la gestion du risque dune organisation à lère de la cyber entreprise michel vézina msc., dsc.,...
TRANSCRIPT
La gestion du risque d’une organisation à l’ère de la cyber entreprise
Michel Vézina MSc., DSc., C.A.École des Hautes Études Commerciales
CPHECannée 2000-2001
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Plan de la présentationLes défis
L’évolution des TICLe risque au cœur des préoccupations
Un modèle de risqueLa gestion du risqueLe contrôles des risques
Le courrielLes sites Web promotionnelsLes sites Web transactionnelsLes paiements électroniques
Conclusion
Les défis
Les risques
La gestion
Les contrôles
Conclusion
L’évolution récente des TIC au sein des PME québécoises
En janvier 2000, 69% des PME québécoises sont branchées à l’Internet
(300% d’augmentation en 4 ans)
29% des PME québécoises branchées à l’Internet font du commerce électronique
Les défis
Source: Infomètre www.cefrio.qc.ca
Les défis
Les risques
La gestion
Les contrôles
Conclusion
L’évolution récente des TIC au sein des ménagesEn 1999, on évalue à plus de 13 millions le nombre d’internautes canadiens sur un total de 259 millions à l’échelle planétaire.La firme Computer Industry Almanac, prévoit que le nombre total d’internautes qui sera de 490 millions en 2002 atteindra 765 millions en 2005.En novembre 1999, la majorité des internautes Canadiens avait effectué un achat sur Internet.47% des internautes québécois visitent surtout des sites en français.
Les défis
Source: Infomètre www.cefrio.qc.ca
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Le problème, la sécurité !Les défis
Les défis
Les risques
La gestion
Les contrôles
Conclusion
La sécurité au cœur des préoccupations des entreprises
Selon le FBI, en mars 2000:
90% des organisations interrogées ont connu un bris de sécurité informatique en 1999.
70% ont subi des bris de sécurité sérieux. Exemples: le vol d’information propriétaire, l’intrusion, le sabotage de données ou encore des attaques provoquant un dénis de service.
Les trois quarts ont subi des pertes financières
Les défis
Source: Infomètre www.cefrio.qc.ca
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Qu’en est-il des 500 plus grandes entreprises québécoises en 1999?Virus: 65%Panne majeure: 29%Perte ou incapacité à restituer les copies de sauvegarde 13%Intrusion 10 %Usurpation d’identité 9%Vol d’information 6%Atteinte à l’intégrité 4%
Source: Lacroix É. La sécurité et la protection de l’information, Collection Infomètre, CEFRIO, Avril 2000.
Les défis
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les fraudes et l’Internet
http://www.bull.fr/securinews/courant/act_pira.html
http://www.bull.fr/securinews/courant/act_pira.html
Les défis
Les défis
Les risques
La gestion
Les contrôles
Conclusion
La sécurité au cœur des préoccupations des consommateursSelon Forrester Research (octobre 1999), 67% des consommateurs ne se sentent pas en sécurité face à l’Internet;
Divulgation d’information confidentielleManque de confiance dans l’identité du vendeurCrainte de ne jamais recevoir les biens et services commandés et payés, etc.
Cette crainte a une incidence sur les montants qu’ils dépensent en ligne.
Les défis
Source: Infomètre www.cefrio.qc.ca
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Qu’est-ce que le risque?Le risque en tant que danger Le risque en tant qu’incertitude Le risque en tant qu’opportunité
Les risques
•Risques, opportunités et performance sont étroitement liés•Le statut quo et les investissements présentent des risques•Une gestion appropriée des risques permet de profiter des opportunités…
•Risques, opportunités et performance sont étroitement liés•Le statut quo et les investissements présentent des risques•Une gestion appropriée des risques permet de profiter des opportunités…
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les sources de risques?
Complexité
Dépendance
Désastres naturels
Comportementsdéviants
Technologies
Faiblesses organisationnelles
Faiblesses humaines
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Un modèle de risque… pour comprendre
Confidentialité
Authentification
Non-répudiation
Disponibilité
Intégrité
Efficience/Efficacité
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Un modèle de risque… pour comprendre
Confidentialité
Authentification
Non-répudiation
Disponibilité
Intégrité
Efficience/Efficacité
L’information détenue ou conservée par une organisation ne doit pas être accessible ou divulguée aux personnes non autorisées ou à des fins non prévues
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Un modèle de risque… pour comprendre
Confidentialité
Authentification
Non-répudiation
Disponibilité
Intégrité
Efficience/Efficacité
La personne ou tout autre entité est bien celle qu’elle prétend être.
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Un modèle de risque… pour comprendre
Confidentialité
Authentification
Non-répudiation
Disponibilité
Intégrité
Efficience/Efficacité
Il est impossible de renier, après coup, qu’une transaction a eu lieu, puisqu’il existe suffisamment de preuves que la transaction a été effectuée.
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Un modèle de risque… pour comprendre
Confidentialité
Authentification
Non-répudiation
Disponibilité
Intégrité
Efficience/Efficacité
L’information ou un système doit être accessible et utilisable en temps voulu.
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Un modèle de risque… pour comprendre
Confidentialité
Authentification
Non-répudiation
Disponibilité
Intégrité
Efficience/Efficacité
L’information doit être complète, exacte et autorisée. Elle doit être non modifiable et non altérable.
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Un modèle de risque… pour comprendre
Confidentialité
Authentification
Non-répudiation
Disponibilité
Intégrité
Efficience/Efficacité
L’information ou le système correspond aux besoins et l’information est produite à un coût raisonnable
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Risques et affaires électroniquesExemple Cause Conséquences
C Accès non autorisé aux données sur les clients
Mesures de protection inadéquates
Concurrence déloyale, perte de clients, insatisfaction des clients, poursuites
A Vendre au mauvais client
Mauvais renseignements
Pertes
N Le client nie avoir commandé
Malhonnêteté, intrusion, procédures défaillantes
Perte souvent monétaire
D Sites/données difficilement accessibles
Site mal configuré, site mal indexé
Satisfaction, délais, pertes $
I Vendre/acheter le mauvais bien
Commande modifiée Satisfaction, délais, pertes $
E Effectuer 2X l’entrée de données
Système mal conçu ou mal intégré
Coût de traitement élevés
Légende : Confidentialité, Authentification, Non-répudiation Disponibilité, Intégrité, Efficacité et Efficience
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Risques et types d’applications
C A N D I ECourriel x X x X X xSites Web x x x X X XIntranet X x x X X XExtranet X x x X x XCommerceélectronique
X X X X X X
Légende : Confidentialité, Authentification, Non-répudiationDisponibilité, Intégrité, Efficacité et Efficience
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Risques et types d’actifs
C A N D I EImmobilisations X XMatérielInformatique
X X
Programmes X XDonnées X X X XUtilisateurs X X X XLégende : Confidentialité, Authentification, Non-répudiationDisponibilité, Intégrité, Efficacité et Efficience
Les risques
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Qu’est-ce que la gestion du risque?Identification des
opportunités et des risques
Évaluation des opportunités et des risques
Stratégie et mécanismes de
gestion des risques
Implantation
Risques acceptables ?
Coûts / bénéfices
La gestion
Su
ivi
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Risques et contrôles spécifiques à l’organisation numériqueLe courrielLes sites Web promotionnelsLes sites Web transactionnelsLes paiements électroniques
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les risques relatifs au courriel
C A N D I ELes virus X X XLes messages non-reçus
X X X
Le vol d’information X X XL’usurpationd’identité
X X X X X
L’utilisationinappropriée
X X XLégende : Confidentialité, Authentification, Non-répudiationDisponibilité, Intégrité, Efficacité et Efficience
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
La destruction des messages douteux
Les contrôles relatifs au courriel
Les mots de passe
Les logiciels anti-virus... récent
Formation, sensibilisation et surveillance
Signatures électroniques
Cryptographie
Accusé réception
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
À chaque risque lié au courriel, un contrôle appropriéRisques Contrôles
Les virus Les logiciels anti-virus…à jourLa prudence face aux messages douteux
Les messages non-reçus Accusé réception
Vol d’information confidentielle
La cryptographie,Les mots de passe
L’usurpation d’identité Les signatures électroniques
L’utilisation inappropriée
Politiques, sensibilisation, surveillance
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les risques relatifs au sites Web promotionnels
C A N D I ELe site est difficiled’accès
X X X
Le site n’est pasaccessible
X X X
Le site est altéré X XLe site est piraté X X X X XL’information estinexacte
X X X X XLégende : Confidentialité, Authentification, Non-répudiationDisponibilité, Intégrité, Efficacité et Efficience
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les contrôles relatifs aux sites Web promotionnels
Les certificats d’authenticité
Les mots de passe
Les pare-feu
La surveillance du Web
Les cookies
Politique de MAJ appropriée
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
À chaque risque lié aux sites Web promotionnels, un contrôleRisques ContrôleLe site est difficile d’accès
Méthodologie de conception, indexation des sites, promotion, cookies
Le site n’est pas accessible
Matériel appropriéPolitique de MAJ
Le site est altéré Les pare-feu, les mots de passe (FTP)
Usurpation d’identité
Les certificats d’authenticité, La surveillance du Web
L’information est inexacte
Politique de MAJ
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les risques relatifs au sites Web transactionnels
C A N D I ELes applications gèlent X X XLe site est en dénis deservice
X X X
Le site est piraté X X X XL’information estincomplète
X X X X
La transaction estsoumise plusieurs fois
X X X X
Le client ne paie pas X X XLégende : Confidentialité, Authentification, Non-répudiationDisponibilité, Intégrité, Efficacité et Efficience
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les contrôles relatifs aux sites Web transactionnels
Les signatures électroniques
Tests d’intrusion,l’extranet, l’intranet
La cryptographie
Les méthodologiesrigoureuses
Les procédures de recouvrement
Le paiementélectronique
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
À chaque risque lié aux sites Web transactionnels, un contrôle
Risques ContrôlesLes applications «gèlent» Procédures de recouvrement
Le site est en dénie de service
Procédures de recouvrement
Le site est piraté Intranet, extranet, test d’intrusion
L’information est incomplète
Méthodologie de développement robuste
La transaction est soumise plusieurs fois
Confirmation de transaction, validation à la saisie
Le client ne paie pas PSL, pré-paiement, paiement électronique
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les risques relatifs aux paiements électroniques
C A N D I EL’information financière estpiratée
X X XLe client paie avec l’argentde quelqu’un d’autre
X X XLe client affirme ne pasavoir reçu la commande
X X X XLe client affirme ne pasavoir reçu la commande
X X X X XLégende : Confidentialité, Authentification, Non-répudiationDisponibilité, Intégrité, Efficacité et Efficience
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les contrôles relatifs aux paiements électroniques
L’argent électronique
Les chèques électroniques
Carte de crédit –Protocole SET
Signatures digitales
Certificatsd’authentification
Les contrôles
Cryptographie
Signatures digitales
Certificatsd’authentification
Procédures administratives
Les défis
Les risques
La gestion
Les contrôles
Conclusion
À chaque risque lié aux paiements électronique, un contrôle
Risques Contrôles
L’information financière est piratée
La cryptographie
Le client paie avec l’argent de quelqu’un d’autre
Signature digitales, certificats d’authentification
Le client affirme n’avoir jamais reçu sa commande
Accusé réception
Le client affirme n’avoir jamais commandé
Signature digitales, certificats d’authentification
Données saisie 1 seule fois
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Internet
� � ������������� �La cryptographie
Messageoriginal
Acheteur Fournisseur
Contrat
Messageoriginal
Contrat
Messagemodifié
;<;
Messagemodifié
;<;
Encrypté avec la clé privée
Décrypté avec la clé publiqueDeux clés
différentes
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Le protocole SETLe client passe sa commande et donne les instructions
de paiement par carte à l’institution financière(signée digitalement et cryptographiée)
Le vendeur demande l’autorisation de paiement à l’institution financière
Le vendeur confirme la transaction au clientet envoie la marchandise
Le vendeur demande le paiement à l ’institution financière
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Risques et commerce électroniqueÉtapes Risques SolutionsLe client potentiel consulte lesite Web pour des info. surles produits, services et prix
DisponibilitéIntégrité
Choix des noms, titres etmots clés.Facilité de navigation
Le client sélectionne lesproduits ou services désirés
Disponibilité Information sur lesproduits et services
Le client remplit le bon decommande
IntégritéAuthenticitéConfidentialitéNon-répudiation
Chiffrement oucryptographie,Signature numérique
Le client sélectionne, sinécessaire, le mode depaiement
Disponibilité Configuration du siteWeb
Le fournisseur vérifie lavalidité du paiement
Authenticité SET, Argent digital,Chèques électroniques,Smart Cards
Le fournisseur envoie lesproduits ou rend les services
Intégrité Intermédiaires,Signature à la livraison,Suivi commandes
Le fournisseur reçoit lepaiement
Authenticité SET, Argent digital,Chèques électroniques,Smart Cards
Le client consulte le serviceaprès vente, au besoin
Disponibilité FAQ, Service en ligne outéléphonique
Les contrôles
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les pratiques des entreprises québécoises
en matière de gestion du risque (Les 500 plus grandes entreprises en 1999)
Surveillance active des réseaux 58%Politiques internes en matière de sécurité (suivi ?: 36%) 56%Utilisation de garde barrière 50 %Équipe d ’urgence 23%Plan de relève (non testé: 34%) 41%
Source: computer World (1998)
Conclusion
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les pratiques des entreprises québécoises
en matière de gestion du risque (Les 500 plus grandes entreprises en 1999)
Détection automatique des Virus: 86%Procédure de sauvegarde formelle: 85%Surveillance de l’installation de logiciels non autorisés 70%Surveillance des réseaux68 %Tests d’intrusion 41%Chiffrement des données importantes 38%Sensibilisation du personnel 36%Source: Lacroix É. La sécurité et la protection de l’information, Collection
Infomètre, CEFRIO, Avril 2000.
Conclusion
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Et vous…protégez-vous adéquatement vos entreprises?
Non Oui
Conclusion
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Les principales excuses pour négliger la sécurité (sans perdre la face)
Manque de sensibilisation des employés 34%Manque de budget 27%Manque de ressources humaines 25% Le manque d’intérêt de la haute direction 19% Absence d’outils et de solutions sur le marché 18%
Source: Computer
World (1998)
Conclusion
Vous avez répondu
Non X
Les défis
Les risques
La gestion
Les contrôles
Conclusion
Félicitation !
Vous faites partie du personnel à valeur ajoutée qui aident leur organisation à saisir les opportunités et contrôler les risques afin d’assurer non seulement sa survie mais sa croissance.Aucune entreprise ne peut y échapper. Celles qui maîtrisent bien cet art seront celles qui seront les plus performantes. Les autres…risquent de disparaître…
Vous avez répondu
Oui X
Conclusion