Cadres réglementaires et de contrôle de la sécurité de l’information et des systèmes SÉANCE 1 Les fondements juridiques de la sécurité de l’information
Séance 1 - Objectifs pédagogiques Préparer l’étudiant à savoir différencier les systèmes juridiques et les sources de droit ; expliquer les principaux devoirs et obligations des organisations eu égard à la sécurité de l’information ; identifier les crimes informatiques en contexte. En développant un savoir-faire Mini – Cas : Identifiez le type de droit applicable à ABC inc et justifiez votre réponse QCM - Répondre à des questions à choix multiples SÉANCE 1
Plan de la séance Activités Objectifs Contenu Durée Savoir Savoir Présentation du cours Permettre à l’étudiant de comprendre le déroulement du cours et ce qui sera attendu de lui Brève présentation des étudiants pour permettre à l’enseignant de connaître son auditoire et gérer les attentes (i.e. : ce qui sera couvert ou non) 18:45 à 19:30 1 Environnement d’affaires global Présentation magistrale des caractéristiques de l’environnement d’affaires global et des motifs justifiant l’imposition d’obligations aux entreprises à l’égard de la sécurité et du contrôle des systèmes d’information. 19:30 à 19:45 2 Les différents types de systèmes juridiques et les types de droit Présentation magistrale des principaux systèmes juridiques et des types de droit 19:45 à 20:15 SÉANCE 1
Plan de la séance Activités Objectifs Contenu Durée Pause 20:15 à 20:30 3 Savoir Sources de droit entourant la sécurité de l’information Présentation magistrale des différentes lois, accords et exigences d’industrie spécifiques à la sécurité de l’information. 20:30 à 21:00 4 Responsabilités et devoirs généraux de l’organisation relatifs à la sécurité de l’information Présentation magistrale des obligations générales auxquelles sont assujetties les organisations en matière de sécurité de l’information 21:00 à 21:15 SÉANCE 1
Plan de la séance Activités Objectifs Contenu Durée 5 Savoir-faire Validation des compétences (en équipe de 5 ou 6) À la lecture d’un texte décrivant l’environnement d’affaires d’une entreprise, l’étudiant identifie le type de droit applicable à la mise en situation et justifie sa réponse. L’étudiant doit être capable de répondre à des questions à choix multiples. 21:15 à 21:40 6 Savoir Conclusion/À faire pour le prochain cours 21:40 à 21:45 SÉANCE 1
Activité 1 L’environnement d’affaires global
Évolution des TI dans les organisations SÉANCE 1
Évolution des délits 1994 : OMC et mondialisation de l’économie 2001 : Attaques terroristes aux É-U 2001 et 2002: Fraudes financières de Enron et Worldcom et adoption de la loi Sarbanes-Oxley 2007-2010 : Crise financière mondiale 2007 : Début du dégonflement de la bulle immobilière 2008 : Faillite de Lehman Brothers 2009-2010 : Plans de relance économique suite au G-20 2011 et + : Généralisation de l’utilisation des transactions électroniques et paiements mobiles
Dépendance envers les TI 1998 : Panne chez AT&T 2000 : Virus ILOVEYOU 2003 : Panne électrique majeure aux É-U. et Canada 2007 : Storm Botnet 2010 : Attaque Aurora : Google, Microsoft et plusieurs pays attaqués 2012 : Global Payments et panne de systèmes bancaires au Canada 2011 : l’AMF ajoute une nouvelle catégorie aux risques d’entreprise à surveiller: le risque des technologies de l’information
Infrastructure essentielle Qu’est-ce qu’une infrastructure essentielle ? Les menaces aux infrastructures industrielles La cybersécurité et la défense nationale Les initiatives gouvernementales Stratégie nationale sur les infrastructures essentielles Centre canadien de réponse aux incidents cybernétiques (CCRIC) CanCERT US Cyber Command SÉANCE 1
L’organisation est-elle conforme ? (Gouvernance TI) Les gouvernements (lois et règlements) Le grand publique (sécurité et confidentialité) Les traités internationaux (Accords) Organismes professionnels (standards) Joueurs de l’industrie (règles d’industrie) le spécialise TI, l’auditeur TI (interne et/ou externe) SÉANCE 1
Activité 2 Systèmes juridiques et types de droit
Principaux systèmes juridiques Droit civil Puise ses origines dans le droit romain et constitue un système complet de règles, habituellement codifiées, qui sont appliquées et interprétés par des juges civils. Common Law Système bâti essentiellement sur les décisions des tribunaux (droit jurisprudentiel) par opposition au droit civiliste ou codifié. Droit coutumier Repose sur la coutume et les dispositions consacrées par l'usage, par exemple à l’égard des formes de possession ou d'usage des sols, les poids et mesures, les droits féodaux, les droits liés aux successions et au mariage, etc. Droit musulman Repose sur un système religieux trouvant sa source dans le Coran. Parfois appelé droit coranique. DROIT MIXTE
Systèmes juridiques
Le système juridique canadien Au Québec : système de droit mixte Droit privé (entre individus) = droit civil Droit public (entre État et individus) = common law Ailleurs au Canada : Common Law
Les branches de droit SÉANCE 1 INTERNE DROIT PUBLIC Droit constitutionnel Droit criminel et pénal Droit administratif PRIVÉ Droit civil INTERNATIONAL Conventions et règles entre pays Conflits de lois entre individus SÉANCE 1
Les branches de droit SÉANCE 1 INTERNE DROIT PUBLIC Droit constitutionnel Droit criminel et pénal Droit administratif PRIVÉ Droit civil SÉANCE 1
Droit interne PUBLIC PRIVÉ Droit constitutionnel Partage des pouvoirs et organisation du système fédéral Droit criminel ou pénal Répression des comportements nuisibles pour l’ensemble de la société Droit administratif Exercice des pouvoirs de l’État Droit civil Obligations contractuelles Propriété des biens Famille et successions Responsabilité civile délictuelle SÉANCE 1
Droit constitutionnel canadien Loi constitutionnelle 1867 Partage des pouvoirs et compétences législatives entre le gouvernement fédéral et les gouvernements provinciaux Compétences exclusives et compétences partagées Loi constitutionnelle de 1982 : Charte canadienne des droits et libertés Exclusion du Québec
Partage des pouvoirs législatifs Lois fédérales Télécommunications Banques et lettres de changes Droit criminel Commerce interprovincial Défense nationale Brevets et droits d’auteur Etc. Lois provinciales Droit civil Santé et services sociaux Éducation Propriété Administration de la justice Municipalités SÉANCE 1
Les tribunaux au Canada SÉANCE 1
Droit criminel et pénal DROIT PÉNAL Compétence fédérale exclusive de créer un crime, de l’assortir d’une peine et de voir à son exécution Issu principalement du Code criminel Canadien Peines d’emprisonnement pouvant aller jusqu’à perpétuité Provinces peuvent adopter des lois pénales seulement Infractions quasi-criminelles Punitions pour le non-respect d’un loi pénale provinciale peuvent inclure des amendes, des pénalités et l’emprisonnement SÉANCE 1
Différences Délit civil : Délit criminel : Individu c. individu ou organisation Preuve de probabilité prépondérante (> 50 %) Délit criminel : État (Procureur de la Couronne) c. individu Preuve hors de tout doute raisonnable (> 99.9%) SÉANCE 1
Droit administratif Régit l’exercice des pouvoirs de l’État Recours du citoyen lésé par l’État Tribunaux et commissions administratives: Commission d’appel des brevets Conseil de la radio-diffusion et des télécommunications canadiennes Commissariat à la protection de la vie privée du Canada SÉANCE 1
Les branches de droit SÉANCE 1 INTERNATIONAL DROIT PUBLIC Conventions et règles entre pays PRIVÉ Conflits de lois entre individus SÉANCE 1
Activité 3 Sources de droit entourant la sécurité de l’information SÉANCE 1
Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1
Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1
Au Canada Exigences de DIC Code civil du Québec et Chartes des droits et libertés Lois sur la protection de la vie privée Lois sur la protection du consommateur Code des professions et Lois professionnelles Utilisation des TI Loi visant l'élimination des pourriels sur les réseaux Internet et sans fil Loi concernant le cadre juridique des technologies de l’information Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou PIPEDA) SÉANCE 1
Au Canada Loi anti-pourriel du Canada Portée de la loi Principales obligations Exceptions Référence: http://combattrelepourriel.gc.ca/eic/site/030.nsf/fra/h_00230.html SÉANCE 1
Au Canada Loi concernant le cadre juridique des technologies de l’information Portée Principales obligations Exceptions Référence: http://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=2&file=//C_1_1/C1_1.htm SÉANCE 1
Au Canada Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou terme anglais = PIPEDA) Portée Principales obligations Exceptions Référence: http://lois-laws.justice.gc.ca/fra/lois/P-8.6/index.html SÉANCE 1
Aux États-Unis SÉANCE 1 Lois sur la protection de la privée Exigences de DIC Lois sur la protection de la privée Fair and Accurate Credit Transaction Act (FACTA), including Red Flags Rule Electronic Fund Transfer Act, Regulation E Gramm-Leach-Bliley Act Sarbanes-Oxley Utilisation des TI Electronic Communications Privacy Act Federal Rules of Civil Procedure (FRCP) Children's Online Privacy Protection Act SÉANCE 1
Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1
Règles et accords commerciaux PCI DSS Visa, Master Card et Interac Règlement 52-109 NERC CFR 11 SÉANCE 1
Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1
Accords internationaux Accord de Bâle & tenue de données Directive Européenne SÉANCE 1
Principales sources de droit Disponibilité Lois et règlements d’application générale Intégrité Règles d’industrie et accords commerciaux Crimes informatiques Accords internationaux Confidentialité Codes criminels SÉANCE 1
Crimes informatiques au Canada Crimes purement informatiques Infractions qu’il serait impossible de perpétrer sans l’informatique Crimes utilisant l’informatique Infractions assistés par la technologie et pour lesquelles les lois sanctionnant l’activité illégale d’origine s’appliquent. Par contre, l’élément technologique deviendra une preuve importante et l’expertise de ces preuves servira à démontrer la commission de l’acte ou l’intention du délinquant. SÉANCE 1
Purement informatique Articles du code criminel : A 342.1 - Utilisation non autorisée d’ordinateur A 342.2 - Possession de moyens permettant d’utiliser un ordinateur A 430 (1.1) - Méfait concernant des données A 327 - Possession de moyens permettant d’utiliser des installations ou d’obtenir un service en matière de télécommunication A 184 - Interception des communications A 191 - Possession SÉANCE 1
Purement informatique Exemples : Défiguration de sites Web Piratage ou utilisation illicite de systèmes informatiques Infractions propres aux réseaux électroniques (attaques visant les systèmes d'information, le déni de service) Création et propagation malveillante de virus informatiques SÉANCE 1
Utilisant l’informatique Exemples : Pornographie juvénile Fraude Télémarketing frauduleux via Internet, vol d’identité, infractions économiques Incitation publique à la haine Diffusion de contenus illicites par voie électronique Trafic de drogue Vente de substances ou de produits illicites via Internet SÉANCE 1
Utilisant l’informatique Exemples : Falsifications informatiques Faux documents, escroqueries, fausses cartes de paiement Atteintes à la vie privé Collecte, stockage, modification, divulgation et la diffusion illicites de données à caractère personnel, Espionnage informatique Sabotage Piratage informatique, diffusion de virus SÉANCE 1
Utilisant l’informatique Exemples : Atteintes à la propriété intellectuelle Atteinte à la protection juridique des programmes d'ordinateur et des bases de données, du droit d'auteur et des droits voisins SÉANCE 1
Activité 4 Responsabilités et devoirs généraux de l’organisation en sécurité de l’information SÉANCE 1
Obligations générales liées à la SI Tirant sa source du Code civil du Québec Protection de la vie privée Diligence raisonnable (bon père de famille) Responsabilité des administrateurs Responsabilité civile délictuelle Responsabilité du fournisseur de service SÉANCE 1
Activité 5 Validation des compétences Développez votre savoir-faire
Ce que vous devez savoir-faire Pour vous mériter 2 points de participation ! Vous avez 25 minutes pour compléter l’exercice Utilisez le formulaire de réponse sur le site du cours (voir séance 1) Lisez le texte ABC Inc récidive et en équipe de 5 Répondez aux 6 questions et justifiez votre réponse Répondez aux 6 questions à choix multiples (QCM) Acheminer votre travail (1 feuille /équipe) à : david.senecal@hec.ca SÉANCE 1
Mini Cas - ABC inc. récidive L’entreprise ABC, incorporée en vertu de la Loi canadienne sur les société par actions , vend au détail de l’équipement scientifique. Son siège social est à Montréal et elle fait affaires partout au Canada. ABC confie à une compagnie américaine offrant de services applicatifs de gestion des relations clients en mode infonuagique (cloud) le mandat de gérer l’ensemble de ses dossiers clients. À part le bon de commande, aucun contrat écrit n’est signé et aucune mesure de sécurité particulière n’est exigée du fournisseur. ABC ne fait pas d’évaluation du risque associé à l’utilisation d’un tiers fournisseur. Le fournisseur américain est victime de piratage informatique et tous les dossiers clients contenant les renseignements personnels et les numéros de carte de crédit sont rendus publics. Au cours des semaines qui suivent, plusieurs clients de ABC se font voler leur identité. ABC fait l’objet d’une enquête par la Commission d’accès à l’information du Québec en vertu des articles 17, 91 et 93 de la Loi sur la protection des renseignements personnels dans le secteur privé. L’administrateur de ABC pourrait écoper d’une amende allant jusqu’à 100 000 $ car il s’agit de la 3e récidive de sa compagnie ABC. SÉANCE 1
Répondez et justifiez Est-ce que cette loi est de juridiction provinciale ou fédérale? Est-ce que la poursuite aurait plutôt due être intentée en vertu de LPRPDE ou PIPEDA, la loi fédérale, puisque ABC est une entreprise de charte fédérale faisant affaires partout au Canada? S’agit-il de droit criminel ou de droit pénal ? De quel type de tribunal s’agit-il ? Qui du procureur de la Couronne ou de ABC peut poursuivre le fournisseur ? Quel est le fardeau de preuve qui incombe à celui qui poursuit? SÉANCE 1
QCM - 6 questions L’audit traditionnel a évolué vers l’audit TI, pourquoi ? a. La prolifération des ordinateurs dans les orgranisations a affecté l’habileté de l’auditeur à réaliser la fonction d’attestation b. Les ordinateurs et le traitement de l’information n’étaient pas des ressources clés de l’organisation c. Les auditeurs ont grandit avec des ordinateurs à la maison, c’est don une prograssion normale d. Aucune de ces réponses SÉANCE 1
QCM - 6 questions L’audit TI inclut : a. L’audit de l’organisation TI b. L’audit des applications TI c. L’audit des processus de développement et de réalisation des TI d. Toutes ces réponses SÉANCE 1
QCM - 6 questions Qu’est-ce que COBIT a. Un langage machine b. Une agence fédérale c. Objectifs de contrôle de l’information et des technologies associées d. Aucune de ces réponses SÉANCE 1
QCM - 6 questions Que signifie ISACA a. Information Systems Security Association b. Institute of Internal Auditors c. Information Systems Audit and Control Association d. International Association for Computer Educators SÉANCE 1
QCM - 6 questions ISO c’est : a. Un organisme gouvernemental b. Une entreprise privée c. Un organism international de standardisation d. Aucune des réponses SÉANCE 1
QCM - 6 questions La loi fédérale américaine utilisée contre les prédateurs sexuels et les ‘’stalkers’’ de l’Internet se nomme : a. FIP 102 Computer Security and Accreditation b. National Strategy for Securing Cyberspace c. Computer Decency Act of 1995 d. Aucune de ces réponses SÉANCE 1
Activité 6 À faire pour la prochaine séance
Séance 2 avec Shaher Kassim Lectures obligatoires Gallegos, F. et al. (2008). Information Technology Control and Audit, Fourth edition, Auerbach Publications. Chapitre 2, pages 35 à 43. Fiche d’information du Commissaire à la vie privée du Canada : Lois sur la protection des renseignements personnels au Canada : https://www.priv.gc.ca/resource/fs-fi/02_05_d_11_01_f.asp Roberge, N. (21 mars 2010). Les faussetés véhiculées sur Patriot Act et l’informatique en nuage : http://www.ovologic.com/2011/03/21/les-faussetes-vehiculees-sur-patriot-act-et-linformatique-en-nuage Synthèse de la législation de l’Union Européenne en matière de Protection des données, droits d’auteurs et droits voisins http://europa.eu/legislation_summaries/information_society/data_protection/index_fr.htm Protection des données à caractère personnel http://europa.eu/legislation_summaries/information_society/data_protection/l14012_fr.htm SÉANCE 1