Contenu de la présentation : OTAGE D'UN PROJET

Présentation d'un outil de sensibilisation aux bonnes pratiques en matière de gouvernance des technologies de l'information

Dans le contexte actuel marqué par la responsabilisation des organisations et le contrôle des dépenses corporatives, il va de soit que les gestionnaires de projets TI définissent des principes de bonne gouvernance qui puissent réguler leurs activités. Souvent considérés comme exigeants en temps, en ressources financières et humaines, les projets TI nécessitent pour plusieurs de la transparence et de la méthodologie dans leur mise en place, leur suivi et leur livraison.

Vous aurez la chance de visualiser au cours de cette présentation le court métrage " Otage d'un projet" qui a comme objectif de sensibiliser les gestionnaires d'organisations privées, parapubliques ou publiques aux bonnes pratiques en matière de gouvernance des technologies de l'information.

Une table ronde suivra cette présentation ou nous pourrons échanger en toute collégialité sur l'application des bonnes pratiques.
 

Notre conférencier :  Dominic Pion ing., CISA, CISSP, PMP

Dominic Pion ing., CISA, CISSP, PMP, est chargé de projets informatiques au sein du Groupe Promutuel et possède une expérience de plus de douze années en matière de gestion de projets technologiques. Monsieur Pion possède une connaissance pratique des systèmes de sécurité physique et informatique, ayant collaboré à plusieurs projets dans ce domaine. Monsieur Pion est le coordonnateur de la formation menant à la certification CISA pour le chapitre de Québec de l'APVCSI.

Contenu de la présentation :Vulnérabilités logicielles et outils de vérification pour C/C++

La création d'un système d'information moderne et sécuritaire n'est pas une mince tâche. Le niveau de complexité impliqué est souvent substantiel et une erreur apparemment bénigne peut mener à une vulnérabilité sérieuse, comme les désormais célèbres buffer overflows. Les problèmes de sécurité logicielle peuvent provenir, entre autres, du design, de l'implémentation ou de la plateforme. Cette présentation se concentre sur les problèmes occasionnés par l'utilisation des langages de programmation C et C++, les vulnérabilités qu'ils créent et les outils de vérification automatique qui peuvent les détecter.

Notre conférencier : Frédéric Painchaud

M. Frédéric Painchaud a complété sa maîtrise en informatique à l'Université Laval en 2002. Il a été placé au Tableau d'honneur de la Faculté des études supérieures et a obtenu la médaille d'or académique de la Gouverneure générale du Canada. Son mémoire est intitulé : « Towards More Efficient, Flexible, and Robust Java Security ». Par la suite, il a débuté un doctorat en informatique portant sur la certification formelle des logiciels tout en étant employé par Recherche et développement pour la défense Canada - Valcartier, où il continue à se spécialiser en sécurité logicielle.

Contenu de la présentation :Comment concilier la sécurité et la gouvernance
Une vision simple d'une réalité devenue complexe et pressante.

Vision audacieuse ou simpliste ou peut-tre bien réaliste : cette présentation s’inspire du tourbillon actuel de conformité que des évènements successifs (11 septembre, scandales financiers, SOX, loi 198, Bale II, etc.), font en sorte que des organisations à l’échelle planétaire, encore plus particulièrement celles qui prennent racines en Amérique du Nord, sont précipitées à agir. Qu’est-ce qui peut bien causer cette réaction?

Problème ou défi, à conjuguer avec la continuité de la raison d’affaires des organisations et leur capacité de livrer à la fois conformité et résultats, la présentation se veut un temps de partage des suites d’une réflexion amorcée en fonction de l’expérience actuellement vécue. Nulle est l’intention d’y démontrer la possession d’une quelconque vérité. Des pratiques élémentaires trop souvent oubliés ou évités pour des raisons toutes aussi bonnes que les autres y sont rappelés.

Partant du champ de vision de la sécurité de l’information, sous le vocable de la Technologie Informatique (TI), en lien avec la réalité de gouvernance et de conformité présente, un cadre de gestion de services de sécurité sera présentée qui vise à enrichir le modèle de gouvernance des TI en considération de la conception, du développement et de l’implantation de service de TI, en fonction de tous les acteurs organisationnels potentiellement impliqués.

Notre conférencier : M. Allen Coughlan

Oeuvrant depuis plus de 20 ans dans le domaine des technologies de l'information, M. Coughlan détient un B.Sc. en Mathématique-Informatique (1985) et un M.B.A. (1998). Agissant tantôt comme ressource interne, tantôt comme consultant au service d’organisations de la région de Québec, M. Coughlan a principalement oeuvré dans le domaine de l’Exploitation des systèmes informatiques. Durant plus de cinq (5) années, il a occupé un rôle de gestionnaire en Production et Sécurité informatique chez Desjardins Sécurité Financière. Aujourd’hui, il tient, au sein de cette mme organisation, le poste nouvellement créé de conseiller principal en Sécurité de la Technologie de l’Information de par lequel il voit à élaborer et faire évoluer le cadre normatif de la sécurité de l’information dans le cours des activités opérationnelles du secteur de la Technologie. De plus, il intervient comme responsable de conformité opérationnelle en référence à ce cadre normatif de mme qu’aux autres considérations réglementaires régissant les Affaires électroniques et la Technologie chez Desjardins Sécurité Financière. De par son rôle et ses responsabilités, M. Coughlan est appelé à collaborer très étroitement avec les intervenants de Conformité institutionnelle, d’Affaires juridiques, de Ressources Humaines et de Vérification interne, sans oublier les relations avec les différents secteurs d’affaires de l’organisation.

Contenu de la présentation :L'intért suscité par les logiciels libres est de plus en plus important ces dernières années. Le niveau de sécurité assuré par ces derniers est un questionnement de tous. Cette présentation vous expliquera premièrement ce que sont les logiciels libres. Nous verrons par la suite en quoi ils vous offrent dans l'ensemble une meilleure sécurité que les logiciels à code source fermé. Pour conclure, nous vous présenterons un éventail de logiciels libres utilisés dans le cadre d'architectures de sécurité.

LA présentation est disponible sur le site de Infoglobe.

Notre conférencier : M. Jean-Luc Henry

M. Jean-luc HENRY travaille pour l'entreprise Infoglobe comme spécialiste en sécurité informatique. Actuellement certifié LCPIC-1, il a été certifié CCSA, CCSE et CCSI en 2000. Il compte près d'une dixaine d'années d'expérience dans le domaine de l'informatique. Il a principalement travaillé sur des mandats de nature technique et apporte avec lui une large connaissance des différents domaines de l’informatique, dans l’exploitation des systèmes, dans le soutien technique, la mise en place de solutions de sécurité et la formation. Ses principales interventions ont été effectuées dans le cadre de projets de sécurité informatique et d'architectures technologiques basées sur des logiciels libres.

Contenu de la présentation :

le séminaire abordera les contenus suivants :

Le premier conférencier, M. Bédard, démystifiera la notion de gouvernance applicable à la sécurité de l'information. Il fera part des principaux enjeux, présentera les principales composantes de gouvernance de la sécurité de l'information ainsi que les outils mis en place à la Régie pour gérer les risques. Son exposé abordera également les questions suivantes :

Qu'est-ce que la sécurité de l'information? Pourquoi la sécurité de l'information est-elle aussi importante? Quelles sont les principales préoccupations des dirigeants à cet égard? Quels sont les rôles et responsabilités des intervenants? Quels sont les principaux risques stratégiques? Quels sont les facteurs de succès pour implanter un modèle de gouvernance? Quelle est l'importance d'une culture de sécurité? Quelles sont les bonnes pratiques dans le domaine?

Le second conférencier, M. Lambert, abordera la protection de l'information qui constitue dorénavant un enjeu de gouvernance. Il poursuivra en examinant en quoi ces enjeux interpellent les principaux acteurs en commençant par le conseil d'administration, puis le niveau exécutif C-suite dont le directeur principal de l'information, le responsable de la sécurité et, bien évidemment, les auditeurs. Nous compléterons la discussion en mode action avec la question par où commencer?.

Pour terminer, M. Rhéaume nous parlera de la Bourse de Montréal qui s'est grandement transformée depuis cinq ans. Aujourd'hui, la Bourse est entièrement automatisée et dispose d'un réseau d'accès aux états-Unis et au Royaume-Uni. Elle bénéficie ainsi de branchements directs aux principaux centres de liquidité que sont New York, Chicago et Londres. Peu d'institutions financières se sont autant transformées en si peu de temps.

Nos conférenciers : 

M. Serge Bédard
Coordonnateur de la gestion des risques
Régie des Rentes du Québec

M. Michel Lambert
Chef du Service de la vérification interne
CARRA

M. Réjean Rhéaume
Directeur, Efficacité organisationnelle
solutions en technologie de l'information
Bourse de Montréal

Contenu de la présentation : Claude Taillon partagera son expérience vécue lors de la mise en œuvre d’un 1er chantier MEHARI au ministère des Ressources naturelles et de la Faune. Il nous entretiendra sur les différentes phases de la démarche d’analyse de risques informatiques MEHARI, les difficultés rencontrées en cours de projet, les avantages et les inconvénients de la démarche ainsi que les enjeux et les pistes de succès pour l’implantation d’un chantier MEHARI. Par sa présentation, Claude Taillon veut démystifier les mythes entourant la démarche MEHARI et encourager le démarrage de projets d’analyse de risques informatiques dans les organisations.

Notre conférencier : M. Claude Taillon Responsable de la sécurité de l’information numérique (RSIN) - Ministère des Ressources naturelles et de la Faune (MRNF)

M. Claude Taillon compte plus de 25 ans en technologie de l’information (TI). Il a obtenu un baccalauréat en Géodésie/Arpentage de l’Université Laval en 1981 et a œuvré comme chargé de projet en géomatique durant 11 années au Service de la cartographie du ministère des Ressources naturelles et de la Faune (MRNF). M. Taillon a été nommé responsable de la sécurité de l’information numérique en 1994 au sein du MRNF. Il œuvre à temps plein en sécurité de l’information depuis plus de 12 ans et est devenu rapidement une référence dans le milieu gouvernemental de la sécurité de l’information numérique en partageant le fruit de ses recherches et travaux avec la communauté gouvernementale ainsi qu’avec l’Université Laval et le CéGEP d’Alma. D’ailleurs, le partage des connaissances est une de ses valeurs fondamentales. Il est un vulgarisateur apprécié et souvent invité à présenter ses travaux auprès de diverses associations : ASIQ – APVCSI – CRVI – SCT – groupe des RSIN/RMOD.

Contenu de la présentation :

le séminaire abordera les sujets suivants :

Protection des courriels, un pas dans la bonne direction (Frédérick Henry)

Depuis l’envoi de leur premier courriel, peu d’individus se préoccupent du caractère public de leurs envois électroniques et des conséquences potentielles d’un bri de confidentialité. Si pour les communications personnelles l’impact demeure limité, pour les entreprises cette insouciance naturelle les exposent à des répercussions légales, médiatiques, commerciales pouvant tre désastreuses. Aujourd’hui, les législations nationales et internationales resserrent de plus en plus leurs exigences en matière de confidentialité. Les réglementations tendent à normaliser une protection point à point des informations sensibles. La gouvernance de la sécurité se met peu à peu en place dans les entreprises, amenant l’obligation de sécuriser les communications électroniques. Et avec le besoin maintenant incontournable d’tre électroniquement connecté à tous ses partenaires d’affaires et à tous ses clients, la protection des informations stratégiques, confidentielles et personnelles partagées à travers le courrier électronique devient un enjeu majeur. Si la solution réside tout simplement dans le chiffrement des courriels, les outils disponibles à ce jour n’offrent que des solutions partielles et lourdes à généraliser. Le chiffrement symétrique ou asymétrique, les architectures d’infrastructure à clés publiques et leur extension dans les réseaux fédérés, les réseaux virtuels privés, ainsi que les solutions web permettent la mise en place de solutions de courriel sécurisé utilisant un savant mélange de protocoles et de clients légers ou lourds. Cependant, ces solutions sont souvent complexes pour l’usager moyen et trop laborieux à gérer et à généraliser. Cette présentation vise à faire un survol de l’état de la situation et à explorer l’apport du domaine émergeant des cryptosystèmes basés sur l’identité. Présentation

Fraude Cybernétique : Paradis des criminels (Sylvain Viau)

Avec l’arrivée massive des moyens d’échange transactionnel ainsi que les ouvertures au marché mondial, la fraude est plus qu’une réalité. Ce moyen est le véhicule privilégié des criminels pour avoir ce qu’ils désirent et cela, à moindre risques. Cette session explorera les approches et moyens utilisés par les criminels pour vous exploiter en toute confiance.

Gouvernance de la sécurité de l’information numérique (Thierry Brisset)

La conformité, l’efficacité, la réduction des coûts d’opération, le maintien de la confiance des clients, partenaires ou utilisateurs sont des enjeux auxquels les gestionnaires des organisations ont à faire face. Ceci explique notamment que le centre d’intérêt en matière de sécurité soit maintenant porté sur l’encadrement de la sécurité plutôt que seulement sur les technologies. L’émergence de référentiels, normes et meilleures pratiques en matière de gestion est en partie due à l’obligation de devoir rendre compte d’une saine protection des actifs. Le défi est alors d’intégrer la gestion de la sécurité au sein de la structure organisationnelle afin de pouvoir véhiculer les objectifs de sécurité, une sensibilisation et une prise en charge adéquate des risques. Dans cette présentation nous verrons quels sont les éléments à considérer en matière de gouvernance de la sécurité. La présentation adressera la définition d’un budget de sécurité, identifiera les rôles clés et traitera du positionnement de la sécurité au sein de la structure organisationnelle. Présentation

Nos conférenciers : 

Frédérick Henry IMITI, CISA, CISM, CISSP
Hydro-Québec

M. Frédérick Henry (IMITI, CISA, CISM, CISSP), est présentement chargé de projet en vérification des technologies de l’information pour Hydro-Québec. M. Henry cumule plus de 20 ans d’expérience en TI, non seulement dans une variété de domaines d’applications (financier, électricité, télécommunication, sécurité, étude des langages, intelligence artificielle, interface homme-machine, audit de systèmes grande puissance) mais aussi à tous les niveaux techniques (programmeur, analyste, concepteur, conseiller, chercheur, enseignant, gestionnaire, vérificateur et chef de projet) . Au cours des dix dernières années, il a particulièrement approfondi les secteurs de l’identité numérique, de la sécurité, de la gestion du risque, de la conception d’architecture sécurisée, de l’analyse de risque et de la vérification des TI.

M. Sylvain Viau TP, CD, pm, CISA
Président de l’Association de Sécurité de l’information du Montréal Métropolitain (ASIMM).

Conseiller en sécurité de l’information depuis plus de 8 ans, Sylvain Viau est spécialisé dans le développement et la pratique de la continuité des affaires. Il est aussi reconnu pour son expertise dans l’évaluation de conformité en sécurité de l’information pour les grandes entreprises, banques canadiennes et agences gouvernementales. Il a aussi servi dans la Force Régulière et œuvre présentement avec la Réserve Primaire de l'Armée Canadienne pour un total de plus de 27 ans en génie de télécommunication, Guerre électronique, sécurité physique et de l’information.

Thierry Brisset CISA, CISM
LGS Inc

M. Brisset est un analyste senior dans la gestion de la sécurité de l’information numérique et des technologies novatrices relatives aux affaires électroniques. Il possède plus de quinze (15) années d’expérience en tant qu’intégrateur dans des environnements d’échanges électroniques de grande envergure plus particulièrement des solutions d’affaires utilisant des certificats numériques. Ces dernières années il se concentre sur la gouvernance de la sécurité. Ses habiletés d’analyse et de vulgarisation permettent à M. Brisset de s’imposer comme conseiller stratégique pour soutenir ses clients dans la prise en charge des volets légaux, organisationnels, humains et technologiques entourant la gouvernance de la sécurité. Il accompagne les clients dans leurs démarches de gestion de la conformité, d’optimisation de l’efficacité et de la valorisation des services de sécurité. Monsieur Brisset est directeur chez LGS Inc. Il est responsable de l’offre de services en sécurité de l’information. M. Brisset détient les certifications « Certified Information Security Manager » (CISM) et Certified Information Systems Security Professional (CISSP).

Contenu de la présentation : Assemblée générale de l'ASIQ - Remise des bourses d'excellence de l'ASIQ  

Le conseil d'administration de l'ASIQ a le plaisir de vous inviter à l'assemblée générale annuelle qui aura lieu le mercredi 17 mai 2006 au Musée national des beaux arts du Québec, dès 17 heures (début de l'inscription à 17h00 et assemblée à 17h30).

Vous pouvez communiquer avec Mme Chevalier à administration@asiq.org pour plus d'informations.