenter certaines solutions mises de l'avant pour rencontrer ces enjeux.

Notes biographiques

Jean-Pierre Fortier a acquis 40 ans d'expérience dans le monde des technologies de l'information. Au cours de sa carrière, il a œuvré dans les secteurs manufacturiers, de services et de l'enseignement. Détenant un M.B.A. (Gestion des Technologies de l'Information), il enseigne maintenant au département des Systèmes d'information organisationnels de l'Université Laval. Dans ce dernier contexte, il s'intéresse particulièrement à la sécurité de l'information puisqu'il forme et sensibilise la relève en donnant un cours intitulé «Sécurité, contrôle et gestion du risque».

Présentation conjointe avec Michel Lambert
(durée approximative : 2 h)

Pour nos entreprises ou organisations, avoir le niveau de sécurité approprié est une quête sans fin. La littérature propose une panoplie de référentiels, de concepts et de solutions pour maîtriser les risques, mais comment s'y retrouver?

Tout au long de cet atelier, les participants seront invités à interagir et à se prononcer sur des propositions à l'aide d'une commande électronique. Ces dernières seront en relation avec les principaux risques de la sécurité de l'information et les stratégies pour les maîtriser.

Pour permettre l'échange sur la maîtrise des risques et sur les perceptions des risques les plus importants en 2008-2009, les conférenciers présenteront les repères essentiels pour une bonne gouvernance de la sécurité et les conditions de succès d'une stratégie de sécurité avec, entre autres, des repères provenant de différents "benchmarking" internationaux.

À la fin de cette conférence, les participants auront tous les éléments essentiels pour doter son organisation d'une bonne gouvernance de la sécurité et d'une stratégie gagnante en matière de protection de l'information.

Notes biographiques

Nicolas-Loïc Fortin est à l'emploi de Bell Canada en tant qu'architecte de solutions de sécurité. Il dispose de plus de 12 ans d'expérience en technologies de l'information, dont huit ans en sécurité. Il a acquis cette expérience en travaillant dans le milieu gouvernemental, des assurances et manufacturier. Durant sa dernière expérience, M. Fortin a acquis une expertise poussée dans les solutions NAC et les déploiements de grandes envergures, le plaçant comme leader dans ce domaine. M. Fortin dispose d'un certificat en droit et un autre en affaires électroniques, ainsi que des certifications CISA de l'ISACA, GCIH du SANS/GIAC et GCFA du SANS/GIAC.

Présentation

Au courant des dernières années, nous avons tous investi des sommes colossales en sécurité et ce, à tous les niveaux. Pourtant, nous subissons encore des avaries qui remettent en question l'efficacité des sommes que nous avons investies, des technologies déployées et des processus mis en place. Sommes-nous arrivés à la fin du paradigme actuel de la sécurité de l'information?

Depuis les deux dernières années, la menace change à une vitesse telle que les organisations ont de la misère à suivre. Nous parlions, il n'y a pas si longtemps, de problèmes de polluriel et, maintenant, les efforts des attaquants sont rendus sur l'utilisation de la plate-forme client. Avec une évolution aussi rapide, il faut utiliser les précieux dollars de sécurité aux endroits où ils vont fournir la meilleure protection contre le risque sur un horizon de temps le plus long possible.

Notes biographiques

Vincent Gautrais est professeur agrégé à l'Université de Montréal, faculté de droit, où il enseigne plusieurs cours en droit des affaires électroniques et en droit des affaires. Il est titulaire depuis juin 2005 de la Chaire de l'Université de Montréal en droit de la sécurité et des affaires électroniques. Il œuvre aussi comme co-directeur de la Maîtrise en commerce électronique (Faculté de droit, HEC Montréal, DIRO) (www.cel.umontreal.ca) Préalablement, il fut professeur à l'Université d'Ottawa, section de common law.

Il travaille sur ces sujets depuis 1992 et dans ce cadre, a eu l'occasion de produire des recherches, conférences, livres, publications et consultations relatives notamment au droit des affaires électroniques, aux contrats électroniques, à la cyberconsommation, à la sécurité des réseaux, aux règlements des différends par et pour Internet, aux questions de propriété intellectuelle et à la vie privée.

Vincent Gautrais est diplômé de l'Université de Rennes 1 en France (Licence – Maîtrise) et de l'Université de Montréal (LLD – LLM – LLB). Sa thèse de Doctorat publiée en 2002 chez Bruylant (Bruxelles) s'intitule «Le contrat électronique international».

Vincent Gautrais est aussi avocat auprès du Barreau du Québec. Pour en savoir plus, veuillez visiter son blogue, son site Internet à www.gautrais.com

Présentation

Nous sommes face à une révolution. Les technologies de l'information bouleversent en profondeur la façon de gérer tant la sécurité documentaire, le risque que le droit. Un bouleversement qui est d'autant plus grand que la perception de sécurité est souvent fausse; parfois indûment amplifiée alors le risque est gérable; parfois sous-évaluée alors qu'un courriel par exemple est un mode de communication qui est aisément falsifiable.

Aussi, face à cette nouveauté dont on ne mesure sans doute pas encore l'ampleur, et dans une quête concrète de solutions, il nous importe d'identifier celles, de nature juridique, qui peuvent avoir une incidence directe sur la gestion de la sécurité.

En premier lieu, le contrat demeure l'outil de prédilection qui à travers les siècles parvint à régir le futur. Et donc le risque. Et donc le risque associé à la sécurité des documents. Aussi, depuis longtemps déjà, des ententes entre différentes parties permettent de déterminer les obligations respectives de chacun tout en faisant clairement savoir les conséquences de leur non respect. Cet outil pluriséculaire est particulièrement utilisé dans les contrats de confidentialité, les rapports entre employé et employeur, la vente de produits ou de services, etc.

En deuxième lieu, de plus en plus de lois réfèrent à des obligations de sécurité que les entreprises, personnes morales de droit public, voire particuliers se doivent de suivre, sous peine de conséquences juridiques. Néanmoins, plusieurs de ces lois demeurent parfois difficiles à appliquer, soit parce que celles-ci ne sont parfaitement adaptées à la nouvelle réalité électronique; soit parce que de nouvelles lois ne disposent pas de jurisprudence qui puisse préciser la portée des obligations des parties.

En troisième lieu, et ce de plus en plus souvent, les entreprises ont l'obligation légale de produire des politiques et procédures afin de prévoir au préalable la manière dont ils entendent régir leurs documents. Que ce soit dans le domaine de la preuve, de la protection des renseignements personnels, de l'intégrité et de la diffusion des informations financières, les acteurs ont l'obligation de rédiger de tels documents. Malheureusement, face au silence des lois quant à la manière de faire ces derniers, se présentent une pluralité de normes qui effraie les entreprises qui ne savent pas toujours laquelle choisir.

Trois outils donc qui ont pour vertu d'offrir davantage de prévisibilité juridique dans un domaine qui en a bien besoin. Pour en savoir plus, veuillez visiter son blogue, son site Internet à www.gautrais.com

Notes biographiques

Denis Goulet est un expert reconnu dans le domaine de la Gestion de la continuité avec à son actif 20 ans d'expérience, principalement dans les domaines de la finance et de la télécommunication. Il a œuvré également dans les secteurs pharmaceutiques, de la fabrication et de la distribution ainsi que dans les secteurs gouvernementaux. Depuis 1988, M. Goulet a aidé des organisations dans les phases de définition, de développement, de mise en place, d'entretien et de mise à l'essai de leur programme de Gestion de la Continuité. Depuis 1999, il fournit des services de consultation et de «coaching» en Gestion de la Continuité à une clientèle diversifiée en Amérique du Nord, au Moyen-Orient et en Europe.

En 1992, M. Goulet obtient le titre de CBCP (Certified Business Continuity Professional) et, depuis juin 2000, il est l'une des rares personnes à qui le titre d'instructeur certifié a été accordé par DRI international. En cette qualité, il fournit une formation de haute qualité en Amérique du Nord et en Europe, aux praticiens de la Gestion de la Continuité de tout type d'organismes privés et publics. Il a également obtenu en 2008 la certification MBCI, du Business Continuity Institute (Royaume-Uni), ainsi que la certification BCCE, du Business Continuity Management Institute (Singapore).

M. Goulet a apporté une contribution à la communauté de la Continuité en tant que membre des conseils d'administration de DRIE - Montréal (1999-2000) et de Disaster Recovery Institute Canada (1998-2000). Plus récemment, il a mis sur pied BCMIX, une communauté virtuelle internationale en Gestion de la Continuité avec plus de 1300 membres.

M. Goulet est un orateur expérimenté, inspiré et fort éloquent. Depuis 1994, il a eu l'occasion d'exprimer sa vision sur divers sujets comme la mise à l'essai des plans de Continuité, le Bilan des impacts d'affaire (BIA), la «vente» de la Gestion de la Continuité à la haute direction, etc. Avec le temps, il a développé des qualités de communicateur chevronné nécessaires pour s'adresser à tous les types d'auditoires (personnel technique, représentants, cadres, haute direction, etc.) dans les secteurs publics ou privés. Il parle et écrit couramment le français et l'anglais.

Présentation

Notre conférencière nous exposera la différence entre le Programme de mise en œuvre du Plan de continuité et la notion de Programme de gestion de la continuité; elle questionnera également où tout cela se situe dans le contexte de la Gestion du (des) risque(s).

Elle nous entretiendra également des changements qu'elle a constatés au cours des dernières années au regard de la méthodologie de mise en œuvre d'un Plan de continuité ou d'un programme de gestion de la continuité.

Enfin, elle abordera également la question de la certification
(selon le BS25999) :

• Les entreprises devraient-elles obtenir leur certification? Quel(s) avantage(s) une telle certification en tireront-elles?
• Quelles sont les dernières tendances relativement aux méthodologies ou meilleures pratiques pour la mise en œuvre de Programme de gestion de la continuité?

Notes biographiques

Bruno Guay œuvre dans le domaine de l'informatique depuis 1982. Il cumule plusieurs diplômes universitaires et fut chargé de cours en sécurité informatique au niveau du baccalauréat. Cette expérience et cette formation lui ont permis de concevoir et de développer des systèmes adaptés à des environnements diversifiés et à des clientèles variées, opérant dans les secteurs privé et public.

Les compétences de M. Guay en technologies et en sécurité se sont manifestées et développées par le biais de diverses réalisations telles que l'élaboration des plans de conception de réseaux, la mise en place de plans de gestion d'équipements informatiques, l'élaboration de plans de relève et de continuité des affaires, l'architecture de systèmes ainsi que les audits de sécurité et les analyses de risques.

M. Guay est membre de ITAC (Information Technology Association of Canada) et représentant du Canada au sous-comité SC 27 (sécurité informatique) du comité conjoint JTC-1 ISO/CEI. à ce titre, il participe à la rédaction et à l'approbation de normes internationales ISO ayant trait à la sécurité informatique. Il a de plus été nommé corédacteur de la norme ISO 27034 - Application Security. à ce titre, il rédige la norme qui deviendra un standard ISO international en 2010.Finalement, M. Guay est le concepteur de l'approche qui sera présentée lors de cette conférence.

Présentation

Les analyses de risques globales permettent de dresser la cartographie des risques de l'ensemble d'une organisation et servent de fondement à toute la stratégie de sécurité d'entreprise. Toutefois, les méthodes d'analyse de risques formelles peuvent être lourdes et coûteuses et exigent souvent des efforts considérables pour concevoir un plan d'action adapté aux priorités de l'organisation. De plus, une analyse de risques est une activité ponctuelle et se prête mal aux mises à jour continuelles de la cartographie globale des risques.

Cette présentation résumera les concepts, la démarche et les résultats d'une nouvelle approche en matière de gestion des risques et de conception de plans d'action en matière de sécurité en s'inspirant d'un cas réel d'utilisation dans un MO du Québec.

• L'approche présentée associe les bonnes pratiques de la norme internationale ISO 27002 à des scénarios de risques typiques pour l'organisation ciblée tout en tenant compte de son contexte d'affaires. Les douze domaines de la norme permettent une bonne couverture des risques et son niveau de granularité permet d'évaluer la sécurité de l'information tant numérique que sur papier.
• L'approche combine les étapes de collecte d'information, d'évaluation des risques et de conception d'un plan d'action concret. L'approche permet également d'évaluer quels seraient les risques résiduels en supposant que le plan d'action est mis en œuvre.
• L'approche est suffisamment légère pour faciliter le maintien de la cartographie des risques au fil de l'évolution des systèmes informatiques et des pratiques d'affaires d'une organisation.

Notes biographiques

Christian Guay possède plus de 15 ans d'expérience dans les technologies de l'information. La majorité de ces années ont été dans la sécurité, la disponibilité de systèmes ainsi que la gestion de l'information.

A titre de spécialiste technique pour la firme Symantec, il conseille les entreprises dans les directions à prendre pour protéger efficacement leurs systèmes et leur information. Grâce au portfolio et à la position unique de Symantec au niveau de la sécurité, M. Guay est en mesure d'offrir un large éventail de solutions pour rencontrer les besoins de ses clients. Son expérience lui permet également d'aller toucher des domaines connexes à la sécurité tels que la gestion documentaire et la haute disponibilité de systèmes.

Présentation

L'augmentation du nombre de portables et l'hétérogénéité des postes de travail augmentent considérablement les coûts de gestion d'un parc informatique. Du même coup, les menaces sont de plus en plus évoluées et structurées. La solution pour protéger un poste de travail n'est plus simplement d'activer un antivirus et un coupe-feu. Il existe une foule de technologies permettant de protéger adéquatement un poste de travail contre les menaces externes et les fuites d'information provenant de l'interne (antivirus, anti-logiciels espions, IDS, coupe-feu, chiffrement, DLP, NAC). De plus, le déploiement de correctifs provenant de divers manufacturiers fait partie intégrante de la sécurité d'un poste.

Comment faire pour arrimer ces technologies et s'assurer qu'elles soient compatibles et simples à gérer?

Dans cette session, vous apprendrez comment protéger efficacement votre parc informatique contre les attaques connues et inconnues tout en contrôlant le déploiement d'applications et de correctifs.

Notes biographiques

Pascal Lachance, directeur des ventes – IBM ISS Québec, conseille les entreprises, les gouvernements et les organismes de défense civile et militaire dans le domaine de la gestion intégrée de la sécurité. Reconnu par ses pairs dans le domaine de l'identification des risques informatiques, ainsi que de la lutte contre l'espionnage industriel, M. Lachance a piloté plusieurs projets informatiques en Asie, en Europe et au Moyen-Orient.

Présentation

M. Lachance fera un survol de l'ensemble des produits et services offerts par IBM dans le domaine de la gestion intégrée de la sécurité et une description des alternatives offertes aux gestionnaires afin de réduire de manière efficace la croissance des coûts en sécurité tout en respectant les exigences de conformité?

Notes biographiques

Michel Lambert est professeur associé à l'Université de Sherbrooke. Il enseigne au Campus de Longueuil de l'Université de Sherbrooke dans le cadre du programme de deuxième cycle en gouvernance, sécurité et audit des TI. Il a plus de 25 ans d'expérience en gestion de systèmes, en gestion de la sécurité des T.I. et en vérification au gouvernement du Québec. Il a acquis les accréditations CISA pour l'audit puis CISM en gestion de la sécurité. Il est un ancien président de l'ASIQ ainsi que de l'ISACA-Québec. Depuis 1997, il participe aux comités internationaux et groupes de travail de l'ISACA; notamment à des publications en gouvernance de la sécurité.

Présentation conjointe avec J.-P. Fortier (durée approximative : 2 h)

Pour nos entreprises ou organisations, avoir le niveau de sécurité approprié est une quête sans fin. La littérature propose une panoplie de référentiels, de concepts et de solutions pour maîtriser les risques, mais comment s'y retrouver?

Tout au long de cet atelier, les participants seront invités à interagir et à se prononcer sur des propositions à l'aide d'une commande électronique. Ces dernières seront en relation avec les principaux risques de la sécurité de l'information et les stratégies pour les maîtriser.

Pour permettre l'échange sur la maîtrise des risques et sur les perceptions des risques les plus importants en 2008-2009, les conférenciers présenteront les repères essentiels pour une bonne gouvernance de la sécurité et les conditions de succès d'une stratégie de sécurité avec, entre autres, des repères provenant de différents "benchmarking" internationaux.

à la fin de cette conférence, les participants auront tous les éléments essentiels pour doter son organisation d'une bonne gouvernance de la sécurité et d'une stratégie gagnante en matière de protection de l'information.

Notes biographiques

Alexandre Le Bouthillier, Ph.D., a complété un doctorat en informatique à l'Université de Montréal (Canada) et effectue un post-doctorat à l'Université de Genève (Suisse). Il est président et fondateur d'Omega Technologies depuis 14 ans, une entreprise spécialisée dans le calcul haute performance, la virtualisation de stockage et de serveur. Il est aussi associé et vice-président d'Organix IT, entreprise œuvrant en sécurité logique et physique et qui a fait l'acquisition d'Omega Technologies en 2007. D^r Le Bouthillier est instigateur du projet EZGrid, permettant un calcul sur grille d'ordinateurs virtualisés. Il a effectué plus d'une trentaine de publications et de congrès scientifiques et obtenu de nombreuses bourses de mérite provenant de diverses organisations : CRSNG, FQRNT, FCAR, CRT, Delcan, Bombardier et ATC.

Présentation

Ce séminaire technique offre une vue d'ensemble des technologies de sécurité de vidéosurveillance traditionnelle ainsi que la convergence TI et Sécurité. Nous couvrirons les aspects historiques, les avantages et les solutions sur le marché.

Nous ferons un survol de plusieurs solutions de fournisseurs d'un point de vue contrôle d'accès biométrique et vidéosurveillance intelligence offrant des fonctions telles que la reconnaissance du comportement, la lecture des plaques de voitures et la reconnaissance biométrique faciale. Les tendances du marché et les commentaires des analystes seront aussi présentés.

Notes biographiques

Alain Mercier est détenteur d'une maîtrise en systèmes d'information, d'une certification CISSP-ISSAP et CHFI en forensic. Il a également réussi le cours d'auditeur ISMS (ISO/IEC 27001:2005) du British Standards Institute. Il compte sur son expérience de plus de 14 ans dans le secteur des technologies de l'information.

Au cours des dernières années, ses fonctions de conseiller senior pour le Centre de recherche informatique de Montréal (CRIM) lui ont permis de mener plusieurs mandats pour le compte de diverses organisations privées et publiques. M. Mercier a notamment participé à l'élaboration du Centre de certification du Bureau d'accueil du Ministère de la santé et des services sociaux ainsi que l'Institut de sécurité de l'information du Québec (ISIQ) au CRIM.

Récemment, il a été nommé au poste de chef du Service national de sécurité de l'information chez SOGIQUE. Ce service compte aussi un centre de sécurité opérationnelle, surveillant un réseau de 100 000 postes avec plus de 200 000 utilisateurs.

Présentation

Les organisations du Réseau de la santé et des services sociaux doivent quotidiennement composer avec l'augmentation des menaces informatiques (virus, chevaux de Troie, etc.). De plus, elles doivent implanter, de façon régulière, de nouvelles mesures afin d'assurer la protection des actifs informationnels qu'elles détiennent.

Dans l'objectif de soutenir les organismes et les établissements dans ces efforts, le ministère de la Santé et des Services sociaux a donné son aval à la mise en place du Service national de sécurité de l'information (SNSI) chez SOGIQUE. L'implantation de ce nouveau service sera décrite dans sa gestion courante des divers risques reliés à la sécurité de l'information et ce, tant par :

• le volet stratégique décrivant la gouvernance (cadre global de sécurité de l'information et les normes en découlant);
• le volet tactique coordonnant la mise en place de diverses mesures avec les régions et les mécanismes d'échange en place;
• le volet opérationnel dans un réseau de 100 000 postes, pour la surveillance et la gestion des incidents;
• les liens avec les autres entités comme le CERT/AQ, CCRIC, RéseauSécurIT, et le CRIM.

Notes biographiques

Gilles Michel Ouimet est l'auteur d'une thèse sur la personnalité criminelle. Il a reçu un doctorat en psychologie clinique de l'Université de Montréal. Aussi, il a été chercheur et professeur à l'Université de Montréal et de Sherbrooke; psychologue et professeur de clinique à l'hôpital Douglas et à l'Hôtel-Dieu de Montréal en affiliation avec des universités québécoises, françaises et belges; chef du service de psychologie et directeur d'internat clinique à l'Hôtel-Dieu de Montréal; administrateur à l'Ordre des psychologues du Québec; président du comité des chefs de service de psychologie en milieu hospitalier du Québec et de l'Association des psychologues du Québec.

Il pratique la psychothérapie psychanalytique en cabinet privé, agit comme expert devant les tribunaux et comme consultant clinique auprès d'organismes publics et privés, dont la Sûreté du Québec, Interpol et le International Center for Missing and Exploited Children, et est titulaire du cours «Psychopathologie de la cybercriminalité» à l'école polytechnique de Montréal.

Présentation

L'atelier a pour but de présenter les profils de personnalité pouvant être associés à la catégorie des individus cybercriminels qui cherchent à mettre en péril la sécurité de l'information. Ces profils de personnalité correspondent à des troubles mentaux tels les troubles délirants et les troubles de la personnalité. L'atelier permettra de décrire et d'expliquer le développement de ces états psychopathologiques dans la vie de ces individus

Une attention particulière sera portée sur les problématiques éducatives et familiales des enfants et des adolescents d'aujourd'hui qui peuvent conduire à des comportements juvéniles cybercriminels.

Notes biographiques

Dominic Pion, ing., CISA, CISSP, PMP, ITIL MASTER, certifié consultant ISO 20000, est chargé de projets informatiques et possède une expérience de plus de 15 années en matière de gestion de projets technologiques. M. Pion possède une connaissance pratique des systèmes de sécurité physique et informatique, ayant collaboré à plusieurs projets dans ce domaine. M. Pion est le vice-président d'itSMF Canada (section de Montréal).

Présentation

Cet événement d'une journée entière, coanimé avec M. Réal Rousseau, portera sur la familiarisation avec la norme IS0/CEI 20000.

ISO/CEI 20000 est la première norme ISO dédiée à la gestion des services informatiques.

Inspirée de l'ancienne norme BSI 15000 de BSI Group et basée sur ITIL, elle est composée de deux parties :

• La première, ISO 20000–1, représente la partie certifiable de la norme. Elle définit les exigences de gestion des services de TI.
• La seconde, ISO 20000–2, est un code de bonnes pratiques de gestion des services de TI. En tant que guide, cette partie n'est pas certifiable.

La programmation de l'atelier est la suivante :

• 9 h – 12 h – Survol de la norme ISO/CEI 20000
  • Définition des concepts de base
  • Les bénéfices de la norme ISO/CEI 20000
  • L'ADN de la norme ISO/CEI 20000
  • Survol du contenu de la norme ISO/CEI 20000, partie 1
  • ISO/CEI 20000 et les meilleures pratiques
  • Schème de qualification et de certification d'itSMF
  • Stratégie d'implantation dans votre organisation
• 12 h – 13 h – Dîner
• 13 h – 16 h 30 – étude de cas
  • Présentation de l'étude de cas
  • Travail en équipe
  • Présentation des résultats
  • Remise des prix

Notes biographiques

Daniel Renaud est un diplômé de l'Université Laval 1992, où il est chargé de cours depuis 2000 pour dispenser la formation sur Linux et la sécurité des réseaux. Il possède de nombreuses certifications du prestigieux SANS Institute, organisme de formation en sécurité informatique.

La compétence de M. Renaud a été reconnue en 2001 par la jeune Chambre de commerce qui lui a décerné le titre de Jeune personnalité d'affaires en 2001.

Développeur de Linux depuis 1994, il créa, en 1999, la société LQT (Linux Québec Technologies) Systems qui devenait la première entreprise au Québec à se spécialiser dans le domaine des technologies d'intégration basées sur la logique Open Source. LQT Systems a développé et met en marché la solution réseau Marcel Solutions qui simplifie, optimise et sécurise les réseaux informatiques des PME.

Aujourd'hui, M. Renaud poursuit les activités de la société LQT Systems au sein de la division Infoglobe.lqt.

Présentation

Les logiciels libres sont de plus en plus utilisés de nos jours. Plusieurs organisations sont présentement en planification architecturale des TI et se posent plusieurs questions sur les logiciels libres. Cependant, une question revient régulièrement : l'utilisation des logiciels libres est-elle sécuritaire? Prenons quelques instants pour éclaircir ce domaine.

• Quels sont les mythes entourant l'utilisation du logiciel libre?
• à quoi ressemble le porte-folio des logiciels libres en matière de sécurité?

Notes biographiques

Depuis juin 2007, Réjean Rhéaume est vice-président conseil et associé pour la firme PRI-Sécurité inc. C'est une entreprise de services-conseils en TI spécialisée dans les aspects stratégique et opérationnel de la sécurité de l'information. Auparavant il a occupé, pendant neuf ans, divers postes de direction en TI à la Bourse de Montréal où il a géré, notamment, les audits avec la SEC (U.S. Securities and Exchange Commission) et l'AMF (l'Autorité des marchés financiers du Québec).

Ses principales responsabilités de gestion ont été :

• Audits (5970, SAS-70, SOx)
• Processus ITIL, Cobit, ISO, CMM et PMI
• Sécurité corporative
• Continuité de affaires TI et corporative
• Assurance qualité logicielle
• Architecture et analyse d'affaires

De plus, il a œuvré entre autres à la Société des casinos du Québec inc., chez BioChem ImmunoSystèmes Inc., ainsi que dans les domaines pharmaceutique et diagnostique.

Détenteur d'un MBA (Marketing et Gestion internationale), il est aussi certifié CISA (Certified Information System Auditor), CGEIT (Certified in Governance of Enterprise IT), auditeur principal ISO 27001 et est membre de l'Ordre des Administrateurs Agréés du Québec. Il est secrétaire du conseil d'administration d'ISACA-Montréal. En juin 2008, il a été nommé président de la Filière PME de l'Institut de Sécurité de l'Information du Québec (ISIQ) et membre du Conseil d'orientation de l'ISIQ.

Présentation

De plus en plus d'articles traitent de la gouvernance des technologies de l'information. Grâce à des modèles comme Cobit, nous pouvons nous y retrouver. Pour la sécurité, c'est parfois moins évident. Nous tenterons donc de répondre à plusieurs questions :

• Quelle est la ressemblance entre les deux gouvernances?
• Comment dois-je appliquer la fameuse roue de Deming?
• Puis-je appliquer les mêmes principes d'implantation pour les deux gouvernances?
• La norme ISO27001 cache-t'elle quelque chose?
• Quels sont les impératifs pour les audits futurs?

Notes biographiques

Pierre Roberge compte plus de 25 ans d'expérience dans le domaine des technologies de l'information et plus spécifiquement en architecture. Il est présentement responsable de la planification, de l'architecture d'entreprise, de la sécurité de l'information et de la gouvernance chez Hydro-Québec.

Titulaire d'un baccalauréat en Administration, M. Roberge a débuté sa carrière en 1982 à la SAAQ, pour ensuite agir comme conseiller en gestion chez DMR de 1983 à 1991. En 1992, il devient directeur-conseils au groupe LGS et fait ensuite son entrée au Groupe CGI en 1999. M. Roberge y occupe d'abord les fonctions de directeur ASP et WEB, puis de Vice-président, Architecture et sécurité aux services d'impartition, avant de devenir Vice-président, Architecture et projets aux services d'impartition.

Présentation

M. Roberge partagera avec vous la façon dont Hydro Québec a intégré la sécurité dans les décisions d'affaires et dans les pratiques concernant les TIC. Conseiller privilégié de la direction, ses équipes couvrent une large gamme d'intervention : planification, gouvernance, architecture et expertise. Il abordera autant les succès que les écueils et défis imposés par les lois, les règlementations et la gestion du risque TIC. Il partagera sur quelles bases s'appuient les décisions, les orientations. Où commence et où s'arrête la sécurité des TIC?

Notes biographiques

Réal Rousseau a développé une passion grandissante pour les meilleures pratiques d'affaire en gestion des services TI depuis plus de dix ans. Il a occupé plusieurs postes de gestion en exploitation des TI au sein de la grande entreprise. Il a également agi à titre de chef de projet de la conférence « ITIL, au-delà de la théorie » tenue à Montréal en 2007. Il possède les certifications ITIL V2 et V3, PMP et une formation de consultant de la norme ISO/CEI 20000. Expert fonctionnel des processus de soutien, il préconise le déploiement d'une architecture complète des processus ainsi qu'un solide parrainage de la haute direction comme conditions gagnantes des projets d'implantation et d'évolution des processus. M. Rousseau est responsable du Service aux membres pour itSMF Canada (section de Montréal).

Présentation

Cet événement d'une journée entière, coanimé avec M. Dominic Pion, portera sur la familiarisation avec la norme IS0/CEI 20000. Voir le détail dans la présentation de M. Pion.

Notes biographiques

Ajay K. Sood est le gestionnaire de l'équipe d'ingénierie des systèmes pour l'entreprise IronPort Systems au Canada. Il a participé à l'élaboration de l'architecture ainsi que l'implantation de plusieurs des plus grands et plus robustes périmètres de messagerie au Canada ainsi que sur le plan international.

Au niveau académique, M. Sood détient un d'un baccalauréat en génie de l'Université Concordia, une certification CISSP ainsi qu'une reconnaissance en provenance du SANS Institute.

Présentation

La réalité Internet d'aujourd'hui nous met au défi car les menaces des services courriels et Web collaborent pour devenir de plus en plus efficaces. Les pourriels et virus propagent des hyperliens pour distribuer des logiciels espions et ces derniers prennent contrôle du temps-machine pour lancer des campagnes de pourriels!

De nouvelles techniques plus malicieuses et judicieuses font constamment surface avec la même intention de contrefaire la technologie de défense du périmètre. Dans cette session, nous discuterons des menaces Internet et de leurs contre-mesures.

Notes biographiques

Pascal Thiaulier est détenteur d'un diplôme universitaire de technologies en informatique (Université de Paris-Nord), ainsi qu'un baccalauréat en informatique. Il possède 23 années d'expérience en informatique et agit actuellement comme vice-président conseil chez CGI.

Pour l'unité d'affaires de CGI à Québec, il est membre du comité de direction et oriente la haute direction dans l'élaboration des solutions d'affaires. Il dirige aussi la veille stratégique et guide les interventions de sécurité en accompagnement stratégique au sein du conseil en gestion.

Il a œuvré autant dans le secteur public que privé, tant en Europe (pour la compagnie TOTAL), qu'au Québec ainsi qu'en Amérique du Nord. Il intervient depuis de nombreuses années dans des dossiers de sécurité de haut niveau au sein de divers gouvernements et d'entreprises privées.

Présentation

Depuis plusieurs années, les organisations du public et du privé gèrent divers risques et souhaitent en même temps démontrer le succès de leur programme de sécurité de l'information. La haute direction se demande alors comment maintenir une vision globale des risques et ce, en tenant compte des contextes organisationnels en pleine mouvance. Au niveau de l'organisation, l'une des avenues est dans une vision globale des risques d'affaires ainsi que par une intégration plus optimisée et une communication interne réinventée.

Tenant compte des récentes réflexions en la matière et des meilleures pratiques en gestion et en sécurité, cette conférence traitera de la gestion globale et performante des risques d'affaires.

Spécifiquement, la conférence esquissera une vision et proposera des éléments de réponses quant aux questionnements suivants :

• un monde et des organisations en changement : des risques en pleine mutation;
• les motivations des dirigeants;
• les caractéristiques d'une gestion globale des risques;
• l'émergence de nouvelles responsabilités;
• l'intégration de la sécurité de l'information dans la stratégie globale;
• quelques exemples en provenance de l'étranger.

Notes biographiques

Stéphane Truchon cumule 12 années d'expérience en direction de services informatiques et en direction de projets de grande envergure pour le compte d'importantes sociétés nationales et internationales, privées et publiques. Avant d'entreprendre sa carrière en informatique, M. Truchon a œuvré en communications corporatives, publicité et relations publiques pendant plus de cinq ans. Il détient une formation en linguistique informatique et intelligence artificielle; il détient également la certification PMP du Project Management Institute.

M. Truchon s'est joint à Microsoft en 2004 à titre de directeur de solutions de sécurité et de gestion pour les grands comptes de l'est du Canada. Dans ce rôle, il soutient les organisations dans l'évaluation et la mise en place de technologies permettant de gérer activement et de protéger adéquatement leurs actifs informationnels.

Présentation

Les menaces à la sécurité informatique ne cessent d'évoluer : de par leur nombre et leur nature, en raison de leurs sources et de leurs cibles, les dangers sont de plus en plus variés, difficiles à détecter et à contrer. Ce contexte informatique complexe pose des défis nouveaux qui commandent une approche holistique reposant non plus sur la seule technologie, mais devant composer également avec une kyrielle de paramètres sociaux et économiques. Microsoft tente d'aborder ce défi de sécurité aux multiples visages par l'innovation technologique continue, par un leadership de premier plan au sein de l'industrie, ainsi que par de nombreuses activités d'éducation auprès du grand public et des professionnels en TI.

Instaurer un environnement de confiance et un espace informatique sécuritaire est un effort de tous les instants. En 2002, Microsoft a mis en œuvre une vaste initiative pour une «informatique de confiance», aussi connue sous le nom "Thrustworthy Computing". Cette initiative est depuis ces six dernières années au cœur de tous les efforts de développement de l'entreprise et a permis à Microsoft de rehausser significativement le degré de difficulté auquel doivent faire face les cybercriminels.

Cette présentation offrira une vue à 360° de la stratégie de sécurité mise de l'avant dans l'ensemble des solutions Microsoft.

Après avoir dressé un portrait canadien des menaces informatiques, la session abordera brièvement les principales problématiques communes à l'ensemble des grandes organisations :

• Protection des applications, devenues cibles principales des nouvelles attaques informatiques.
• Traçabilité des activités, journalisation et rapport d'évènements de sécurité.
• Protection des serveurs et des postes de travail.
• Conformité : mécanismes de validation, de contrôle des accès et de renforcement des normes TI.
• Gestion des rustines et des correctifs applicatifs.
• Diffusion des meilleures pratiques, élaboration de cadres de développement et de procédés opérationnels rigoureux.
• Recherche continue et innovation ciblée.

Notes biographiques

Bernard Turcotte est gestionnaire et informaticien spécialisé en télécommunications et dans tous les aspects de l'Internet avec plus de 25 années d'expérience à son actif.

Il se spécialise, entre autres, dans la conception, le développement et l`implantation de nouveaux projets majeurs et complexes sur les scènes nationale et internationale. Il a aussi une vaste expérience en identification de problèmes d'entreprises et en implantation de solutions stratégiques efficaces pour les régler.

M. Turcotte est reconnu pour sa facilité à saisir rapidement toutes les facettes et enjeux de situations complexes et à les transmettre à diverses audiences de façon succincte et précise. Habile communicateur, il sait adapter ses messages pour diverses audiences, que ce soit des représentants de gouvernements, des médias, des gestionnaires d'entreprises aussi bien que le grand public. M. Turcotte a reçu une mention d'honneur par le Premier ministre du Canada comme l'un des fondateurs et bâtisseurs de l'Internet au Canada. Parfaitement bilingue, M. Turcotte possède un diplôme de l'Université McGill en mathématiques, avec spécialisation en informatique.

Au cours de sa carrière, il a occupé diverses fonctions exécutives et administratives dans plusieurs organisations entre autres à l'Autorité canadienne pour les enregistrements Internet, à la Canadian Advanced Network for Research, Industry and Education, au Centre de recherche informatique de Montréal (CRIM), chez Yvon Boulanger et British Amrican Bank Note et à la Banque de Développement du Canada.

Présentation

Les noms de domaines sont de petits outils, peu dispendieux, mais qui sont absolument critiques lorsqu'il est question de présence des entreprises et gouvernements sur Internet. La bonne administration de ceux-ci est souvent sérieusement négligée (pour ne pas dire oubliée) par les titulaires et leurs représentants.

Une mauvaise administration des noms de domaines par une entreprise ou un gouvernement peut facilement entraîner la perte de ceux-ci, une perte complète de leur présence sur Internet ainsi que des incidents de différente nature dont la fraude pour les utilisateurs et de chantage pour les titulaires qui peuvent facilement représenter plusieurs milliers de dollars et potentiellement même des centaines de milliers de dollars.

Mais ces incidents, qui sont assez communs, font rarement les manchettes et les détails sont généralement gardés secrets pour éviter d'exposer la négligence qui est habituellement à la source de tous ces problèmes.

Cette présentation vise à faire le point sur le jargon et la mécanique administrative reliés aux noms de domaines, les divers acteurs du milieu et les risques. Les façons de faire, quant à la manière de les évaluer et surtout d'éviter les problèmes, seront présentées alors que celles-ci reposent sur des cas réels dans un contexte canadien.

Notes biographiques

Après avoir occupé les postes de chef de la sécurité du CRIM et directeur au CRIM-CTL, Jacques Viau a été directeur des opérations chez H+A Computer Forensic Inc., pendant quelques temps, avant de se joindre à l'ISIQ. Auparavant, M. Viau était conseiller en matière de sécurité et de confidentialité chez IBM. Il est spécialiste en sécurité de l'information et en informatique judiciaire, avec plus de 30 années d'expérience au Service de police de la Communauté urbaine de Montréal, dont 18 au poste d'enquêteur et les cinq dernières années au cours desquelles il fonda et supervisa l'unité d'enquête sur la criminalité technologique.

M. Viau possède une solide expérience dans la conduite d'évaluations de la sécurité, en dépistage électronique, en informatique judiciaire et en enquête dans un environnement informatique. Il a participé aux enquêtes de plus d'un millier de cas relatifs aux délits informatiques. Grâce à sa responsabilité du contrôle de la qualité technique, il a grandement augmenté ses connaissances en sécurité informatique en coordonnant et en surveillant les efforts du groupe technique en matière de sécurité des serveurs dans différents environnements client.

M. Viau a été invité à de nombreuses reprises à partager ses expériences et ses connaissances en sécurité de l'information lors de conférences, émissions de télévision et de radio et dans la presse écrite. Certifié ISS CSU, M. Viau fait partie du Groupe de travail sur la sécurité et la biométrie du Conseil canadien des normes, qui a pour mission d'élaborer les standards ISO.

Présentation

Les technologies évoluent de plus en plus rapidement mais il en va de même pour les menaces. La quantité d'information personnelle et/ou confidentielle échangée, entreposée ou traitée est devenue phénoménale. Nous avons évolué, nous sommes maintenant mieux organisés surtout sur le plan stratégique mais est-ce suffisant? Quelles sont les nouvelles menaces qui nous guettent?