Sécurité des systèmes d'information dès leur conception

Sécurité des systèmes d'information dès leur conception

Date : Mercredi 5 Décembre de 8h30 à 16h30

Objectif de la journée

  • Sensibiliser les participants à l’importance de considérer la sécurité des applications dans la gestion des risques organisationnels.
  • Déterminer comment la sécurité applicative peut aider à préserver la confiance de la clientèle et faciliter l’adoption des nouvelles technologies (infonuagique, mobilité, etc.).
  • Fournir des pistes de solution pour accompagner efficacement les projets TI et les aider à intégrer les bonnes pratiques de développement sécuritaire.
  • Partager des bons coups, des enseignements tirés de la pratique en sécurité applicative.
  • Fournir des outils et des références pour aider les participants à intégrer les bonnes pratiques de sécurité en cours de développement ou dans leur processus d’acquisition.

Thèmes abordés 

  • L’infonuagique
  • La sécurité au cœur du cycle de développement logiciel
    • Guides et référentiels de bonnes pratiques
    • Conception sécuritaire (security & privacy by design)
    • Les nouvelles méthodologies de développement (Agilité et Devops)
    • L’automatisation des tests de sécurité

Lieu: Université Laval

À noter qu'à des fins de logistique, les inscriptions doivent obligatoirement être effectuées sur le site d'ISACA-Québec et seront fermées le Lundi 3 Décembre à midi.



Programme

  • 2018-12-05AM
  • 2018-12-05PM
8:00 am

Acceuil

Acceuil des participants


8:15 am

Mot de bienvenue


8:30 am

Fondements de la sécurité applicative et prise en charge avec les outils OWASP

Les applications Web sont des cibles prisées des pirates informatiques qui très fréquemment s’y faufilent sans être détectés ou arrêtés. Parfois même, ces applications représentent un vecteur par lequel un pirate parvient à une compromission complète des systèmes de mission d’une organisation. Vol d’informations confidentielles, fraude, bris de disponibilité, falsification des données, sabotage, atteinte à la réputation sont tous des risques que les organisations doivent tenter de prévenir. Dans cette conférence, nous vous ferons connaître quelques stratégies et outils gratuitement disponibles qui vous aideront à prendre en main efficacement le développement et l’exploitation d’applications sécuritaires.


Patrick Leclerc
Conseiller en sécurité des actifs informationnels chez La Capitale
9:30 am

#DEVSECOPS

La production d’applications se fait de plus en plus dans un cadre Agile, engendrant une évolution du cycle de développement, des tests et du déploiement applicatifs. La tendance est à l’intégration et à la livraison en continue, lesquelles sont réalisées par des équipes au profil DevOps. Dans ce contexte, la livraison d’une application passe par l’automatisation du déploiement de l’infrastructure et de l’applicatif. La sécurité doit alors s’intégrer dans ce contexte d’agilité, ce qui requiert un ensemble de transformations qui vont du niveau organisationnel des équipes de projet, aux pratiques de développements, en passant par les plans de déploiement.
Ainsi, la présentation abordera :
-- SDLC dans un contexte Agile
-- SDLC et Agile
-- La culture DEVSECOPS
-- DEVSECOPS: Comment?
- Conteneurisation
- Transformation de l’environnement de développement
- Conteneurisation de services web
- Automatisation des tests de sécurité
- Déploiement continu


Etienne Sadio
Conseiller principal en sécurité de l’information chez In Fidem
10:30 am

Pause café


11:00 am

La gestion des vulnérabilités dans un environnement Cloud

Nous présenterons comment mettre en place une gestion efficace des vulnérabilités dans un environnement Cloud. Dans un premier temps, nous effectuerons ensemble un retour d'expérience sur la mise en place d'une gestion des vulnérabilités dans un environnement Cloud. Puis, dans un second temps, nous verrons les options offertes afin d'outiller les équipes de développement. Nous porterons une attention particulière sur la mise en place d'un pipeline de détection de vulnérabilités et ce, dès les premières itérations du développement. Cette présentation sera illustrée par de nombreux exemples utilisant la plateforme Cloud Microsoft Azure.


Maxime Coquerel
Architecte Cloud chez Logibec
12:00 pm

Diner


1:30 pm

Le Cloud : Bien plus qu’une affaire de centre de données!

La problématique actuellement est que plusieurs projets Cloud sont amorcés par des équipes d’infrastructure. Ils y voient principalement les avantages de rationalisation des ressources sur un centre de données hors site. En surface, le Cloud apparaît assez simple, surtout sous l’angle amené par les vendeurs. En profondeur, le Cloud est beaucoup plus complexe que ça. Ne pas s’y préparer adéquatement est une erreur majeure qui occasionnera des casse-têtes importants par la suite pour votre organisation. Les sujets suivants seront abordés lors de la conférence :
> - Les enjeux juridiques vont au-delà de l’emplacement des données et sont souvent mal expliqués par l’informatique et mécompris par le légal;
- Les impacts au niveau de la gouvernance des TI et la gestion du changement;
- Les nouvelles façons de concevoir des architectures Cloud en considérant l’infrastructure, l’applicatif et la sécurité;
- L’intégration avec les solutions d’affaires sur site et des partenaires externes.
>
Vous sortirez de la présentation avec des outils vous permettant d’aborder cette importante transformation au sein de vos organisations.


Samuel Bonneau
Président de FORTICA Cybersécurité
2:00 pm

Pause café


2:30 pm

Rôles et Compétences-clés du Chef de projet


Yvan Lauzon
Professeur contractuel à l’ENAP-UQ & Expert-conseil à l’international
3:30 pm

La protection de la vie privée dès la conception des systèmes d’information


M. David Henrard
Conseiller en gouvernance de la sécurité et en PRP, In Fidem
4:00 pm

Mot de la fin


Les présentations de l'évènement sont disponibles :

Fondements de la sécurité applicative et prise en charge avec les outils OWASP

Patrick Leclerc

Lien vers la présentation


DEVSECOPS

Etienne Sadio

Lien vers la présentation


La gestion des vulnérabilités dans un environnement Cloud

Maxime Coquerel

Lien vers la présentation


Le Cloud : Bien plus qu’une affaire de centre de données

Samuel Bonneau

Lien vers la présentation


Rôles et Compétences-clés du Chef de projet

Yvan Lauzon

Lien vers la présentation


La protection de la vie privée dès la conception des systèmes d’information

David Henrard

Lien vers la présentation