1. ISO 27000
le fil rouge
d’infosafe
Jacques
Folon
!
Partner
Edge
Consulting
!
Maître
de
conférences
Université
de
Liège
Chargé
de
cours
ICHEC
Professeur
invité
Université
de
Lorraine
(Metz)
ISFSC,
HE
F.Ferrer,
HE
LdB
(Bruxelles)
Institut
Arabe
des
Chefs
d’entreprises
(Tunis)
Institut
Africain
de
Management
(Ouagadougou)
!
RSI et les autres
1
3. 3
! Rappel:
! ISO est avant tout un recueil de bonnes
pratiques
! ISO 27002 est le fil rouge d’INFOSAFE
! Pas de proposition de solutions technique
! les autres départements sont concernés
! Et vous dans tout ça?
3
4. «ISO 27002 c’est donner des
recommandations pour gérer la sécurité
de l’information à l’intention de ceux qui
sont responsables de définir,
d’implémenter ou de maintenir la sécurité
dans leur organisation. Elle est conçue
pour constituer une base commune de
développement de normes de sécurité
organisationnelle et de pratiques efficaces
de gestion de la sécurité, et pour
introduire un niveau de confiance dans
les relations dans l’entreprise. »
4
10. Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en
oeuvre en fonction du contexte de l'entreprise.
Ainsi, il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des
mesures de sécurité décrites dans la norme (pour des questions de coût et de
besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des
risques.
Le seconde limite est liée au cycle de normes ISO, en effet une évolution de
norme prend environ 5 ans. Dans le domaine des technologies de l'information,
les menaces potentielles et les mesures de sécurité liées évoluent plus
rapidement que cela.
Enfin la troisième limite est son hétérogénéité, certains domaines sont trop
approfondis, d'autres survolés.).
Les limites d’ISO 27002
10
12. Résistance au changement
crainte du contrôle
comment l’imposer?
positionnement du RSI
atteinte à l’activité économique
Culture d’entreprise et nationale
Besoins du business
les freins
12
20. 8 Sécurité liée aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités
8.1.2 Sélection
8.1.3 Conditions d’embauche
8.2 Pendant la durée du contrat
8.2.1 Responsabilités de la direction
8.2.2 Sensibilisation, qualification et formations en
matière de sécurité de l’information
8.2.3 Processus disciplinaire
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat
8.3.2 Restitution des biens
8.3.3 Retrait des droits d’accès!
20
36. 36
! Un nouvel employé qui arrive?
! Cinq personnes autour de la machine à café?
! Un chef qui hurle sur un employé?
! Une personne qui est licenciée?
! Un jeune qui veut tout changer?
36
38. 38
!
!
! Aspects principaux de la culture:
" La culture est partagée
" La culture est intangible
" La culture est confirmée par les
autres
23
Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management
38
39. Niveau et fonction de la Culture:
• la Culture existe à deux niveaux:
•Le côté visible et observable
immédiatement (habillement,
symboles, histoires, etc.)
•Le côté invisible qui véhicule les
valeurs, les croyances,etc.
•Fonctions de la culture
•Intégration
•Guide de fonctionnement
•Guide de communication
39
42. HISTOIRES
- basées sur des événements réels qui sont
racontées et partagées par les employés et
racontées aux nouveaux pour les informer au
sujet de l’organisation
- qui rendent vivantes les valeurs de
l’organisation
- qui parlent des “héros”, des légendes
-Le post it de 3M
-Le CEO d’IBM sans badge
-Le CEO de quick
42
46. 46
! Cela permet de comprendre ce qui se passe
! De prendre la « bonne décision »
! Parfois un frein au changement
! Perception de vivre avec d’autres qui partagent
les mêmes valeurs
! Point essentiel pour le recrutement et la
formation
46
51. 51
! Organigramme
! Place du responsable de sécurité
! Rôle du responsable de sécurité dans le cadre
des RH
! La stratégie de recrutement et le rôle de la
sécurité
! Job description et sécurité
! Contrats
51
69. 69
! Les consultants
! Les sous-traitants
! Les auditeurs
externes
! Les comptables
! Le personnel
d’entretien
69
70. 70
! Tests divers
! Interviews
! Assessment
! Avantages et inconvénients
! Et la sécurité dans tout ça?
! Et les sous traitants, consultants, etc.
70
73. 73
! Screening des CV
! Avant engagement
! Final check
! Antécédents
! Quid médias sociaux,
Facebook, googling,
etc?
! Tout est-il permis?
73
74. 74
! Responsabilité des
employés
! Règles tant pendant
qu’après le contrat
d’emploi ou de sous-
traitant
! Information vie privée
! Portables, gsm,…
74
75. 75
! 8.2.1
responsabilités de
la direction
! 8.2.2.
Sensibilisation,
qualification et
formation
! 8.2.3 Processus
disciplinaire
75
88. 88
! Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres
travailleurs, aux sociétés liées ou à ses procédés techniques ;
! Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de
XXX ;
! Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle,
sans avoir obtenu toutes les autorisations des ayants droit;
! Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département
informatique ;
! Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites
concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle
qu’elle soit, avec ou sans possibilité de gain ;
! Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non
professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message
professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;
! Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste,
révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute
réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;
! Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile,
discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou
législation belge ;
! Participer à des chaînes de lettres, quel qu’en soit le contenu ;
! Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;
! Participer directement ou indirectement à des envois d’emails non sollicités ;
! Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;
! Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la
législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir
accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à
88
89. 89
! Dans le RT
! Cohérentes
! Légales
! Zone grise
! Réelles
! Objectives
! Syndicats
89