Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
2
La gestion du risque dune organisation à lère de la cyber entreprise Michel Vézina MSc., DSc., C.A. École des Hautes Études Commerciales CPHEC année 2000-2001
3
Les défis Les risques La gestion Les contrôles Conclusion Plan de la présentation Les défis Lévolution des TIC Le risque au cœur des préoccupations Un modèle de risque La gestion du risque Le contrôles des risques Le courriel Les sites Web promotionnels Les sites Web transactionnels Les paiements électroniques Conclusion
4
Les défis Les risques La gestion Les contrôles Conclusion Lévolution récente des TIC au sein des PME québécoises En janvier 2000, 69% des PME québécoises sont branchées à lInternet (300% daugmentation en 4 ans) 29% des PME québécoises branchées à lInternet font du commerce électronique Les défis Source: Infomètre www.cefrio.qc.ca
5
Les défis Les risques La gestion Les contrôles Conclusion Lévolution récente des TIC au sein des ménages En 1999, on évalue à plus de 13 millions le nombre dinternautes canadiens sur un total de 259 millions à léchelle planétaire. La firme Computer Industry Almanac, prévoit que le nombre total dinternautes qui sera de 490 millions en 2002 atteindra 765 millions en 2005. En novembre 1999, la majorité des internautes Canadiens avait effectué un achat sur Internet. 47% des internautes québécois visitent surtout des sites en français. Les défis Source: Infomètre www.cefrio.qc.ca
6
Les défis Les risques La gestion Les contrôles Conclusion Le problème, la sécurité ! Les défis
7
Les risques La gestion Les contrôles Conclusion La sécurité au cœur des préoccupations des entreprises Selon le FBI, en mars 2000: 90% des organisations interrogées ont connu un bris de sécurité informatique en 1999. 70% ont subi des bris de sécurité sérieux. Exemples: le vol dinformation propriétaire, lintrusion, le sabotage de données ou encore des attaques provoquant un dénis de service. Les trois quarts ont subi des pertes financières Les défis Source: Infomètre www.cefrio.qc.ca
8
Les défis Les risques La gestion Les contrôles Conclusion Quen est-il des 500 plus grandes entreprises québécoises en 1999? Virus: 65% Panne majeure: 29% Perte ou incapacité à restituer les copies de sauvegarde 13% Intrusion 10 % Usurpation didentité 9% Vol dinformation 6% Atteinte à lintégrité 4% Source: Lacroix É. La sécurité et la protection de linformation, Collection Infomètre, CEFRIO, Avril 2000. Les défis
9
Les risques La gestion Les contrôles Conclusion Les fraudes et lInternet http://www.bull.fr/securinews/courant/act_pira.html Les défis
10
Les risques La gestion Les contrôles Conclusion La sécurité au cœur des préoccupations des consommateurs Selon Forrester Research (octobre 1999), 67% des consommateurs ne se sentent pas en sécurité face à lInternet; Divulgation dinformation confidentielle Manque de confiance dans lidentité du vendeur Crainte de ne jamais recevoir les biens et services commandés et payés, etc. Cette crainte a une incidence sur les montants quils dépensent en ligne. Les défis Source: Infomètre www.cefrio.qc.ca
11
Les défis Les risques La gestion Les contrôles Conclusion Quest-ce que le risque? Le risque en tant que danger Le risque en tant quincertitude Le risque en tant quopportunité Les risques Risques, opportunités et performance sont étroitement liés Le statut quo et les investissements présentent des risques Une gestion appropriée des risques permet de profiter des opportunités… Risques, opportunités et performance sont étroitement liés Le statut quo et les investissements présentent des risques Une gestion appropriée des risques permet de profiter des opportunités…
12
Les défis Les risques La gestion Les contrôles Conclusion Les sources de risques? Complexité Dépendance Désastres naturels Comportements déviants Technologies Faiblesses organisationnelles Faiblesses humaines Les risques
13
Les défis Les risques La gestion Les contrôles Conclusion Un modèle de risque… pour comprendre C onfidentialité A uthentification N on-répudiation D isponibilité I ntégrité E fficience/ E fficacité Les risques
14
Les défis Les risques La gestion Les contrôles Conclusion Un modèle de risque… pour comprendre C onfidentialité A uthentification N on-répudiation D isponibilité I ntégrité E fficience/ E fficacité Linformation détenue ou conservée par une organisation ne doit pas être accessible ou divulguée aux personnes non autorisées ou à des fins non prévues Les risques
15
Les défis Les risques La gestion Les contrôles Conclusion Un modèle de risque… pour comprendre C onfidentialité A uthentification N on-répudiation D isponibilité I ntégrité E fficience/ E fficacité La personne ou tout autre entité est bien celle quelle prétend être. Les risques
16
Les défis Les risques La gestion Les contrôles Conclusion Un modèle de risque… pour comprendre C onfidentialité A uthentification N on-répudiation D isponibilité I ntégrité E fficience/ E fficacité Il est impossible de renier, après coup, quune transaction a eu lieu, puisquil existe suffisamment de preuves que la transaction a été effectuée. Les risques
17
Les défis Les risques La gestion Les contrôles Conclusion Un modèle de risque… pour comprendre C onfidentialité A uthentification N on-répudiation D isponibilité I ntégrité E fficience/ E fficacité Linformation ou un système doit être accessible et utilisable en temps voulu. Les risques
18
Les défis Les risques La gestion Les contrôles Conclusion Un modèle de risque… pour comprendre C onfidentialité A uthentification N on-répudiation D isponibilité I ntégrité E fficience/ E fficacité Linformation doit être complète, exacte et autorisée. Elle doit être non modifiable et non altérable. Les risques
19
Les défis Les risques La gestion Les contrôles Conclusion Un modèle de risque… pour comprendre C onfidentialité A uthentification N on-répudiation D isponibilité I ntégrité E fficience/ E fficacité Linformation ou le système correspond aux besoins et linformation est produite à un coût raisonnable Les risques
20
Les défis Les risques La gestion Les contrôles Conclusion Risques et affaires électroniques ExempleCauseConséquences C Accès non autorisé aux données sur les clients Mesures de protection inadéquates Concurrence déloyale, perte de clients, insatisfaction des clients, poursuites A Vendre au mauvais client Mauvais renseignementsPertes N Le client nie avoir commandé Malhonnêteté, intrusion, procédures défaillantes Perte souvent monétaire D Sites/données difficilement accessibles Site mal configuré, site mal indexé Satisfaction, délais, pertes $ I Vendre/acheter le mauvais bien Commande modifiéeSatisfaction, délais, pertes $ E Effectuer 2X lentrée de données Système mal conçu ou mal intégré Coût de traitement élevés Légende : Confidentialité, Authentification, Non-répudiation Disponibilité, Intégrité, Efficacité et Efficience Les risques
21
Les défis Les risques La gestion Les contrôles Conclusion Risques et types dapplications Les risques
22
Les défis Les risques La gestion Les contrôles Conclusion Risques et types dactifs Les risques
23
Les défis Les risques La gestion Les contrôles Conclusion Quest-ce que la gestion du risque? Identification des opportunités et des risques Évaluation des opportunités et des risques Stratégie et mécanismes de gestion des risques Implantation Risques acceptables ? Coûts / bénéfices La gestion Suivi
24
Les défis Les risques La gestion Les contrôles Conclusion Risques et contrôles spécifiques à lorganisation numérique Le courriel Les sites Web promotionnels Les sites Web transactionnels Les paiements électroniques Les contrôles
25
Les défis Les risques La gestion Les contrôles Conclusion Les risques relatifs au courriel Les contrôles
26
Les défis Les risques La gestion Les contrôles Conclusion La destruction des messages douteux Les contrôles relatifs au courriel Les mots de passe Les logiciels anti-virus... récent Formation, sensibilisation et surveillance Signatures électroniques Cryptographie Accusé réception Les contrôles
27
Les défis Les risques La gestion Les contrôles Conclusion À chaque risque lié au courriel, un contrôle approprié RisquesContrôles Les virusLes logiciels anti-virus…à jour La prudence face aux messages douteux Les messages non-reçusAccusé réception Vol dinformation confidentielle La cryptographie, Les mots de passe Lusurpation didentitéLes signatures électroniques Lutilisation inappropriée Politiques, sensibilisation, surveillance Les contrôles
28
Les défis Les risques La gestion Les contrôles Conclusion Les risques relatifs au sites Web promotionnels Les contrôles
29
Les défis Les risques La gestion Les contrôles Conclusion Les contrôles relatifs aux sites Web promotionnels Les certificats dauthenticité Les mots de passe Les pare-feu La surveillance du Web Les cookies Politique de MAJ appropriée Les contrôles
30
Les défis Les risques La gestion Les contrôles Conclusion À chaque risque lié aux sites Web promotionnels, un contrôle RisquesContrôle Le site est difficile daccès Méthodologie de conception, indexation des sites, promotion, cookies Le site nest pas accessible Matériel approprié Politique de MAJ Le site est altéréLes pare-feu, les mots de passe (FTP) Usurpation didentité Les certificats dauthenticité, La surveillance du Web Linformation est inexacte Politique de MAJ Les contrôles
31
Les défis Les risques La gestion Les contrôles Conclusion Les risques relatifs au sites Web transactionnels Les contrôles
32
Les défis Les risques La gestion Les contrôles Conclusion Les contrôles relatifs aux sites Web transactionnels Les signatures électroniques Tests dintrusion, lextranet, lintranet La cryptographie Les méthodologies rigoureuses Les procédures de recouvrement Le paiement électronique Les contrôles
33
Les défis Les risques La gestion Les contrôles Conclusion À chaque risque lié aux sites Web transactionnels, un contrôle RisquesContrôles Les applications «gèlent»Procédures de recouvrement Le site est en dénie de service Procédures de recouvrement Le site est piratéIntranet, extranet, test dintrusion Linformation est incomplète Méthodologie de développement robuste La transaction est soumise plusieurs fois Confirmation de transaction, validation à la saisie Le client ne paie pasPSL, pré-paiement, paiement électronique Les contrôles
34
Les défis Les risques La gestion Les contrôles Conclusion Les risques relatifs aux paiements électroniques Les contrôles
35
Les défis Les risques La gestion Les contrôles Conclusion Les contrôles relatifs aux paiements électroniques Largent électronique Les chèques électroniques Carte de crédit – Protocole SET Signatures digitales Certificats dauthentification Les contrôles Cryptographie Signatures digitales Certificats dauthentification Procédures administratives
36
Les défis Les risques La gestion Les contrôles Conclusion À chaque risque lié aux paiements électronique, un contrôle RisquesContrôles Linformation financière est piratée La cryptographie Le client paie avec largent de quelquun dautre Signature digitales, certificats dauthentification Le client affirme navoir jamais reçu sa commande Accusé réception Le client affirme navoir jamais commandé Signature digitales, certificats dauthentification Données saisie 1 seule fois Les contrôles
37
Les défis Les risques La gestion Les contrôles Conclusion Internet y g ie La cryptographie Message original Acheteur Fournisseur Contrat Message original Contrat Message modifié n Message modifié n Encrypté avec la clé privée Décrypté avec la clé publique Deux clés différentes Les contrôles
38
Les défis Les risques La gestion Les contrôles Conclusion Le protocole SET Le client passe sa commande et donne les instructions de paiement par carte à linstitution financière (signée digitalement et cryptographiée) Le vendeur demande lautorisation de paiement à linstitution financière Le vendeur confirme la transaction au client et envoie la marchandise Le vendeur demande le paiement à l institution financière Les contrôles
39
Les défis Les risques La gestion Les contrôles Conclusion Risques et commerce électronique Les contrôles
40
Les défis Les risques La gestion Les contrôles Conclusion Les pratiques des entreprises québécoises en matière de gestion du risque ( Les 500 plus grandes entreprises en 1999) Surveillance active des réseaux 58% Politiques internes en matière de sécurité (suivi ?: 36%) 56% Utilisation de garde barrière50 % Équipe d urgence23% Plan de relève (non testé: 34%) 41% Source: computer World (1998) Conclusion
41
Les défis Les risques La gestion Les contrôles Conclusion Les pratiques des entreprises québécoises en matière de gestion du risque ( Les 500 plus grandes entreprises en 1999) Détection automatique des Virus: 86% Procédure de sauvegarde formelle: 85% Surveillance de linstallation de logiciels non autorisés 70% Surveillance des réseaux68 % Tests dintrusion 41% Chiffrement des données importantes 38% Sensibilisation du personnel 36% Source: Lacroix É. La sécurité et la protection de linformation, Collection Infomètre, CEFRIO, Avril 2000. Conclusion
42
Les défis Les risques La gestion Les contrôles Conclusion Et vous…protégez-vous adéquatement vos entreprises? Non Oui Conclusion
43
Les défis Les risques La gestion Les contrôles Conclusion Les principales excuses pour négliger la sécurité ( sans perdre la face) Manque de sensibilisation des employés 34% Manque de budget 27% Manque de ressources humaines 25% Le manque dintérêt de la haute direction 19% Absence doutils et de solutions sur le marché 18% Source: Computer World (1998) Conclusion Vous avez répondu Non X
44
Les défis Les risques La gestion Les contrôles Conclusion Félicitation ! Vous faites partie du personnel à valeur ajoutée qui aident leur organisation à saisir les opportunités et contrôler les risques afin dassurer non seulement sa survie mais sa croissance. Aucune entreprise ne peut y échapper. Celles qui maîtrisent bien cet art seront celles qui seront les plus performantes. Les autres…risquent de disparaître… Vous avez répondu Oui X Conclusion
Présentations similaires
