Embed Size (px)
Citation preview
RH et sécurité de l’information: un mariage de raison
JacquesFolonwww.folon.com
PartnerEdgeConsulting
MaîtredeconférencesUniversitédeLiègeProfesseurICHECBrusselsManagementSchoolProfesseurinvitéUniversitédeLorraineESCRennesSchoolofBusiness SOURCE DE L’IMAGE : https://tulane.edu/tsweb/security/
La présentation sera dans la rubrique « cours »
WWW.FOLON.COM
Jacques Folon
email: [email protected]
Site: www.folon.com
GSM: +32 475 98 21 15
Média sociaux: tous les liens sont sur le site www.folon.com
3
Espérons que votre sécurité
ne ressemble jamais à ceci !
EN quoi les RH sont concernées par la sécurité de l’information? Gestion des données personnelles et la sécurité est une obligation légale ! Comment participer ensemble à la sécurité de l’information et quel référentiel utiliser?
«ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de
maintenir la sécurité dans leur organisation.
Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle
et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les
relations dans l’entreprise. »
6
Rappel:
ISO est avant tout un recueil de bonnes pratiques
ISO 27002 est le fil rouge de la sécurité de l’information
Pas de proposition de solutions technique
les autres départements sont concernés
Et les RH dans tout ça?
http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png
http://www.randco.fr/img/iso27002.jpg
12
Pour que ca marche il faut que les RH interviennent....
Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites:
1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques.2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela.3.Enfin la troisième limite est son hétérogénéité, certains domaines sont trop approfondis, d'autres survolés.).
Les limites d’ISO 27002
http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
HETEROGENE !!
Les normes
PLAN D’ACTIONS
ASPECTS JURIDIQUES
ASPECT D’ORGANISATION
ASPECTS INFORMATIQUES
SITUATION ACTUELLE
STRATEGIE D’IMPLEMENTATION
DE LA NORME
Comme dans infosafeMISE EN PLACE DE LA NORME
Lemonde n’apaschangé!
les freins
Résistance au changement
Crainte du contrôle
Imposer ou convaincre ?
Positionnement du RSI et des RH
Atteinte à l’activité économique
Culture d’entreprise et nationale
Besoins du business
les freins
http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
De quelle information parlons nous?
Analyse de risque
C’est la meilleure arme des responsables de sécuritéet des responsables RH
Avez-vous une politique de sécurité ?
C’est un processus permanent!Et les RH sont impliqués
Avec qui ?
8 Sécurité liée aux ressources humaines 8.1 Avant le recrutement 8.1.1 Rôles et responsabilités 8.1.2 Sélection 8.1.3 Conditions d’embauche 8.2 Pendant la durée du contrat 8.2.1 Responsabilités de la direction 8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information 8.2.3 Processus disciplinaire 8.3 Fin ou modification de contrat 8.3.1 Responsabilités en fin de contrat 8.3.2 Restitution des biens 8.3.3 Retrait des droits d’accès
La sécurité est-elle un sujet important
pour les RH ?
25
LE DRH ET SON PC…
26
27
28
Les employés partagent des informations
29
LES RH DANS ISO 27002
30
31
32
33
Importance des RH
34
35
LA CULTURE D’ENTREPRISE CADRE DE LA SECURITE DE L’INFORMATION
37
Profession
entreprise
Religion
Sexe
nationalité
39
On peut identifier la partie visible à première vue…
40
! Un nouvel employé qui arrive? ! Cinq personnes autour de la machine à café? ! Un chef qui hurle sur un employé? ! Une personne qui est licenciée? ! Un jeune qui veut tout changer? ! le respect des règles de sécurité ?
41
42
! Aspects principaux de la culture: " La culture est partagée " La culture est intangible " La culture est confirmée par les
autres
23Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management
Niveau et fonction de la Culture:
• la Culture existe à deux niveaux: •Le côté visible et observable immédiatement (habillement, symboles, histoires, etc.) •Le côté invisible qui véhicule les valeurs, les croyances,etc.
•Fonctions de la culture •Intégration •Guide de fonctionnement •Guide de communication
! Rites – cérémonies
! Histoires
! Symboles
! Tabous
45
! Recrutement ! Christmas party ! Discours ! Pots d’accueil de départ ! Réunions ! …
HISTOIRES- basées sur des événements réels qui sont racontées et partagées par les employés et racontées aux nouveaux pour les informer au sujet de l’organisation - qui rendent vivantes les valeurs de l’organisation - qui parlent des “héros”, des légendes
-Le post it de 3M -Le CEO d’IBM sans badge -Le CEO de quick
47
SYMBOLES
48
49
! Horaires ! Relations avec les autres ! Dress code ! Office space ! Training ! …
50
! Cela permet de comprendre ce qui se passe ! De prendre la « bonne décision » ! Parfois un frein au changement ! Perception de vivre avec d’autres qui partagent
les mêmes valeurs ! Point essentiel pour le recrutement et la
formation
51
52
53
54
! La
55
! Organigramme - réseaux ! Place du responsable de sécurité ! Rôle du responsable de sécurité dans le cadre
des RH ! La stratégie de recrutement et le rôle de la
sécurité ! Job description et sécurité ! Contrats ! Les contrats oubliés
56
57
! Représente la structure de l’organisation
! Montre les relations entre les collaborateurs
58
LATERAL
59
60
Fonctionnel .
COMPLEXE
Hierarchique
63
64
65
OU ?
67
Increasing pressure on “traditional” organizations
Formal organization/ Hierarchy
Social organization / Heterarchy
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14
”No one knows everything, everyone knows something,
all knowledge resides in humanity.” networks
Adapted from Lévy 1997
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14
Network structure affects performance
69Barsh et al 2007, McK Quarterly
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14
70
FIN DU « OUI CHEF » ?
Fin de la gestion par commande et contrôle ?
SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart
72
73
74
Question
Comment intégreriez-vous la sécurité dans le cadre du recrutement?
75
76
! Et la sécurité dans tous ça?
! Nécessaire à toutes les étapes
! Implication nécessaire du responsable de sécurité
77
! Confidentialité ! Règlement de
travail ! Security policy ! Contrôle des
collaborateurs vs. Confiance
! Opportunité!
78
! Les consultants ! Les sous-traitants ! Les auditeurs
externes ! Les comptables ! Le personnel
d’entretien
79
! Tests divers ! Interviews ! Assessment ! Avantages et inconvénients ! Et la sécurité dans tout ça? ! Et les sous traitants, consultants, etc.
80
81
82
! Screening des CV ! Avant engagement ! Final check ! Antécédents ! Quid médias sociaux,
Facebook, googling, etc?
! Tout est-il permis?
83
! Responsabilité des employés
! Règles tant pendant qu’après le contrat d’emploi ou de sous-traitant
! Information vie privée ! Portables, gsm,…
84
! 8.2.1 responsabilités de la direction
! 8.2.2. Sensibilisation, qualification et formation
! 8.2.3 Processus disciplinaire
85
! Procédures ! Contrôle ! Mise à jour ! Rôle du
responsable de sécurité
! Sponsoring
86http://fr.slideshare.net/distancexpert/management-et-modernisation-de-lorganisation-du-travail?qid=27ac248f-ec95-4f01-ac7b-918b47a7d011&v=default&b=&from_search=35
87
88
Quelle procédure suivre ?
89
Vous contrôlez quoi ?
90
RÖLE DU RESPONSABLE DE SECURITE
91
92
93
94
95
! Que peut-on contrôler? ! Limites? ! Correspondance privée ! Saisies sur salaire ! Sanctions réelles ! Communiquer les
sanctions?
96Peut-on tout contrôler et tout sanctionner ?
97
! Prévues avant ! Cohérentes ! Légales ! Zone grise ! Réelles ! Objectives ! Syndicats
98
99
! Attention aux mutations internes ! Maintien de confidentialité ! Qu’est-ce qui est confidentiel?
100
101
102
103
! On ne sait jamais qui sera derrière le PC ! Nécessité que le responsable de sécurité soit
informé ! Attentions aux changements de profils
104
! Pensez " Aux vols de données " Aux consultants " Aux étudiants " Aux stagiaires " Aux auditeurs " Etc.
QUI EST RESPONSABLE DE LA SECURITE DES INSTALLATIONS?
• Gestion des incidents
113
114
115
116
117
Bref vous ne pouvez pas accepter d’être complètement coincé ou…
118
Sinon votre sécurité ce sera ça…
119
120
! http://www.slideshare.net/targetseo ! http://www.ssi-conseil.com/index.php ! http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation ! www.flickr.com ! www.explorehr.org ! http://www.slideshare.net/frostinel/end-user-security-awareness-
presentation-presentation ! http://www.slideshare.net/jorges ! http://www.slideshare.net/michaelmarlatt
121
