SlideShare ist ein Scribd-Unternehmen logo

La gestion du risque et de la sécurité en mode Agile

Agile Montréal
Agile Montréal

Avec un humour certain, le présentateur aborde la gestion du risque et de la sécurité dans les projets Agile de même que certains points de vue des différents intervenants face à ces sujets. Avec un sérieux assumé, il nous propose des pistes de solutions pour que nos projets Agile intègrent les deux éléments si souvent négligés mais, ô combien, essentiels pour que l’équipe puisse finalement se féliciter! Réjean Rhéaume

Leadership & Management
1 von 46
Downloaden Sie, um offline zu lesen
© 2019 CGI inc. Confidentiel© 2019 Le groupe CGI inc. Gestion du risque et de la sécurité dans les projets Réjean Rhéaume MBA, Adm.A., CISA, CRISC, CGEIT, CCIPA, CCVM, ISO 27001 LA Directeur-conseil – Expert Agile Tour, Montréal, 2019 © 2019 CGI inc.
© 2019 CGI inc. Confidentiel Une diapo pour se souvenir de tout… • Disponibilité • Intégrité • Confidentialité Sécurité « DIC » • Impact • Menace • Vulnérabilité « I*M*V » Risque Action • Détection • Protection • Réponse • Recouvrement « DPR2 » 2 Variantes RIPDICfan Fiabilité Authentification Non répudiation
© 2019 CGI inc. Confidentiel La sécurité en mode Agile… 3 Nous allons essayer quelque chose appelé programmation Agile. Cela signifie moins de planification et de documentation. Commencez juste à écrire du code et à vous plaindre. Je suis content qu'il ait un nom. C’était votre formation.
© 2019 CGI inc. Confidentiel La sécurité vs Agile? • « La méthode Agile est un prétexte pour aller vite et ne pas faire de la gestion de risque… » Est-ce vrai? • « Je suis un expert de sécurité et j’ai de la difficulté à vivre avec la méthode Agile. Cela me frustre. » • « Nous avons des manières de faire éprouvées et la méthode Agile est incompatible avec nos processus… » 4
© 2019 CGI inc. Confidentiel La sécurité vs Agile? • Comment arriver à certifier, avant la livraison finale au client, qu’un système est sécuritaire, qu’il rencontre toutes les exigences de sécurité alors que ce même système va être spécifié, construit, testé et mis en production par morceaux, par étapes ? • Est-ce un problème ou une opportunité pour notre approche de sécurité? • Faudrait-il revoir notre processus d’intégration habituel de la sécurité dans les projets pour le rendre plus vivable? 5
© 2019 CGI inc. Confidentiel Source: http://spiresecurity.com/?p=507 (traduction) Propriétaire Contre-mesure Vulnérabilité Risque ActifsMenace Agent de menace possède veut diminuer diminue impose peut être au courant réduit par amène qui implique qui implique qui accroit qui exploite veut abuser met en œuvre Vraisemblance généralement difficile à évaluer Le grand dessein de sécurité 6 • Expertise? • Motivation? • Opportunité? • Groupe?
© 2019 CGI inc. Confidentiel La sécurité dans les projets c’est quoi? 7 L’intégration de la sécurité dans les projets est une méthode pour réaliser les actions « sécurité » pour s’assurer que les risques soient atténués (ou acceptés) Concevoir ConstruireÉvaluer Maintenir Une analyse de risque formalise… Besoins d’affaires Solution TI Risques bruts à réduire Mesures de sécurité à mettre en œuvre Risques résiduels acceptés par les affaires PDCA
© 2019 CGI inc. Confidentiel La sécurité en « V » 8 Ca tient la route facilement, on suit le courant de la rivière. On se colle sur le cycle de projet et on fait la sécurité en même temps que le reste, on teste en même temps, on livre le tout en même temps. Besoins Conception Implantation Vérification MaintenanceProjet Analyse des besoins de sécurité + conformité Analyse de risque Mise en œuvre des solutions de sécurité Recette globale Gouvernance Audit de sécurité Séparation des tâches Choix des mesures Risques résiduels Sécurité
© 2019 CGI inc. Confidentiel La sécurité en mode Agile 9 Mais en mode Agile ça ne peut pas fonctionner comme ça... AGILE « V » Délai « idéal » de mise en œuvre d’une évolution Court Moyen ou long Stabilité des besoins Instable Stable
© 2019 CGI inc. Confidentiel La sécurité en mode Agile 10 Équipe Scrum Scrum Master Sprint Review MVP Minimal Viable Product Autres (PM, etc.) Rythme d’itérations élevé Absence de compétences sécurité lors des réunions Ils ne se sentent pas impliqués Peu sensibilisée aux bonnes pratiques de sécurité Le produit continue d’évoluer après la livraison Client Fonctionnalités peu connues au début du projet
© 2019 CGI inc. Confidentiel Le grand principe de la solution 11 Adaptez le niveau de sécurité aux enjeux du projet au niveau du MVPx, de façon itérative Le niveau de sécurité va monter progressivement, mais surtout commencer au bon niveau Réajustez les objectifs de sécurité à chaque itération
© 2019 CGI inc. Confidentiel Un exemple (très simple sinon simpliste…) 12 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification file:///Users/CGI/test/test.html Allo! Un « hacker » s'empare de la page? • Impact pour l'entreprise = nul (pour cette page là! Pas pour le reste…) • Système non en production • Sécurité minimum! MVP1
© 2019 CGI inc. Confidentiel Un exemple (très simple sinon simpliste…) • Dans le projet en « V », l'affichage de cette page n'aurait jamais pu se faire • Il aurait fallu que : • l'ensemble du système soit homologué • le système de sécurité complet des serveurs soit mis en place... • Même si cette solution sécuritaire porte sur 1% des fonctions développées… • 99% de fonctions sont encore non développées 13
© 2019 CGI inc. Confidentiel Un exemple (très simple sinon simpliste…) 14 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification MVP2 file:///Users/CGI/test/test.html Allo! https://cgitestexterne.com/test/test.html Allo! Identifiez-vous! Usager: xxxx Mot de passe: xxxx Un « hacker » s'empare de la page? • Impact pour l'entreprise = limité • Serveur externe non relié à nos systèmes en production Un nom d’usager / mot de passe est suffisant!
© 2019 CGI inc. Confidentiel file:///Users/CGI/test/test.html Allo! https://cgi.com/test.html Allo! Identifiez-vous! Usager: xxxx Mot de passe: xxxx Un exemple (très simple sinon simpliste…) 15 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification MVP3 Un « hacker » s'empare de la page? • Impact pour l'entreprise = fort • Serveur relié à nos systèmes en production Un nom d’usager / mot de passe et un 2FA sont nécessaires!
© 2019 CGI inc. Confidentiel ATTENTION! 16 Bâtissez sur vos fondations N’enlevez jamais une brique d’en dessous Faites des tests de régression Intégrez un spécialiste sécurité dès le début
© 2019 CGI inc. Confidentiel 17 En intégrant la sécurité dès le départ… Besoins en contrôle de sécurité MVP1 MVP2 MVP3 Produit final Départ Test 1 Test 2 Test 3 Évolution du projet Un plus grand effort est demandé à la sécurité pour diviser ses contrôles au début du projet
© 2019 CGI inc. Confidentiel Le coût de ne pas le faire tôt? 18 Effort Phases Habilité à influencer les coûts et la capacité fonctionnelle Coûts de changements Source: Patrick MacLeamy (HOK) Épargne potentielle
© 2019 CGI inc. Confidentiel Quelques pistes de solutions 19 • Sensibilisation de l’équipe Projet • Protection des documents Projet et des données de tests • Sécurisation de l’architecture de développement • Déploiement des outils de tests de sécurité • Revue d’architecture • Durcissement de la base • Sécurité de l’hébergement • Intégration de la sécurité dans les ateliers de conception (couvrant au minimum : données, flux, transactions, accès) • Test unitaire de sécurité / revue de code • Correction des codes • Sécuriser la mécanique du projet • Connaître les exigences de sécurité dès le départ • Déterminer la granularité des exigences • Pas de « Big Bang » • La solution de sécurité ne doit pas être disproportionnée vs le MPV 1 2 3
© 2019 CGI inc. Confidentiel Le gros avantage? 20 Vous faites un audit en continue Vous prouvez vos avancements au fil de l’eau…
© 2019 CGI inc. Confidentiel Et maintenant le risque… 21© 2019 CGI inc. Ça, c'est le numéro trente-six. Je ne comprends pas ces risques. Risque 1: Indécision Risque 2: Sur-analyse Risque 3: Ignorance Risque 4: Micro-gestion Risque 5: … Nous aurions besoin d'une analyse de risque sur ce projet avant de pouvoir l'approuver.
© 2019 CGI inc. Confidentiel Définitions… (officielles et « langage courant »…) 22 Le risque se définit comme la probabilité d'un événement et ses conséquences. La gestion des risques est l'utilisation de processus, méthodes et outils pour gérer ces risques. © 2019 CGI inc. Quelque chose de mauvais pourrait arriver… C’est paraître intelligent en prenant des chances
© 2019 CGI inc. Confidentiel Risque = Menace x VulnérabilitéImpact x( ) Risque 23 Un risque c’est…
© 2019 CGI inc. Confidentiel Probabilité, vraisemblance ou « likehood » Rapidité ou « velocity » Risque = Menace x Vulnérabilité ( )Contre-mesure* Contre-mesure* * Contre-mesure = « contrôles » « Valeur » de l’actif attaqué Initiation Succès Efficacité Prédisposition? Sévérité? Omniprésence? Facilité de découverte? Facilité d’exploitation? Connue? Détection de l’intrusion? Risque 24 Impact x Un risque c’est…
© 2019 CGI inc. Confidentiel Probabilité, vraisemblance ou « likehood » Risque = Menace x Vulnérabilité Rapidité ou « velocity » ( )Contre-mesure* Contre-mesure* * Contre-mesure = « contrôles » ?  Risque 25 Impact x Probabilité, vraisemblance ou « likehood » « Valeur » de l’actif attaqué Initiation Succès Efficacité Prédisposition? Sévérité? Omniprésence? Facilité de découverte? Facilité d’exploitation? Connue? Détection de l’intrusion? Un risque c’est…
© 2019 CGI inc. Confidentiel Risque = Impact x Probabilité Productivité Réponse Remplacement Amendes et jugements Avantage compétitif Réputation • Technique ou affaires? • Criticité (DIC) • Coût ou financière • Sensibilité • Embarras • Avantage compétitif • Légal-Règlementaire • Conformité Actif Perte Valeur Risque  26 Un risque c’est…
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 27© 2019 CGI inc.
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 30 • « Humain » • Préjugé • Attitude • Propension naturelle • Biais cognitif* © 2019 CGI inc. * Déviation systématique de la pensée logique et rationnelle par rapport à la réalité • Confiance • Manque d’imagination • Habitudes • Vie compliquée
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 29 1922Niels Bohr L’électron est là! 1) Le risque, c’est précis! (!) L’électron est quelque part par là! Chaque science « exacte » est basée sur des approximations Erwin Schrödinger1922 1933
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 30 2) Souvent, seul le « buffer » est pris en compte dans la solution Cumul des expositions au risque • Avec ce calcul nous finirons par avoir une belle courbe de distribution • Ce qui implique que: soyez assuré que le tiers de vos projets seront soit en retard soit sous- budgété Méthode de la chaîne critique (CCPM ou Critical Chain Project Management) • Le « buffer » est la différence entre le temps « au plus tôt » et le temps « au plus tard » • Le client voudra « au plus tôt », les ressources « au plus tard »… • On montrera au client « au plus tard » et aux les ressources « au plus tôt »… © 2019 CGI inc. Méthode PO4PP6 (« pocat-pépésix » via Planning Poker notamment) « Buffer » = Pessimiste – ((Optimiste + (4 x Probable) + Pessimiste) / 6) Méthode 15% On ajoute 15%
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 31 La prémisse que l’on a est que la valeur des ressources est la même avant le « buffer » qu’après (ou pendant)… C’est faux! “The calculation of buffer size considering activity schedule risk” N. Cui & J. Hao, Huazhong University, 2017 © 2019 CGI inc.
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 32 Analogie avec des travaux routiers • Pourquoi passons-nous devant des travaux routiers où rien ne semble se faire? • Nous attendons en file indienne pour pouvoir passer ces travaux et cela nous enrage… pourquoi? © 2019 CGI inc.
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 33 3) On préfère se dire que la gestion du risque c’est compliqué Il y a 93,75% de chances que la médiane d'une population se situe entre les valeurs les plus petites et les plus grandes dans un échantillon aléatoire de cinq personnes de cette population © 2019 CGI inc. Étant donné le maximum d'incertitude quant à une proportion de la population (telle que vous pensez que la proportion pourrait être comprise entre 0% et 100%, toutes les valeurs étant également vraisemblable), il y a 75% de chances qu'un seul échantillon choisi au hasard appartienne à la majorité de la population. www.hubbardresearch.com La règle du 5 La règle du simple échantillon
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 34 3) On préfère se dire que la gestion du risque c’est compliqué © 2019 CGI inc. www.hubbardresearch.com C’est la vérité mathématique qui contredit l'intuition L’incertitude d’une donnée annule souvent celle d’une autre Le paradoxe des anniversaires Dans un groupe de 25 personnes, il y a plus de 50% de chance que deux personnes aient leur anniversaire le même jour. Pour un groupe de 50 personnes, c’est 95% ! Pour un groupe de 57 personnes, c’est 99% !
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 35 Estimation de Fermi © 2019 CGI inc. Combien d’accordeurs de piano à Chicago ? Population de la région métropolitaine de Chicago 9 000 000 Nombre de foyer (2 personnes/foyer) 4 500 000 Nombre de piano (Un foyer sur 20 possède un piano) 225 000 Nombre d'accordage / an 1 Nombre d'accordage total 225 000 Heures de travail par jour par accordeur 8 Nombre de jours / semaine 5 Nombre de semaines travaillées par an 48 Nombre d'heures travaillées par an par accordeur 1 920 Temps requis (heure) pour l'accordage (incluant transport) 2 Nombre de piano accordé / an / accordeur 960 Nombre d'accordeur de piano total 234 Nombre réel d'accordeur (2009) 290 National Archives Identifier: 558578
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 36 Minimiser les pertes Maximiser les gains 1 10 * Petit sondage à faire… © 2019 CGI inc. Vous recevez 5 000$ tout de suite Pile: Vous recevez 20 000$ Face: Vous payez 10 000$ Même espérance de gain 4) Le votre profil de joueur dans les affaires
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 37 -60 -40 -20 0 20 40 60 80 100 Il faut réduire l’écart-type Factor Analysis of Information Risk (FAIR) modèle pour comprendre, analyser et quantifier les risques liés aux informations en termes financiers. 5) Le risque est trop large ISO31000 Brainstorming Entretiens Delphi Liste de contrôles Analyse préliminaire du danger HAZOP ICHIKAWA 5P/5M/5W Risques environnementaux SWIFT Scénarios Impact sur l’activité Causes profondes Modes de défaillance et leurs effets Arbre de panne Arbres d’événements Causes-conséquences Causes et effets LOPA Monte-Carlo Arbre de décision Fiabilité humaine Nœud papillon Maintenance basée sur la fiabilité Analyse transitoire Markov Réseaux de Bayes Courbes FN Indices de risque Matrice conséquence / probabilité Coût / bénéfice ADCM
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 38 Pensez à utiliser une méthode statistique de gestion de risque telle que la Simulation Monte Carlo* Elle est de plus en plus utilisée de nos jours malgré son âge… * Nicholas Metropolis 1947 © 2019 CGI inc. http://quantmleap.com/blog/2009/10/monte-carlo-simulation-for-dummies/
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 39 • Peu importe la complexité ou la singularité de votre problème de mesure, supposez qu’il a déjà été mesuré auparavant. • Si vous êtes débrouillard, vous pouvez probablement trouver plus de sources de données que vous ne le pensiez au début. • Vous avez probablement besoin de moins de données que votre intuition ne vous le dit. “How to measure anything in cybersecurity risk” D.W. Hubbard & R. Seiersen, Wiley, 2017 © 2019 CGI inc. “If you know almost nothing, almost anything will tell you something.”
© 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 6) On ne tient pas assez compte du risque intégré… Mettez-vous dans la peau du client, pouvez-vous répondre à ces questions? Puis… des premières questions à nous poser: • Dans quelle mesure le projet est-il en phase avec les préoccupations du client? • Qu'est-ce qui pourrait faire dérailler le projet que nous allons commencer? • Quel risque ai-je tendance à sous-estimer ? • Puis-je nommer trois risques que je veux éviter à tout prix? • Comment je m’assure qu'ils ne se réalisent pas? Puis-je l’expliquer? • Comment mon risque le plus préoccupant a-t’il évolué depuis un an? © 2019 CGI inc. ? 41
© 2019 CGI inc. Confidentiel Les avantages de la gestion du risque 41© 2019 CGI inc.
© 2019 CGI inc. Confidentiel Les avantages de la gestion du risque 1) Identifier les problèmes potentiels 2) Être proactif pour y remédier 3) Ne pas mettre son/sa supérieur (ou son client) dans l’ignorance 4) Vous gardez le contrôle 5) Vous suivez votre projet au fil de l’eau 6) Vous protégez vos arrières 7) Vous faites des choix rationnels 8) Vous protégez les objectifs du projet 42
© 2019 CGI inc. Confidentiel Quelques commentaires en terminant… 43 1) Avez-vous au moins une de vos méthodes de gestion de risque qui fonctionne? 2) Avez-vous quelqu'un dans votre organisation qui le saurait si la gestion du risque ne fonctionnait pas? 3) Si votre gestion du risque ne fonctionne pas, quelles en seraient les conséquences? Une faible gestion du risque est votre plus grand risque © 2019 CGI inc. www.hubbardresearch.com “How to measure anything in cybersecurity risk” D.W. Hubbard & R. Seiersen, Wiley, 2017
© 2019 CGI inc. Confidentiel Questions? 44© 2019 CGI inc. Comment pouvez-vous être sûr qu'il n'y a aucun risque imprévu avec ce plan? Il n'est pas possible de savoir si on a pris en compte tous les risques. Par conséquent, nous ne pouvons jamais être sûrs, Alors ... je peux toujours vous en vouloir pour tous les problèmes qui apparaissent? Oui, cette partie du processus est toujours intacte.
© 2019 CGI inc. Confidentiel Quelques références utiles http://www.PensezCybersecurite.gc.ca http://www.canada.ca/fr/secretariat-conseil-tresor/organisation/gestion-risque.html https://www.tresor.gouv.qc.ca/ressources-informationnelles/publications/ https://www.iso.org Voir la série ISO 27000, 27001, etc… pour la sécurité Voir la série ISO 31000 pour la gestion du risque 45
© 2019 CGI inc. Confidentiel 46 Merci!

Empfohlen

2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projets2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projetsPMI Lévis-Québec
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet AgileBasile du Plessis
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risquesGBO
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risqueseGov Innovation Center
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Le DMAIC absolu
Le DMAIC absoluLe DMAIC absolu
Le DMAIC absoluJosé Gramdi
 

Empfohlen

2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projets2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projetsPMI Lévis-Québec
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet AgileBasile du Plessis
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risquesGBO
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risqueseGov Innovation Center
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Le DMAIC absolu
Le DMAIC absoluLe DMAIC absolu
Le DMAIC absoluJosé Gramdi
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risquesRémi Bachelet
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesAymen Foudhaili
 
Introduction à l'Agilité - Cours complet 1 jour
Introduction à l'Agilité - Cours complet 1 jourIntroduction à l'Agilité - Cours complet 1 jour
Introduction à l'Agilité - Cours complet 1 jourRenaud BROSSE
 
Atelier maîtrise des risques
Atelier maîtrise des risquesAtelier maîtrise des risques
Atelier maîtrise des risquesChef De Projet Détendu
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Management des risques
Management des risquesManagement des risques
Management des risquesyounes elhaiba
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2ibtissam el hassani
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
HSE SUR SITES PETROLIERS.ppt
HSE SUR SITES PETROLIERS.pptHSE SUR SITES PETROLIERS.ppt
HSE SUR SITES PETROLIERS.pptmohamed ouanini
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016ibtissam el hassani
 
Charte projet et conditions de réussite
Charte projet et conditions de réussiteCharte projet et conditions de réussite
Charte projet et conditions de réussitePhilippe GASTINEL
 
Gestion de projets agiles avec scrum
Gestion de projets agiles avec scrumGestion de projets agiles avec scrum
Gestion de projets agiles avec scrumPierre E. NEIS
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risquesHalim ARROUDJ
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projetClément Dussarps
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
Management de la qualité
Management de la qualitéManagement de la qualité
Management de la qualitéSaber Ferjani
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
Le tableau de bord de pilotage
Le tableau de bord de pilotageLe tableau de bord de pilotage
Le tableau de bord de pilotageVerbinnen Dominique
 
Gestion de projet
Gestion de projetGestion de projet
Gestion de projetnaziha harrag
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 

Weitere ähnliche Inhalte

Was ist angesagt?

La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risquesRémi Bachelet
 
Introduction à l'Agilité - Cours complet 1 jour
Introduction à l'Agilité - Cours complet 1 jourIntroduction à l'Agilité - Cours complet 1 jour
Introduction à l'Agilité - Cours complet 1 jourRenaud BROSSE
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Management des risques
Management des risquesManagement des risques
Management des risquesyounes elhaiba
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2ibtissam el hassani
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
HSE SUR SITES PETROLIERS.ppt
HSE SUR SITES PETROLIERS.pptHSE SUR SITES PETROLIERS.ppt
HSE SUR SITES PETROLIERS.pptmohamed ouanini
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016ibtissam el hassani
 
Charte projet et conditions de réussite
Charte projet et conditions de réussiteCharte projet et conditions de réussite
Charte projet et conditions de réussitePhilippe GASTINEL
 
Gestion de projets agiles avec scrum
Gestion de projets agiles avec scrumGestion de projets agiles avec scrum
Gestion de projets agiles avec scrumPierre E. NEIS
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risquesHalim ARROUDJ
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projetClément Dussarps
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
Management de la qualité
Management de la qualitéManagement de la qualité
Management de la qualitéSaber Ferjani
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 

Was ist angesagt? (20)

La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Introduction à l'Agilité - Cours complet 1 jour
Introduction à l'Agilité - Cours complet 1 jourIntroduction à l'Agilité - Cours complet 1 jour
Introduction à l'Agilité - Cours complet 1 jour
 
Atelier maîtrise des risques
Atelier maîtrise des risquesAtelier maîtrise des risques
Atelier maîtrise des risques
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
 
Management des risques
Management des risques Management des risques
Management des risques
 
HSE SUR SITES PETROLIERS.ppt
HSE SUR SITES PETROLIERS.pptHSE SUR SITES PETROLIERS.ppt
HSE SUR SITES PETROLIERS.ppt
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
 
Charte projet et conditions de réussite
Charte projet et conditions de réussiteCharte projet et conditions de réussite
Charte projet et conditions de réussite
 
Gestion de projets agiles avec scrum
Gestion de projets agiles avec scrumGestion de projets agiles avec scrum
Gestion de projets agiles avec scrum
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risques
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projet
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Management de la qualité
Management de la qualitéManagement de la qualité
Management de la qualité
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
Le tableau de bord de pilotage
Le tableau de bord de pilotageLe tableau de bord de pilotage
Le tableau de bord de pilotage
 
Gestion de projet
Gestion de projetGestion de projet
Gestion de projet
 

Ähnlich wie La gestion du risque et de la sécurité en mode Agile

Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...Kiwi Backup
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecuritySerge Richard
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSerge Richard
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Thierry Matusiak
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirusNRC
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyMicrosoft
 
Make or Buy "faire soi même ou acheter"
Make or Buy "faire soi même ou acheter" Make or Buy "faire soi même ou acheter"
Make or Buy "faire soi même ou acheter" CYCEO INFORMATIQUE
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
AWS Entreprise Summit Oct 2016
AWS Entreprise Summit Oct 2016AWS Entreprise Summit Oct 2016
AWS Entreprise Summit Oct 2016Xavier Michallet
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FCertilience
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FCertilience
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 

Ähnlich wie La gestion du risque et de la sécurité en mode Agile (20)

Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
Projet
ProjetProjet
Projet
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
 
Make or Buy "faire soi même ou acheter"
Make or Buy "faire soi même ou acheter" Make or Buy "faire soi même ou acheter"
Make or Buy "faire soi même ou acheter"
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
AWS Entreprise Summit Oct 2016
AWS Entreprise Summit Oct 2016AWS Entreprise Summit Oct 2016
AWS Entreprise Summit Oct 2016
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/F
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/F
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 

Mehr von Agile Montréal

ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...
ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...
ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...Agile Montréal
 
ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...
ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...
ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...Agile Montréal
 
ATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander Dur
ATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander DurATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander Dur
ATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander DurAgile Montréal
 
ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...
ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...
ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...Agile Montréal
 
ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...
ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...
ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...Agile Montréal
 
ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...
ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...
ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...Agile Montréal
 
ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...
ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...
ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...Agile Montréal
 
ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...
ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...
ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...Agile Montréal
 
ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...
ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...
ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...Agile Montréal
 
ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...
ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...
ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...Agile Montréal
 
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...Agile Montréal
 
ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...
ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...
ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...Agile Montréal
 
ATMTL23 - Atelier PNL pour ameliorer la communication par Remi Roche
ATMTL23 - Atelier PNL pour ameliorer la communication par Remi RocheATMTL23 - Atelier PNL pour ameliorer la communication par Remi Roche
ATMTL23 - Atelier PNL pour ameliorer la communication par Remi RocheAgile Montréal
 
ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...
ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...
ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...Agile Montréal
 
ATMTL23 - La collaboration intergénérationnelle au travail par Apolline Tissier
ATMTL23 - La collaboration intergénérationnelle au travail par Apolline TissierATMTL23 - La collaboration intergénérationnelle au travail par Apolline Tissier
ATMTL23 - La collaboration intergénérationnelle au travail par Apolline TissierAgile Montréal
 
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl MétivierATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl MétivierAgile Montréal
 
ATMTL23 - Économie coopérative et agilité par Dominique Pothier
ATMTL23 - Économie coopérative et agilité par Dominique PothierATMTL23 - Économie coopérative et agilité par Dominique Pothier
ATMTL23 - Économie coopérative et agilité par Dominique PothierAgile Montréal
 
ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...
ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...
ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...Agile Montréal
 
ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...
ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...
ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...Agile Montréal
 
ATMTL23 - « A community of Scientists » Saisir le pouvoir du Toyota Kata pour...
ATMTL23 - « A community of Scientists » Saisir le pouvoir du Toyota Kata pour...ATMTL23 - « A community of Scientists » Saisir le pouvoir du Toyota Kata pour...
ATMTL23 - « A community of Scientists » Saisir le pouvoir du Toyota Kata pour...Agile Montréal
 

Mehr von Agile Montréal (20)

ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...
ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...
ATMTL23 - L'agilité augmentée par ChatGPT: comment utiliser l'agent intellige...
 
ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...
ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...
ATMTL23 - How to create and elevate top talent? A cohort-based learning metho...
 
ATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander Dur
ATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander DurATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander Dur
ATMTL23 - TANS: there always a next sprint by Tom Siebeneicher and Sander Dur
 
ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...
ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...
ATMTL23 - Dépasser les frontières : Réinterpréter les Principes ISTQB avec un...
 
ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...
ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...
ATMTL23 - Comment mieux atteindre vos objectifs grâce à l'agilité comportemen...
 
ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...
ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...
ATMTL23 - Le multivers Agile - Volume 2: Odyssée vers Agiletopia par Martin L...
 
ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...
ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...
ATMTL23 - Créer une entreprise apprenante : Les principes de Peter Senge pour...
 
ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...
ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...
ATMTL23 - De la Zone de Guerre à la Zone de Cœur : Un Voyage de Résilience, d...
 
ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...
ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...
ATMTL23 - Réussir sa transformation agile c'est d’abord changer son état d'es...
 
ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...
ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...
ATMTL23 - The Happiness Blueprint: Positivity Experiments for Powerful Teamwo...
 
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
 
ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...
ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...
ATMTL23 - L'Arbre de vie - Une pratique narrative pour se réapproprier son pa...
 
ATMTL23 - Atelier PNL pour ameliorer la communication par Remi Roche
ATMTL23 - Atelier PNL pour ameliorer la communication par Remi RocheATMTL23 - Atelier PNL pour ameliorer la communication par Remi Roche
ATMTL23 - Atelier PNL pour ameliorer la communication par Remi Roche
 
ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...
ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...
ATMTL23 - Remettre l'humain au coeur de l'agilité avec le Mind Mapping par Re...
 
ATMTL23 - La collaboration intergénérationnelle au travail par Apolline Tissier
ATMTL23 - La collaboration intergénérationnelle au travail par Apolline TissierATMTL23 - La collaboration intergénérationnelle au travail par Apolline Tissier
ATMTL23 - La collaboration intergénérationnelle au travail par Apolline Tissier
 
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl MétivierATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
 
ATMTL23 - Économie coopérative et agilité par Dominique Pothier
ATMTL23 - Économie coopérative et agilité par Dominique PothierATMTL23 - Économie coopérative et agilité par Dominique Pothier
ATMTL23 - Économie coopérative et agilité par Dominique Pothier
 
ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...
ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...
ATMTL23 - Agnostic Agile, un mouvement en Agilité qui respecte les bases les ...
 
ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...
ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...
ATMTL23 - Innovation Unleashed: Inspiring Agile Teams through Creative Thinki...
 
ATMTL23 - « A community of Scientists » Saisir le pouvoir du Toyota Kata pour...
ATMTL23 - « A community of Scientists » Saisir le pouvoir du Toyota Kata pour...ATMTL23 - « A community of Scientists » Saisir le pouvoir du Toyota Kata pour...
ATMTL23 - « A community of Scientists » Saisir le pouvoir du Toyota Kata pour...
 

La gestion du risque et de la sécurité en mode Agile

  • 1. © 2019 CGI inc. Confidentiel© 2019 Le groupe CGI inc. Gestion du risque et de la sécurité dans les projets Réjean Rhéaume MBA, Adm.A., CISA, CRISC, CGEIT, CCIPA, CCVM, ISO 27001 LA Directeur-conseil – Expert Agile Tour, Montréal, 2019 © 2019 CGI inc.
  • 2. © 2019 CGI inc. Confidentiel Une diapo pour se souvenir de tout… • Disponibilité • Intégrité • Confidentialité Sécurité « DIC » • Impact • Menace • Vulnérabilité « I*M*V » Risque Action • Détection • Protection • Réponse • Recouvrement « DPR2 » 2 Variantes RIPDICfan Fiabilité Authentification Non répudiation
  • 3. © 2019 CGI inc. Confidentiel La sécurité en mode Agile… 3 Nous allons essayer quelque chose appelé programmation Agile. Cela signifie moins de planification et de documentation. Commencez juste à écrire du code et à vous plaindre. Je suis content qu'il ait un nom. C’était votre formation.
  • 4. © 2019 CGI inc. Confidentiel La sécurité vs Agile? • « La méthode Agile est un prétexte pour aller vite et ne pas faire de la gestion de risque… » Est-ce vrai? • « Je suis un expert de sécurité et j’ai de la difficulté à vivre avec la méthode Agile. Cela me frustre. » • « Nous avons des manières de faire éprouvées et la méthode Agile est incompatible avec nos processus… » 4
  • 5. © 2019 CGI inc. Confidentiel La sécurité vs Agile? • Comment arriver à certifier, avant la livraison finale au client, qu’un système est sécuritaire, qu’il rencontre toutes les exigences de sécurité alors que ce même système va être spécifié, construit, testé et mis en production par morceaux, par étapes ? • Est-ce un problème ou une opportunité pour notre approche de sécurité? • Faudrait-il revoir notre processus d’intégration habituel de la sécurité dans les projets pour le rendre plus vivable? 5
  • 6. © 2019 CGI inc. Confidentiel Source: http://spiresecurity.com/?p=507 (traduction) Propriétaire Contre-mesure Vulnérabilité Risque ActifsMenace Agent de menace possède veut diminuer diminue impose peut être au courant réduit par amène qui implique qui implique qui accroit qui exploite veut abuser met en œuvre Vraisemblance généralement difficile à évaluer Le grand dessein de sécurité 6 • Expertise? • Motivation? • Opportunité? • Groupe?
  • 7. © 2019 CGI inc. Confidentiel La sécurité dans les projets c’est quoi? 7 L’intégration de la sécurité dans les projets est une méthode pour réaliser les actions « sécurité » pour s’assurer que les risques soient atténués (ou acceptés) Concevoir ConstruireÉvaluer Maintenir Une analyse de risque formalise… Besoins d’affaires Solution TI Risques bruts à réduire Mesures de sécurité à mettre en œuvre Risques résiduels acceptés par les affaires PDCA
  • 8. © 2019 CGI inc. Confidentiel La sécurité en « V » 8 Ca tient la route facilement, on suit le courant de la rivière. On se colle sur le cycle de projet et on fait la sécurité en même temps que le reste, on teste en même temps, on livre le tout en même temps. Besoins Conception Implantation Vérification MaintenanceProjet Analyse des besoins de sécurité + conformité Analyse de risque Mise en œuvre des solutions de sécurité Recette globale Gouvernance Audit de sécurité Séparation des tâches Choix des mesures Risques résiduels Sécurité
  • 9. © 2019 CGI inc. Confidentiel La sécurité en mode Agile 9 Mais en mode Agile ça ne peut pas fonctionner comme ça... AGILE « V » Délai « idéal » de mise en œuvre d’une évolution Court Moyen ou long Stabilité des besoins Instable Stable
  • 10. © 2019 CGI inc. Confidentiel La sécurité en mode Agile 10 Équipe Scrum Scrum Master Sprint Review MVP Minimal Viable Product Autres (PM, etc.) Rythme d’itérations élevé Absence de compétences sécurité lors des réunions Ils ne se sentent pas impliqués Peu sensibilisée aux bonnes pratiques de sécurité Le produit continue d’évoluer après la livraison Client Fonctionnalités peu connues au début du projet
  • 11. © 2019 CGI inc. Confidentiel Le grand principe de la solution 11 Adaptez le niveau de sécurité aux enjeux du projet au niveau du MVPx, de façon itérative Le niveau de sécurité va monter progressivement, mais surtout commencer au bon niveau Réajustez les objectifs de sécurité à chaque itération
  • 12. © 2019 CGI inc. Confidentiel Un exemple (très simple sinon simpliste…) 12 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification file:///Users/CGI/test/test.html Allo! Un « hacker » s'empare de la page? • Impact pour l'entreprise = nul (pour cette page là! Pas pour le reste…) • Système non en production • Sécurité minimum! MVP1
  • 13. © 2019 CGI inc. Confidentiel Un exemple (très simple sinon simpliste…) • Dans le projet en « V », l'affichage de cette page n'aurait jamais pu se faire • Il aurait fallu que : • l'ensemble du système soit homologué • le système de sécurité complet des serveurs soit mis en place... • Même si cette solution sécuritaire porte sur 1% des fonctions développées… • 99% de fonctions sont encore non développées 13
  • 14. © 2019 CGI inc. Confidentiel Un exemple (très simple sinon simpliste…) 14 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification MVP2 file:///Users/CGI/test/test.html Allo! https://cgitestexterne.com/test/test.html Allo! Identifiez-vous! Usager: xxxx Mot de passe: xxxx Un « hacker » s'empare de la page? • Impact pour l'entreprise = limité • Serveur externe non relié à nos systèmes en production Un nom d’usager / mot de passe est suffisant!
  • 15. © 2019 CGI inc. Confidentiel file:///Users/CGI/test/test.html Allo! https://cgi.com/test.html Allo! Identifiez-vous! Usager: xxxx Mot de passe: xxxx Un exemple (très simple sinon simpliste…) 15 Votre projet est de mettre en place, notamment, un site web avec une page d’authentification MVP3 Un « hacker » s'empare de la page? • Impact pour l'entreprise = fort • Serveur relié à nos systèmes en production Un nom d’usager / mot de passe et un 2FA sont nécessaires!
  • 16. © 2019 CGI inc. Confidentiel ATTENTION! 16 Bâtissez sur vos fondations N’enlevez jamais une brique d’en dessous Faites des tests de régression Intégrez un spécialiste sécurité dès le début
  • 17. © 2019 CGI inc. Confidentiel 17 En intégrant la sécurité dès le départ… Besoins en contrôle de sécurité MVP1 MVP2 MVP3 Produit final Départ Test 1 Test 2 Test 3 Évolution du projet Un plus grand effort est demandé à la sécurité pour diviser ses contrôles au début du projet
  • 18. © 2019 CGI inc. Confidentiel Le coût de ne pas le faire tôt? 18 Effort Phases Habilité à influencer les coûts et la capacité fonctionnelle Coûts de changements Source: Patrick MacLeamy (HOK) Épargne potentielle
  • 19. © 2019 CGI inc. Confidentiel Quelques pistes de solutions 19 • Sensibilisation de l’équipe Projet • Protection des documents Projet et des données de tests • Sécurisation de l’architecture de développement • Déploiement des outils de tests de sécurité • Revue d’architecture • Durcissement de la base • Sécurité de l’hébergement • Intégration de la sécurité dans les ateliers de conception (couvrant au minimum : données, flux, transactions, accès) • Test unitaire de sécurité / revue de code • Correction des codes • Sécuriser la mécanique du projet • Connaître les exigences de sécurité dès le départ • Déterminer la granularité des exigences • Pas de « Big Bang » • La solution de sécurité ne doit pas être disproportionnée vs le MPV 1 2 3
  • 20. © 2019 CGI inc. Confidentiel Le gros avantage? 20 Vous faites un audit en continue Vous prouvez vos avancements au fil de l’eau…
  • 21. © 2019 CGI inc. Confidentiel Et maintenant le risque… 21© 2019 CGI inc. Ça, c'est le numéro trente-six. Je ne comprends pas ces risques. Risque 1: Indécision Risque 2: Sur-analyse Risque 3: Ignorance Risque 4: Micro-gestion Risque 5: … Nous aurions besoin d'une analyse de risque sur ce projet avant de pouvoir l'approuver.
  • 22. © 2019 CGI inc. Confidentiel Définitions… (officielles et « langage courant »…) 22 Le risque se définit comme la probabilité d'un événement et ses conséquences. La gestion des risques est l'utilisation de processus, méthodes et outils pour gérer ces risques. © 2019 CGI inc. Quelque chose de mauvais pourrait arriver… C’est paraître intelligent en prenant des chances
  • 23. © 2019 CGI inc. Confidentiel Risque = Menace x VulnérabilitéImpact x( ) Risque 23 Un risque c’est…
  • 24. © 2019 CGI inc. Confidentiel Probabilité, vraisemblance ou « likehood » Rapidité ou « velocity » Risque = Menace x Vulnérabilité ( )Contre-mesure* Contre-mesure* * Contre-mesure = « contrôles » « Valeur » de l’actif attaqué Initiation Succès Efficacité Prédisposition? Sévérité? Omniprésence? Facilité de découverte? Facilité d’exploitation? Connue? Détection de l’intrusion? Risque 24 Impact x Un risque c’est…
  • 25. © 2019 CGI inc. Confidentiel Probabilité, vraisemblance ou « likehood » Risque = Menace x Vulnérabilité Rapidité ou « velocity » ( )Contre-mesure* Contre-mesure* * Contre-mesure = « contrôles » ?  Risque 25 Impact x Probabilité, vraisemblance ou « likehood » « Valeur » de l’actif attaqué Initiation Succès Efficacité Prédisposition? Sévérité? Omniprésence? Facilité de découverte? Facilité d’exploitation? Connue? Détection de l’intrusion? Un risque c’est…
  • 26. © 2019 CGI inc. Confidentiel Risque = Impact x Probabilité Productivité Réponse Remplacement Amendes et jugements Avantage compétitif Réputation • Technique ou affaires? • Criticité (DIC) • Coût ou financière • Sensibilité • Embarras • Avantage compétitif • Légal-Règlementaire • Conformité Actif Perte Valeur Risque  26 Un risque c’est…
  • 27. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 27© 2019 CGI inc.
  • 28. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 30 • « Humain » • Préjugé • Attitude • Propension naturelle • Biais cognitif* © 2019 CGI inc. * Déviation systématique de la pensée logique et rationnelle par rapport à la réalité • Confiance • Manque d’imagination • Habitudes • Vie compliquée
  • 29. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 29 1922Niels Bohr L’électron est là! 1) Le risque, c’est précis! (!) L’électron est quelque part par là! Chaque science « exacte » est basée sur des approximations Erwin Schrödinger1922 1933
  • 30. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 30 2) Souvent, seul le « buffer » est pris en compte dans la solution Cumul des expositions au risque • Avec ce calcul nous finirons par avoir une belle courbe de distribution • Ce qui implique que: soyez assuré que le tiers de vos projets seront soit en retard soit sous- budgété Méthode de la chaîne critique (CCPM ou Critical Chain Project Management) • Le « buffer » est la différence entre le temps « au plus tôt » et le temps « au plus tard » • Le client voudra « au plus tôt », les ressources « au plus tard »… • On montrera au client « au plus tard » et aux les ressources « au plus tôt »… © 2019 CGI inc. Méthode PO4PP6 (« pocat-pépésix » via Planning Poker notamment) « Buffer » = Pessimiste – ((Optimiste + (4 x Probable) + Pessimiste) / 6) Méthode 15% On ajoute 15%
  • 31. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 31 La prémisse que l’on a est que la valeur des ressources est la même avant le « buffer » qu’après (ou pendant)… C’est faux! “The calculation of buffer size considering activity schedule risk” N. Cui & J. Hao, Huazhong University, 2017 © 2019 CGI inc.
  • 32. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 32 Analogie avec des travaux routiers • Pourquoi passons-nous devant des travaux routiers où rien ne semble se faire? • Nous attendons en file indienne pour pouvoir passer ces travaux et cela nous enrage… pourquoi? © 2019 CGI inc.
  • 33. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 33 3) On préfère se dire que la gestion du risque c’est compliqué Il y a 93,75% de chances que la médiane d'une population se situe entre les valeurs les plus petites et les plus grandes dans un échantillon aléatoire de cinq personnes de cette population © 2019 CGI inc. Étant donné le maximum d'incertitude quant à une proportion de la population (telle que vous pensez que la proportion pourrait être comprise entre 0% et 100%, toutes les valeurs étant également vraisemblable), il y a 75% de chances qu'un seul échantillon choisi au hasard appartienne à la majorité de la population. www.hubbardresearch.com La règle du 5 La règle du simple échantillon
  • 34. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 34 3) On préfère se dire que la gestion du risque c’est compliqué © 2019 CGI inc. www.hubbardresearch.com C’est la vérité mathématique qui contredit l'intuition L’incertitude d’une donnée annule souvent celle d’une autre Le paradoxe des anniversaires Dans un groupe de 25 personnes, il y a plus de 50% de chance que deux personnes aient leur anniversaire le même jour. Pour un groupe de 50 personnes, c’est 95% ! Pour un groupe de 57 personnes, c’est 99% !
  • 35. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 35 Estimation de Fermi © 2019 CGI inc. Combien d’accordeurs de piano à Chicago ? Population de la région métropolitaine de Chicago 9 000 000 Nombre de foyer (2 personnes/foyer) 4 500 000 Nombre de piano (Un foyer sur 20 possède un piano) 225 000 Nombre d'accordage / an 1 Nombre d'accordage total 225 000 Heures de travail par jour par accordeur 8 Nombre de jours / semaine 5 Nombre de semaines travaillées par an 48 Nombre d'heures travaillées par an par accordeur 1 920 Temps requis (heure) pour l'accordage (incluant transport) 2 Nombre de piano accordé / an / accordeur 960 Nombre d'accordeur de piano total 234 Nombre réel d'accordeur (2009) 290 National Archives Identifier: 558578
  • 36. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 36 Minimiser les pertes Maximiser les gains 1 10 * Petit sondage à faire… © 2019 CGI inc. Vous recevez 5 000$ tout de suite Pile: Vous recevez 20 000$ Face: Vous payez 10 000$ Même espérance de gain 4) Le votre profil de joueur dans les affaires
  • 37. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 37 -60 -40 -20 0 20 40 60 80 100 Il faut réduire l’écart-type Factor Analysis of Information Risk (FAIR) modèle pour comprendre, analyser et quantifier les risques liés aux informations en termes financiers. 5) Le risque est trop large ISO31000 Brainstorming Entretiens Delphi Liste de contrôles Analyse préliminaire du danger HAZOP ICHIKAWA 5P/5M/5W Risques environnementaux SWIFT Scénarios Impact sur l’activité Causes profondes Modes de défaillance et leurs effets Arbre de panne Arbres d’événements Causes-conséquences Causes et effets LOPA Monte-Carlo Arbre de décision Fiabilité humaine Nœud papillon Maintenance basée sur la fiabilité Analyse transitoire Markov Réseaux de Bayes Courbes FN Indices de risque Matrice conséquence / probabilité Coût / bénéfice ADCM
  • 38. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 38 Pensez à utiliser une méthode statistique de gestion de risque telle que la Simulation Monte Carlo* Elle est de plus en plus utilisée de nos jours malgré son âge… * Nicholas Metropolis 1947 © 2019 CGI inc. http://quantmleap.com/blog/2009/10/monte-carlo-simulation-for-dummies/
  • 39. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 39 • Peu importe la complexité ou la singularité de votre problème de mesure, supposez qu’il a déjà été mesuré auparavant. • Si vous êtes débrouillard, vous pouvez probablement trouver plus de sources de données que vous ne le pensiez au début. • Vous avez probablement besoin de moins de données que votre intuition ne vous le dit. “How to measure anything in cybersecurity risk” D.W. Hubbard & R. Seiersen, Wiley, 2017 © 2019 CGI inc. “If you know almost nothing, almost anything will tell you something.”
  • 40. © 2019 CGI inc. Confidentiel Souvent, c’est quoi le problème? 6) On ne tient pas assez compte du risque intégré… Mettez-vous dans la peau du client, pouvez-vous répondre à ces questions? Puis… des premières questions à nous poser: • Dans quelle mesure le projet est-il en phase avec les préoccupations du client? • Qu'est-ce qui pourrait faire dérailler le projet que nous allons commencer? • Quel risque ai-je tendance à sous-estimer ? • Puis-je nommer trois risques que je veux éviter à tout prix? • Comment je m’assure qu'ils ne se réalisent pas? Puis-je l’expliquer? • Comment mon risque le plus préoccupant a-t’il évolué depuis un an? © 2019 CGI inc. ? 41
  • 41. © 2019 CGI inc. Confidentiel Les avantages de la gestion du risque 41© 2019 CGI inc.
  • 42. © 2019 CGI inc. Confidentiel Les avantages de la gestion du risque 1) Identifier les problèmes potentiels 2) Être proactif pour y remédier 3) Ne pas mettre son/sa supérieur (ou son client) dans l’ignorance 4) Vous gardez le contrôle 5) Vous suivez votre projet au fil de l’eau 6) Vous protégez vos arrières 7) Vous faites des choix rationnels 8) Vous protégez les objectifs du projet 42
  • 43. © 2019 CGI inc. Confidentiel Quelques commentaires en terminant… 43 1) Avez-vous au moins une de vos méthodes de gestion de risque qui fonctionne? 2) Avez-vous quelqu'un dans votre organisation qui le saurait si la gestion du risque ne fonctionnait pas? 3) Si votre gestion du risque ne fonctionne pas, quelles en seraient les conséquences? Une faible gestion du risque est votre plus grand risque © 2019 CGI inc. www.hubbardresearch.com “How to measure anything in cybersecurity risk” D.W. Hubbard & R. Seiersen, Wiley, 2017
  • 44. © 2019 CGI inc. Confidentiel Questions? 44© 2019 CGI inc. Comment pouvez-vous être sûr qu'il n'y a aucun risque imprévu avec ce plan? Il n'est pas possible de savoir si on a pris en compte tous les risques. Par conséquent, nous ne pouvons jamais être sûrs, Alors ... je peux toujours vous en vouloir pour tous les problèmes qui apparaissent? Oui, cette partie du processus est toujours intacte.
  • 45. © 2019 CGI inc. Confidentiel Quelques références utiles http://www.PensezCybersecurite.gc.ca http://www.canada.ca/fr/secretariat-conseil-tresor/organisation/gestion-risque.html https://www.tresor.gouv.qc.ca/ressources-informationnelles/publications/ https://www.iso.org Voir la série ISO 27000, 27001, etc… pour la sécurité Voir la série ISO 31000 pour la gestion du risque 45
  • 46. © 2019 CGI inc. Confidentiel 46 Merci!