Executive MBA
Module Ressources humaines
Institut Africain de Management
RH et informatique: un mariage de raison
	
  Jacq...
2
Espérons que votre sécurité
ne ressemble jamais à ceci !
2
3
! Rappel:
! ISO est avant tout un recueil de bonnes
pratiques
! ISO 27002 est le fil rouge de la sécurité de
l’informati...
«ISO 27002 c’est donner des recommandations pour
gérer la sécurité de l’information à l’intention de ceux
qui sont respons...
5
5
http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png
6
7
http://www.randco.fr/img/iso27002.jpg
8
9
Pour que ca marche ....
9
Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en
oeuvre en fonction du contexte de l'entrepr...
PLAN D’ACTIONS
ASPECTS
JURIDIQUES
ASPECT
D’ORGANISATION
ASPECTS
INFORMATIQUES
SITUATION
ACTUELLE
STRATEGIE
D’IMPLEMENTATIO...
Résistance au changement
crainte du contrôle
comment l’imposer?
positionnement du RSI
atteinte à l’activité économique
Cul...
http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
13
14
http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
15
Analyse de risque
C’est la meilleure arme des responsables de sécurité
16
C’est un processus permanent!
Et les RH sont impliqués
17
Avec qui ?
18
19
8 Sécurité liée aux ressources humaines        

    8.1 Avant le recrutement    

        8.1.1 Rôles et responsabilités
...
21
LE DRH ET SON PC…
21
22
22
23
23
24
Les employés partagent des informations
24
25
LES RH DANS ISO 27002
25
26
26
27
27
28
28
29
Importance des RH
29
30
30
31
31
LA CULTURE D’ENTREPRISE
CADRE DE LA SECURITE DE L’INFORMATION
32
33
Profession
entreprise
Religion
Sexe
nationalité
33
34
35
On peut identifier la partie visible à première
vue…
35
36
! Un nouvel employé qui arrive?
! Cinq personnes autour de la machine à café?
! Un chef qui hurle sur un employé?
! Une...
37
37
38
! Aspects principaux de la culture:
" La culture est partagée
" La culture est intangible
" La culture est confirmée pa...
Niveau et fonction de la Culture:
• la Culture existe à deux niveaux:
•Le côté visible et observable
immédiatement (habill...
! Rites – cérémonies
! Histoires
! Symboles
! Tabous
40
41
! Recrutement
! Christmas party
! Discours
! Pots d’accueil de départ
! Réunions
! …
41
HISTOIRES
- basées sur des événements réels qui sont
racontées et partagées par les employés et
racontées aux nouveaux pou...
43
SYMBOLES
43
44
TABOUS
44
45
! Horaires
! Relations avec les autres
! Dress code
! Office space
! Training
! …
45
46
! Cela permet de comprendre ce qui se passe
! De prendre la « bonne décision »
! Parfois un frein au changement
! Perce...
47
47
48
48
49
49
50
! La
50
51
! Organigramme
! Place du responsable de sécurité
! Rôle du responsable de sécurité dans le cadre
des RH
! La stratégie...
52
52
53
! Représente la
structure de
l’organisation
! Montre les relations
entre les
collaborateurs
53
54
LATERAL
54
55
55
56
Fonctionnel
.
56
COMPLEXE
57
Hierarchique
58
59
59
60
60
61
61
OU ?
62
63
Increasing pressure on 

“traditional” organizations
Formal organization/
Hierarchy
Social organization /
Heterarchy
SO...
64
64
65
65
66
66
Question
Comment intégreriez-vous la sécurité dans
le cadre du recrutement?
67
67
68
! Et la sécurité dans
tous ça?
! Nécessaire à
toutes les étapes
! Implication
nécessaire du
responsable de
sécurité
68
69
! Confidentialité
! Règlement de
travail
! Security policy
! CC 81 et sa
négociation
! Opportunité!
69
70
! Les consultants
! Les sous-traitants
! Les auditeurs
externes
! Les comptables
! Le personnel
d’entretien
70
71
! Tests divers
! Interviews
! Assessment
! Avantages et inconvénients
! Et la sécurité dans tout ça?
! Et les sous trai...
72
72
73
73
74
! Screening des CV
! Avant engagement
! Final check
! Antécédents
! Quid médias sociaux,
Facebook, googling,
etc?
! Tou...
75
! Responsabilité des
employés
! Règles tant pendant
qu’après le contrat
d’emploi ou de sous-
traitant
! Information vie...
76
! 8.2.1
responsabilités de
la direction
! 8.2.2.
Sensibilisation,
qualification et
formation
! 8.2.3 Processus
discipli...
77
! Procédures
! Contrôle
! Mise à jour
! Rôle du
responsable
de sécurité
! Sponsoring
77
78
http://fr.slideshare.net/distancexpert/management-et-modernisation-de-lorganisation-du-travail?qid=27ac248f-ec95-4f01-a...
79
79
80
Quelle procédure suivre ?
80
81
Vous contrôlez quoi ?
81
82
RÖLE DU RESPONSABLE DE SECURITE
82
83
83
84
84
85
85
86
86
87
! Que peut-on contrôler?
! Limites?
! Correspondance privée
! CC81
! Saisies sur salaire
! Sanctions réelles
! Communiq...
88
Peut-on tout contrôler et tout sanctionner ?
88
89
Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres trava...
90
! Dans le RT
! Cohérentes
! Légales
! Zone grise
! Réelles
! Objectives
! Syndicats
90
91
91
92
! Attention aux mutations internes
! Maintien de confidentialité
! Qu’est-ce qui est confidentiel?
92
93
93
94
94
95
95
96
! On ne sait jamais qui sera derrière le PC
! Nécessité que le responsable de sécurité soit
informé
! Attentions aux ch...
97
! Pensez
" Aux vols de données
" Aux consultants
" Aux étudiants
" Aux stagiaires
" Aux auditeurs
" Etc.
97
QUI EST RESPONSABLE DE LA SECURITE DES
INSTALLATIONS?
98
99
100
101
102
• Gestion des incidents
103
104
105
106
106
107
107
108
108
109
109
110
110
111
Bref vous ne pouvez pas
accepter d’être
complètement coincé
ou…
111
112
Sinon votre sécurité ce sera ça…
112
113
113
114
! http://www.slideshare.net/targetseo
! http://www.ssi-conseil.com/index.php
! http://www.slideshare.net/greg53/5-hiri...
115
115
Prochain SlideShare
Chargement dans…5
×

Rh et département informatique

586 vues

Publié le

Cours donnée en EMBA en janvier 2015

Publié dans : Formation
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
586
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
10
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Rh et département informatique

  1. 1. Executive MBA Module Ressources humaines Institut Africain de Management RH et informatique: un mariage de raison  Jacques  Folon   www.folon.com   Partner  Edge  Consulting   Maître  de  conférences     Université  de  Liège     Professeur   ICHEC  Brussels  Management  School     Professeur  invité     Université  de  Lorraine     ESC  Rennes  School  of  Business   1
  2. 2. 2 Espérons que votre sécurité ne ressemble jamais à ceci ! 2
  3. 3. 3 ! Rappel: ! ISO est avant tout un recueil de bonnes pratiques ! ISO 27002 est le fil rouge de la sécurité de l’information ! Pas de proposition de solutions technique ! les autres départements sont concernés ! Et les RH dans tout ça? 3
  4. 4. «ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans l’entreprise. » 4
  5. 5. 5 5
  6. 6. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png 6
  7. 7. 7
  8. 8. http://www.randco.fr/img/iso27002.jpg 8
  9. 9. 9 Pour que ca marche .... 9
  10. 10. Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l'entreprise. Ainsi, il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques. Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela. Enfin la troisième limite est son hétérogénéité, certains domaines sont trop approfondis, d'autres survolés.). Les limites d’ISO 27002 10
  11. 11. PLAN D’ACTIONS ASPECTS JURIDIQUES ASPECT D’ORGANISATION ASPECTS INFORMATIQUES SITUATION ACTUELLE STRATEGIE D’IMPLEMENTATION DE LA NORME 11
  12. 12. Résistance au changement crainte du contrôle comment l’imposer? positionnement du RSI atteinte à l’activité économique Culture d’entreprise et nationale Besoins du business les freins 12
  13. 13. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf 13
  14. 14. 14
  15. 15. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf 15
  16. 16. Analyse de risque C’est la meilleure arme des responsables de sécurité 16
  17. 17. C’est un processus permanent! Et les RH sont impliqués 17
  18. 18. Avec qui ? 18
  19. 19. 19
  20. 20. 8 Sécurité liée aux ressources humaines        
     8.1 Avant le recrutement    
         8.1.1 Rôles et responsabilités
         8.1.2 Sélection
         8.1.3 Conditions d’embauche
     8.2 Pendant la durée du contrat    
         8.2.1 Responsabilités de la direction
         8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information
         8.2.3 Processus disciplinaire
     8.3 Fin ou modification de contrat    
         8.3.1 Responsabilités en fin de contrat
         8.3.2 Restitution des biens
         8.3.3 Retrait des droits d’accès 20
  21. 21. 21 LE DRH ET SON PC… 21
  22. 22. 22 22
  23. 23. 23 23
  24. 24. 24 Les employés partagent des informations 24
  25. 25. 25 LES RH DANS ISO 27002 25
  26. 26. 26 26
  27. 27. 27 27
  28. 28. 28 28
  29. 29. 29 Importance des RH 29
  30. 30. 30 30
  31. 31. 31 31
  32. 32. LA CULTURE D’ENTREPRISE CADRE DE LA SECURITE DE L’INFORMATION 32
  33. 33. 33 Profession entreprise Religion Sexe nationalité 33
  34. 34. 34
  35. 35. 35 On peut identifier la partie visible à première vue… 35
  36. 36. 36 ! Un nouvel employé qui arrive? ! Cinq personnes autour de la machine à café? ! Un chef qui hurle sur un employé? ! Une personne qui est licenciée? ! Un jeune qui veut tout changer? 36
  37. 37. 37 37
  38. 38. 38 ! Aspects principaux de la culture: " La culture est partagée " La culture est intangible " La culture est confirmée par les autres 23 Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management 38
  39. 39. Niveau et fonction de la Culture: • la Culture existe à deux niveaux: •Le côté visible et observable immédiatement (habillement, symboles, histoires, etc.) •Le côté invisible qui véhicule les valeurs, les croyances,etc. •Fonctions de la culture •Intégration •Guide de fonctionnement •Guide de communication 39
  40. 40. ! Rites – cérémonies ! Histoires ! Symboles ! Tabous 40
  41. 41. 41 ! Recrutement ! Christmas party ! Discours ! Pots d’accueil de départ ! Réunions ! … 41
  42. 42. HISTOIRES - basées sur des événements réels qui sont racontées et partagées par les employés et racontées aux nouveaux pour les informer au sujet de l’organisation - qui rendent vivantes les valeurs de l’organisation - qui parlent des “héros”, des légendes -Le post it de 3M -Le CEO d’IBM sans badge -Le CEO de quick 42
  43. 43. 43 SYMBOLES 43
  44. 44. 44 TABOUS 44
  45. 45. 45 ! Horaires ! Relations avec les autres ! Dress code ! Office space ! Training ! … 45
  46. 46. 46 ! Cela permet de comprendre ce qui se passe ! De prendre la « bonne décision » ! Parfois un frein au changement ! Perception de vivre avec d’autres qui partagent les mêmes valeurs ! Point essentiel pour le recrutement et la formation 46
  47. 47. 47 47
  48. 48. 48 48
  49. 49. 49 49
  50. 50. 50 ! La 50
  51. 51. 51 ! Organigramme ! Place du responsable de sécurité ! Rôle du responsable de sécurité dans le cadre des RH ! La stratégie de recrutement et le rôle de la sécurité ! Job description et sécurité ! Contrats ! Les contrats oubliés 51
  52. 52. 52 52
  53. 53. 53 ! Représente la structure de l’organisation ! Montre les relations entre les collaborateurs 53
  54. 54. 54 LATERAL 54
  55. 55. 55 55
  56. 56. 56 Fonctionnel . 56
  57. 57. COMPLEXE 57
  58. 58. Hierarchique 58
  59. 59. 59 59
  60. 60. 60 60
  61. 61. 61 61
  62. 62. OU ? 62
  63. 63. 63 Increasing pressure on 
 “traditional” organizations Formal organization/ Hierarchy Social organization / Heterarchy SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization? from_search=14 63
  64. 64. 64 64
  65. 65. 65 65
  66. 66. 66 66
  67. 67. Question Comment intégreriez-vous la sécurité dans le cadre du recrutement? 67 67
  68. 68. 68 ! Et la sécurité dans tous ça? ! Nécessaire à toutes les étapes ! Implication nécessaire du responsable de sécurité 68
  69. 69. 69 ! Confidentialité ! Règlement de travail ! Security policy ! CC 81 et sa négociation ! Opportunité! 69
  70. 70. 70 ! Les consultants ! Les sous-traitants ! Les auditeurs externes ! Les comptables ! Le personnel d’entretien 70
  71. 71. 71 ! Tests divers ! Interviews ! Assessment ! Avantages et inconvénients ! Et la sécurité dans tout ça? ! Et les sous traitants, consultants, etc. 71
  72. 72. 72 72
  73. 73. 73 73
  74. 74. 74 ! Screening des CV ! Avant engagement ! Final check ! Antécédents ! Quid médias sociaux, Facebook, googling, etc? ! Tout est-il permis? 74
  75. 75. 75 ! Responsabilité des employés ! Règles tant pendant qu’après le contrat d’emploi ou de sous- traitant ! Information vie privée ! Portables, gsm,… 75
  76. 76. 76 ! 8.2.1 responsabilités de la direction ! 8.2.2. Sensibilisation, qualification et formation ! 8.2.3 Processus disciplinaire 76
  77. 77. 77 ! Procédures ! Contrôle ! Mise à jour ! Rôle du responsable de sécurité ! Sponsoring 77
  78. 78. 78 http://fr.slideshare.net/distancexpert/management-et-modernisation-de-lorganisation-du-travail?qid=27ac248f-ec95-4f01-ac7b-918b47a7d011&v=default&b=&from_search=35 78
  79. 79. 79 79
  80. 80. 80 Quelle procédure suivre ? 80
  81. 81. 81 Vous contrôlez quoi ? 81
  82. 82. 82 RÖLE DU RESPONSABLE DE SECURITE 82
  83. 83. 83 83
  84. 84. 84 84
  85. 85. 85 85
  86. 86. 86 86
  87. 87. 87 ! Que peut-on contrôler? ! Limites? ! Correspondance privée ! CC81 ! Saisies sur salaire ! Sanctions réelles ! Communiquer les sanctions? 87
  88. 88. 88 Peut-on tout contrôler et tout sanctionner ? 88
  89. 89. 89 Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ; Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ; Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit; Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ; Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ; Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ; Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ; Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ; Participer à des chaînes de lettres, quel qu’en soit le contenu ; Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ; Participer directement ou indirectement à des envois d’emails non sollicités ; Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ; Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ; ! L’énumération ci-dessus n’est pas limitative.   89
  90. 90. 90 ! Dans le RT ! Cohérentes ! Légales ! Zone grise ! Réelles ! Objectives ! Syndicats 90
  91. 91. 91 91
  92. 92. 92 ! Attention aux mutations internes ! Maintien de confidentialité ! Qu’est-ce qui est confidentiel? 92
  93. 93. 93 93
  94. 94. 94 94
  95. 95. 95 95
  96. 96. 96 ! On ne sait jamais qui sera derrière le PC ! Nécessité que le responsable de sécurité soit informé ! Attentions aux changements de profils 96
  97. 97. 97 ! Pensez " Aux vols de données " Aux consultants " Aux étudiants " Aux stagiaires " Aux auditeurs " Etc. 97
  98. 98. QUI EST RESPONSABLE DE LA SECURITE DES INSTALLATIONS? 98
  99. 99. 99
  100. 100. 100
  101. 101. 101
  102. 102. 102
  103. 103. • Gestion des incidents 103
  104. 104. 104
  105. 105. 105
  106. 106. 106 106
  107. 107. 107 107
  108. 108. 108 108
  109. 109. 109 109
  110. 110. 110 110
  111. 111. 111 Bref vous ne pouvez pas accepter d’être complètement coincé ou… 111
  112. 112. 112 Sinon votre sécurité ce sera ça… 112
  113. 113. 113 113
  114. 114. 114 ! http://www.slideshare.net/targetseo ! http://www.ssi-conseil.com/index.php ! http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation ! www.flickr.com ! www.explorehr.org ! http://www.slideshare.net/frostinel/end-user-security-awareness- presentation-presentation ! http://www.slideshare.net/jorges ! http://www.slideshare.net/michaelmarlatt 114
  115. 115. 115 115

×