SlideShare ist ein Scribd-Unternehmen logo
1 von 2
Downloaden Sie, um offline zu lesen
S ERVICE DE C OORDINATION                                                                                                                Juin 2009
A L’INTELLIGENCE ECONOMIQUE




                                                  SENSIBILISATION DU PERSONNEL
                                           A LA PROTECTION DES INFORMATIONS SENSIBLES

 Enjeu : Toute entreprise est exposée au risque de perte                                  essentiel que chacun ait conscience de la sensibilité et de la
 ou de détournement d’informations : vols de supports                                     vulnérabilité des informations qu’il détient, des pratiques
 informatiques,       interception de communications,                                     frauduleuses existantes et de la nécessité d’une diffusion
 manipulation de salariés… La protection des informations                                 maîtrisée de cette information en interne comme en externe.
 sensibles doit être une préoccupation de l’ensemble des                                  C’est véritablement une prise de conscience qu’il convient de
 acteurs impliqués dans l’entreprise (collaborateurs, cadres                              développer au sein de l’organisation et dans ses relations
 dirigeants, membres des organes sociaux…). Il est                                        avec l’extérieur.

 Comment ?

 -                             Définir une politique de protection de l’information adaptée aux besoins de l’entreprise

                                           Quelles sont les informations sensibles de l’entreprise ?
       Les informations sensibles




                                                Les informations dont la divulgation procurerait un avantage à
                                                la concurrence ou aux partenaires ou réduirait l’avantage dont      ! Veiller à bien identifier les
                                                dispose l’entreprise (R&D, travaux d’innovation, savoir-faire
                                                                                                                    informations qui prises
                                                technologique, contenu d’offres commerciales, structure des
                                                                                                                    individuellement sont peu
                                                comptes, fichiers clients projets de développement,
                                                                                                                    sensibles mais constituent
                                                fonctionnement de l‘entreprise…)
                                    .                                                                               ensemble une information
                                                                                                                    confidentielle
                                                Les informations encadrées par des exigences légales et/ou
                                                contractuelles (secret des affaires, engagement de
                                                confidentialité…)
       Les situations à risques




                                            Quelles sont les situations à risques ? réponse à des appels d’offres, enquêtes, sondages,
                                        interviews, colloques, salons, déplacements, diffusion d’informations à des actionnaires, négociations
                                        commerciales, échanges d’informations avec les partenaires de l’entreprise, utilisation d’Internet…


                                         Formaliser un référentiel de bonnes pratiques pour encadrer le comportement des salariés de
                                         l’entreprise dans ces situations




 2. Sensibiliser et former les salariés à la protection des informations sensibles de l’entreprise

                                           Quelle sensibilisation du personnel ?
                                                Expliquer aux salariés la notion d’information sensible, les enjeux de la sécurité et les objectifs
                                                des mesures prises pour protéger l’information (différenciées en fonction des personnels et de
                                                leurs responsabilités), afin de faciliter l’acceptation et l’application de règles qui peuvent être
     Sensibilisation
      du personnel




                                                parfois contraignantes
                                                Organiser une sensibilisation permanente via des formations (différenciées en fonction des
                                                personnels et de leurs responsabilités), des notes régulières, des réunions internes, la diffusion
                                                des bonnes pratiques, l’affichage des précautions à prendre dans les zones sensibles
                                                (photocopieurs…), écrans de veille rappelant le respect des règles de sécurité sur les postes de
                                                travail…
Responsabiliser les salariés
                                    - Inclure des clauses spécifiques dans les contrats de travail,
      Sensibilisation
       du personnel
                                    - Prévoir des clauses de confidentialité dans les relations avec les contacts externes,
                                    - Recueillir l’engagement des salariés à respecter les règles de sécurité du système
                                    d’information
                                   Contrôler régulièrement le respect des règles de protection des informations et la connaissance
                                   des dispositions pratiques inscrites dans le règlement intérieur (conditions de circulation sur le
                                   site, l’utilisation des moyens de communications et des systèmes d’information, les sanctions
                                   éventuelles…)

3. Utilisation des outils « juridiques »
     • Le contrat de travail des salariés (clauses de confidentialités qui restent valables après la rupture du
                        contrat, clauses de restitution des données confidentielles, clauses de non-concurrence…)
     • L’engagement de confidentialité à faire signer le plus largement possible, par exemple aux fournisseurs,
                        aux clients, aux sous-traitants, aux prestataires extérieurs (maintenance, nettoyage, restauration, etc.), aux
                        sociétés d’assurance, aux fournisseurs d’accès et hébergeurs pour l’informatique, aux stagiaires, aux
                        intervenants occasionnels…
     • Le contrat de confidentialité lors de la mise en place d’un partenariat (collaboration, sous-traitance,
       prestation de services….).
                                                                          Principaux points à retenir pour la rédaction d’un contrat de
        Ce contrat constituera un engagement                                      confidentialité dans le cas d’un partenariat
        réciproque sur la sécurité que chacun
                                                                   - Indiquer les informations sensibles qui seront échangées ou partagées,
        apportera aux informations confiées
        par son ou ses partenaires                                 - S’accorder sur les niveaux de classification des informations et s’assurer que
                                                                   chacun donne la même signification aux dénominations retenues,
                                                                   - Convenir des mesures de protection à mettre en place, en relation avec le
                                                                   niveau des informations à protéger,
                                                                   - Contrôler la mise en place des mesures de sécurité et leur efficacité ou
                                                                   s’engager sur la validité d’une grille d’auto-évaluation de la sécurité annexée
                                                                   au contrat,
                                                                   - Déterminer les responsabilités relatives à la protection des informations
                                                                   communiquées (qui est en charge de quoi ? obligation de résultat ou obligation
                                                                   de moyens en matière de protection de l'information),
                                                                   - Contrôler la diffusion des informations sensibles en interdisant les sous-
                                                                   contractants ou en prévoyant de leur imposer des règles de confidentialité,
                                                                   - Définir des procédures d’habilitation des personnes qui auront « besoin d’en
                                                                   connaître » dans le cadre du contrat (directement ou en sous-traitance),
                                                                   - Préciser, pour le personnel du partenaire accueilli sur site, les autorisations
                                                                   d’accès accordées, les moyens de communication mis à disposition et leurs
                                                                   conditions d'utilisation (par exemple création d’une adresse électronique sur le
                                                                   serveur de messagerie de l’entreprise ou possibilité d’utilisation dans des
                                                                   tranches horaires « hors normes » en raison des décalages horaires).


     • Pour plus d’informations sur la rédaction d’engagements contractuels de confidentialité dans le
        cadre des pôles de compétitivité :
        http://www.industrie.gouv.fr/guidepropintel/fiches_pratiques/la_confidentialite.htm


     A Noter :
     La perte ou la destruction d’informations sensibles est le fait dans 80 % des cas de maladresses
     internes ou de l’absence de process de sauvegarde fiable (cf. fiche sur la Sécurité des Systèmes
     d’Informations).


     Sources : www.clusif.fr // www.ssi.gouv.fr

Weitere ähnliche Inhalte

Was ist angesagt?

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Fondamentaux de la communication de crise
Fondamentaux de la communication de criseFondamentaux de la communication de crise
Fondamentaux de la communication de criseGeoffrey Laloux
 
Cyber espionage nation state-apt_attacks_on_the_rise
Cyber espionage nation state-apt_attacks_on_the_riseCyber espionage nation state-apt_attacks_on_the_rise
Cyber espionage nation state-apt_attacks_on_the_riseCyphort
 
Présentation de l’art de la négociation.ppt (1)
Présentation de l’art  de la négociation.ppt (1)Présentation de l’art  de la négociation.ppt (1)
Présentation de l’art de la négociation.ppt (1)LAKEHAL Youcef
 
CISO Application presentation - Babylon health security
CISO Application presentation - Babylon health securityCISO Application presentation - Babylon health security
CISO Application presentation - Babylon health securityDinis Cruz
 
Cyber Threat Modeling
Cyber Threat ModelingCyber Threat Modeling
Cyber Threat ModelingEC-Council
 
Threat modelling with_sample_application
Threat modelling with_sample_applicationThreat modelling with_sample_application
Threat modelling with_sample_applicationUmut IŞIK
 
Introduction to Cybersecurity
Introduction to CybersecurityIntroduction to Cybersecurity
Introduction to CybersecurityKrutarth Vasavada
 
Cyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feedsCyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feedsIain Dickson
 
Hackeando Mentes - Engenharia social
Hackeando Mentes - Engenharia social Hackeando Mentes - Engenharia social
Hackeando Mentes - Engenharia social Abraão Állysson
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report Morane Decriem
 
SYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdf
SYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdfSYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdf
SYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdfDhiaeddineabdelli
 
The Board and Cyber Security
The Board and Cyber SecurityThe Board and Cyber Security
The Board and Cyber SecurityFireEye, Inc.
 
Developing a Threat Modeling Mindset
Developing a Threat Modeling MindsetDeveloping a Threat Modeling Mindset
Developing a Threat Modeling MindsetRobert Hurlbut
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security AwarenessRamiro Cid
 
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de PapillonManagement des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillonibtissam el hassani
 
La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...Jean-François Tripodi
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 

Was ist angesagt? (20)

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Fondamentaux de la communication de crise
Fondamentaux de la communication de criseFondamentaux de la communication de crise
Fondamentaux de la communication de crise
 
Cybersecurity 2 cyber attacks
Cybersecurity 2 cyber attacksCybersecurity 2 cyber attacks
Cybersecurity 2 cyber attacks
 
Cyber espionage nation state-apt_attacks_on_the_rise
Cyber espionage nation state-apt_attacks_on_the_riseCyber espionage nation state-apt_attacks_on_the_rise
Cyber espionage nation state-apt_attacks_on_the_rise
 
Présentation de l’art de la négociation.ppt (1)
Présentation de l’art  de la négociation.ppt (1)Présentation de l’art  de la négociation.ppt (1)
Présentation de l’art de la négociation.ppt (1)
 
CISO Application presentation - Babylon health security
CISO Application presentation - Babylon health securityCISO Application presentation - Babylon health security
CISO Application presentation - Babylon health security
 
Cyber Threat Modeling
Cyber Threat ModelingCyber Threat Modeling
Cyber Threat Modeling
 
Threat modelling with_sample_application
Threat modelling with_sample_applicationThreat modelling with_sample_application
Threat modelling with_sample_application
 
Introduction to Cybersecurity
Introduction to CybersecurityIntroduction to Cybersecurity
Introduction to Cybersecurity
 
Identity Access Management (IAM)
Identity Access Management (IAM)Identity Access Management (IAM)
Identity Access Management (IAM)
 
Cyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feedsCyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feeds
 
Hackeando Mentes - Engenharia social
Hackeando Mentes - Engenharia social Hackeando Mentes - Engenharia social
Hackeando Mentes - Engenharia social
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report
 
SYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdf
SYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdfSYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdf
SYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdf
 
The Board and Cyber Security
The Board and Cyber SecurityThe Board and Cyber Security
The Board and Cyber Security
 
Developing a Threat Modeling Mindset
Developing a Threat Modeling MindsetDeveloping a Threat Modeling Mindset
Developing a Threat Modeling Mindset
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security Awareness
 
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de PapillonManagement des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
 
La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 

Andere mochten auch

Analyse dispositif web Vendée Digital Awards
Analyse dispositif web Vendée Digital AwardsAnalyse dispositif web Vendée Digital Awards
Analyse dispositif web Vendée Digital Awardsvendeers
 
La stratégie médias sociaux du festival de Poupet
La stratégie médias sociaux du festival de PoupetLa stratégie médias sociaux du festival de Poupet
La stratégie médias sociaux du festival de Poupetvendeers
 
La stratégie "médias sociaux" des Gîtes de France Vendée
La stratégie "médias sociaux" des Gîtes de France VendéeLa stratégie "médias sociaux" des Gîtes de France Vendée
La stratégie "médias sociaux" des Gîtes de France Vendéevendeers
 
Votre entreprise et les relations presse, à l'heure des médias sociaux
Votre entreprise et les relations presse, à l'heure des médias sociauxVotre entreprise et les relations presse, à l'heure des médias sociaux
Votre entreprise et les relations presse, à l'heure des médias sociauxvendeers
 
Introduction de la soirée du 19 mars
Introduction de la soirée du 19 marsIntroduction de la soirée du 19 mars
Introduction de la soirée du 19 marsvendeers
 
Les réseaux sociaux et la vidéo - Soirée Vendée Réseaux Sociaux
Les réseaux sociaux et la vidéo - Soirée Vendée Réseaux SociauxLes réseaux sociaux et la vidéo - Soirée Vendée Réseaux Sociaux
Les réseaux sociaux et la vidéo - Soirée Vendée Réseaux Sociauxvendeers
 
8 tendances 2017 des réseaux sociaux
8 tendances 2017 des réseaux sociaux8 tendances 2017 des réseaux sociaux
8 tendances 2017 des réseaux sociauxvendeers
 
Vaincre le Vol et la fraude
Vaincre le Vol et la fraudeVaincre le Vol et la fraude
Vaincre le Vol et la fraudeREALIZ
 
Les médias sociaux expliqués à ma PME, par Yann Gourvennec
Les médias sociaux expliqués à ma PME, par Yann GourvennecLes médias sociaux expliqués à ma PME, par Yann Gourvennec
Les médias sociaux expliqués à ma PME, par Yann Gourvennecvendeers
 

Andere mochten auch (9)

Analyse dispositif web Vendée Digital Awards
Analyse dispositif web Vendée Digital AwardsAnalyse dispositif web Vendée Digital Awards
Analyse dispositif web Vendée Digital Awards
 
La stratégie médias sociaux du festival de Poupet
La stratégie médias sociaux du festival de PoupetLa stratégie médias sociaux du festival de Poupet
La stratégie médias sociaux du festival de Poupet
 
La stratégie "médias sociaux" des Gîtes de France Vendée
La stratégie "médias sociaux" des Gîtes de France VendéeLa stratégie "médias sociaux" des Gîtes de France Vendée
La stratégie "médias sociaux" des Gîtes de France Vendée
 
Votre entreprise et les relations presse, à l'heure des médias sociaux
Votre entreprise et les relations presse, à l'heure des médias sociauxVotre entreprise et les relations presse, à l'heure des médias sociaux
Votre entreprise et les relations presse, à l'heure des médias sociaux
 
Introduction de la soirée du 19 mars
Introduction de la soirée du 19 marsIntroduction de la soirée du 19 mars
Introduction de la soirée du 19 mars
 
Les réseaux sociaux et la vidéo - Soirée Vendée Réseaux Sociaux
Les réseaux sociaux et la vidéo - Soirée Vendée Réseaux SociauxLes réseaux sociaux et la vidéo - Soirée Vendée Réseaux Sociaux
Les réseaux sociaux et la vidéo - Soirée Vendée Réseaux Sociaux
 
8 tendances 2017 des réseaux sociaux
8 tendances 2017 des réseaux sociaux8 tendances 2017 des réseaux sociaux
8 tendances 2017 des réseaux sociaux
 
Vaincre le Vol et la fraude
Vaincre le Vol et la fraudeVaincre le Vol et la fraude
Vaincre le Vol et la fraude
 
Les médias sociaux expliqués à ma PME, par Yann Gourvennec
Les médias sociaux expliqués à ma PME, par Yann GourvennecLes médias sociaux expliqués à ma PME, par Yann Gourvennec
Les médias sociaux expliqués à ma PME, par Yann Gourvennec
 

Ähnlich wie Sensibilisation personnel a la protection des informations sensibles

Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéVeritas Technologies LLC
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATIONSTRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATIONDominique Odyliane
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
Intelligence Economique de Babacar Lo
Intelligence Economique de Babacar LoIntelligence Economique de Babacar Lo
Intelligence Economique de Babacar LoRemy EXELMANS
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Sécurité des données mobiles : Trouver le bon équilibre
Sécurité des données mobiles : Trouver le bon équilibreSécurité des données mobiles : Trouver le bon équilibre
Sécurité des données mobiles : Trouver le bon équilibreAGILLY
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1  POLITIQUE DE  securite informatique.pptESTEM5A PART 1  POLITIQUE DE  securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptNourAkka1
 
6 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 20126 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 2012Sage france
 
BYOD : sécurité des données
BYOD : sécurité des donnéesBYOD : sécurité des données
BYOD : sécurité des donnéesAtger Nicolas
 

Ähnlich wie Sensibilisation personnel a la protection des informations sensibles (20)

Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
anssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdfanssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdf
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATIONSTRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Intelligence Economique de Babacar Lo
Intelligence Economique de Babacar LoIntelligence Economique de Babacar Lo
Intelligence Economique de Babacar Lo
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Sécurité des données mobiles : Trouver le bon équilibre
Sécurité des données mobiles : Trouver le bon équilibreSécurité des données mobiles : Trouver le bon équilibre
Sécurité des données mobiles : Trouver le bon équilibre
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1  POLITIQUE DE  securite informatique.pptESTEM5A PART 1  POLITIQUE DE  securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
6 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 20126 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 2012
 
BYOD : sécurité des données
BYOD : sécurité des donnéesBYOD : sécurité des données
BYOD : sécurité des données
 

Mehr von vendeers

Accélération : dans les coulisses de l'hypercroissance
Accélération : dans les coulisses de l'hypercroissanceAccélération : dans les coulisses de l'hypercroissance
Accélération : dans les coulisses de l'hypercroissancevendeers
 
Le développement des infrastructures à très haut débit, par Bruno Janet, Orange
Le développement des infrastructures à très haut débit, par Bruno Janet, OrangeLe développement des infrastructures à très haut débit, par Bruno Janet, Orange
Le développement des infrastructures à très haut débit, par Bruno Janet, Orangevendeers
 
Un datacenter en Vendée, par Pierre Voillet, Oceanet.
Un datacenter en Vendée, par Pierre Voillet, Oceanet.Un datacenter en Vendée, par Pierre Voillet, Oceanet.
Un datacenter en Vendée, par Pierre Voillet, Oceanet.vendeers
 
Présentation de Zephyr, l'agence web, par Boris Cadu.
Présentation de Zephyr, l'agence web, par Boris Cadu.Présentation de Zephyr, l'agence web, par Boris Cadu.
Présentation de Zephyr, l'agence web, par Boris Cadu.vendeers
 
Le Community Manager dans l'entreprise
Le Community Manager dans l'entrepriseLe Community Manager dans l'entreprise
Le Community Manager dans l'entreprisevendeers
 
Le quotidien d'un Community Manager
Le quotidien d'un Community ManagerLe quotidien d'un Community Manager
Le quotidien d'un Community Managervendeers
 
Auto test ie
Auto test ieAuto test ie
Auto test ievendeers
 
2010 12-03 guide-externalisation
2010 12-03 guide-externalisation2010 12-03 guide-externalisation
2010 12-03 guide-externalisationvendeers
 
Passeport de-conseils-aux-voyageurs janvier-2010
Passeport de-conseils-aux-voyageurs janvier-2010Passeport de-conseils-aux-voyageurs janvier-2010
Passeport de-conseils-aux-voyageurs janvier-2010vendeers
 

Mehr von vendeers (9)

Accélération : dans les coulisses de l'hypercroissance
Accélération : dans les coulisses de l'hypercroissanceAccélération : dans les coulisses de l'hypercroissance
Accélération : dans les coulisses de l'hypercroissance
 
Le développement des infrastructures à très haut débit, par Bruno Janet, Orange
Le développement des infrastructures à très haut débit, par Bruno Janet, OrangeLe développement des infrastructures à très haut débit, par Bruno Janet, Orange
Le développement des infrastructures à très haut débit, par Bruno Janet, Orange
 
Un datacenter en Vendée, par Pierre Voillet, Oceanet.
Un datacenter en Vendée, par Pierre Voillet, Oceanet.Un datacenter en Vendée, par Pierre Voillet, Oceanet.
Un datacenter en Vendée, par Pierre Voillet, Oceanet.
 
Présentation de Zephyr, l'agence web, par Boris Cadu.
Présentation de Zephyr, l'agence web, par Boris Cadu.Présentation de Zephyr, l'agence web, par Boris Cadu.
Présentation de Zephyr, l'agence web, par Boris Cadu.
 
Le Community Manager dans l'entreprise
Le Community Manager dans l'entrepriseLe Community Manager dans l'entreprise
Le Community Manager dans l'entreprise
 
Le quotidien d'un Community Manager
Le quotidien d'un Community ManagerLe quotidien d'un Community Manager
Le quotidien d'un Community Manager
 
Auto test ie
Auto test ieAuto test ie
Auto test ie
 
2010 12-03 guide-externalisation
2010 12-03 guide-externalisation2010 12-03 guide-externalisation
2010 12-03 guide-externalisation
 
Passeport de-conseils-aux-voyageurs janvier-2010
Passeport de-conseils-aux-voyageurs janvier-2010Passeport de-conseils-aux-voyageurs janvier-2010
Passeport de-conseils-aux-voyageurs janvier-2010
 

Sensibilisation personnel a la protection des informations sensibles

  • 1. S ERVICE DE C OORDINATION Juin 2009 A L’INTELLIGENCE ECONOMIQUE SENSIBILISATION DU PERSONNEL A LA PROTECTION DES INFORMATIONS SENSIBLES Enjeu : Toute entreprise est exposée au risque de perte essentiel que chacun ait conscience de la sensibilité et de la ou de détournement d’informations : vols de supports vulnérabilité des informations qu’il détient, des pratiques informatiques, interception de communications, frauduleuses existantes et de la nécessité d’une diffusion manipulation de salariés… La protection des informations maîtrisée de cette information en interne comme en externe. sensibles doit être une préoccupation de l’ensemble des C’est véritablement une prise de conscience qu’il convient de acteurs impliqués dans l’entreprise (collaborateurs, cadres développer au sein de l’organisation et dans ses relations dirigeants, membres des organes sociaux…). Il est avec l’extérieur. Comment ? - Définir une politique de protection de l’information adaptée aux besoins de l’entreprise Quelles sont les informations sensibles de l’entreprise ? Les informations sensibles Les informations dont la divulgation procurerait un avantage à la concurrence ou aux partenaires ou réduirait l’avantage dont ! Veiller à bien identifier les dispose l’entreprise (R&D, travaux d’innovation, savoir-faire informations qui prises technologique, contenu d’offres commerciales, structure des individuellement sont peu comptes, fichiers clients projets de développement, sensibles mais constituent fonctionnement de l‘entreprise…) . ensemble une information confidentielle Les informations encadrées par des exigences légales et/ou contractuelles (secret des affaires, engagement de confidentialité…) Les situations à risques Quelles sont les situations à risques ? réponse à des appels d’offres, enquêtes, sondages, interviews, colloques, salons, déplacements, diffusion d’informations à des actionnaires, négociations commerciales, échanges d’informations avec les partenaires de l’entreprise, utilisation d’Internet… Formaliser un référentiel de bonnes pratiques pour encadrer le comportement des salariés de l’entreprise dans ces situations 2. Sensibiliser et former les salariés à la protection des informations sensibles de l’entreprise Quelle sensibilisation du personnel ? Expliquer aux salariés la notion d’information sensible, les enjeux de la sécurité et les objectifs des mesures prises pour protéger l’information (différenciées en fonction des personnels et de leurs responsabilités), afin de faciliter l’acceptation et l’application de règles qui peuvent être Sensibilisation du personnel parfois contraignantes Organiser une sensibilisation permanente via des formations (différenciées en fonction des personnels et de leurs responsabilités), des notes régulières, des réunions internes, la diffusion des bonnes pratiques, l’affichage des précautions à prendre dans les zones sensibles (photocopieurs…), écrans de veille rappelant le respect des règles de sécurité sur les postes de travail…
  • 2. Responsabiliser les salariés - Inclure des clauses spécifiques dans les contrats de travail, Sensibilisation du personnel - Prévoir des clauses de confidentialité dans les relations avec les contacts externes, - Recueillir l’engagement des salariés à respecter les règles de sécurité du système d’information Contrôler régulièrement le respect des règles de protection des informations et la connaissance des dispositions pratiques inscrites dans le règlement intérieur (conditions de circulation sur le site, l’utilisation des moyens de communications et des systèmes d’information, les sanctions éventuelles…) 3. Utilisation des outils « juridiques » • Le contrat de travail des salariés (clauses de confidentialités qui restent valables après la rupture du contrat, clauses de restitution des données confidentielles, clauses de non-concurrence…) • L’engagement de confidentialité à faire signer le plus largement possible, par exemple aux fournisseurs, aux clients, aux sous-traitants, aux prestataires extérieurs (maintenance, nettoyage, restauration, etc.), aux sociétés d’assurance, aux fournisseurs d’accès et hébergeurs pour l’informatique, aux stagiaires, aux intervenants occasionnels… • Le contrat de confidentialité lors de la mise en place d’un partenariat (collaboration, sous-traitance, prestation de services….). Principaux points à retenir pour la rédaction d’un contrat de Ce contrat constituera un engagement confidentialité dans le cas d’un partenariat réciproque sur la sécurité que chacun - Indiquer les informations sensibles qui seront échangées ou partagées, apportera aux informations confiées par son ou ses partenaires - S’accorder sur les niveaux de classification des informations et s’assurer que chacun donne la même signification aux dénominations retenues, - Convenir des mesures de protection à mettre en place, en relation avec le niveau des informations à protéger, - Contrôler la mise en place des mesures de sécurité et leur efficacité ou s’engager sur la validité d’une grille d’auto-évaluation de la sécurité annexée au contrat, - Déterminer les responsabilités relatives à la protection des informations communiquées (qui est en charge de quoi ? obligation de résultat ou obligation de moyens en matière de protection de l'information), - Contrôler la diffusion des informations sensibles en interdisant les sous- contractants ou en prévoyant de leur imposer des règles de confidentialité, - Définir des procédures d’habilitation des personnes qui auront « besoin d’en connaître » dans le cadre du contrat (directement ou en sous-traitance), - Préciser, pour le personnel du partenaire accueilli sur site, les autorisations d’accès accordées, les moyens de communication mis à disposition et leurs conditions d'utilisation (par exemple création d’une adresse électronique sur le serveur de messagerie de l’entreprise ou possibilité d’utilisation dans des tranches horaires « hors normes » en raison des décalages horaires). • Pour plus d’informations sur la rédaction d’engagements contractuels de confidentialité dans le cadre des pôles de compétitivité : http://www.industrie.gouv.fr/guidepropintel/fiches_pratiques/la_confidentialite.htm A Noter : La perte ou la destruction d’informations sensibles est le fait dans 80 % des cas de maladresses internes ou de l’absence de process de sauvegarde fiable (cf. fiche sur la Sécurité des Systèmes d’Informations). Sources : www.clusif.fr // www.ssi.gouv.fr