Intégration des objectifs de contrôle et des assertions utilisées dans les domaines respectifs de l’attestation financière externe et de la sécurité des TI

Réal Guertin, CA
RSI au Ministère du tourisme

Notes biographiques
Dans son cheminement d’emploi et de formation, dans les secteurs de la vérification externe ou comme responsable de la sécurité des informations pour les ministères où il a travaillé, M. Guertin a toujours maintenu un développement de carrière autour du sujet des environnements de contrôle et de leur audit.
Essentiellement, il s’est intéressé à la gouvernance des TI, aux activités de surveillance, aux notions de domaines de confiance, au standard d’architecture gouvernementale de la sécurité des informations, aux aspects de la Loi sur le cadre juridique des technologies de l’information, à différents référentiels de pratiques et finalement il a adapté le modèle de risque canadien (fixation du niveau d’importance relative et du niveau de confiance globale) au cœur de la stratégie de sécurité dans un contexte de catégorisation des actifs informationnels.
La maîtrise des notions de risque inhérent et de risque de non contrôle et le développement de diverses méthodes et outils d’évaluation des actifs informationnels dans lequel j’ai participé, m’amène aujourd’hui à me servir de ces concepts dans un cadre permettant de dégager une source de certitude, l’expression d’une opinion sur la fiabilité des registres, ou une appréciation de la qualité ou de la sûreté de fonctionnement des mécanismes de contrôle.
Il poursuit actuellement sa démarche afin de faire partager le fruit de ses expériences en matière de contrôle interne et de vérification d’environnement informatique. Il participe depuis fort longtemps avec les organismes centraux du gouvernement du Québec à la redéfinition des activités de surveillance des organisations, le tout, dans un projet d’ensemble, notamment en matière de sécurité des informations et de gouverne des TI. Ces travaux ont permis le développement de plusieurs outils depuis ce temps. Avec le temps, il a été amené à proposer des orientations, des stratégies, des outils et moyens avec les diverses directions ministérielles dont il a travaillé, ainsi qu’avec l’ensemble des partenaires sectoriels concernés. (Organismes centraux et autres)

Description de la conférence
Concrètement la démarche présentée visera à faire les rapprochements de la notion de niveau de confiance global utilisée aux fins de l’attestation financière et la notion de domaine de confiance utilisée dans le modèle de l’AGSI (architecture gouvernementale de la sécurité des informations au GQ).

Le modèle de risque canadien, l’ICCA et les normes de vérification généralement reconnues, la norme ISO27002 dans le domaine de la sécurité de l’information (jumelée à un référentiel de pratiques comme Méhari du CLUSIF), les processus opérationnels de l’ISACA notamment ceux portant sur l’usage de grille de classification des systèmes, lesquels nous permet de faire ressortir une évaluation des niveaux de risques inhérents pour un système donné, la note d’orientation de l’ICCA sur la détermination de critères d’importance relative à partir de critères qualitatifs, le modèle de gestion de l’architecture gouvernementale de la sécurité des informations au GQ, sont tous des outils qui seront présentés dans une démarche permettant une vision globale pour le développement d’un référentiel de vérification dans un environnement TI avec une caractéristique particulière : la disparition des documents papiers empêchant d’opter pour une stratégie traditionnelle de vérification à partir de la corroboration aux pièces comptables traditionnelles.

La gouvernance des TI est rendu telle, qu’elle oblige à des changements à faire au niveau des stratégies de vérification traditionnelle, lesquels posent des défis de taille, tant au niveau de la gouvernance et des activités de surveillance d’une organisation, qu’au niveau de la gestion et du suivi des risques en sécurité. Tout ceci, repose sur un modèle de confiance pour l’obtention d’une information fiable et utile à la prise de décision. La performance des organisations, la certification des processus, le développement de la prestation électronique sont tous des enjeux important à ce niveau.

L’élaboration d’un dossier de vérification type dans des environnements TI sans papier et même l’élaboration d’un nouveau référentiel de vérification adapté pour ces types d’environnements est devenu un enjeu de taille à l’heure où les technologies de l’information évoluent si rapidement. Les besoins pour la gouvernance des TI, les stratégies d’optimisation rendues nécessaires et le soutien d’une évidence de preuve en quantité et en qualité suffisante, au soutien des dossiers des vérificateurs externes pour permettre la certification, est devenu un impératif.