COURS // AOT5310 -
Gestion de programmes de cybersécurité

Objectifs

Ce cours propose une immersion approfondie dans les pratiques de gestion de programmes de cybersécurité en milieu organisationnel. Axé sur une approche pratique et appliquée, ce cours vise à former des gestionnaires SI/TI aptes à mettre en oeuvre et à gérer un programme de cybersécurité soutenant les objectifs d'affaires d'une organisation. Ce cours permettra à la personne étudiante de développer des compétences concrètes et névralgiques en matière de conception, développement, mise en oeuvre, pilotage et amélioration continue d'un programme de cybersécurité en organisation. 
Plus précisément, ce cours permettra à la personne étudiante de : 

• Évaluer, selon le contexte organisationnel et d'affaires (objectifs, secteur d'activités, menaces, règlements, etc.), les besoins de cybersécurité d'une organisation afin de proposer un programme de cybersécurité (incluant les contrôles qui s'y rattachent) qui soutient la vision stratégique de l'organisation. 
• Décomposer et expliquer les étapes et activités fondamentales d'un programme de cybersécurité ainsi que les principaux livrables qui s'y rattachent (p. ex., politiques, standards, procédures, consignes). 
• Synchroniser les initiatives de cybersécurité et concevoir une feuille de route réaliste pour l'élaboration et la mise en oeuvre d'un programme de cybersécurité soutenant de manière efficace et efficiente les objectifs d'affaires de l'organisation. 
• Sélectionner des contrôles de cybersécurité adaptés aux besoins de l'organisation, planifier et superviser la mise en place de ces contrôles (p. ex., analyse des écarts, analyse coûts/bénéfices) et évaluer leur efficacité/efficience à l'aide de différentes méthodes et/ou différents outils (p. ex., audits, tests, indicateurs). 
• Piloter un programme de cybersécurité à l'aide de méthodes et d'outils (p. ex., tableau de bord, audits, indicateurs, etc.) et effectuer des ajustements si des écarts de conformité et/ou de performance sont observés. 
• Préparer l'obtention de la certification professionnelle « Chief Information Security Manager – CISM » offerte par Information Systems Audit and Control Association – ISACA, à l'aide d'apprentissages sur les quatre domaines de la certification : (1) gouvernance de la sécurité de l'information, (2) gestion des risques liés à la sécurité de l'information, et (3) développement et gestion de programmes de sécurité, et (4) gestion des incidents de sécurité.

Sommaire du contenu

Les thèmes suivants seront abordés dans le cadre du cours :
1. Rôle stratégique d'un programme de cybersécurité.

• Portrait global des cybermenaces et les enjeux de gestion/traitement qu'elles soulèvent.
• Objectifs visés et résultats escomptés d'un programme de cybersécurité.
• Défis et enjeux dans l'élaboration, l'exécution et la gestion d'un programme de cybersécurité (coûts, support de la direction, adhésion, tierces parties, etc.).

• Identification des menaces et des vulnérabilités.
• Pourquoi et comment effectuer le portrait d'une organisation et des cybermenaces auxquelles elle fait face.
• L'évaluation des vulnérabilités d'une organisation et des probabilités qu'elle soit victime d'une faille de cybersécurité.
• Identification et valorisation des actifs.
• La classification des actifs informationnels d'une organisation selon leur niveau de sensitivité et de criticité.
• La détermination des impacts (monétaires, réputationnels, et autres) d'une faille de cybersécurité.
• Détermination du niveau de risque et des contrôles souhaités.
• L'évaluation de l'appétit pour le risque d'une organisation.
• Les types de traitement du risque (acceptation, mitigation, transfert, évitement) qu'une organisation peut adopter.
• Nature (préventif, correctif, en couche, etc.) et barème de performance (standard) des contrôles de cybersécurité souhaités.
• Priorisation et synchronisation des initiatives de cybersécurité.
• L'analyse des écarts entre la protection actuelle de l'organisation versus celle souhaitée.
• L'analyse coût/bénéfices des initiatives/contrôles souhaitées.
• L'ordonnancement des initiatives de cybersécurité et l'établissement de la feuille de route d'un programme.
• Mise en place des contrôles de cybersécurité.
• Sélection, design, développement, implantation, intégration, test, et évaluation des mesures de contrôle.
• Évaluation d'un programme de cybersécurité.
• Processus d'évaluation (p. ex., plan-do-act-check).
• L'évaluation des écarts de conformité et de performance.
• Les principales méthodes et/ou principaux outils (p. ex., tableau de bord, audit, indicateur) soutenant le pilotage d'un programme de cybersécurité.

• Culture organisationnelle et cybersécurité.
• Pourquoi et comment sensibiliser les membres d'une organisation aux enjeux de cybersécurité.
• L'importance de la formation et comment former les membres d'une organisation afin qu'ils adoptent des comportements sécuritaires.
• Gestion des tierces parties.
• L'importance de gérer les risques générés par les interactions d'une organisation avec ses partenaires d'affaires.
• Les pratiques, techniques, approches et contrôles pour traiter les risques générés par les interactions d'une organisation avec ses partenaires d'affaires.
• Gouvernance, risque et conformité.
• La gouvernance de la cybersécurité en milieu organisationnel et ses liens avec la gestion d'un programme de cybersécurité.
• Les principales lois et principaux règlements à respecter dans le domaine de la cybersécurité.
• Les enjeux moraux et éthiques (p. ex., vie privée) à considérer lors de la mise en place de contrôles de cybersécurité.

Modalité d'enseignement

Approches pédagogiques :
Séance magistrale, travail d'équipe, travail individuel, résolution de cas, exercice en laboratoire, lecture, intervention de professionnelle, professionnel, atelier, discussion et débat.
Méthodes d'évaluation :
Examen, travail d'équipe, travail individuel, résolution de cas, exercice en laboratoire, exposé oral.