La classification des actifs informationnels au Mouvement Desjardins - Cas vécu en grande entreprise
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
La classification des actifs informationnels au Mouvement Desjardins Cas vécu en grande entreprise Jean-François Allard Anick Charland Directeur principal Risques Informationnels Conseillère stratégique Mouvement Desjardins ACCSI Services conseils
Déroulement de la présentation • 1ière partie (30 min) – Présentation du Mouvement Desjardins – Présentation de la gestion de risque au Mouvement Desjardins – Mise en contexte du projet Classification • 2ième partie (2 hres) – incluant une pause – Description du processus de classification – Démarche de réalisation – Démonstration des outils – Maintien et exploitation des résultats • 3ième partie (15 min) – Facteurs de succès – Défis rencontrés – Conclusion
Le Mouvement Desjardins en bref
• Fondé en 1900 au Québec par
Alphonse Desjardins Desjardins en un coup d'oeil (1)
• Le Mouvement Desjardins est le • Actif total : 190,1 G$ CA
premier groupe financier • Caisses affiliées : 422
coopératif du Canada
• Centres de services : 888
• La sixième plus importante • Centres fin. aux entreprises : 43
institution financière de dépôts au • Guichets automatiques : 2 559
Canada
• Dirigeants élus : 5 300
• Excédents de 1,582 G$ • Employés: 44 600
• Excédents : 1 582 G$ CA
• 5,6 millions de membres, 44 600 • Ratio de cap. de 1re cat. : 17,3 %
employés
• 4ième des institutions bancaires
les plus sûres en Amérique
(1) Les valeurs au bilan, les excédents et les ratios de capital sont des données au 31 décembre 2011.
Un conglomérat financier diversifié
Membres
422 caisses
Caisse centrale Développement
COOPÉRATIF
Desjardins international
RÉSEAU
Fonds de sécurité
FÉDÉRATION Desjardins
Desjardins DES CAISSES
Fondation Desjardins
DESJARDINS
Capital Desjardins Société historique
DU QUÉBEC
Alphonse-Desjardins
Fiducie Desjardins
DES FILIALES
RÉSEAU
Desjardins Valeurs
Desjardins mobilières Desjardins Desjardins
Groupe
Sécurité Desjardins Gestion Capital de
d’assurances
financière d’actifs risque
générales Disnat
La gestion intégrée des risques
Les risques sont regroupés en 7 grandes catégories autour d’un
langage commun.
• Gestion de tous les types de
risques favorisant une
compréhension des
interrelations
RI
• Processus uniforme
• Vision globale
• Intégration des risques dans
les pratiques de gestion et
systèmes décisionnels, dans
le respect de la dimension
coopération
Lien avec le risque opérationnel
• Le risque informationnel est l’un des 5 risques opérationnels
majeurs, et celui-ci est adressé à travers le programme de
gestion du risque opérationnel (AERC, collecte des données, etc.)
Programme de Gestion du risque opérationnel (R
O )
AERC
(Auto Évaluation des risques et des contrôles ) Plans
d’action
Risque Collecte des données Production &
informationnel sur les pertes opérationnelles suivis
(transversal )
Indicateurs et mesures
de risques
Gestion Risques majeurs
1- Continuité des affaires 2- Changements opérationnels majeurs 3- Risque informationnel4– Impartition 5–
Risque réglementaire
Les enjeux liés à l’information
• L’information est au cœur des activités d’une institution financière
• Les membres et clients nous confient de l’information confidentielle et des
renseignements personnels, ainsi que leurs avoirs nous demandant d’en assurer
l’intégrité, la confidentialité et la disponibilité.
Le risque de réputation peut être affecté de façon significative
en cas de manquement à ces égards
• Les autorités réglementaires et les agences de notation surveillent la qualité de
notre gestion intégrée des risques et notre conformité légale et réglementaire
• Les dirigeants portent une attention particulière à :
– l’intégrité et la qualité de l’information financière et de gestion
– la divulgation non autorisée de documents stratégiques
– la disponibilité de l’information pour assurer la continuité des services essentiels
– la gestion des informations sensibles tout au long de leur cycle de vie
Une$opportunité$pour$revoir$notre$vision
Vers une gestion intégrée de l’information
afin de …
Gestion des risques
informationnels
Gouvernance financière • Créer une vision et
atteindre une culture en
matière de gestion des
risques informationnels
Information de gestion
• S’assurer d’une gestion
saine et intégrée des
risques informationnels
Protection des renseignements personnels
• S’assurer d’une cohésion et
de l’efficacité dans la mise
en place des mesures
Gestion documentaire d’atténuation des risques
Sécurité de l’information
La Direction principale Risques informationnels
Mission - Risques informationnels Vision - Risques informationnels
Contribuer à protéger Offrir une expertise en
l’image et la réputation du gestion des risques
Mouvement Desjardins et à informationnels et exercer
soutenir son son rôle de conseiller
développement en stratégique et en
encadrant et coordonnant partenariat avec les
les activités visant à secteurs d’affaires et de
assurer la confidentialité, soutien Mouvement et le
l’intégrité, la disponibilité réseau des caisses et en
des informations et la appui aux instances du
Coopération
protection des et engagement Croissance et innovation
Mouvement.
S’engager dans l’éducation de nos membres,
renseignements Devenir le conseiller stratégique de
de nos clients et de la population
personnels. confiance auprès des différents secteurs
Excellence de l’expérience
Un groupe financier
Rentabilité et productivité
membre et client coopératif performant, Avoir un programme cohérent et efficace
Maintenir et renforcer la confiance productif, innovateur et axé sur le partenariat
des membres et des clients
solide
Leadership et mobilisation Solidité financière et
du capital humain gestion des risques
Développer une culture de saine Gérer les risques informationnels
gestion de l’information de façon intégrée
Cadre de gestion des risques informationnels
Gérer les risques informationnels
Un programme axé sur le partenariat
Gestion
documentaire
Finance
Informations de
Affaires juridiques gestion
Conformité Approvisionnement
Vérification Sécurité
Interne technologique et
physique
Ressources
Communication humainesLe comité Risques informationnels
Instances Mouvement
Commission de gestion Conseil
des risques d’administration
(CGR) (CA)
Comité de direction Présidente
Mouvement (CDM) du Mouvement
Comité de gestion
intégrée des risques
Secteurs d’affaires
(CGIR)
Responsable gestion Comité de gestion
des risques
PVP Gestion des risques
Entités
DP Risques réglementées
Comité – Risques informationnels
informationnels (C-RI) Conseil d’administration
Officier désigné /
Responsable gestion Chef de l’exploitation /
des risques DGLe comité Risques informationnels
• Fréquence: Trimestriel
• Rôle: Appuyer les différentes instances décisionnels dans leurs responsabilités
d’assurer une saine gestion des risques du Mouvement Desjardins pour le volet Risques
informationnels. Ils doivent notamment veiller à ce que le Mouvement soit doté de
processus et mécanismes formels et efficaces afin d’effectuer une saine gestion des
risques informationnels.
• Principales responsabilités:
– Fournir les orientations en matière de GRI et émettre des recommandations
quant aux encadrements.
– Coordonner le cadre de gestion RI et s’assurer de l’harmonisation et la cohérence
dans la gestion de l’information chez Desjardins.
– Effectuer le suivi sur l’état des risques informationnels pour l’ensemble du
Mouvement dans le respect des niveaux de tolérance établis.
– Examiner les principaux incidents RI survenus chez Desjardins, dans le domaine
financier ainsi que mondialement et formuler des recommandations.Encadrements en RO et RI
• La gestion du risque informationnel est une préoccupation de plus en plus
présente, tant au niveau des autorités règlementaires que des entreprises
– Les exemples de pertes d’informations confidentielles ou d’atteinte à l’intégrité
sont de plus en plus fréquents
– Les coûts associés à un seul événement se chiffrent dans les millions de dollars
• Afin de répondre à cette préoccupation, la politique Mouvement de gestion
du risque opérationnel (RO) et la directive Mouvement de gestion du
risque informationnel (RI) ont été approuvées par les hautes instances du
Mouvement.
• Cet encadrement contribue à minimiser le risque d’atteinte à l’image du
Mouvement Desjardins auprès de ses différentes clientèles, de ses fournisseurs
et des autorités réglementaires
La classification des actifs informationnels est un des
éléments du cadre de gestion des risquesObjectifs et bénéfices de la classification
• Objectifs
– Connaître la valeur des informations et les risques reliés à leur
sécurité, pour les aspects confidentialité, intégrité et disponibilité
– S’assurer que des mesures de protection adéquates sont appliquées,
en fonction de la classification de sécurité établie
– Connaître les précautions à prendre pour ne pas mettre à risque le
secteur d’affaires
• Bénéfices (une fois l’information classifiée et protégée)
– Réduction des risques de bris de confidentialité,
d’incohérence et de non-disponibilité des informations
et des traitements associés
– Réduction des risques d’atteinte à l’image de Desjardins
– Optimisation des moyens et des coûts de protection
– Conformité à la politique générale Mouvement de la sécurité de
l’informationRôles et responsabilités de classification
• Tels que définis dans l’encadrement en risque informationnel, chaque information:
– doit avoir un propriétaire unique
– doit être classifiée par ce dernier et
– doit être protégée en fonction de sa classification de sécurité de façon à encadrer
son utilisation, son traitement, son entreposage, sa distribution et sa destruction
• Les responsabilités des propriétaires de l’information (VPs)
– désigner le ou les mandataires auxquels il confiera la réalisation de la
classification
– Approuve les résultats une fois l’exercice terminé (2)
La délégation de tâches ne libère pas le propriétaire de ses responsabilités
• Les responsabilités des mandataires (DPs)
– Effectuer la classification
– Maintenir les résultats
• Les responsabilités de la DP Risques informationnels
– Soutenir les propriétaires dans la réalisation de la classification
– Consolider les résultats et les rendre disponibles aux diverses clientèlesLe projet en bref: 2009-2012
• Avant restructuration de 2009
– Conception et pilote de l’approche de classification
– Portée du projet: Fédération des caisses Desjardins
– Environ 40 VP
• Pause d’été 2009 à janvier 2010
– Cet arrêt a permis de réviser les outils, en fonction des commentaires
reçus lors du pilote
• Suite à la réorganisation de 2009
– Mouvement Fédération et anciennes composantes c.à.d. DSF, DGAG,
DGA, VMD …
– Environ 100 VP
– Déploiement d’environ 25 VP par année de 2010 à 2012Déroulement de la présentation • 1ière partie (30 min) – Présentation du Mouvement Desjardins – Présentation de la gestion de risque au Mouvement Desjardins – Mise en contexte du projet Classification • 2ième partie (2 hres) – incluant une pause – Description du processus de classification – Démarche de réalisation – Démonstration des outils – Maintien et exploitation des résultats • 3ième partie (15 min) – Facteurs de succès – Défis rencontrés – Conclusion
Le processus de classification de sécurité de
l’information
• Le processus est composé de 4 grandes étapes:
Identification des
familles d’information
Planification initiale
Étape 1
Classification des
Assignation des Étape 4 Maintien de la Étape 2
familles d’information
niveaux d’assurance classification
Étape 3
Identification des supports , applications d’affaires
et contrats de serviceNotions et concepts de classification
- les familles d’information
• Famille d’information
– Dans le but de simplifier la classification un regroupement des informations à
l’intérieur de familles est réalisé. En règle générale, les regroupements seront
:
• selon le type d’utilisation prévue des informations ou selon le domaine
d’activité (ex. : traitement de la paie, bilan financier, dossier membre);
• selon des regroupements déjà existants (ex : rapports, communiqués,
publications des informations de gestion, etc.)
• Processus d’affaires clés
– Processus qui soutiennent directement la mission et l’atteinte des
objectifs du secteur d’affaires
• Processus transversaux
– les processus et activités devant être réalisés les secteurs d’affaires
mais qui ne soutiennent pas directement leur mission (ex : la gestion
des ressources humaines, la gestion de la continuité des affaires).
– Les informations associées ces processus seront identifiées et
classifiées par les secteurs d’affaires en ayant la responsabilité.Notions et concepts de classification
- les catégories de familles d’information
Dans le but de sélectionner, ultérieurement, les mesures de protection
adéquates, il importera de connaître le contexte d’utilisation, exprimé en
termes de catégorie
# Catégorie Description
Renseignements
1 personnels Toute information qui concerne une personne et qui permet de l’identifier
Toute information reliée principalement à la gestion des finances des
2 Financière membre membres particuliers et entreprises
Toute information interne, à distribution très restreinte, liée aux
3 Stratégique stratégies du Mouvement ou de la haute direction
4 Financière corporative Toute information touchant la gestion des finances de Desjardins
Configuration des Toute information liée aux contrôles ou qui en assure le bon
5 contrôles fonctionnement
Juridique et Toute information représentant une entente ou un engagement légal ou
6 contractuelle contractuel
Toute information découlant des processus d’affaires ou aux activités
7 Opérationnelle opérationnelles (excluant les catégories précédentes)
Toute communication, sous forme de lettre, de communiqué et autre,
8 Communication externe destinée à l’externe (membres, partenaires, etc..)
À"chacune"des"familles"d’information"doit"être"associée"une"seule
catégorieNotions et concepts de classification
- les échelles de classification
Une cote de sensibilité sera attribuée à
chacune des familles d’information, et pour
chacun des critères, selon les échelles
prédéterminées
Confidentialité Intégrité Disponibilité
Secret Exigence5élevée Exigence5élevée
Confidentiel Exigence5moyenne Exigence5moyenne
Privé Exigence5faible Exigence5faible
Public 5
5Notions et concepts de classification
- les arbres de décision
Famille d’information
à classifier
Est -ce que la
Est -ce que la
divulgation de cette famille Est -ce que cette famille
divulgation de cette famille
d’information entraînerait des d’information permet de faire le
d’information pourrait entraîner
pertes financières importantes pour NON lien avec des renseignements NON
des poursuites judiciaires ou
Desjardins ou de graves dommages à personnels d'un membre ou
entacher la réputation
l'entreprise ou à ses d'un employé
de Desjardins ?
membres ? Desjardins ?
NON
OUI OUI
OUI
Est -ce que la
divulgation de cette famille
OUI d’information pourrait avoir un impact
important au niveau organisationnel
u
o stratégique pour
Desjardins ?
NON
Est -ce que cette famille Est -ce que les
d’information aurait un certain informations de cette
NON
intérêt pour un concurrent famille sont destinées au
de Desjardins ? grand public ?
OUI
NON OUI
Secret Confidentiel Privé PublicNotions et concepts de classification
- les niveaux d’assurance
Un niveau d’assurance est une représentation « affaire » d’un
regroupement de mesures de protection devant être appliquées afin
de protéger adéquatement l’information
Assurance de base Assurance intermédiaire Assurance élevée
L’assurance de base correspond à un Par définition, l’assurance L’assurance élevée, quant à elle,
ensemble de mesures de intermédiaire offrira plus de offrira le plus grand niveau de
protection de base que l’on devrait protection que l’assurance de base. protection.
retrouver dès que l’on manipule de Elle permet donc de répondre aux Ex : Authentification forte à base de
l’information au sein d’une besoins de sécurité accrus. jetons, signature digitale pour
institution financière. Ex : Validation des données lors de la assurer la non-répudiation des
Par défaut, les informations traitées saisie, chiffrement des données en actions posées
dans les emplacements de travail transit
du Mouvement, bénéficieront de
mesures de protection offertes par
l’assurance de base.
Ex : Carte d’accès requise pour accéder
aux emplacements de travail,
authentification des utilisateurs à
l’aide d’un code d’utilisateur et
mot de passeNotions et concepts de classification
- les niveaux d’assurance … suite
Les niveaux d’assurance sont assignés à l’aide de matrices de
correspondance, en fonction de la classification et de la catégorie
de la famille d’information
Famille
d’information
Catégorie
Classification
+ (contexte )
Matrice (s)
Niveau d’assurance
Niveau d’assurance Niveau d’assurance Niveau d’assurance
Confidentialité Intégrité DisponibilitéDémarche de réalisation
Pour chacune des vice-présidences
1. Rencontre de lancement au vice-président
• Démarche, efforts, confirmation des intervenants
• Obtention de l’appui pour démarrer les ateliers
2. Préparation des ateliers
• Collecte d’information sur la VP
• Pré-population des outils
3. Rencontre de lancement aux intervenants
4. Réalisation des ateliers de classification
5. Consolidation de résultats pour la VP
6. Présentation du bilan au VP
7. Approbation des résultats par le VPDéroulement des ateliers
• La classification est effectuée en atelier de travail
• De 3 à 5 ateliers de 1:30 par secteur d’affaires (direction principale)
auxquelles participent le représentant du secteur d’affaires (3) et un
représentants de la DPRI
Ateliers Activités à réaliser
1 Identifier les processus d’affaires clés
2 Identifier les familles d’information
3 et 4 Classifier les familles d’information
5 Identifier les supports, les applications d’affaires et les contrats de
service et assigner les niveaux d’assurance
(3) S’il le désire, le représentant est libre d’inviter des collaborateurs, pour compléter
l’expertise du secteur d’affairesOutils soutenant la classification
Outil de support Description Type
Guide de classification Décrit les rôles et responsabilités, le processus et les activités PDF
des actifs informationnels
Trousse « Classification Permet de documenter les résultats de la classification pour une unité
des actifs d'affaire donnée (processus d'affaires, familles d’information, la Excel
informationnels » classification, les applications)
Pour soutenir les activités de communications auprès des VP,
Présentations diverses intervenants ppt
Aide-mémoire qui vise à uniformiser les interventions des spécialistes
Aide-mémoire dans la réalisation d’un exercice de classification. Il présente les activités Word
à réaliser ainsi que quelques astuces pour faciliter l’animation des et le
déroulement des ateliers
Rédigé spécifiquement pour les diverses unités responsables de
Guide sur les mesures de l'élaboration de solutions et de la mise en place de mesures de
protection des actifs protection, ce guide propose un arrimage entre les résultats de la PDF
informationnels classification et les mesures de protection requises, afin de protéger
adéquatement l'information classifiéeDémonstration des outils
• Guide de classification
• Trousse de classification
• Bilan de classification
PauseMaintien et exploitation des résultats
• Maintien de la classification
Le processus annuel d’AERC assurera le maintien des résultats ainsi
que sa mise à jour lorsque nécessaire. Cette activité est prise en
charge par notre unité, mais pourrait requérir votre collaboration.
Événements déclencheurs d’une mise à jour des résultats :
!" Restructuration organisationnelle
Maintien et #" Nouveau produit / service ou nouvelles façons de faire (impartition,
exploitation de la ajout / retrait / optimisation de processus, etc.)
classification
• Exploitation des résultats
$" Auto-évaluation des risques et contrôles (AERC)
%" Analyse et gestion des risques dans les projets (mise en œuvre des
mesures de protection)
&" Services conseils stratégiques (priorisation des initiatives à valeur
ajoutée)
'" Indicateurs de risque et reddition de compte
Les utilisateurs des résultats de classification comprend notamment tous les secteurs
en technologie de l’information, responsables d’exploiter l’information et de mettre en
œuvre des solutions technologiques ainsi que la Vice-présidence Risques opérationnels.Utilisation et valeur ajoutée
Clients de la Bénéfices Valeur ajoutée
classification
VP Risques opérationnels
Identifier les informations à risque des
DP Risques opérationnels macro-processus d’affaires pour réaliser Ciblage des secteurs à risque =
les AERC Efficacité améliorée des AERC
Identifier les informations sensibles et Cibler les secteurs ayant des
DP Risques informationnels les risques informationnels de chaque informations sensibles + Prioriser les
travaux = Saine gestion des
secteur d’affaires.
risques informationnels
VP Technologies, Architecture d’entreprise, Sécurité et
Performance
DP Gouvernance et Identifier les enjeux de sécurité
Services-conseils en technologique dans les projets. Optimisation des coûts liés aux
sécurité ... Appliquer un juste contrôle aux contrôles = économies $$$
informations
Arrimer les contrôles de sécurité et de Identifier les processus TI et les
DP Risques et conformité conformité aux processus TI et aux applications d’affaires à risque =
exigences de protection des Conformité et sécurité améliorées
informations
Gestion des risques informationnels
DP Architecture Intégrer la gestion des risques intégrée au référentiel des processus
d’entreprise informationnels au référentiel d’entreprise = Productivité et
d’architecture d’entreprise
efficacité de la GRI amélioréesUtilisation et valeur ajoutée
Clients de la classification Bénéfices Valeur ajoutée
VP Technologies, Solutions affaires Mouvement Desjardins
Identifier les exigences de protection de Protection de l’actif
DP Solutions, Gestion de l’actif l’actif documentaire documentaire quel que soit le
documentaire support et tout au long du
cycle de vie de l’information
VP Conformité, Mouvement Desjardins
Identifier les informations privilégiées
DP Conformité, Services dans les secteurs d’affaires du Conformité à la loi sur les
institutionnels mouvement Desjardins valeurs mobilièresDéroulement de la présentation • 1ière partie (30 min) – Présentation du Mouvement Desjardins – Présentation de la gestion de risque au Mouvement Desjardins – Mise en contexte du projet Classification • 2ième partie (2 hres) – incluant une pause – Description du processus de classification – Démarche de réalisation – Démonstration des outils – Maintien et exploitation des résultats • 3ième partie (15 min) – Facteurs de succès – Défis rencontrés – Conclusion
Facteurs de succès
• Adapter la méthodologie
– Pilote et amélioration continue
• Implication de la direction
– Vice-président porteur du projet
• Sensibilisation de ses pairs
• Allocation de ressources
– Vice-président « affaires »
• Imputabilité (approbation des résultats)Facteurs de succès
• Les intervenants « affaires »
– Directeur principal ou conseiller senior
– Avoir d’excellentes connaissances du domaine d’affaire, des
grandes activités et des informations produites
– Être en mesure d’évaluer les impacts potentiels d’une perte de
confidentialité, d’intégrité ou de disponibilité de l’information
– Apte à prendre des décisions
• Les intervenants en gestion de risques et sécurité
– Généraliste senior en sécurité de l’information
– Bonne compréhension de l’industrie et des
secteurs d’affaires
– Bonne écoute
– Excellentes capacités interpersonnelles
– Stimulent la discussionLa gestion du changement
Faciliter l’appropriation et l’intégration du processus de classification des actifs informationnels
aux activités des lignes d’affaires.
Sensibiliser Comprendre Adhérer S’approprier Intégrer
Gestionnaires
Présentation au comité de gestion
de la VPFPSF
Intervenants
Gestionnaires Sensibilisation SI
Présenter le processus
Intervenants
Accompagnement lors de la
classification
Sensibilisation+et+accompagnementStatut du déploiement
• À ce jour 75 vice-présidences ont été déployées en
date du 31 décembre 2012.
• Des déploiements additionnels seront planifiés pour
2013 et permettront de compléter l’ensemble du
Mouvement Desjardins.
– Il reste environ 10 VP à déployer
– Il requiert environ 20 jours d’effort pour déployer
une VP
• Les efforts de maintien annuel sont évalués à
environ 0,5 ETC.Défis rencontrés • Réorganisation de 2009 – augmentation significative de la portée – Impacts majeurs sur les processus d’affaires • Difficulté d’effectuer le lien entre les applications et l’information – projet d’arrimage avec l’architecture d’entreprise • Attribution des budgets • Multiples projets en cours – Sollicitation accrue des ressources
Conclusion
• une stratégie de gestion du changement est un des
éléments les plus importants afin de faciliter la mise
en œuvre du processus de classification des actifs
informationnels;
• une approche simplifiée, par l’utilisation d’intrants déjà
existants, facilitera l’adhésion des lignes d’affaires
• les intervenants des lignes d’affaires ont les meilleures
connaissances afin de connaître la valeur de l’information
Le domaine de la sécurité de l’information pourrait accroître
grandement son niveau de maturité en favorisant des approches de
gestion existantes et reconnues afin de mettre en œuvre les
différentes pratiques de gouvernance de la sécurité de l’informationCoordonnées Jean-François Allard Directeur principal Risques Informationnels Mouvement Desjardins Jean-francois.allard@desjardins.com Anick Charland, CISSP, CISA, CISM Conseillère stratégique ACCSI Services conseils anick.charland@accsi.ca
Vous pouvez aussi lire
