Nos solutions

Gestion des risques

La gestion des risques est une pratique essentielle pour une organisation.  Elle se décline en plusieurs niveaux : l’identification des risques de sécurité (confidentialité, intégrité, disponibilité); l’évaluation qualitative des risques; la définition des seuils de tolérance de l’entreprise; les plans de mitigation des risques identifiés; la réévaluation périodique de ces éléments.

Une saine gestion des risques permettra à une entreprise d’effectuer des investissements réfléchis en termes de sécurité de l’information et aidera au développement et à la mise en place de contrôles efficaces et efficients.

Conformité réglementaire

Il existe plusieurs lois, conventions ou règlements auxquels les entreprises doivent se conformer (ex. : Sarbanes-Oxley ou SOX, C-198, Interac, PCI, etc.). Au niveau stratégique, il convient de développer et mettre en place un registre des exigences de conformité, des processus de suivi et des mesures de contrôles.  Le quoi et le comment sont définis au sein des niveaux tactique et opérationnel.

Gouvernance

La gouvernance des TI d’une organisation se définit par sa structure de contrôle et ses mesures mises en place ou projetées en ce qui a trait au système de gestion de l’information qui incluent, bien sûr, la sécurité. Ce sont des moyens aux fins d’encadrer ce système, de le maîtriser, de le rendre performant, de répondre aux réels besoins d’affaires de l’entreprise et de respecter parfaitement les règlementations auxquelles l’organisation doit se conformer.

Victrix épaule ses clients de manière stratégique en utilisant l'ensemble des méthodes reconnues (normes, certifications, meilleures pratiques, etc.).  Cette démarche de gouvernance requiert en outre une implication, à plus ou moins grande échelle, de tous les niveaux de l'entreprise, soit de la haute direction aux utilisateurs.  Ceci permet d'anticiper et de mieux gérer ce qui est souvent inévitable : la résistance au changement.

Cadre normatif

Tout programme de sécurité repose sur un cadre normatif, c'est-à-dire les règles et orientations de l’organisation en matière de sécurité. Il existe trois niveaux d’encadrement, soient les politiques, les normes et directives, et les processus et procédures de sécurité.

Les politiques sont des documents de haut niveau, exposant les orientations et règles de la haute direction en termes de protection de l’information. On compare souvent une politique à la constitution d’un pays, c’est donc un document qui n’est pas fréquemment modifié et qui est à la base de toutes les autres règles de sécurité de l’entreprise.

Les normes et directives identifient les attentes spécifiques provenant des politiques de l’entreprise (le quoi). Elles se comparent aux lois d’un pays. Victrix aide ses clients à préciser les orientations de la direction en termes de technologies, de contrôles et de processus.

Les processus et procédures précisent la manière dont les normes et directives s’articulent (le comment). Ces documents peuvent être modifiés de façon régulière, selon les changements organisationnels ou les évolutions technologiques de l’entreprise.

Analyse stratégique

Une analyse de la situation actuelle de l’organisation est une démarche visant à obtenir une vue globale de la conformité des TI. Elle se base sur la norme d’évaluation du système de gestion de la sécurité de l’information ISO 27001 et sur ses exigences de contrôle de sécurité ISO 27002 détaillant les pratiques de saine gestion des TI reconnues dans l’industrie.

Victrix procède ainsi à une analyse de l’organisation afin d’établir sa capacité technologique actuelle à faire face aux défis et enjeux découlant de ses besoins d’affaires. Elle évalue ensuite l’organisation face aux objectifs de contrôles ISO 27001, identifie les situations à risques, évalue qualitativement les risques de sécurité, trace un état de situation et émet ses recommandations ainsi que les grandes lignes d’un plan d’action pour l’organisation.

Les domaines TI examinés aux fins du Rapport d’analyse sont la gestion des risques, le cadre normatif, l’organisation de la sécurité, la gestion des actifs, la sécurité physique et environnementale, la gestion de l’exploitation et des télécommunications, le contrôle des accès, la gestion des incidents, l’acquisition, le développement et la maintenance, la gestion de la continuité, et la gestion de la conformité.

De manière récapitulative, une Matrice de conformité des contrôles évalués est présentée en annexe au document d’analyse.   Victrix privilégie qu’elle soit basée sur les exigences et contrôles de la norme ISO 27002 ainsi que sur d’autres référentiels pertinents selon le besoin du client.

Ce type d’évaluation est recommandé tous les 3 ans afin de positionner l’organisation vers les actions pertinentes à mener et pour maintenir les risques à des niveaux acceptables pour celle-ci.

Plan directeur

Le plan directeur permet d’établir les stratégies à court, moyen et long termes afin de mettre en place des éléments permettant d’adresser les situations critiques identifiées lors de l’analyse stratégique.  Une organisation doit élaborer un plan directeur pour atteindre ses cibles en TI et structurer la gestion globale en cette matière comme l’optimisation des investissements financiers et la réduction des coûts d’exploitation.

Dans sa structure, on retrouve principalement un état de situation et des constatations découlant de l’analyse stratégique, une évaluation du risque, ainsi que les stratégies priorisées avec, pour chacune, une planification, les impacts et bénéfices pour l’organisation ainsi que les mesures de suivi.