Quels sont les enjeux de sécurité les plus fréquents lorsque l’on … · 2020. 12. 10. · formateur accrédité LSTI France et PECB, CEO Resys-consultants Tunisie Directeur

ISO/IEC 27001 et RGPD

Quels sont les enjeux de sécurité les plus fréquents lorsque l’on travaille à distance et comment les surmonter

v

2

CHRISTOPHE JOLIVETCISSP – CCSP – CCSK - ISO 27001 LI

GIAC - CISA - CBCP - CIPP/E

Propriétaire de PROSICACISO et cyber-expert

France

Modérateur

v

3

Panélistes

PETER GEELENDirecteur et consultant en gestion chez CyberMinute

et propriétaire de Quest for Security.Belgique

ADRIEN CHAMBADEConsultant, formateur et auditeur en

cybersécurité chez ONYL ROCKSFrance

ADLEN LOUKILConsultant et expert international RGPD,

Cybersécurité et sécurité de l’information, formateur accrédité LSTI France et PECB, CEO Resys-consultants

Tunisie

Directeur général, consultant principal et auditeur chez

CARMAOAllemagne

ROBERT HELLWIG

4

1. PRINCIPE 1 DU RGPD : Licéité, loyauté et transparence : les données personnelles doivent être traitées demanière licite, loyale et transparente vis-à-vis de la personne concernée.

Garantir la protection de la vie privée du Télétravailleur , conformément à la législation en vigueur:ISO 27001 & A 18.1.4 Protection de la vie privée et protection des données à caractère personnel

Surveillance par l’employeur des données de connexions des télétravailleurs ? Impact sur la vie privée ?ISO 27001 & A.12.4 Journalisation et surveillance

2. PRINCIPE 2 DU RGPD : Limitation des finalités : les données personnelles doivent être collectées pour desfinalités précises, claires, compréhensibles et légitimes, et ne pas être traitées ultérieurement d'une manièreincompatible avec ces finalités.

Charte de Télétravail signée par les employés ? Consentement du Télétravailleur:ISO 27001 & A.6.2.1 Politique en matière d’appareils mobiles ? Sauvegarde de données des télétravailleurs ?ISO 27001 & A 6.2.2 Télétravail (Lieu physique, Sécurité des communications, etc.) Conservation des données ?

3. PRINCIPE 3 DU RGPD : Minimisation des données : seules les données pertinentes et strictement nécessairespour atteindre la finalité envisagée sont autorisées à figurer dans le traitement.Revue régulière de la conformité des traitements des données du TélétravailleursISO 27001 & A.18.2.2 Conformité avec les politiques et les normes de sécurité

RGPD, SÉCURITÉ DU TÉLÉTRAVAIL et ISO 27001

5

4. PRINCIPE 4 DU RGPD : Exactitude : les données personnelles doivent être exactes et, si nécessaire, tenues à jour.Les données périmées ou inexactes doivent être effacées ou rectifiées sans tarder.Prévention contre les menaces internes et externes de modifications non autorisés de des données, Usurpationd’identité du Télétravailleurs, etc.ISO 27001 & A 9 – Contrôle d’accès – Gestion IAM

5. PRINCIPE 5 DU RGPD : Limitation de conservation : les données personnelles doivent être conservées pendant unedurée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.Sauvegarde données conformément à un calendrier de conservation ?ISO 27001 &A.12.3.1 Sauvegarde des informations

6. PRINCIPE 6 DU RGPD : Intégrité et confidentialité : les données personnelles doivent être traitées de façon à garantirune sécurité appropriée desdites données, y compris la protection contre le traitement non autorisé ou illicite etcontre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ouorganisationnelles appropriées.Menace de Cyberattaques, Contamination virale et fuite de données sensibles par le TélétravailleurISO 27001 & A.12.2.1 Mesures contre les logiciels malveillantsISO 27001& A.13.1 Management de la sécurité des réseaux

RGPD, SÉCURITÉ DU TÉLÉTRAVAIL et ISO 27001

6

Synthèse ISO 27701

(PIMS)

7

ISO 27(7)01 = PIMS (EN)

Système de gestion des données personnelles (FR)

ISO 27001

ISO 27002ISO 27018

ISO 27701

EU RGPD

ISO 29100

ISO 29151ISO 29134

8

ISO 27(7)01 = PIMS (EN)

Système de gestion des données personnelles (FR)

ISO 27701 est basée sur:

Sécurité de l’information (SMSI)• ISO 27001 (Info Security - Exigences)• ISO 27002 (Info Security - Code de bonne pratique• ISO 27018 (PII in public cloud)

Privacy• ISO 29100 (Privacy Framework) (*)• ISO 29151 (PII Protection - Code de bonne pratique)• ISO 29134 (PIA)

Protection des données• RGPD (*)

9

ISO 27701 : Les principes

• « Sécurité de l’information » remplacé par• « Sécurité de l’information et protection des données

personnelles »

• « data protection by design » (dès la conception)• « data protection by default » (par défaut)• Gestions des incidents (!)• Conformité (réf. RGPD)• Environnement de test (!)

10

ISO 27701 : structure principale

1-3. Présentation

4. Généralités

5. Exigences PIMS – ISO 27001

6. Exigences PIMS – ISO 27002

7. +ISO 27002 guide pour responsables du traitement PII

8. +ISO 27002 guide pour sous-traitants PII

Annexes A-F

11

Annexes

A. Objectifs et mesures de référence pour responsables de traitement

B. Objectifs et mesures de référence pour sous-traitant

C. Correspondance avec ISO 29100

D. Correspondance avec le RGPD

E. Correspondance avec ISO 27018 et ISO 29151

F. Comment appliquer ISO 27701 à ISO 27001/2

12

ISO 27701 vs ISO 27001

4.3 ISO 27001 Exigences (ISO 27701 article 5)

ISO 27701 Sujet ISO 27001 Remarque

5.2 Contexte de l’organisation 4 Changé

5.3 Leadership 5 Direct

5.4 Planification 6 Changé

5.5 Support 7 Direct

5.6 Fonctionnement 8 Direct

5.7 Évaluation des performances 9 Direct

5.8 Amélioration continue 10 Direct

13

Correspondance ISO 27701 avec ISO 27001



6.2 Politiques 5 Changé

6.3 Organisation 6 Changé

6.4 RH 7 Changé

6.5 Gestion des actifs 8 Changé

6.6 Contrôle d’accès 9 Changé

6.7 Cryptographie 10 Changé

6.8 Sécurité physique et environnementale

11 Changé

14

Correspondance ISO 27701 avec ISO 27001



6.9 Exploitation 12 Changé

6.10 Communications 13 Changé

6.11 Acquisition, dév er mainten. 14 Changé

6.12 Fournisseurs 15 Changé

6.13 Gestion des incidents 16 Changé

6.14 Continuité de l’activité 17 Direct

6.15 Conformité 18 Changé

15

Risques cyber et bonnes pratiques

du télétravail

16

Risques cyber et bonnes pratiques du télétravail

Une pratique devenue incontournable

• Avantage concurrentiel

• Levier d’internationalisation

• Pratique moderne adaptée (vie de famille, liberté d’agenda,…)

• Mesures dans le contexte sanitaire (confinement, distanciation,…)

17


Des menaces qui s’adaptent à la pandémie

• SMS (colis en attente, remboursement à confirmer,…)

• Hameçonnage par e-mails (phishing et spear-phishing)

18


Une pratique encadrée

• Droit du travail (dépend de chaque pays)

• RGPD : Article 32 (Sécurité du traitement)

• ISO 27001 : 6.2.2

• ISO 27701 : 6.3.2.2

19


Cadre général

Source : ANSSI

PCcorporate

PC perso (BYOD)

20


L’équipement

• Hardening

• Accès et Privilèges (droits administrateurs)

• Sécurité de la donnée stockée (chiffrement des disques ?)

• Gestion des périphériques amovibles

21


Interconnexion domicile-travail

• Confidentialité/Intégrité (VPN SSL/IPSEC ?)

• Connexion en direct au SI ?

• CASB (vers les fournisseurs cloud)

• ZTNA (vers le SI on premise/interne)

22


Encadrement des pratiques

• Sensibilisation

• Responsabilisation (charte informatique, politiques, …)

• Respect des obligations légales (frais du télétravail remboursés ?)

• Surveillance (MDM, DLP, EDR, journalisation,…)

23


Des problèmatiques nouvelles

• Gestion du filtrage du surf internet (hors VPN,…)

• Dimensionnement

• Réseau (VPN avec la charge générale ou en full tunneling, …)

• Machines (ordinateur portable pour chaque personne,…)

• Gérer les workstations

• Patching machine préalablement fait sur place ou en VPN

ISO/IEC 27001 et RGPD

Quels sont les enjeux de sécurité les plus fréquents lorsque l’on travaille à distance et comment les surmonter

Table ronde et réponses aux questions

Documents

Quels sont les enjeux de sécurité les plus fréquents lorsque l’on … · 2020. 12. 10. · formateur accrédité LSTI France et PECB, CEO Resys-consultants Tunisie Directeur