RSI face aux autres départements (ISO 27002)

1 980 vues

Publié le

Cours donné en décembre 2011 dans le cadre d'INFOSAFE

Publié dans : Formation
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 980
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
101
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

RSI face aux autres départements (ISO 27002)

  1. 1. ISO 27002 Fil rouge d’INFOSAFE Comment la mettre en place avec la nécessaire collaboration des autres départements de l’entreprise? Jacques Folon Chargé de cours ICHEC Professeur Invité Université de Metz
  2. 2. Espérons que votre sécurité ne ressemble jamais à ceci !
  3. 3. <ul><li>Rappel: </li></ul><ul><li>ISO est avant tout un recueil de bonnes pratiques </li></ul><ul><li>ISO 27002 est le fil rouge d’INFOSAFE </li></ul><ul><li>Pas de proposition de solutions technique </li></ul><ul><li>les autres départements sont concernés </li></ul><ul><li>Et vous dans tout ça? </li></ul>
  4. 4. <ul><li>«ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans l’entreprise. » </li></ul>
  5. 5.
  6. 6. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png
  7. 8. http://www.randco.fr/img/iso27002.jpg
  8. 9. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
  9. 10. Pour que ca marche ....
  10. 11. <ul><li>Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l'entreprise. </li></ul><ul><li>Ainsi, il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques. </li></ul><ul><li>Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela. </li></ul><ul><li>Enfin la troisième limite est son hétérogénéité, certains domaines sont trop approfondis, d'autres survolés.). </li></ul>Les limites d’ISO 27002
  11. 12. PLAN D’ACTIONS ASPECTS JURIDIQUES ASPECT D’ORGANISATION ASPECTS INFORMATIQUES SITUATION ACTUELLE STRATEGIE D’IMPLEMENTATION DE LA NORME
  12. 13. <ul><li>Résistance au changement </li></ul><ul><li>crainte du contrôle </li></ul><ul><li>comment l’imposer? </li></ul><ul><li>positionement du RSI </li></ul><ul><li>atteinte à l’activité économique </li></ul><ul><li>Culture d’entreprise et nationale </li></ul><ul><li>Besoins du business </li></ul>les freins
  13. 14. Analyse de risque vue avec Alain Huet C’est la meilleure arme des responsables de sécurité
  14. 15. Un des buts d’infosafe... Et c’est un processus permanent!
  15. 16. Avec qui ?
  16. 18. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
  17. 19. 8 Sécurité liée aux ressources humaines             8.1 Avant le recrutement            8.1.1 Rôles et responsabilités         8.1.2 Sélection         8.1.3 Conditions d’embauche     8.2 Pendant la durée du contrat            8.2.1 Responsabilités de la direction         8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information         8.2.3 Processus disciplinaire     8.3 Fin ou modification de contrat            8.3.1 Responsabilités en fin de contrat         8.3.2 Restitution des biens         8.3.3 Retrait des droits d’accès
  18. 20. LE DRH ET SON PC…
  19. 21.
  20. 22. VOUS LA DRH
  21. 23. Les employés partagent des informations
  22. 24. LES RH DANS ISO 27002
  23. 25.
  24. 26.
  25. 27.
  26. 28. Importance des RH
  27. 29.
  28. 30.
  29. 31. LA CULTURE D’ENTREPRISE
  30. 32. nationalité Profession entreprise Religion Sexe
  31. 34. <ul><li>On peut identifier la partie visible à première vue… </li></ul>
  32. 35. <ul><li>Un nouvel employé qui arrive? </li></ul><ul><li>Cinq personnes autour de la machine à café? </li></ul><ul><li>Un chef qui hurle sur un employé? </li></ul><ul><li>Une personne qui est licenciée? </li></ul><ul><li>Un jeune qui veut tout changer? </li></ul>
  33. 36.
  34. 37. <ul><li>Aspects principaux de la culture: </li></ul><ul><ul><li>La culture est partagée </li></ul></ul><ul><ul><li>La culture est intangible </li></ul></ul><ul><ul><li>La culture est confirmée par les autres </li></ul></ul>23 Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management
  35. 38. Niveau et fonction de la Culture: <ul><li>la Culture existe à deux niveaux: </li></ul><ul><li>Le côté visible et observable immédiatement (habillement, symboles, histoires, etc.) </li></ul><ul><li>Le côté invisible qui véhicule les valeurs, les croyances,etc. </li></ul><ul><li>Fonctions de la culture </li></ul><ul><li>Intégration </li></ul><ul><li>Guide de fonctionnement </li></ul><ul><li>Guide de communication </li></ul>
  36. 39. <ul><li>Rites – cérémonies </li></ul><ul><li>Histoires </li></ul><ul><li>Symboles </li></ul><ul><li>Tabous </li></ul>
  37. 40. <ul><li>Recrutement </li></ul><ul><li>Christmas party </li></ul><ul><li>Discours </li></ul><ul><li>Pots d’acceuil de départ </li></ul><ul><li>Réunions </li></ul><ul><li>… </li></ul>
  38. 41. HISTOIRES <ul><li>basées sur des événements réels qui sont racontées et partagées par les employés et racontées aux nouveaux pour les informer au sujet de l’organisation </li></ul><ul><li>qui rendent vivantes les valeurs de l’organisation </li></ul><ul><li>qui parlent des “héros”, des légendes </li></ul><ul><li>Le post it de 3M </li></ul><ul><li>Le CEO d’IBM sans badge </li></ul><ul><li>Le CEO de quick </li></ul>
  39. 42. SYMBOLES
  40. 43. TABOUS
  41. 44. <ul><li>Horaires </li></ul><ul><li>Relations avec les autres </li></ul><ul><li>Dress code </li></ul><ul><li>Office space </li></ul><ul><li>Training </li></ul><ul><li>… </li></ul>
  42. 45. <ul><li>Cela permet de comprendre ce qui se passe </li></ul><ul><li>De prendre la « bonne décision » </li></ul><ul><li>Parfois un frein au changement </li></ul><ul><li>Perception de vivre avec d’autres qui partagent les mêmes valeurs </li></ul><ul><li>Point essentiel pour le recrutement et la formation </li></ul>
  43. 46.
  44. 47.
  45. 48.
  46. 49. <ul><li>La </li></ul>
  47. 50. <ul><li>Organigramme </li></ul><ul><li>Place du responsable de sécurité </li></ul><ul><li>Rôle du responsable de sécurité dans le cadre des RH </li></ul><ul><li>La stratégie de recrutement et le rôle de la sécurité </li></ul><ul><li>Job description et sécurité </li></ul><ul><li>Contrats </li></ul><ul><li>Les contrats oubliés </li></ul>
  48. 51.
  49. 52. <ul><li>Représente la structure de l’organisation </li></ul><ul><li>Montre les relations entre les collaborateurs </li></ul>
  50. 53. LATERAL
  51. 54.
  52. 55. <ul><ul><li>Fonctionnel </li></ul></ul><ul><ul><li>. </li></ul></ul>
  53. 56. COMPLEXE
  54. 57. Hierarchique
  55. 58.
  56. 59.
  57. 60.
  58. 61. OU ?
  59. 62.
  60. 63.
  61. 64.
  62. 65. <ul><li>Et la sécurité dans tous ça? </li></ul><ul><li>Nécessaire à toutes les étapes </li></ul><ul><li>Implication nécessaire du responsable de sécurité </li></ul>
  63. 66. <ul><li>Confidentialité </li></ul><ul><li>Règlement de travail </li></ul><ul><li>Security policy </li></ul><ul><li>CC 81 et sa négociation </li></ul><ul><li>Opportunité! </li></ul>
  64. 67. <ul><li>Les consultants </li></ul><ul><li>Les sous-traitants </li></ul><ul><li>Les auditeurs externes </li></ul><ul><li>Les comptables </li></ul><ul><li>Le personnel d’entretien </li></ul>
  65. 68. <ul><li>Tests divers </li></ul><ul><li>Interviews </li></ul><ul><li>Assessment </li></ul><ul><li>Avantages et inconvénients </li></ul><ul><li>Et la sécurité dans tout ça? </li></ul><ul><li>Et les sous traitants, consultants, etc. </li></ul>
  66. 69.
  67. 70.
  68. 71. <ul><li>Screening des CV </li></ul><ul><li>Avant engagement </li></ul><ul><li>Final check </li></ul><ul><li>Antécédents </li></ul><ul><li>Quid médias sociaux, Facebook, googling, etc? </li></ul><ul><li>Tout est-il permis? </li></ul>
  69. 72. <ul><li>Responsabilité des employés </li></ul><ul><li>Règles tant pendant qu’après le contrat d’emploi ou de sous-traitant </li></ul><ul><li>Information vie privée </li></ul><ul><li>Portables, gsm,… </li></ul>
  70. 73. <ul><li>8.2.1 responsabilités de la direction </li></ul><ul><li>8.2.2. Sensibilisation, qualification et formation </li></ul><ul><li>8.2.3 Processus disciplinaire </li></ul>
  71. 74. <ul><li>Procédures </li></ul><ul><li>Contrôle </li></ul><ul><li>Mise à jour </li></ul><ul><li>Rôle du responsable de sécurité </li></ul><ul><li>Sponsoring </li></ul>
  72. 75. Quelle procédure suivre ?
  73. 76. Vous contrôlez quoi ?
  74. 77. RÖLE DU RESPONSABLE DE SECURITE
  75. 78.
  76. 79.
  77. 80.
  78. 81.
  79. 82. <ul><li>Que peut-on contrôler? </li></ul><ul><li>Limites? </li></ul><ul><li>Correspondance privée </li></ul><ul><li>CC81 </li></ul><ul><li>Saisies sur salaire </li></ul><ul><li>Sanctions réelles </li></ul><ul><li>Communiquer les sanctions? </li></ul>
  80. 83. Peut-on tout contrôler et tout sanctionner ?
  81. 84. <ul><li>Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ; </li></ul><ul><li>Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ; </li></ul><ul><li>Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit; </li></ul><ul><li>Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ; </li></ul><ul><li>Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ; </li></ul><ul><li>Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ; </li></ul><ul><li>Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ; </li></ul><ul><li>Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ; </li></ul><ul><li>Participer à des chaînes de lettres, quel qu’en soit le contenu ; </li></ul><ul><li>Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ; </li></ul><ul><li>Participer directement ou indirectement à des envois d’emails non sollicités ; </li></ul><ul><li>Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ; </li></ul><ul><li>Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ; </li></ul><ul><li>L’énumération ci-dessus n’est pas limitative. </li></ul><ul><li>  </li></ul>
  82. 85. <ul><li>Dans le RT </li></ul><ul><li>Cohérentes </li></ul><ul><li>Légales </li></ul><ul><li>Zone grise </li></ul><ul><li>Réelles </li></ul><ul><li>Objectives </li></ul><ul><li>Syndicats </li></ul>
  83. 86.
  84. 87. <ul><li>Attention aux mutations internes </li></ul><ul><li>Maintien de confidentialité </li></ul><ul><li>Qu’est-ce qui est confidentiel? </li></ul>
  85. 88.
  86. 89.
  87. 90.
  88. 91.
  89. 92.
  90. 93. <ul><li>On ne sait jamais qui sera derrière le PC </li></ul><ul><li>Nécessité que le responsable de sécurité soit informé </li></ul><ul><li>Attentions aux changements de profils </li></ul>
  91. 94. <ul><li>Pensez </li></ul><ul><ul><li>Aux vols de données </li></ul></ul><ul><ul><li>Aux consultants </li></ul></ul><ul><ul><li>Aux étudiants </li></ul></ul><ul><ul><li>Aux stagiaires </li></ul></ul><ul><ul><li>Aux auditeurs </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  92. 95. QUI EST RESPONSABLE DE LA SECURITE DES INSTALLATIONS?
  93. 100. <ul><li>Gestion des incidents </li></ul>
  94. 103.
  95. 104.
  96. 105.
  97. 106.
  98. 107.
  99. 108. Bref vous ne pouvez pas accepter d’être complètement coincé ou…
  100. 109. Sinon votre sécurité ce sera ça…
  101. 110.
  102. 111. Février 2008 J acques Folon + 32 475 98 21 15 ICHEC ebiz c/o I.Choquet, Rue au Bois, 365 A 1150 Bruxelles Ja [email_address] www.ichec.be MERCI de votre attention
  103. 112. <ul><li>http://www.slideshare.net/targetseo </li></ul><ul><li>http://www.ssi-conseil.com/index.php </li></ul><ul><li>http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation </li></ul><ul><li>www.flickr.com </li></ul><ul><li>www.explorehr.org </li></ul><ul><li>http://www.slideshare.net/frostinel/end-user-security-awareness-presentation-presentation </li></ul><ul><li>http://www.slideshare.net/jorges </li></ul><ul><li>http://www.slideshare.net/michaelmarlatt </li></ul>

×