Sécurite de l'information

1

Introduction au management Premier Bac

Chapitre 6: Management de la sécurité de l’information

2

LE CONTEXTE: ET SI LA SECURITE C’ETAIT CA?

3

4

ISO est avant tout un recueil de bonnes pratiques

Pas de proposition de solutions technique

Spécifiquement en RH

Et vous dans tout ça?

5

6

Informatique ET….. LA DRH

7

Les employés partagent des informations

8

Importance des RH

9

L’histoire des six singes

11

On peut identifier la partie visible à première vue…

12

13

14

15

16

17

18

La

19

SECURITE ET STRATEGIE

20

Organigramme

Place du responsable de sécurité

Rôle du responsable de sécurité dans le cadre des RH

La stratégie de recrutement et le rôle de la sécurité

Job description et sécurité

Contrats

Les contrats oubliés

21

Ou est le DRH?

Ou est le responsable de securité?

22

23

Et la sécurité dans tous ça?

Nécessaire à toutes les étapes

Implication nécessaire du responsable de sécurité

24

Confidentialité

Règlement de travail

Security policy

CC 81 et sa négociation

Opportunité!

25

Les consultants

Les sous-traitants

Les auditeurs externes

Les comptables

Le personnel d’entretien

26

Tests divers

Interviews

Assessment

Avantages et inconvénients

Et la sécurité dans tout ça?

Et les sous traitants, consultants, etc.

27

28

Screening des CV

Avant engagement

Final check

Antécédents

Quid médias sociaux, Facebook, googling, etc?

Tout est-il permis?

29

Responsabilité des employés

Règles tant pendant qu’après le contrat d’emploi ou de sous-traitant

Information vie privée

Portables, gsm,…

30

8.2.1 responsabilités de la direction

8.2.2. Sensibilisation, qualification et formation

8.2.3 Processus disciplinaire

31

Procédures

Contrôle

Mise à jour

Rôle du responsable de sécurité

Sponsoring

32

Quelle procédure suivre ?

33

Vous contrôlez quoi ?

34

RÖLE DU RESPONSABLE DE SECURITE

35

36Peut-on tout contrôler et tout sanctionner ?

37

Que peut-on contrôler?

Limites?

Correspondance privée

CC81

Saisies sur salaire

Sanctions réelles

Communiquer les sanctions?

Contrôle des employés : Contrôle des employés : équilibreéquilibre

• Protection de la vie privée des travailleurs

ET• Les prérogatives de

l’employeur tendant à garantir le bon déroulement du

travail

Principe de finalité Principe de

proportionnalité

Les 4 finalités Les 4 finalités

1.1. Prévention de faits illégaux, de faits contraires Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autruiatteinte à la dignité d’autrui

2.2. La protection des intérêts économiques, La protection des intérêts économiques, commerciaux et financiers de l’entreprise commerciaux et financiers de l’entreprise auxquels est attaché un caractère de auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les confidentialité ainsi que la lutte contre les pratiques contrairespratiques contraires

Les 4 finalitésLes 4 finalités3 3 La sécurité et/ou le fonctionnement technique La sécurité et/ou le fonctionnement technique

de l’ensemble des systèmes informatiques en de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le réseau de l’entreprise, en ce compris le

contrôle des coûts y afférents, ainsi que la contrôle des coûts y afférents, ainsi que la protection physique des installations de protection physique des installations de

l’entreprisel’entreprise4 Le respect de bonne foi des principes et règles 4 Le respect de bonne foi des principes et règles

d’utilisation des technologies en réseau fixés d’utilisation des technologies en réseau fixés dans l’entreprisedans l’entreprise

42

Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ;

Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ;

Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit;

Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ;

Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ;

Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;

Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;

Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ;

Participer à des chaînes de lettres, quel qu’en soit le contenu ;

Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;

Participer directement ou indirectement à des envois d’emails non sollicités ;

Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;

Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;

L’énumération ci-dessus n’est pas limitative.

Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ;

Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ;

Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit;

Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ;

Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ;

Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;

Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;

Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ;

Participer à des chaînes de lettres, quel qu’en soit le contenu ;

Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;

Participer directement ou indirectement à des envois d’emails non sollicités ;

Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;

Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;

L’énumération ci-dessus n’est pas limitative.

43

Dans le RT

Cohérentes

Légales

Zone grise

Réelles

Objectives

Syndicats

44

Attention aux mutations internes

Maintien de confidentialité

Qu’est-ce qui est confidentiel?

45

46

47

48

On ne sait jamais qui sera derrière le PC

Nécessité que le responsable de sécurité soit informé

Attentions aux changements de profils

49

Pensez

Aux vols de données

Aux consultants

Aux étudiants

Aux stagiaires

Aux auditeurs

Etc.

50

51

52

53

54

Bref vous ne pouvez pas accepter d’être

complètement coincé ou…

55

Sinon votre sécurité ce sera ça…

• CONCLUSION:

• NEUF MOIS DE MISE EN OEUVRE

• NEGOCIATION SYNDICALE

• ET...

• CA MARCHE!

57

Chargé de cours Partner Auteur

Jacques Folon

http://be.linkedin.com/in/folon

www.edge-consulting.biz

Jacques.folon@edge-consulting.biz

Administrateur

59

http://www.slideshare.net/targetseo

http://www.ssi-conseil.com/index.php

http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation

www.flickr.com

www.explorehr.org

http://www.slideshare.net/frostinel/end-user-security-awareness-presentation-presentation

http://www.slideshare.net/jorges

http://www.slideshare.net/michaelmarlatt

60