1
00:00:00,000 --> 00:00:02,420
Alan Bellec: Est-ce que la
cybersécurité te fait peur?

2
00:00:03,420 --> 00:00:04,490
La cybersécurité et la
sécurité de l'information.

3
00:00:05,861 --> 00:00:09,606
C'est l'affaire de tous et c'est
surtout un enjeu de leadership.

4
00:00:09,968 --> 00:00:14,040
On démystifie ensemble les quelques
éléments pour te donner les clés

5
00:00:14,160 --> 00:00:18,800
de la gouvernance sans jargon afin
que tu puisses enfin piloter ta

6
00:00:18,800 --> 00:00:23,030
sécurité de l'information au lieu
de la subir et reste jusqu'au bout.

7
00:00:23,120 --> 00:00:24,430
J'ai un petit cadeau pour toi.

8
00:00:51,948 --> 00:00:52,708
Aujourd'hui.

9
00:00:53,058 --> 00:00:54,118
Je veux te donner.

10
00:00:54,653 --> 00:00:59,043
Les clés pour que tu disposes des
éléments pour une meilleure prise de

11
00:00:59,043 --> 00:01:01,563
décision en sécurité de l'information.

12
00:01:02,023 --> 00:01:06,103
Je vais expliquer quelques fondamentaux
de base qui sont nécessaires pour

13
00:01:06,103 --> 00:01:11,666
mieux comprendre le tout les prémices
pour une gouvernance simple et

14
00:01:11,666 --> 00:01:15,436
durable que tu pourras faire évoluer
après par la suite dans le temps

15
00:01:15,926 --> 00:01:17,616
même sans être un expert technique.

16
00:01:18,446 --> 00:01:21,436
Et puis pourquoi la
formation de tes équipes?

17
00:01:21,566 --> 00:01:23,036
Ça va être ton meilleur atout.

18
00:01:24,036 --> 00:01:30,490
Je sais que c'est un domaine qui peut
être compliqué lorsque l'on n'a pas cette

19
00:01:30,530 --> 00:01:33,724
affinité avec les termes techniques.

20
00:01:34,176 --> 00:01:39,337
Cependant, c'est loin d'être quelque chose
qui est réservé vécu aux experts parce que

21
00:01:39,337 --> 00:01:42,067
tu vas vouloir protéger ton organisation.

22
00:01:42,567 --> 00:01:46,928
Et s'il y a un élément qu'il
faut retenir, c'est surtout la

23
00:01:46,928 --> 00:01:48,648
notion d'appétence au risque.

24
00:01:49,648 --> 00:01:52,348
Donc ton rôle là dedans, il
n'est pas du tout technique.

25
00:01:52,718 --> 00:01:54,288
Il va être stratégique.

26
00:01:54,900 --> 00:01:58,190
Combien de risques tu es prêt à
prendre pour atteindre tes objectifs?

27
00:01:59,190 --> 00:01:59,890
C'est vraiment ça.

28
00:01:59,890 --> 00:02:01,820
La question qu'il faut
se poser aujourd'hui.

29
00:02:02,820 --> 00:02:05,810
Il y a beaucoup de dirigeants
qui voient la cybersécurité.

30
00:02:05,810 --> 00:02:09,643
Et la sécurité de l'information, ou
d'ailleurs pour eux, c'est souvent

31
00:02:09,643 --> 00:02:11,933
le même mot comme un centre de coûts.

32
00:02:12,933 --> 00:02:14,653
Un coût technologique.

33
00:02:15,062 --> 00:02:18,422
Or là dedans, il y a deux
erreurs déjà cybersécurité

34
00:02:18,422 --> 00:02:20,252
et sécurité de l'information.

35
00:02:20,252 --> 00:02:22,322
C'est deux éléments distincts.

36
00:02:23,322 --> 00:02:27,202
Alors oui, comme système
d'information et technologie

37
00:02:27,202 --> 00:02:30,632
d'information, il y a un amalgame
qui est fait et des abus de langage.

38
00:02:31,382 --> 00:02:35,862
Qui a parfois quand on n'est pas
spécialiste, nous mêle pourtant,

39
00:02:35,982 --> 00:02:40,992
comme je le disais dans l'épisode
un  c'est deux choses distinctes et

40
00:02:40,992 --> 00:02:42,382
l'une est imbriquée dans l'autre.

41
00:02:42,925 --> 00:02:45,989
Donc la cybersécurité et la
sécurité de l'information.

42
00:02:46,102 --> 00:02:47,462
C'est un investissement.

43
00:02:47,492 --> 00:02:50,332
C'est un investissement dans la
continuité des affaires, dans la

44
00:02:50,332 --> 00:02:55,282
pérennité de ton organisation et
dans la confiance avec des clients.

45
00:02:56,292 --> 00:03:01,342
Il y a quelques années de ça, j'étais
dans un dans une direction des systèmes

46
00:03:01,342 --> 00:03:07,342
d'information et on nous a demandé de
mettre en place une nouvelle application.

47
00:03:08,342 --> 00:03:13,902
La direction de cette organisation là a
complètement délégué la notion du risque

48
00:03:14,222 --> 00:03:19,342
au niveau de notre équipe, l'équipe
TI et nous, on a fait notre travail.

49
00:03:20,342 --> 00:03:22,932
On a mis l'application, on a sécurisé.

50
00:03:23,872 --> 00:03:29,162
On a tellement bien sécurisé que le jour
de la mise en production, l'application

51
00:03:29,162 --> 00:03:31,022
ne fonctionnait pas tout simplement.

52
00:03:32,022 --> 00:03:36,336
Donc, cette expérience m'a gravé
quelque part sur la peau que

53
00:03:36,560 --> 00:03:40,200
sécurité de l'information, c'est
l'affaire de tous et c'est surtout

54
00:03:40,230 --> 00:03:42,480
une affaire au niveau des leaders.

55
00:03:43,475 --> 00:03:48,305
Ils doivent s'impliquer pour indiquer
les risques qu'ils sont prêts à prendre.

56
00:03:49,035 --> 00:03:50,725
C'est quelque chose de très important.

57
00:03:51,725 --> 00:03:55,385
Et quand on parle de risque aujourd'hui,
le risque, c'est pas un incident

58
00:03:55,385 --> 00:03:58,715
de sécurité en lui même ou une
attaque, une attaque informatique.

59
00:03:59,715 --> 00:04:02,715
Car ça, ça arrivera des incidents
et des attaques, c'est sûr.

60
00:04:02,765 --> 00:04:03,595
Il va y en avoir.

61
00:04:04,255 --> 00:04:05,305
On sait juste pas quand.

62
00:04:05,935 --> 00:04:11,595
Mais le point important c'est est ce
que tu es préparé à subir une attaque

63
00:04:11,645 --> 00:04:13,565
est ce que tu es préparé à te relever.

64
00:04:13,565 --> 00:04:18,775
Est ce que tu es préparé à gérer
cette situation et aller de l'avant

65
00:04:18,805 --> 00:04:23,425
et à minimiser l'impact, surtout
de l'impact sur ton image et que tu

66
00:04:23,425 --> 00:04:26,851
puisses continuer à livrer tes clients
En temps et lieu parce que c'est

67
00:04:26,851 --> 00:04:28,541
important d'avoir cette continuité.

68
00:04:28,851 --> 00:04:33,691
Aujourd'hui là, sur une échelle de un à
10 où est ce que tu te situe par rapport à

69
00:04:33,691 --> 00:04:39,951
ton niveau de confort ta connaissance avec
le sujet de la sécurité de l'information.

70
00:04:40,951 --> 00:04:42,501
Peut être entre un et cinq.

71
00:04:42,501 --> 00:04:46,491
Si tu n'as jamais travaillé là
dedans autour de cinq, si on a eu

72
00:04:46,491 --> 00:04:51,341
un petit peu, tu as eu quelques
sensibilisation et que tu gères

73
00:04:51,341 --> 00:04:53,081
quelques risques dans ton organisation.

74
00:04:53,366 --> 00:04:56,186
et peut être qu'aujourd'hui toi t
as à 10, parce que tu as l'habitude

75
00:04:56,416 --> 00:05:01,806
de gérer ce genre de cas que tu es
noyé par des demandes de personnes

76
00:05:01,806 --> 00:05:04,696
justement qui sont très spécialisée en
sécurité de l'information parce que ton

77
00:05:04,696 --> 00:05:06,503
organisation est là dedans au quotidien.

78
00:05:07,503 --> 00:05:11,173
Je ne vais pas te faire une
liste de toutes les attaques qui

79
00:05:11,173 --> 00:05:14,053
a pu avoir ces derniers temps
de toutes les méthodologies.

80
00:05:14,053 --> 00:05:15,163
On n'est pas là pour ça.

81
00:05:15,743 --> 00:05:17,783
Cependant, sache que c'est
quand même des milliards de

82
00:05:17,783 --> 00:05:20,183
données qui sont dans la nature.

83
00:05:20,183 --> 00:05:23,093
C'est des milliards qui fuient par
an, surtout ces dernières années.

84
00:05:23,703 --> 00:05:28,629
Et si tu veux en savoir plus, je mettre
un lien dans la description sur Le site

85
00:05:28,629 --> 00:05:36,265
Information is Beautiful tu vas pouvoir
voir le graphique ou tu as le nombre de

86
00:05:36,265 --> 00:05:40,165
de données qui ont fuitées été dans les
plus grosses fuites de ces derniers temps.

87
00:05:40,775 --> 00:05:43,925
on va continuer sur les
différents éléments.

88
00:05:44,045 --> 00:05:47,685
Et il y a quelques éléments de base
que je voudrais que tu comprennes.

89
00:05:48,685 --> 00:05:54,988
Pour faciliter la suite dans ta prise
de décision, dans ta mise en action par

90
00:05:54,988 --> 00:05:56,718
rapport à la sécurité de l'information.

91
00:05:57,398 --> 00:06:01,876
Déjà termes les définitions que je vais te
donner, ce sont des définitions qu'on le

92
00:06:01,876 --> 00:06:08,798
retrouve de manière quasi identiques, dans
plusieurs normes référentielle, ou acteur

93
00:06:08,798 --> 00:06:14,248
majeur de la sécurité de l'information
qui publie des guides dans ces acteurs.

94
00:06:14,248 --> 00:06:21,708
On va retrouver l'organisme iso avec
la famille 27 000 qui te donne une

95
00:06:21,713 --> 00:06:25,498
vraiment une vision internationale au
niveau de la sécurité de l'information.

96
00:06:26,433 --> 00:06:30,693
Tu vas avoir ISACA qui
est plus nord Amérique.

97
00:06:31,353 --> 00:06:37,203
Tu as le NIST qui est très américain,
mais que situé en Europe ou au

98
00:06:37,203 --> 00:06:43,104
Canada et que tu vends à certains
départements  public au niveau des

99
00:06:43,104 --> 00:06:48,884
états-unis est tu à l'obligation de
suivre certains éléments du NIST.

100
00:06:49,404 --> 00:06:51,504
Tu vas retrouver l'ANSSI en France.

101
00:06:51,504 --> 00:06:55,248
Tu vas retrouver le ministère
de la cybersécurité,  et du

102
00:06:55,248 --> 00:07:00,368
numérique au niveau du Québec sur
un équivalent aussi côté canadien.

103
00:07:00,737 --> 00:07:05,887
Ils ont tous une image la sécurité de
l'information similaire et après, c'est

104
00:07:05,887 --> 00:07:11,382
un peu de teinté à leur couleur et
ainsi tu tournes côté Québec et Europe.

105
00:07:11,752 --> 00:07:14,472
Tu vas aussi retrouver toutes les
tout ce qui tourne autour de la

106
00:07:14,472 --> 00:07:21,402
loi 25 et du RGPD par rapport à la
sécurité des renseignements personnels.

107
00:07:22,402 --> 00:07:25,442
Et toi ton besoin est peut être
aussi côté marketing, par exemple

108
00:07:25,442 --> 00:07:27,792
aller chercher un ISO 27001.

109
00:07:28,242 --> 00:07:30,642
Pour certains, c'est quelque
chose de purement marketing.

110
00:07:31,692 --> 00:07:32,272
Là dedans.

111
00:07:32,272 --> 00:07:34,752
Les trois piliers que tu vas retrouver.

112
00:07:35,792 --> 00:07:39,722
C'est: Disponibilité,
confidentialité et intégrité.

113
00:07:40,722 --> 00:07:46,012
Tu vas avoir besoin de t'assurer que
ta donnée est disponible au bon moment.

114
00:07:46,242 --> 00:07:49,492
Il faut aussi que tu t'as assure
que cette donnée est confidentielle.

115
00:07:49,492 --> 00:07:52,322
Ce n'est pas n'importe qui,
qui a un accès à cette donnée.

116
00:07:53,322 --> 00:07:57,772
Et tu vas aussi t'assurer quand
tu consultes cette donnée et bien

117
00:07:57,772 --> 00:08:01,406
qu'elle est véridique, que c'est la
bonne qu'elle n'a pas été modifiée.

118
00:08:01,932 --> 00:08:04,716
Donc, une fois que  trois
éléments de base.

119
00:08:05,716 --> 00:08:10,836
Toute ta réflexion pour ta gouvernance,
pour la classification de tes

120
00:08:10,836 --> 00:08:14,856
données, l'analyse de ton risque,
ça va toujours tourner autour

121
00:08:14,856 --> 00:08:16,449
de ces trois principes de base.

122
00:08:17,449 --> 00:08:19,329
Il y a des fois, tu vas
vouloir que certaines données,

123
00:08:19,569 --> 00:08:20,429
elles soient disponibles.

124
00:08:20,699 --> 00:08:23,926
24 h sur 24, il n'y a pas
de négociation possible.

125
00:08:23,986 --> 00:08:25,586
C'est disponible tout le temps.

126
00:08:26,586 --> 00:08:27,306
Il y a certaines données.

127
00:08:27,306 --> 00:08:30,386
Tu veux qu'elles soient ultra
confidentielle seulement que quelques

128
00:08:30,386 --> 00:08:31,706
personnes puissent y avoir accès.

129
00:08:32,706 --> 00:08:36,946
Puis côté intégrité, en général, on
veut que ce soit intègre en tout temps.

130
00:08:36,946 --> 00:08:39,786
Donc tu vas mettre des outils
qui permettent de restaurer si

131
00:08:39,786 --> 00:08:42,686
tu aperçois qu'il y a un problème
d'intégrité sur certaines données.

132
00:08:43,329 --> 00:08:46,409
Tout à l'heure, je te disais
qu'il y avait une problématique

133
00:08:46,409 --> 00:08:50,099
avec le terme, cybersécurité
et sécurité de l'information.

134
00:08:50,309 --> 00:08:53,639
Il y a un amalgame qui est souvent
en fait ça, c'est le deuxième

135
00:08:53,639 --> 00:08:55,979
point que je veux venir éclaircir.

136
00:08:56,979 --> 00:08:57,639
Quand on parle.

137
00:08:57,639 --> 00:08:59,349
Cybersécurité.

138
00:08:59,556 --> 00:09:03,546
C'est un peu l'équivalent de ce que
je disais dans l'épisode un avec

139
00:09:03,546 --> 00:09:06,826
la technologie de l'information,
la cybersécurité, ça s'applique à

140
00:09:06,826 --> 00:09:08,336
la technologie de l'information.

141
00:09:09,336 --> 00:09:13,876
On est vraiment sur comment sécuriser
un environnement technologique

142
00:09:13,876 --> 00:09:15,746
avec des outils technologiques.

143
00:09:16,746 --> 00:09:19,146
C'est la même chose que
technologie de l'information.

144
00:09:19,961 --> 00:09:23,581
L'informatique fait partie
du système d'information.

145
00:09:24,581 --> 00:09:28,391
Eh bien, là, la cybersécurité fait partie
de la sécurité de l'information, ce

146
00:09:28,391 --> 00:09:30,361
quand on veut sécuriser son information.

147
00:09:31,111 --> 00:09:35,531
On va venir sécuriser aussi bien
une information d'un point de vue

148
00:09:35,601 --> 00:09:40,341
numérique que d'un point de vue
papier, ou encore avec les humains,

149
00:09:40,601 --> 00:09:44,591
ce que pour rappelle l'élément de
base de ton système d'information.

150
00:09:45,001 --> 00:09:46,721
Eh bien, ce sont les humains.

151
00:09:47,741 --> 00:09:53,673
j'avais rencontré un client qui pensait
qui était vraiment correctement sécurisé.

152
00:09:54,673 --> 00:10:00,623
Cette anecdote là va t'aider à comprendre
un peu la différence et l'enjeu qui

153
00:10:00,623 --> 00:10:03,987
pensait qu'il était bien sécurisé parce
qu'il avait mis   Tout ce qu'il fallait

154
00:10:03,987 --> 00:10:05,937
en termes d'outils technologiques.

155
00:10:06,937 --> 00:10:13,890
Donc, il avait mis un Firewall, un pare
feu qui vient bloquer les potentielles

156
00:10:13,890 --> 00:10:15,380
attaques qui viennent de l'extérieur.

157
00:10:15,380 --> 00:10:19,890
Donc c'est une barrière sécurité
qui t'empêche de rentrer.

158
00:10:20,890 --> 00:10:23,220
À l'intérieur de ton de ton réseau.

159
00:10:23,800 --> 00:10:30,353
Il avait mis des outils pour détecter
de potentielles actions malveillantes

160
00:10:30,877 --> 00:10:34,307
qui peuvent être si jamais un attaquant
était rentré dans le système et qui

161
00:10:34,367 --> 00:10:37,347
commençait à extraire de la donnée.

162
00:10:37,417 --> 00:10:40,917
Il y avait des outils pour
analyser certains comportements.

163
00:10:41,917 --> 00:10:43,877
Ça peut être aussi un logiciel
directement qui l'aurait fait.

164
00:10:43,877 --> 00:10:46,487
Donc là, c'est plus en
mode peut être antivirus.

165
00:10:47,487 --> 00:10:51,987
Donc il avait des outils technologiques
et on a commencé à analyser avec

166
00:10:51,987 --> 00:10:54,377
des collègues son son environnement.

167
00:10:55,377 --> 00:11:00,027
Là dedans, on s'est aperçu que
le vrai risque au final était

168
00:11:00,027 --> 00:11:04,637
sur le fait que ces informations
circulaient en clair dans son système.

169
00:11:05,457 --> 00:11:06,067
Il y avait.

170
00:11:06,797 --> 00:11:11,077
Aucune limite, aucune règle, tout
pouvait être modifié n'importe comment.

171
00:11:12,037 --> 00:11:16,997
Et en discutant avec lui, on a, on
a creusé un petit peu et on s'est

172
00:11:16,997 --> 00:11:21,177
aperçu qu'il y avait des prises de
décision qui avaient été faites sur

173
00:11:21,177 --> 00:11:27,467
des des données erronées parce que
modifiées au mauvais moment dans

174
00:11:27,467 --> 00:11:29,157
un processus qui n'était pas clair.

175
00:11:29,927 --> 00:11:32,423
Donc oui, là dedans, il y
a beaucoup d'éléments Qui

176
00:11:32,593 --> 00:11:34,053
pouvait être pointés du doigt.

177
00:11:34,963 --> 00:11:40,653
Mais l'essentiel est que il y avait
des gens qui avaient des accès qui

178
00:11:40,653 --> 00:11:47,393
n'auraient pas dû avoir et ça a
mené à des décisions qui n'ont pas

179
00:11:47,393 --> 00:11:50,193
été aussi qu'elle aurait pu l'être.

180
00:11:51,193 --> 00:11:52,153
Donc c'est pour ça.

181
00:11:52,153 --> 00:11:53,253
Si je reviens.

182
00:11:53,253 --> 00:11:55,213
La sécurité de l'information.

183
00:11:55,363 --> 00:12:02,023
Ça te permet de prendre des décisions
sur des données qui vont être fiables.

184
00:12:03,023 --> 00:12:07,023
Et ça, ça vient jouer pour ta
business pour ton organisation.

185
00:12:07,023 --> 00:12:10,113
Si tu es efficient dans ta prise
de décision, si tu veux t'assurer

186
00:12:10,613 --> 00:12:13,893
que tu fais les bons choix, il faut
que tu t'assure que t'as donnée.

187
00:12:13,923 --> 00:12:16,063
Elle est correcte quand
tu vas la consulter.

188
00:12:17,063 --> 00:12:23,428
Et si jamais as des enjeux de ce côté
là, t'invite à auditer quelque part, un

189
00:12:23,428 --> 00:12:25,448
petit peu ton système, tes processus.

190
00:12:25,938 --> 00:12:31,038
Comment comment ça se passe dans ton
organisation au niveau de ta prise de

191
00:12:31,038 --> 00:12:37,048
décision et n'hésite pas à me contacter
parce qu'on pourra échanger sur ce sujet.

192
00:12:37,048 --> 00:12:39,338
Et puis je pourrais peut être t'aider.

193
00:12:39,843 --> 00:12:44,813
À aller plus loin et à sécuriser
et à renforcer partie au

194
00:12:44,813 --> 00:12:46,483
niveau de ton organisation.

195
00:12:47,483 --> 00:12:51,420
Le deuxième point que je
voulais aborder avec toi, donc,

196
00:12:51,420 --> 00:12:53,300
c'est l'aspect de gouvernance.

197
00:12:53,330 --> 00:12:58,240
Je vais essayer de te donner quelques
clés qui vont te permettre de commencer

198
00:12:58,240 --> 00:13:01,810
à mettre en place quelque chose
qui va être intéressant pour toi.

199
00:13:02,810 --> 00:13:07,274
Il y a quelques notions qui
sont importantes  avoir avec la

200
00:13:07,344 --> 00:13:11,544
disponibilité, la confidentialité
de l'intégrité des données.

201
00:13:12,544 --> 00:13:18,614
Il faut se poser des questions de qui
a besoin de savoir quoi ça c'est ce

202
00:13:18,614 --> 00:13:21,054
qu'on va appeler la gestion des accès.

203
00:13:21,554 --> 00:13:26,514
Dans chaque outil que tu as que
ce soit quelque chose de numérique

204
00:13:26,624 --> 00:13:31,314
ou de physique, tu vas te poser
des questions qui a besoin d'avoir

205
00:13:31,314 --> 00:13:34,404
accès à tel endroit à tel document.

206
00:13:34,841 --> 00:13:41,188
exemple, si on prend le cas d'un
laboratoire de recherche, salle

207
00:13:41,188 --> 00:13:42,858
blanche dans ce laboratoire.

208
00:13:43,358 --> 00:13:46,368
Ce n'est pas tous les chercheurs qui
vont avoir accès à cette salle blanche.

209
00:13:46,398 --> 00:13:49,528
Ce sont les chercheurs qui travaillent
sur le projet qui est dans cette salle

210
00:13:49,528 --> 00:13:55,188
blanche qui vont pouvoir venir travailler
et faire leurs expérimentations au

211
00:13:55,188 --> 00:13:57,528
niveau de la salle blanche en question.

212
00:13:58,221 --> 00:14:01,571
Là, c'est pareil avec les données,
il faut avoir et les logiciels.

213
00:14:01,571 --> 00:14:08,411
Il faut avoir cette réflexion, cette
notion de gestion de la gouvernance.

214
00:14:08,961 --> 00:14:13,961
Et on peut même étendre plus loin ce
questionnement en se posant la question

215
00:14:14,871 --> 00:14:17,621
parce qu'il y a des notions aussi de
réglementation qui viennent jouer là

216
00:14:17,621 --> 00:14:23,461
dedans ou est ce que je stop ma donnée
chez qui chez quel fournisseur m'a donnée

217
00:14:23,461 --> 00:14:26,341
se retrouve, est ce qu'elle est en Europe.

218
00:14:26,341 --> 00:14:27,551
Est ce qu'elle est au Canada.

219
00:14:27,581 --> 00:14:29,891
Est ce qu'elle va rester
au Québec est ce que c'est.

220
00:14:29,921 --> 00:14:31,441
Amazon qui est derrière est ce que c'est.

221
00:14:31,441 --> 00:14:33,291
Google est ce que c'est un acteur local.

222
00:14:34,086 --> 00:14:38,646
Qui est plus respectueux de la
protection des renseignements personnels.

223
00:14:39,646 --> 00:14:42,026
Donc ça, c'est des éléments
qu'il faut regarder.

224
00:14:42,716 --> 00:14:44,556
on n'a pas besoin d'être très technique.

225
00:14:44,556 --> 00:14:49,839
Il faut juste prendre le temps d'aller
lire les politiques politique générales

226
00:14:49,839 --> 00:14:54,229
de sécurité de l'information ou les
conditions d'utilisation clients ou

227
00:14:54,229 --> 00:14:55,849
les politiques de confidentialité.

228
00:14:55,849 --> 00:14:59,356
Certains ont des livres blancs par rapport
à la sécurité de l'information  ou on

229
00:14:59,356 --> 00:15:02,436
va pouvoir retrouver ce type détail.

230
00:15:03,436 --> 00:15:03,906
Alors tout ça.

231
00:15:03,906 --> 00:15:04,746
Oui, c'est un peu long.

232
00:15:04,746 --> 00:15:09,576
C'est pour ça que parfois on va
faire appel à des des spécialistes en

233
00:15:09,676 --> 00:15:13,203
protection niveau de la sécurité de
l'information, Dans tous les cas, toi,

234
00:15:13,203 --> 00:15:17,483
de ton côté, tu dois nommer minimale un
protecteur des renseignements personnels.

235
00:15:18,063 --> 00:15:21,156
Et si ce n'est pas fait, je
t'invite à le faire rapidement.

236
00:15:21,624 --> 00:15:25,014
Parce que cette personne là, c'est celle
qui va être contactée si jamais taas.

237
00:15:25,306 --> 00:15:26,476
Un utilisateur.

238
00:15:26,876 --> 00:15:28,316
Ça peut être une personne à l'interne.

239
00:15:28,316 --> 00:15:33,016
Ça peut être une personne à l'externe
qui va venir demander qu'est ce que t'as

240
00:15:33,016 --> 00:15:35,266
comme renseignement personnel sur moi?

241
00:15:35,446 --> 00:15:36,626
Il va falloir que tu y réponde.

242
00:15:37,126 --> 00:15:40,956
Lorsque tu commences à avoir atteint une
certaine taille ou que tu as des besoins

243
00:15:41,306 --> 00:15:46,446
plus spécifiques ou tout simplement que
tu veux faire un bilan de là ou tu en

244
00:15:46,446 --> 00:15:49,356
es et que tu veux avoir une roadmap.

245
00:15:49,386 --> 00:15:53,046
Donc indiquer sur une ligne du temps
les étapes à suivre pour atteindre

246
00:15:53,046 --> 00:15:54,636
un niveau de sécurité voulu.

247
00:15:55,496 --> 00:16:00,782
Tu peux faire appel à  personnes
qu'on appelle des directeurs de la

248
00:16:00,782 --> 00:16:03,142
sécurité des systèmes d'information.

249
00:16:03,672 --> 00:16:11,429
On va souvent trouver le terme C I S O
CISO, qui des personnes spécialisées en

250
00:16:11,429 --> 00:16:13,739
gouvernance des systèmes d'information.

251
00:16:14,519 --> 00:16:17,079
Puis ça, tu peux les prendre
de manière fractionnée.

252
00:16:17,629 --> 00:16:21,549
Donc fractionnée, ça veut dire qu'ils
vont venir, par exemple, une ou deux

253
00:16:21,549 --> 00:16:25,219
journées par semaine sur six mois sur
un an dans ton d'organisation, pour

254
00:16:25,219 --> 00:16:28,939
regarder tous ces aspects et aider à
rédiger toute la bonne documentation.

255
00:16:29,509 --> 00:16:34,099
Vérifier que les processus sont corrects
autour de la sécurité de l'information et

256
00:16:34,129 --> 00:16:39,739
t'aider à dans la conduite du changement
au niveau de ton personnel pour.

257
00:16:39,924 --> 00:16:43,115
Inculquer justement notions
de sécurité de l'information.

258
00:16:43,405 --> 00:16:55,893
Et je t'invite à aller sur mon site web
https://holistiquesi.ca/expertise-executive-fractionnee

259
00:16:56,738 --> 00:16:58,438
avec deux e à la fin.

260
00:16:58,488 --> 00:17:03,398
Tu peux pouvoir consulter l'information
par rapport à qu'est ce que c'est

261
00:17:03,398 --> 00:17:07,988
une expertise exécutive fractionnée
et tu vas avoir plus de détails par

262
00:17:07,988 --> 00:17:10,982
rapport au rôle de   fractionné.

263
00:17:11,676 --> 00:17:17,392
Donc ce quelques éléments là par rapport
à la gouvernance, surtout côté gestion

264
00:17:17,392 --> 00:17:20,062
des accès et ou est ce que tu vas mettre.

265
00:17:20,679 --> 00:17:22,939
Il y a un autre élément qui
est important à avoir en tête.

266
00:17:22,939 --> 00:17:24,319
C'était sauvegarde de données.

267
00:17:25,109 --> 00:17:29,679
Alors oui, là c'est peut être un petit
peu plus technique, mais ça, si tu

268
00:17:29,679 --> 00:17:34,419
reviens à ta notion d'intégrité de
disponibilité, c'est ta sauvegarde

269
00:17:34,419 --> 00:17:40,069
qui va te permettre de garder à
ces deux éléments là au top du top.

270
00:17:40,189 --> 00:17:43,339
Et ça, ça va se régler avec.

271
00:17:43,399 --> 00:17:47,939
une analyse de ton environnement ou
tu vas pouvoir indiquer quelles sont

272
00:17:47,939 --> 00:17:50,689
tes données et applications métier.

273
00:17:50,689 --> 00:17:53,889
Application business qui sont
les plus critiques pour toi.

274
00:17:54,889 --> 00:17:59,429
Le troisième point,
c'est le facteur humain.

275
00:18:00,429 --> 00:18:06,969
Je te disais en introduction que c'est
quelque chose qui est important et que

276
00:18:06,969 --> 00:18:11,039
c'est un peu ta ta clé de voûte, parce
qu'aujourd'hui je vais te poser quelques

277
00:18:11,039 --> 00:18:13,589
questions et tu vas comprendre rapidement.

278
00:18:14,389 --> 00:18:19,639
Donc qui ouvre le plus de courriels,
ma c'est, tout simplement tes employés

279
00:18:20,479 --> 00:18:24,499
qui peut changer les informations
bancaires pour effectuer un paiement.

280
00:18:25,459 --> 00:18:30,769
Encore tes employés à chaque fois,
ça va toujours être la même chose.

281
00:18:31,129 --> 00:18:33,289
Ce sont des personnes que tu as.

282
00:18:34,264 --> 00:18:40,784
À l'interne qui n'ont pas forcément
conscience de l'impact complète

283
00:18:40,784 --> 00:18:46,014
de certains gestes et cliquer
sur un lien dans un courriel qui

284
00:18:46,014 --> 00:18:49,621
est considéré comme un courriel
d'hameçonnage   qui est là pour

285
00:18:49,621 --> 00:18:53,051
récupérer des identifiants de connexion.

286
00:18:53,671 --> 00:18:57,901
Ou courriel qui est créé
spécifiquement pour faire une fraude.

287
00:18:58,581 --> 00:19:01,921
Donc fraude au patron ou
à fraude au président.

288
00:19:02,476 --> 00:19:06,126
Ça c'est des choses qui arrivent
très régulièrement, puis ça

289
00:19:06,126 --> 00:19:08,316
vise clairement des employés.

290
00:19:08,316 --> 00:19:13,676
Donc les employés, le facteur humain,
il faut transformer ce maillon faible

291
00:19:13,676 --> 00:19:17,536
en maillon fort et ça va passer par.

292
00:19:18,261 --> 00:19:24,548
De l'apprentissage parce que si tu donnes
les clés du château à l'ensemble de

293
00:19:24,548 --> 00:19:30,471
toutes les personnes, mais que tu ne leur
indique pas comment tu fais pour fermer

294
00:19:30,471 --> 00:19:36,520
les portes à clés, comment tu installes
tout ce qui pourrait piège et  le pont?

295
00:19:36,520 --> 00:19:36,810
Levis.

296
00:19:37,810 --> 00:19:41,790
Bah t'as beau avoir créé la meilleure
des forteresses, ça reste quelque

297
00:19:41,790 --> 00:19:42,950
chose de complètement ouvert.

298
00:19:43,950 --> 00:19:47,390
Donc c'est important d'arriver avec.

299
00:19:47,730 --> 00:19:53,610
Des utilisateurs qui vont avoir un
minimum de sensibilité pour qu'ils

300
00:19:53,610 --> 00:20:00,349
puissent avoir les bons réflexes au
niveau de l'utilisation globale du système

301
00:20:00,349 --> 00:20:04,389
d'information et qui l'utilise de la bonne
manière pour que toi tu aille des bonnes

302
00:20:04,389 --> 00:20:06,459
données pour une bonne prise de décision.

303
00:20:07,459 --> 00:20:10,689
Je vais te donner déjà en bonus.

304
00:20:10,689 --> 00:20:12,269
Là, je vais t'en donner un petit peu plus.

305
00:20:12,837 --> 00:20:17,757
Il y a quelques actions très rapides
que tu peux prendre pour commencer à

306
00:20:17,757 --> 00:20:19,369
renforcer La sécurité de l'information.

307
00:20:20,116 --> 00:20:21,936
Tu peux commencer en utilisant.

308
00:20:22,436 --> 00:20:26,766
Un mécanisme d'authentification
qui s'appelle l'authentification

309
00:20:26,796 --> 00:20:28,246
multi facteur.

310
00:20:29,196 --> 00:20:31,576
C'est sûrement quelque chose
que tu as déjà entendu.

311
00:20:31,616 --> 00:20:33,916
Souvent, on entend l'acronyme MFA.

312
00:20:34,355 --> 00:20:38,575
Donc c'est à dire que tu vas donner un
identifiant, peut être ton courriel.

313
00:20:38,635 --> 00:20:40,055
Tu vas mettre un mot de passe.

314
00:20:40,305 --> 00:20:43,185
Donc là, on a déjà deux éléments.

315
00:20:43,753 --> 00:20:46,333
Quand turé ton mot de
passe, tu vas recevoir une

316
00:20:46,333 --> 00:20:48,053
notification sur ton téléphone.

317
00:20:48,053 --> 00:20:50,783
On va te demander de rentrer un code ou
tu vas aller chercher un code dans une

318
00:20:50,783 --> 00:20:57,563
application spécifique, un code temporaire
ou tu as plusieurs facteurs pour prouver

319
00:20:57,563 --> 00:20:59,263
que tu es bien la bonne personne.

320
00:21:00,263 --> 00:21:00,973
Puis ça.

321
00:21:00,973 --> 00:21:04,643
Tu peux même aller plus loin avec une
authentification sans mot de passe

322
00:21:04,643 --> 00:21:08,233
ou là tu peux avoir un code QR qui
va être présent avec ton téléphone.

323
00:21:08,233 --> 00:21:12,923
Tu vas venir le scanner dans
ton téléphone là à l'application

324
00:21:12,923 --> 00:21:16,365
d'authentification comme  Google
authent tort qui va être présent?

325
00:21:17,045 --> 00:21:20,625
Ou au travers d'un gestionnaire de mot
de passe avec ça, que ça va te permettre

326
00:21:20,625 --> 00:21:23,575
d'identifier que tu es bien la bonne
personne et que tu as droit te connecter

327
00:21:23,665 --> 00:21:26,985
dans l'environnement et d'ailleurs
l'authentification sans mot de passe.

328
00:21:27,015 --> 00:21:28,755
C'est quelque chose qui va
être de plus en plus présent.

329
00:21:29,755 --> 00:21:31,445
Donc je parlais d'un
gestionnaire de mot de passe.

330
00:21:31,475 --> 00:21:34,645
Ça c'est quelque chose
d'important à voir aujourd'hui.

331
00:21:35,155 --> 00:21:40,855
Et si tu n'en as pas, je t'invite à
commencer à regarder pour en prendre un.

332
00:21:41,855 --> 00:21:48,395
Et tu peux aller consulter ma page
sur https://holistiquesi.ca/motde

333
00:21:49,475 --> 00:21:50,745
passe tout attaché.

334
00:21:51,355 --> 00:21:55,485
Donc holistique si point
c slash mot de passe.

335
00:21:56,182 --> 00:21:57,502
Tu peux aller regarder.

336
00:21:57,502 --> 00:22:01,800
J'ai listé quelques  outils qui
permettent justement d'avoir une

337
00:22:01,800 --> 00:22:03,440
meilleure gestion des mots de passe.

338
00:22:03,690 --> 00:22:05,250
Et ça, ça va te faciliter la vie.

339
00:22:06,250 --> 00:22:08,880
Et le dernier élément, tu peux
prendre action tout de suite.

340
00:22:08,880 --> 00:22:12,450
C'est ce que je disais précédemment
dans la partie facteur humain, c'est

341
00:22:12,450 --> 00:22:17,110
d'aller former tes utilisateurs et
il ne faut pas hésiter à faire des

342
00:22:17,110 --> 00:22:21,220
petites sessions de formation, faire
des rappels à tes politiques et on

343
00:22:21,220 --> 00:22:26,060
peut regarder ensemble même pour mettre
en place un webinar 101 qui va donner

344
00:22:26,190 --> 00:22:31,070
les clés, les essentiels pour que tes
utilisateurs adoptent les bons réflexes.

345
00:22:32,070 --> 00:22:34,950
Donc, j'espère que maintenant, sur
une échelle de l'indice, j'espère que

346
00:22:34,950 --> 00:22:36,200
tu es arrivé un petit peu plus loin.

347
00:22:36,360 --> 00:22:39,310
Tu arrivé au niveau des cinq et que
tu vas pouvoir commencer à avoir une

348
00:22:39,310 --> 00:22:45,320
meilleure vision par rapport à la sécurité
de l'information et la cybersécurité.

349
00:22:46,250 --> 00:22:48,850
C'est donc quelques notions
de base et quelques éléments.

350
00:22:49,275 --> 00:22:55,625
Par rapport à la gouvernance et aussi
que tes employés, c'est vraiment

351
00:22:55,665 --> 00:23:00,465
important que tu prennes le temps de les
former, de les informer correctement par

352
00:23:00,465 --> 00:23:02,645
rapport à la sécurité de l'information.

353
00:23:03,548 --> 00:23:05,818
Je t'ai promis un bonus.

354
00:23:05,858 --> 00:23:09,718
Donc ce bonus, c'est tout simplement
un kit que tu vas pouvoir.

355
00:23:10,173 --> 00:23:10,853
Télécharger.

356
00:23:11,853 --> 00:23:16,882
Dans ce kit il y a notamment une
politique de sécurité de l'information.

357
00:23:17,353 --> 00:23:22,533
Il y a aussi un one pager que tu vas
pouvoir remettre à tes employés qui sont

358
00:23:22,533 --> 00:23:26,727
quelques éléments de base par rapport
à la sécurité de ton environnement.

359
00:23:27,206 --> 00:23:28,726
au moment ou je fais cet enregistrement.

360
00:23:28,726 --> 00:23:33,596
Je n'ai pas fini de  réaliser ce
kit, donc il y aura sûrement d'autres

361
00:23:33,596 --> 00:23:39,806
surprises à l'intérieur  et tu vas
pouvoir le récupérer sur le site web

362
00:23:41,936 --> 00:23:49,546
https://sio.holistiquesi.ca/guidessi101
tout attaché.

363
00:23:50,296 --> 00:23:52,956
Donc, si au point holistique.

364
00:23:53,956 --> 00:24:01,556
Si point c a barre oblique guide s i
sans un   Donc le lien va être dans la

365
00:24:01,556 --> 00:24:06,961
description et si tu le souhaites, je
pourrais aussi t'accompagner pour aller

366
00:24:06,961 --> 00:24:11,721
plus loin par rapport à la sécurité de
l'information dans ton environnement, en

367
00:24:11,721 --> 00:24:17,171
gardant toujours en tête que l'objectif,
c'est que tu puisses mieux performer au

368
00:24:17,171 --> 00:24:20,551
niveau de ton système d'information, que
ce soit un vrai levier de croissance.

369
00:24:20,791 --> 00:24:24,111
La sécurité d'information doit
être à ton service, tout comme

370
00:24:24,111 --> 00:24:25,421
le système d'information.

371
00:24:26,256 --> 00:24:31,886
Si tu as aimé de cet épisode, je t'invite
à mettre un commentaire et à le noter

372
00:24:31,916 --> 00:24:33,846
sur les plateformes que tu utilises.

373
00:24:34,637 --> 00:24:41,262
Tu vas retrouver la semaine prochaine
l'épisode trois, qui va être au niveau

374
00:24:41,262 --> 00:24:43,002
d'un, commencer à faire un audit.

375
00:24:43,002 --> 00:24:47,382
Regardez les signaux faibles par rapport
à ton environnement pour commencer à

376
00:24:47,382 --> 00:24:49,772
détecter des possibilités d'amélioration.

377
00:24:50,666 --> 00:24:52,716
Et donc tu peux aussi
me faire des retours.

378
00:24:52,718 --> 00:24:59,040
tu peux m'envoyer un courriel et je
te remercie pour ton écoute,   je

379
00:24:59,040 --> 00:25:00,840
te souhaite un bon vent numérique.