Le document aborde l'importance de la sécurité de l'information en lien avec les ressources humaines, soulignant que la gestion des données personnelles est une obligation légale. Il présente l'ISO 27002 comme une norme de bonnes pratiques pour gérer la sécurité de l'information, bien que celle-ci ait des limites liées à son implémentation. La collaboration entre les départements, notamment les RH, est essentielle pour établir une politique de sécurité efficace tout au long du cycle de vie des employés.

1. Sécurité de l’information : un projet RH
Jacques Folon
Partner & GDPR Director
Edge Consulting
Maître de conférences
Université de Liège
Professeur
ICHEC Brussels Management School
Professeur invité
Université Saint Louis (BXL)
Université de Lorraine
ESC Rennes School of Business

2. 2
Espérons que votre sécurité
ne ressemble jamais à ceci !

3. EN quoi les RH concerne la sécurité de
l’information?
Gestion des données personelles et la
sécurité est une obligation légale !
Comment participer ensemble à la sécurité
de l’information et quel référentiel utiliser?
3

4. «ISO 27002 c’est donner des recommandations pour
gérer la sécurité de l’information à l’intention de ceux
qui sont responsables de définir, d’implémenter ou de
maintenir la sécurité dans leur organisation.
Elle est conçue pour constituer une base commune de
développement de normes de sécurité organisationnelle
et de pratiques efficaces de gestion de la sécurité, et
pour introduire un niveau de confiance dans les
relations dans l’entreprise. »

5. 5

6. 6
! Rappel:
! ISO est avant tout un recueil de bonnes
pratiques
! ISO 27002 est le fil rouge de la sécurité de
l’information
! Pas de proposition de solutions technique
! les autres départements sont concernés
! Et les RH dans tout ça?

7. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png

9. http://www.randco.fr/img/iso27002.jpg

10. 10
Pour que ca marche ....

11. Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre
en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites:
1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de
sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il
faut démarrer la démarche par une analyse des enjeux et des risques.
2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de
norme prend environ 5 ans. Dans le domaine des technologies de l'information,
les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement
que cela.
3.Enfin la troisième limite est son hétérogénéité, certains domaines sont trop
approfondis, d'autres survolés.).
Les limites d’ISO 27002

12. PLAN D’ACTIONS
ASPECTS
JURIDIQUES
ASPECT
D’ORGANISATION
ASPECTS
INFORMATIQUES
SITUATION
ACTUELLE
STRATEGIE
D’IMPLEMENTATION
DE LA NORME

13. Le monde
n’a pas changé!
les freins

14. Résistance au changement
crainte du contrôle
Imposer ou convaincre ?
Positionnement du RSI et des RH
atteinte à l’activité économique
Culture d’entreprise et nationale
Besoins du business
les freins

15. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
De quelle information parlons nous?

16. Les normes

17. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf

18. Analyse de risque
C’est la meilleure arme des responsables de sécurité
et des responsables RH

19. Avez-vous une politique de sécurité ?
C’est un processus permanent!
Et les RH sont impliqués

20. Avec qui ?

22. 8 Sécurité liée aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités
8.1.2 Sélection
8.1.3 Conditions d’embauche
8.2 Pendant la durée du contrat
8.2.1 Responsabilités de la direction
8.2.2 Sensibilisation, qualification et formations en
matière de sécurité de l’information
8.2.3 Processus disciplinaire
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat
8.3.2 Restitution des biens
8.3.3 Retrait des droits d’accès

23. 23
LE DRH ET SON PC…

24. 24

25. 25

26. 26
Les employés partagent des informations

27. 27
LES RH DANS ISO 27002

28. 28

29. 29

30. 30

33. La ges'on de projets…

35. The golden rule !!!
• The triple constraint
• Also known as the IRON TRIANGLE
• IT MUST BE DEFINED BEFOREHAND !
Time
Scope Cost

36. Quality
The Quadruple Constraint
• Warning: Quality has many defini4ons
Time
Scope Cost

37. Figure 1.1 Triple Constraint of Project Management
(Schwalbe, 2006, p8)

38. Project management body of knowledge
Integration
Management
Time Management Cost Management
Scope
Management
Quality
Management
HR Management
Risk Management
Communication
Management
Procurement
Management

39. S Specific
M Measurable
A Achievable
R Relevant
T Time-bound
OBJECTIVES MUST BE SMART !

40. • A team
• is a group of individuals who cooperate and work together to achieve a given set of
objec7ves or goals (Horodyski, 1995).

41. • Team-building
• is high interac7on among group members to increase trust and openness

42. • Project Team Size
• Performance is based on balance of members carrying out roles and mee7ng social and
emo7onal needs

43. • Project teams of 5 to 12 members work best
Source: Craig Brown www.betterproject.net

44. • There are problems
you encounter as
size increases
Source: Craig Brown www.betterproject.net

45. It gets more difficult to
interact with and
influence the group
Individuals get less
sa7sfac7on from their
involvement in the team
People end up with less
commitment to the team
goals
It requires more
centralized decision
making
There is lesser feeling as
being part of team
Source: Craig Brown www.betterproject.net

46. • You can’t accelerate a nine-month pregnancy by hiring nine pregnant women for a
month.
• Likewise, says University of North Carolina computer scien7st Fred Brooks, you can’t
always speed up an overdue soLware project by adding more programmers;
• Beyond a certain point, doing so increases delays.

47. Assigning more programmers to a project running behind schedule will make it
even later, due to the time required for the new programmers to learn about the
project, as well as the increased communication overhead.
- Fred Brooks

48. Fred Brooks
The Mythical Man-Month
Group Intercommunication Formula
n(n − 1) / 2
Examples
Source: Craig Brown www.betterproject.net

49. Fred Brooks
The Mythical Man-Month
Group Intercommunication Formula
n(n − 1) / 2
Examples
5 developers -> 5(5 − 1) / 2 = 10 channels
of communication
Source: Craig Brown www.betterproject.net

50. Fred Brooks
The Mythical Man-Month
Group Intercommunication Formula
n(n − 1) / 2
Examples
5 developers -> 5(5 − 1) / 2 = 10 channels
of communication
10 developers -> 10(10 − 1) / 2 = 45
channels of communication
Source: Craig Brown www.betterproject.net

51. Fred Brooks
The Mythical Man-Month
Group Intercommunication Formula
n(n − 1) / 2
Examples
5 developers -> 5(5 − 1) / 2 = 10 channels
of communication
10 developers -> 10(10 − 1) / 2 = 45
channels of communication
50 developers -> 50(50 − 1) / 2 = 1225
channels of communication
Source: Craig Brown www.betterproject.net

52. Project implies change !
And as such
Resistance to change,
even within
the project team !

53. http://flickr.com/photos/hlthenvt/401556761/sizes/l/

54. 54
Importance des RH

55. 55

56. 56

57. LA CULTURE D’ENTREPRISE
CADRE DE LA SECURITE DE L’INFORMATION

58. 58
Profession
entreprise
Religion
Sexe
nationalité

60. 60
On peut identifier la partie visible à première
vue…

61. 61
! Un nouvel employé qui arrive?
! Cinq personnes autour de la machine à café?
! Un chef qui hurle sur un employé?
! Une personne qui est licenciée?
! Un jeune qui veut tout changer?

62. 62

63. 63
! Aspects principaux de la culture:
! La culture est partagée
! La culture est intangible
! La culture est confirmée par les
autres
23
Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management

64. Niveau et fonction de la Culture:
• la Culture existe à deux niveaux:
•Le côté visible et observable
immédiatement (habillement,
symboles, histoires, etc.)
•Le côté invisible qui véhicule les
valeurs, les croyances,etc.
•Fonctions de la culture
•Intégration
•Guide de fonctionnement
•Guide de communication

65. ! Rites – cérémonies
! Histoires
! Symboles
! Tabous

66. 66
! Recrutement
! Christmas party
! Discours
! Pots d’accueil de départ
! Réunions
! …

67. HISTOIRES
- basées sur des événements réels qui sont
racontées et partagées par les employés et
racontées aux nouveaux pour les informer au
sujet de l’organisation
- qui rendent vivantes les valeurs de
l’organisation
- qui parlent des “héros”, des légendes
-Le post it de 3M
-Le CEO d’IBM sans badge
-Le CEO de quick

68. 68
SYMBOLES

69. 69

70. 70
! Horaires
! Relations avec les autres
! Dress code
! Office space
! Training
! …

71. 71
! Cela permet de comprendre ce qui se passe
! De prendre la « bonne décision »
! Parfois un frein au changement
! Perception de vivre avec d’autres qui partagent
les mêmes valeurs
! Point essentiel pour le recrutement et la
formation

72. 72

73. 73

74. 74

75. 75
! La

76. 76
! Organigramme - réseaux
! Place du responsable de sécurité
! Rôle du responsable de sécurité dans le cadre
des RH
! La stratégie de recrutement et le rôle de la
sécurité
! Job description et sécurité
! Contrats
! Les contrats oubliés

77. 77

78. 78
! Représente la
structure de
l’organisation
! Montre les relations
entre les
collaborateurs

79. 79
LATERAL

80. 80

81. 81
Fonctionnel
.

82. COMPLEXE

83. Hierarchique

84. 84

85. 85

86. 86

87. OU ?

88. 88
Increasing pressure on
“traditional” organizations
Formal organization/
Hierarchy
Social organization /
Heterarchy
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?
from_search=14

89. ”No one knows everything,
everyone knows something,
all knowledge resides in humanity.” networks
Adapted from Lévy 1997
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14

90. Network structure affects performance
90
Barsh et al 2007, McK Quarterly
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14

91. 91
FIN DU « OUI CHEF » ?

92. Fin de la gestion par
commande et contrôle ?
SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart

93. 93

94. 94

95. 95

96. Question
Comment intégreriez-vous la sécurité dans
le cadre du recrutement?
96

97. 97
! Et la sécurité dans
tous ça?
! Nécessaire à
toutes les étapes
! Implication
nécessaire du
responsable de
sécurité

98. 98
! Confidentialité
! Règlement de
travail
! Security policy
! Contrôle des
collaborateurs vs.
Confiance
! Opportunité!

99. 99
! Les consultants
! Les sous-traitants
! Les auditeurs
externes
! Les comptables
! Le personnel
d’entretien

100. 100
! Tests divers
! Interviews
! Assessment
! Avantages et inconvénients
! Et la sécurité dans tout ça?
! Et les sous traitants, consultants, etc.

101. 101

102. 102

103. 103
! Screening des CV
! Avant engagement
! Final check
! Antécédents
! Quid médias sociaux,
Facebook, googling,
etc?
! Tout est-il permis?

104. 104
! Responsabilité des
employés
! Règles tant pendant
qu’après le contrat
d’emploi ou de sous-
traitant
! Information vie privée
! Portables, gsm,…

105. 105
! 8.2.1
responsabilités de
la direction
! 8.2.2.
Sensibilisation,
qualification et
formation
! 8.2.3 Processus
disciplinaire

106. 106
! Procédures
! Contrôle
! Mise à jour
! Rôle du
responsable
de sécurité
! Sponsoring

107. 107
http://fr.slideshare.net/distancexpert/management-et-modernisation-de-lorganisation-du-travail?qid=27ac248f-ec95-4f01-ac7b-918b47a7d011&v=default&b=&from_search=35

108. 108

109. 109
Quelle procédure suivre ?

110. 110
Vous contrôlez quoi ?

111. 111
RÖLE DU RESPONSABLE DE SECURITE

112. 112

113. 113

114. 114

115. 115

116. 116
! Que peut-on contrôler?
! Limites?
! Correspondance privée
! Saisies sur salaire
! Sanctions réelles
! Communiquer les
sanctions?

117. CONTRÔLE DES COLLABORATEURS
161SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top-american/

118. Ce que les patrons croient…

119. En réalité…

120. L’EMPLOYEUR PEUT-IL TOUT CONTROLER?

121. Qui contrôle quoi ?

122. VERS LE CONTREMAÎTRE
ELECTRONIQUE
• Contremaître traditionnel
– personne repérable, chargée de contrôler la présence physique du
salarié sur son lieu de travail et en activité
• Contremaître électronique
– chargé du contrôle de la présence physique : les badges d ’accès…
• Contremaître virtuel
– pouvant tout exploiter sans que le salarié en ait toujours conscience et
permettant, le cas échéant, d ’établir le profil professionnel,
intellectuel ou psychologique du salarié
➨ Développement des chartes d ’information

123. Les emails
• Ne sont pas de la correspondance
• L’employeur peut-il les ouvrir ?
• Emails privés avec adresse privée ?
• Emails privés avec adresse professionnelle
• Emails professionnels ?
169

124. Usage d’internet
• Que faire en cas d’usage illégal ?
• Crime (pédophilie, etc.) ?
• Racisme, sexisme?
• Atteinte au droit d’auteur?
• Criminalité informatique?
• Espionnage industriel ?
• Concurrence déloyale ?
170

125. 125http://www.suez-environnement.fr/wp-content/uploads/2013/03/Guide_Medias_Sociaux_SUEZENVIRONNEMENT-FR.pdf

126. 126http://www.suez-environnement.fr/wp-content/uploads/2013/03/Guide_Medias_Sociaux_SUEZENVIRONNEMENT-FR.pdf

127. Le code de conduite
• Activités illégales
• Activités non autorisées durant certaines
heures
• Activités autorisées avec modération
• Différence entre code de conduite et
application de la CC 81
171

128. Contrôle des employés : équilibre
• Protection de la vie
privée des travailleurs
ET
• Les prérogatives de
l’employeur tendant à
garantir le bon
déroulement du travail

129. CC 81
! Principe de finalité
! Principe de proportionnalité
! Information
! Individualisation
! sanctions

130. Les 4 finalités
1. Prévention de faits illégaux, de faits contraires aux
bonnes mœurs ou susceptibles de porter atteinte à la
dignité d’autrui
2. La protection des intérêts économiques, commerciaux
et financiers de l’entreprise auxquels est attaché un
caractère de confidentialité ainsi que la lutte contre
les pratiques contraires
3 La sécurité et/ou le fonctionnement technique de
l’ensemble des systèmes informatiques en réseau de
l’entreprise, en ce compris le contrôle des coûts y
afférents, ainsi que la protection physique des
installations de l’entreprise
4 Le respect de bonne foi des principes et règles
d’utilisation des technologies en réseau fixés dans
l’entreprise

131. TELEWORKING

132. Le contrôle du
télétravailleur
177
http://fr.slideshare.net/olivier/identitenumeriquereseauxsociaux

133. 178
http://www.privacycommission.be/fr/brochure-information-cybersurveillance

134. 134
! Prévues avant
! Cohérentes
! Légales
! Zone grise
! Réelles
! Objectives
! Syndicats

135. 135

136. 136
! Attention aux mutations internes
! Maintien de confidentialité
! Qu’est-ce qui est confidentiel?

137. 137

138. 138

139. 139

140. 140
! On ne sait jamais qui sera derrière le PC
! Nécessité que le responsable de sécurité soit
informé
! Attentions aux changements de profils

141. 141
! Pensez
" Aux vols de données
" Aux consultants
" Aux étudiants
" Aux stagiaires
" Aux auditeurs
" Etc.

142. QUI EST RESPONSABLE DE LA SECURITE DES INSTALLATIONS?

147. • Gestion des incidents

150. 150

151. 151

152. 152

153. 153

154. 154

155. 155
Bref vous ne pouvez pas
accepter d’être
complètement coincé
ou…

156. 156
Sinon votre sécurité ce sera ça…

157. 157

158. 158
! http://www.slideshare.net/targetseo
! http://www.ssi-conseil.com/index.php
! http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation
! www.flickr.com
! www.explorehr.org
! http://www.slideshare.net/frostinel/end-user-security-awareness-
presentation-presentation
! http://www.slideshare.net/jorges
! http://www.slideshare.net/michaelmarlatt

159. 159