Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
ISO/IEC 27001 et RGPD
Quels sont les enjeux de sécurité les plus fréquents lorsque l’on travaille à distance et comment les surmonter
v
2
CHRISTOPHE JOLIVETCISSP – CCSP – CCSK - ISO 27001 LI
GIAC - CISA - CBCP - CIPP/E
Propriétaire de PROSICACISO et cyber-expert
France
Modérateur
v
3
Panélistes
PETER GEELENDirecteur et consultant en gestion chez CyberMinute
et propriétaire de Quest for Security.Belgique
ADRIEN CHAMBADEConsultant, formateur et auditeur en
cybersécurité chez ONYL ROCKSFrance
ADLEN LOUKILConsultant et expert international RGPD,
Cybersécurité et sécurité de l’information, formateur accrédité LSTI France et PECB, CEO Resys-consultants
Tunisie
Directeur général, consultant principal et auditeur chez
CARMAOAllemagne
ROBERT HELLWIG
4
1. PRINCIPE 1 DU RGPD : Licéité, loyauté et transparence : les données personnelles doivent être traitées demanière licite, loyale et transparente vis-à-vis de la personne concernée.
Garantir la protection de la vie privée du Télétravailleur , conformément à la législation en vigueur:ISO 27001 & A 18.1.4 Protection de la vie privée et protection des données à caractère personnel
Surveillance par l’employeur des données de connexions des télétravailleurs ? Impact sur la vie privée ?ISO 27001 & A.12.4 Journalisation et surveillance
2. PRINCIPE 2 DU RGPD : Limitation des finalités : les données personnelles doivent être collectées pour desfinalités précises, claires, compréhensibles et légitimes, et ne pas être traitées ultérieurement d'une manièreincompatible avec ces finalités.
Charte de Télétravail signée par les employés ? Consentement du Télétravailleur:ISO 27001 & A.6.2.1 Politique en matière d’appareils mobiles ? Sauvegarde de données des télétravailleurs ?ISO 27001 & A 6.2.2 Télétravail (Lieu physique, Sécurité des communications, etc.) Conservation des données ?
3. PRINCIPE 3 DU RGPD : Minimisation des données : seules les données pertinentes et strictement nécessairespour atteindre la finalité envisagée sont autorisées à figurer dans le traitement.Revue régulière de la conformité des traitements des données du TélétravailleursISO 27001 & A.18.2.2 Conformité avec les politiques et les normes de sécurité
RGPD, SÉCURITÉ DU TÉLÉTRAVAIL et ISO 27001
5
4. PRINCIPE 4 DU RGPD : Exactitude : les données personnelles doivent être exactes et, si nécessaire, tenues à jour.Les données périmées ou inexactes doivent être effacées ou rectifiées sans tarder.Prévention contre les menaces internes et externes de modifications non autorisés de des données, Usurpationd’identité du Télétravailleurs, etc.ISO 27001 & A 9 – Contrôle d’accès – Gestion IAM
5. PRINCIPE 5 DU RGPD : Limitation de conservation : les données personnelles doivent être conservées pendant unedurée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.Sauvegarde données conformément à un calendrier de conservation ?ISO 27001 &A.12.3.1 Sauvegarde des informations
6. PRINCIPE 6 DU RGPD : Intégrité et confidentialité : les données personnelles doivent être traitées de façon à garantirune sécurité appropriée desdites données, y compris la protection contre le traitement non autorisé ou illicite etcontre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ouorganisationnelles appropriées.Menace de Cyberattaques, Contamination virale et fuite de données sensibles par le TélétravailleurISO 27001 & A.12.2.1 Mesures contre les logiciels malveillantsISO 27001& A.13.1 Management de la sécurité des réseaux
RGPD, SÉCURITÉ DU TÉLÉTRAVAIL et ISO 27001
6
Synthèse ISO 27701
(PIMS)
7
ISO 27(7)01 = PIMS (EN)
Système de gestion des données personnelles (FR)
ISO 27001
ISO 27002ISO 27018
ISO 27701
EU RGPD
ISO 29100
ISO 29151ISO 29134
8
ISO 27(7)01 = PIMS (EN)
Système de gestion des données personnelles (FR)
ISO 27701 est basée sur:
Sécurité de l’information (SMSI)• ISO 27001 (Info Security - Exigences)• ISO 27002 (Info Security - Code de bonne pratique• ISO 27018 (PII in public cloud)
Privacy• ISO 29100 (Privacy Framework) (*)• ISO 29151 (PII Protection - Code de bonne pratique)• ISO 29134 (PIA)
Protection des données• RGPD (*)
9
ISO 27701 : Les principes
• « Sécurité de l’information » remplacé par• « Sécurité de l’information et protection des données
personnelles »
• « data protection by design » (dès la conception)• « data protection by default » (par défaut)• Gestions des incidents (!)• Conformité (réf. RGPD)• Environnement de test (!)
10
ISO 27701 : structure principale
1-3. Présentation
4. Généralités
5. Exigences PIMS – ISO 27001
6. Exigences PIMS – ISO 27002
7. +ISO 27002 guide pour responsables du traitement PII
8. +ISO 27002 guide pour sous-traitants PII
Annexes A-F
11
Annexes
A. Objectifs et mesures de référence pour responsables de traitement
B. Objectifs et mesures de référence pour sous-traitant
C. Correspondance avec ISO 29100
D. Correspondance avec le RGPD
E. Correspondance avec ISO 27018 et ISO 29151
F. Comment appliquer ISO 27701 à ISO 27001/2
12
ISO 27701 vs ISO 27001
4.3 ISO 27001 Exigences (ISO 27701 article 5)
ISO 27701 Sujet ISO 27001 Remarque
5.2 Contexte de l’organisation 4 Changé
5.3 Leadership 5 Direct
5.4 Planification 6 Changé
5.5 Support 7 Direct
5.6 Fonctionnement 8 Direct
5.7 Évaluation des performances 9 Direct
5.8 Amélioration continue 10 Direct
13
Correspondance ISO 27701 avec ISO 27001
4.3 ISO 27002 Exigences (ISO 27701 article 6)
ISO 27701 Sujet ISO 27002 Remarque
6.2 Politiques 5 Changé
6.3 Organisation 6 Changé
6.4 RH 7 Changé
6.5 Gestion des actifs 8 Changé
6.6 Contrôle d’accès 9 Changé
6.7 Cryptographie 10 Changé
6.8 Sécurité physique et environnementale
11 Changé
14
Correspondance ISO 27701 avec ISO 27001
4.3 ISO 27002 Exigences (ISO 27701 article 6)
ISO 27701 Sujet ISO 27002 Remarque
6.9 Exploitation 12 Changé
6.10 Communications 13 Changé
6.11 Acquisition, dév er mainten. 14 Changé
6.12 Fournisseurs 15 Changé
6.13 Gestion des incidents 16 Changé
6.14 Continuité de l’activité 17 Direct
6.15 Conformité 18 Changé
15
Risques cyber et bonnes pratiques
du télétravail
16
Risques cyber et bonnes pratiques du télétravail
Une pratique devenue incontournable
• Avantage concurrentiel
• Levier d’internationalisation
• Pratique moderne adaptée (vie de famille, liberté d’agenda,…)
• Mesures dans le contexte sanitaire (confinement, distanciation,…)
17
Risques cyber et bonnes pratiques du télétravail
Des menaces qui s’adaptent à la pandémie
• SMS (colis en attente, remboursement à confirmer,…)
• Hameçonnage par e-mails (phishing et spear-phishing)
18
Risques cyber et bonnes pratiques du télétravail
Une pratique encadrée
• Droit du travail (dépend de chaque pays)
• RGPD : Article 32 (Sécurité du traitement)
• ISO 27001 : 6.2.2
• ISO 27701 : 6.3.2.2
19
Risques cyber et bonnes pratiques du télétravail
Cadre général
Source : ANSSI
PCcorporate
PC perso (BYOD)
20
Risques cyber et bonnes pratiques du télétravail
L’équipement
• Hardening
• Accès et Privilèges (droits administrateurs)
• Sécurité de la donnée stockée (chiffrement des disques ?)
• Gestion des périphériques amovibles
21
Risques cyber et bonnes pratiques du télétravail
Interconnexion domicile-travail
• Confidentialité/Intégrité (VPN SSL/IPSEC ?)
• Connexion en direct au SI ?
• CASB (vers les fournisseurs cloud)
• ZTNA (vers le SI on premise/interne)
22
Risques cyber et bonnes pratiques du télétravail
Encadrement des pratiques
• Sensibilisation
• Responsabilisation (charte informatique, politiques, …)
• Respect des obligations légales (frais du télétravail remboursés ?)
• Surveillance (MDM, DLP, EDR, journalisation,…)
23
Risques cyber et bonnes pratiques du télétravail
Des problèmatiques nouvelles
• Gestion du filtrage du surf internet (hors VPN,…)
• Dimensionnement
• Réseau (VPN avec la charge générale ou en full tunneling, …)
• Machines (ordinateur portable pour chaque personne,…)
• Gérer les workstations
• Patching machine préalablement fait sur place ou en VPN
ISO/IEC 27001 et RGPD
Quels sont les enjeux de sécurité les plus fréquents lorsque l’on travaille à distance et comment les surmonter
Table ronde et réponses aux questions