Cadres réglementaires et de contrôle de la sécurité de l’information et des systèmes SÉANCE 1 Les fondements juridiques de la sécurité de l’information.

Slides:



Advertisements
Présentations similaires
Mondialiser la solidarité Une stratégie de participation sur Internet.
Advertisements

Mines nancy > ici, c’est déjà demain LES CHARTES EN ENTREPRISE SUR LA BONNE UTILISATION DES TIC 101/03/16Jules ARBELOT & Benjamin SALEM.
18/06/2008 Raphaël Dorado Internet ou Minitel 2.0 ? page Futures législations du.
– Information comptable: États financiers et outils de gestion Séance 5 Les états financiers L’état de la situation financière (fin) L’état des.
Quelques principes du Droit de la consommation
TECHNOLOGIE 3 ème Gr 4 Equipe 2 Compte Rendu Compétence : Lorsque j'utilise ou transmets des documents, je vérifie que j'en ai le droit. Domaine : C.2.3.
L’évolution du SI. Introduction De nombreux éléments peuvent amener une organisation à faire évoluer son système d’information : Modification des besoins.
Droit de l’économie numérique Cours EM M2 e-commerce Pascal REYNAUD Avocat au barreau de Strasbourg 2015/2016.
Réalisé par : Fairouz ichou Imane Errajil.  Introduction  L’ISO en quelque mots  Définition de l’ISO 9001V2000  L’évolution de l’ISO 9001  Principes.
Rapport de stage de découverte professionnelle
Brève histoire d’Internet
Noms prénoms des élèves du groupe
Les stratégies de sécurisation numérique
Transparence économique et financière des organisations et Compte d’emploi des ressources Formation transparence économique et financière et CER.
Comment Sécuriser Le Système d’information de son entreprise
Sciences et Technologie du Management et de la Gestion
1.1 La définition de la déontologie Textes de référence § 3.1 Principes et cadre d’intervention § Déontologie a) une attitude générale.
DropBox Projet App’Ifa.
Sites Internet et Protection des données à caractère personnel
FARAH.Z "Cours sécurité1" /2016
et sa politique d‘assurance qualité dans l‘éducation
La francisation des entreprises au Québec
Portfolio électronique au BAA
par création d’une mention complémentaire Coiffure Coupe Couleur
PowerPoint 2 (secondaire) : Les ordres de gouvernement
2ème partie – mise en oeuvre
EXERCICE N°1 TRAITE PAR LE GROUPE 3.
Du côté des textes et programmes…
PowerPoint 1 (secondaire) : Gouvernement et démocratie
Le cabinet d’avocat: une entreprise du droit Présentation de Maître Mame Adama GUEYE Formation Continue CIFAF Dakar 2 Décembre 2014.
Les « observables » ! Situation A de CCF : de la prise d’information à la constitution d’un profil.
Qui sommes-nous ?.
DROIT DE L’INFORMATION ET DE LA COMMUNICATION
Qu’est-ce que le C2i2e ?.
Créez votre entreprise Partie 4
Le Règlement européen sur la protection des données personnelles
Institut Universitaire Virtuel de Formation des Maîtres
Processus « Contrôler les subventions réglementaires» Harmonisation et simplification administrative – 11 mai CSS.
Commerce électronique Elbekri Sarra Hamdi Amel Zriba Mariam
Gestion de l’approvisionnement Partenariat
Les apports législatifs récents améliorant les relations commerciales entre acteurs de la filière viande bovine Apports de la loi relative à la consommation.
Présentation pour la Réunion du projet RESUMé
Règlement général sur la protection des données
Audit des ASBL Code de bonne gouvernance à
Les cours au Canada.
Le travail sur la législation phytosanitaire
Le développement durable dans la Loi minière au Brésil: les aspects environnementaux actuels, le nouveau cadre réglementaire et les défis pour la croissance.
Le rôle du Ministère Public dans l’effectivité d’un Droit du Developpement Durable Ana Paula Chagas.
L’appareil gouvernemental
1.11 Qu’est-ce que le droit international ?
30/03/16 Page de présentation de la première intervention.
Emilie Bundock, avocate 18 octobre 2018
Table d’échanges DGACQ/ RPGTI 19 octobre 2012.
Etudier son marché : le bon réflexe pour une offre gagnante
Présentation du B2i école Références : B.O. n° 42 du 16 novembre 2006
Centre de Recherches Informatique et Droit (CRID)
Réforme du Lycée
Groupe de travail « Gestion des données de l’université »
PowerPoint 3 : Gouvernements du Canada
La profession de réviseur d’entreprises
LE RGPD ET LES DROITS A LA PERSONNE - LE DROIT D’ACCES
Gestion des Transports et Logistique Associée
Modèle logique du Programme des produits de santé naturels
ÉTAPES D’UN PROCÈS CRIMINEL
Conseiller de l’information et de la communication au Maghreb
Gouvernance de la technologie de l’information (IT)
Direction des Éditions et Services de dépôt
RAPPORT DU GROUPE 4 Rapporteur: Jacques DOUKA
le nouveau projet de 3e version
Finances publiques Contrôle de l’exécution du budget
Transcription de la présentation:

Cadres réglementaires et de contrôle de la sécurité de l’information et des systèmes SÉANCE 1 Les fondements juridiques de la sécurité de l’information

Séance 1 - Objectifs pédagogiques Préparer l’étudiant à savoir différencier les systèmes juridiques et les sources de droit ; expliquer les principaux devoirs et obligations des organisations eu égard à la sécurité de l’information ; identifier les crimes informatiques en contexte. En développant un savoir-faire Mini – Cas : Identifiez le type de droit applicable à ABC inc et justifiez votre réponse QCM - Répondre à des questions à choix multiples SÉANCE 1

Plan de la séance Activités Objectifs Contenu Durée Savoir Savoir Présentation du cours Permettre à l’étudiant de comprendre le déroulement du cours et ce qui sera attendu de lui Brève présentation des étudiants pour permettre à l’enseignant de connaître son auditoire et gérer les attentes (i.e. : ce qui sera couvert ou non) 18:45 à 19:30 1 Environnement d’affaires global Présentation magistrale des caractéristiques de l’environnement d’affaires global et des motifs justifiant l’imposition d’obligations aux entreprises à l’égard de la sécurité et du contrôle des systèmes d’information. 19:30 à 19:45 2 Les différents types de systèmes juridiques et les types de droit Présentation magistrale des principaux systèmes juridiques et des types de droit 19:45 à 20:15 SÉANCE 1

Plan de la séance  Activités Objectifs Contenu Durée Pause 20:15 à 20:30 3 Savoir Sources de droit entourant la sécurité de l’information Présentation magistrale des différentes lois, accords et exigences d’industrie spécifiques à la sécurité de l’information. 20:30 à 21:00 4 Responsabilités et devoirs généraux de l’organisation relatifs à la sécurité de l’information Présentation magistrale des obligations générales auxquelles sont assujetties les organisations en matière de sécurité de l’information 21:00 à 21:15 SÉANCE 1

Plan de la séance Activités Objectifs Contenu Durée 5 Savoir-faire Validation des compétences (en équipe de 5 ou 6) À la lecture d’un texte décrivant l’environnement d’affaires d’une entreprise, l’étudiant identifie le type de droit applicable à la mise en situation et justifie sa réponse. L’étudiant doit être capable de répondre à des questions à choix multiples. 21:15 à 21:40 6 Savoir Conclusion/À faire pour le prochain cours 21:40 à 21:45 SÉANCE 1

Activité 1 L’environnement d’affaires global

Évolution des TI dans les organisations SÉANCE 1

Évolution des délits 1994 : OMC et mondialisation de l’économie 2001 : Attaques terroristes aux É-U 2001 et 2002: Fraudes financières de Enron et Worldcom et adoption de la loi Sarbanes-Oxley 2007-2010 : Crise financière mondiale 2007 : Début du dégonflement de la bulle immobilière 2008 : Faillite de Lehman Brothers 2009-2010 : Plans de relance économique suite au G-20 2011 et + : Généralisation de l’utilisation des transactions électroniques et paiements mobiles

Dépendance envers les TI 1998 : Panne chez AT&T 2000 : Virus ILOVEYOU 2003 : Panne électrique majeure aux É-U. et Canada 2007 : Storm Botnet 2010 : Attaque Aurora : Google, Microsoft et plusieurs pays attaqués 2012 : Global Payments et panne de systèmes bancaires au Canada 2011 : l’AMF ajoute une nouvelle catégorie aux risques d’entreprise à surveiller: le risque des technologies de l’information

Infrastructure essentielle Qu’est-ce qu’une infrastructure essentielle ? Les menaces aux infrastructures industrielles La cybersécurité et la défense nationale Les initiatives gouvernementales Stratégie nationale sur les infrastructures essentielles Centre canadien de réponse aux incidents cybernétiques (CCRIC) CanCERT US Cyber Command SÉANCE 1

L’organisation est-elle conforme ? (Gouvernance TI) Les gouvernements (lois et règlements) Le grand publique (sécurité et confidentialité) Les traités internationaux (Accords) Organismes professionnels (standards) Joueurs de l’industrie (règles d’industrie) le spécialise TI, l’auditeur TI (interne et/ou externe) SÉANCE 1

Activité 2 Systèmes juridiques et types de droit

Principaux systèmes juridiques Droit civil Puise ses origines dans le droit romain et constitue un système complet de règles, habituellement codifiées, qui sont appliquées et interprétés par des juges civils. Common Law Système bâti essentiellement sur les décisions des tribunaux (droit jurisprudentiel) par opposition au droit civiliste ou codifié. Droit coutumier Repose sur la coutume et les dispositions consacrées par l'usage, par exemple à l’égard des formes de possession ou d'usage des sols, les poids et mesures, les droits féodaux, les droits liés aux successions et au mariage, etc. Droit musulman Repose sur un système religieux trouvant sa source dans le Coran. Parfois appelé droit coranique. DROIT MIXTE

Systèmes juridiques

Le système juridique canadien Au Québec : système de droit mixte Droit privé (entre individus) = droit civil Droit public (entre État et individus) = common law Ailleurs au Canada : Common Law

Les branches de droit SÉANCE 1 INTERNE DROIT PUBLIC Droit constitutionnel Droit criminel et pénal Droit administratif PRIVÉ Droit civil INTERNATIONAL Conventions et règles entre pays Conflits de lois entre individus SÉANCE 1

Les branches de droit SÉANCE 1 INTERNE DROIT PUBLIC Droit constitutionnel Droit criminel et pénal Droit administratif PRIVÉ Droit civil SÉANCE 1

Droit interne PUBLIC PRIVÉ Droit constitutionnel Partage des pouvoirs et organisation du système fédéral Droit criminel ou pénal Répression des comportements nuisibles pour l’ensemble de la société Droit administratif Exercice des pouvoirs de l’État Droit civil Obligations contractuelles Propriété des biens Famille et successions Responsabilité civile délictuelle SÉANCE 1

Droit constitutionnel canadien Loi constitutionnelle 1867 Partage des pouvoirs et compétences législatives entre le gouvernement fédéral et les gouvernements provinciaux Compétences exclusives et compétences partagées Loi constitutionnelle de 1982 : Charte canadienne des droits et libertés Exclusion du Québec

Partage des pouvoirs législatifs Lois fédérales Télécommunications Banques et lettres de changes Droit criminel Commerce interprovincial Défense nationale Brevets et droits d’auteur Etc. Lois provinciales Droit civil Santé et services sociaux Éducation Propriété Administration de la justice Municipalités SÉANCE 1

Les tribunaux au Canada SÉANCE 1

Droit criminel et pénal DROIT PÉNAL Compétence fédérale exclusive de créer un crime, de l’assortir d’une peine et de voir à son exécution Issu principalement du Code criminel Canadien Peines d’emprisonnement pouvant aller jusqu’à perpétuité Provinces peuvent adopter des lois pénales seulement Infractions quasi-criminelles Punitions pour le non-respect d’un loi pénale provinciale peuvent inclure des amendes, des pénalités et l’emprisonnement SÉANCE 1

Différences Délit civil : Délit criminel : Individu c. individu ou organisation Preuve de probabilité prépondérante (> 50 %) Délit criminel : État (Procureur de la Couronne) c. individu Preuve hors de tout doute raisonnable (> 99.9%) SÉANCE 1

Droit administratif Régit l’exercice des pouvoirs de l’État Recours du citoyen lésé par l’État Tribunaux et commissions administratives: Commission d’appel des brevets Conseil de la radio-diffusion et des télécommunications canadiennes Commissariat à la protection de la vie privée du Canada SÉANCE 1

Les branches de droit SÉANCE 1 INTERNATIONAL DROIT PUBLIC Conventions et règles entre pays PRIVÉ Conflits de lois entre individus SÉANCE 1

Activité 3 Sources de droit entourant la sécurité de l’information SÉANCE 1

Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1

Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1

Au Canada Exigences de DIC Code civil du Québec et Chartes des droits et libertés Lois sur la protection de la vie privée Lois sur la protection du consommateur Code des professions et Lois professionnelles Utilisation des TI Loi visant l'élimination des pourriels sur les réseaux Internet et sans fil Loi concernant le cadre juridique des technologies de l’information Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou PIPEDA) SÉANCE 1

Au Canada Loi anti-pourriel du Canada Portée de la loi Principales obligations Exceptions Référence: http://combattrelepourriel.gc.ca/eic/site/030.nsf/fra/h_00230.html SÉANCE 1

Au Canada Loi concernant le cadre juridique des technologies de l’information Portée Principales obligations Exceptions Référence: http://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=2&file=//C_1_1/C1_1.htm SÉANCE 1

Au Canada Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou terme anglais = PIPEDA) Portée Principales obligations Exceptions Référence: http://lois-laws.justice.gc.ca/fra/lois/P-8.6/index.html SÉANCE 1

Aux États-Unis SÉANCE 1 Lois sur la protection de la privée Exigences de DIC Lois sur la protection de la privée Fair and Accurate Credit Transaction Act (FACTA), including Red Flags Rule Electronic Fund Transfer Act, Regulation E Gramm-Leach-Bliley Act Sarbanes-Oxley Utilisation des TI Electronic Communications Privacy Act Federal Rules of Civil Procedure (FRCP) Children's Online Privacy Protection Act SÉANCE 1

Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1

Règles et accords commerciaux PCI DSS Visa, Master Card et Interac Règlement 52-109 NERC CFR 11 SÉANCE 1

Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1

Accords internationaux Accord de Bâle & tenue de données Directive Européenne SÉANCE 1

Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1

Crimes informatiques au Canada Crimes purement informatiques Infractions qu’il serait impossible de perpétrer sans l’informatique Crimes utilisant l’informatique Infractions assistés par la technologie et pour lesquelles les lois sanctionnant l’activité illégale d’origine s’appliquent. Par contre, l’élément technologique deviendra une preuve importante et l’expertise de ces preuves servira à démontrer la commission de l’acte ou l’intention du délinquant. SÉANCE 1

Purement informatique Articles du code criminel : A 342.1 - Utilisation non autorisée d’ordinateur A 342.2 - Possession de moyens permettant d’utiliser un ordinateur A 430 (1.1) - Méfait concernant des données A 327 - Possession de moyens permettant d’utiliser des installations ou d’obtenir un service en matière de télécommunication A 184 - Interception des communications A 191 - Possession SÉANCE 1

Purement informatique Exemples : Défiguration de sites Web Piratage ou utilisation illicite de systèmes informatiques Infractions propres aux réseaux électroniques (attaques visant les systèmes d'information, le déni de service) Création et propagation malveillante de virus informatiques SÉANCE 1

Utilisant l’informatique Exemples : Pornographie juvénile Fraude Télémarketing frauduleux via Internet, vol d’identité, infractions économiques Incitation publique à la haine Diffusion de contenus illicites par voie électronique Trafic de drogue Vente de substances ou de produits illicites via Internet SÉANCE 1

Utilisant l’informatique Exemples : Falsifications informatiques Faux documents, escroqueries, fausses cartes de paiement Atteintes à la vie privé Collecte, stockage, modification, divulgation et la diffusion illicites de données à caractère personnel, Espionnage informatique Sabotage Piratage informatique, diffusion de virus SÉANCE 1

Utilisant l’informatique Exemples : Atteintes à la propriété intellectuelle Atteinte à la protection juridique des programmes d'ordinateur et des bases de données, du droit d'auteur et des droits voisins SÉANCE 1

Activité 4 Responsabilités et devoirs généraux de l’organisation en sécurité de l’information SÉANCE 1

Obligations générales liées à la SI Tirant sa source du Code civil du Québec Protection de la vie privée Diligence raisonnable (bon père de famille) Responsabilité des administrateurs Responsabilité civile délictuelle Responsabilité du fournisseur de service SÉANCE 1

Activité 5 Validation des compétences Développez votre savoir-faire

Ce que vous devez savoir-faire Pour vous mériter 2 points de participation ! Vous avez 25 minutes pour compléter l’exercice Utilisez le formulaire de réponse sur le site du cours (voir séance 1) Lisez le texte ABC Inc récidive et en équipe de 5 Répondez aux 6 questions et justifiez votre réponse Répondez aux 6 questions à choix multiples (QCM) Acheminer votre travail (1 feuille /équipe) à : david.senecal@hec.ca SÉANCE 1

Mini Cas - ABC inc. récidive L’entreprise ABC, incorporée en vertu de la Loi canadienne sur les société par actions , vend au détail de l’équipement scientifique. Son siège social est à Montréal et elle fait affaires partout au Canada. ABC confie à une compagnie américaine offrant de services applicatifs de gestion des relations clients en mode infonuagique (cloud) le mandat de gérer l’ensemble de ses dossiers clients. À part le bon de commande, aucun contrat écrit n’est signé et aucune mesure de sécurité particulière n’est exigée du fournisseur. ABC ne fait pas d’évaluation du risque associé à l’utilisation d’un tiers fournisseur. Le fournisseur américain est victime de piratage informatique et tous les dossiers clients contenant les renseignements personnels et les numéros de carte de crédit sont rendus publics. Au cours des semaines qui suivent, plusieurs clients de ABC se font voler leur identité. ABC fait l’objet d’une enquête par la Commission d’accès à l’information du Québec en vertu des articles 17, 91 et 93 de la Loi sur la protection des renseignements personnels dans le secteur privé. L’administrateur de ABC pourrait écoper d’une amende allant jusqu’à 100 000 $ car il s’agit de la 3e récidive de sa compagnie ABC. SÉANCE 1

Répondez et justifiez Est-ce que cette loi est de juridiction provinciale ou fédérale? Est-ce que la poursuite aurait plutôt due être intentée en vertu de LPRPDE ou PIPEDA, la loi fédérale, puisque ABC est une entreprise de charte fédérale faisant affaires partout au Canada? S’agit-il de droit criminel ou de droit pénal ? De quel type de tribunal s’agit-il ? Qui du procureur de la Couronne ou de ABC peut poursuivre le fournisseur ? Quel est le fardeau de preuve qui incombe à celui qui poursuit? SÉANCE 1

QCM - 6 questions L’audit traditionnel a évolué vers l’audit TI, pourquoi ? a. La prolifération des ordinateurs dans les orgranisations a affecté l’habileté de l’auditeur à réaliser la fonction d’attestation b. Les ordinateurs et le traitement de l’information n’étaient pas des ressources clés de l’organisation c. Les auditeurs ont grandit avec des ordinateurs à la maison, c’est don une prograssion normale d. Aucune de ces réponses SÉANCE 1

QCM - 6 questions L’audit TI inclut : a. L’audit de l’organisation TI b. L’audit des applications TI c. L’audit des processus de développement et de réalisation des TI d. Toutes ces réponses SÉANCE 1

QCM - 6 questions Qu’est-ce que COBIT a. Un langage machine b. Une agence fédérale c. Objectifs de contrôle de l’information et des technologies associées d. Aucune de ces réponses SÉANCE 1

QCM - 6 questions Que signifie ISACA a. Information Systems Security Association b. Institute of Internal Auditors c. Information Systems Audit and Control Association d. International Association for Computer Educators SÉANCE 1

QCM - 6 questions ISO c’est : a. Un organisme gouvernemental b. Une entreprise privée c. Un organism international de standardisation d. Aucune des réponses SÉANCE 1

QCM - 6 questions La loi fédérale américaine utilisée contre les prédateurs sexuels et les ‘’stalkers’’ de l’Internet se nomme : a. FIP 102 Computer Security and Accreditation b. National Strategy for Securing Cyberspace c. Computer Decency Act of 1995 d. Aucune de ces réponses SÉANCE 1

Activité 6 À faire pour la prochaine séance 

Séance 2 avec Shaher Kassim Lectures obligatoires Gallegos, F. et al. (2008). Information Technology Control and Audit, Fourth edition, Auerbach Publications. Chapitre 2, pages 35 à 43. Fiche d’information du Commissaire à la vie privée du Canada : Lois sur la protection des renseignements personnels au Canada : https://www.priv.gc.ca/resource/fs-fi/02_05_d_11_01_f.asp Roberge, N. (21 mars 2010). Les faussetés véhiculées sur Patriot Act et l’informatique en nuage : http://www.ovologic.com/2011/03/21/les-faussetes-vehiculees-sur-patriot-act-et-linformatique-en-nuage Synthèse de la législation de l’Union Européenne en matière de Protection des données, droits d’auteurs et droits voisins http://europa.eu/legislation_summaries/information_society/data_protection/index_fr.htm Protection des données à caractère personnel http://europa.eu/legislation_summaries/information_society/data_protection/l14012_fr.htm SÉANCE 1