La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
La prise en compte du facteur humain dans la gestion du risque SSI
Animateur : Denis VIROLE
Vos contacts M. Denis VIROLE Directeur des services
+33 (0) 6 11 37 47 56 [email protected]
M. Thierry RAMARD Dirigeant
+33 (0) 6 17 64 90 72 [email protected]
Mme Caroline MEOT Responsable Commerciale
+33 (0) 6 46 13 00 19 [email protected]
1
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
2
Préambule..…………………………………………………………………………………………… p.003
Le facteur humain dans le risque SSI………….………………………………………....…….. p.016
Les acteurs…………………………………………………………………………………..………. p.017
La direction générale…………………………….……………………………………….……….... p.018
Les managers intermédiaires……………..………………………………………………………. p.051
Les directions métiers et les chefs de projet MOA…………..…………………………….….. p.058
Les administrateurs fonctionnels………………………………………………………………….. p.064
Les utilisateurs…………………………………………………………………………………………. p.065
Les collaborateurs à forte valeur ajoutée……………………………………………………………. p.096
Les assistantes de direction…………………………………………………………………….......... p.097
Les acheteurs……………………………………………………………………………………………. p.099
Les DSI…………………………………………………………………………………………………. p.104
Les chefs de projet informatique……………………………………………………………………… p.105
Les exploitants et administrateurs techniques………………………………………………………. p.106
Le responsable protection de l’information…………………………………………………………… p.115
Le RSSI…………………………………………………………………………………………………………. p.116
Le CPD…………………………………………………………………………………………………………… p.118
Les sous traitants…………………………………………………………………………………………….... p.120
Les syndicats……………………………………………………………..………….………………………… p.122
La malveillance………………………………………………………………………………………………… p.127
Conclusion………………………………………………………………………………………………………... p.140
S O
M
M
A
I
R
E
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Préambule Il est important de lever quelques préjugés « classiques » ou difficultés
La première cause de risque n’est pas la malveillance, mais bien l’erreur, essentiellement causée par la méconnaissance des règles. Les malveillants utilisent toujours la méconnaissance des victimes
La sécurité ne peut se résumer à la protection de la confidentialité.
La sécurité est avant tout liée au facteur humain et non pas à la technologie, (certes nécessaire).
Les équipes techniques et sécurité ne peuvent définir les besoins, elles ne peuvent que définir les moyens et les règles.
Le contrôle n’est pas obligatoirement une atteinte aux libertés fondamentales.
La sécurité n’est pas une science exacte, elle est donc susceptible d’être arbitrée.
Le but de la sensibilisation / responsabilisation n’est pas d’éliminer tous les risques, mais de les identifier et de rappeler les règles et bonnes pratiques pour les limiter.
La sécurité
La responsabilisation n’est pas mise en avant pour cacher un déficit de moyens technologiques.
Ce n’est pas la sécurité qui empêche de travailler, c’est l’absence de sécurité qui empêche de travailler
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
SSI
Organisation
Prise en compte du facteur Humain
Contrôler
Adjonction d'outils
Sécurisée à la conception
Homologué
Disponibilité Mobilité/ télé
service
Référentiels Responsabilisation
Optimiser
Best Practices
Non sécurisé
Non sensibilisé
Suivi et managé
Approches Enjeux, Métiers
Niveau de sensibilisation
Niveau de sécurité SI
0 1 2 5 3 4
0 1 2 5 3 4
Préambule La prise en compte du facteur humain devrait être un préalable à la protection de l’information et la sécurité des systèmes associés
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les best practices « auto justifiées » ont constitué une solution d’urgence à plusieurs effets: • Amélioration du niveau de sécurité de l’architecture technique
• Augmentation du niveau de maturité technique des Maîtrises d’Œuvre
• Sous estimation du facteur humain / absence de procédures organisationnelles / opérationnelles
• « Désintéressement » de l’approche par les Maîtrises d’Ouvrage entrainant
• Un manque d’expression des Besoins et,
• Paradoxalement les premiers questionnements sur la légitimité de cette approche
• Sous estimation des problèmes d’arbitrage
• Règles vécues souvent comme des contraintes, quand elles sont formalisées
• Sous estimation de la formalisation des référentiels, procédures, directives, et méthodes
• Grande difficulté de suivi, contrôle, audit et validation des risques résiduels
• Difficulté d’affectation de budgets / coûts sécurité aux Maîtrises d’Ouvrage
5
1 2
Préambule La prise en compte du facteur humain devrait être un préalable à la protection de l’information et la sécurité des systèmes associés
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
La réussite nécessite de manière incontournable la prise en compte du facteur humain / règles et procédures opérationnelles SSI
1. Mise en place d’une organisation assurant la séparation des devoirs et responsabilités, MOA, MOE ,SSI 2. Formation des correspondants et acteurs SSI dans la DSI voire dans les métiers
3. Responsabilisation des utilisateurs / acteurs
• Sensibilisation, formation des informaticiens • Responsabilisation des Directions • Responsabilisation des Managers • Responsabilisation des Chefs de Projet représentant MOA et MOE • Formation des Administrateurs • Formation des Auditeurs • Formation des Acheteurs • Sensibilisation des Responsables éditoriaux • Sensibilisation des secrétaires de Direction • …/…
4. L’écriture de référentiels SSI et procédures
5. Gestion de l’arbitrage et des dérogations éventuelles
6. Homologation des risques résiduels
7. Contrôle et suivi
1 2 5 3 4
Préambule La prise en compte du facteur humain devrait être un préalable à la protection de l’information et la sécurité des systèmes associés
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
L’inquiétude sur la sécurité liberticide portant atteinte aux droits fondamentaux
La croyance en la toute puissance de la technique
La perception de la sécurité comme une défiance
La connaissance « intuitive » des risques et des bonnes pratiques
La tentation de « l’auto dérogation »
La sous estimation des impacts
La perception de la sécurité comme un frein à la performance
La perception de la sécurité comme une inhibition à la création
La réaction « naturelle et spontanée» est plutôt dans le non ; il faut donc transformer l’énergie fondeuse du non en énergie du oui ; le « responsabilisateur » doit expliquer la pourquoi du comment pour acquérir un engagement de responsabilité
Préambule Les préjugés sont souvent culturels
Le devoir de remontée d’incidents est ressenti comme culpabilisant, voire comme « délationiste »
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
La nécessité de l’arbitrage est souvent sous estimée
--
La formalisation de règles « relatives » à des besoins classifiés est souvent ressentie comme « trop théorique » et manquant de pragmatisme
La volonté systématique de pragmatisme conduit parfois à ne croire qu’en une approche basée sur des solutions « produits » et à sous estimer risque lié au facteur humain
Préambule Les préjugés sont souvent culturels
Le « commitment » est sans doute plus simple à obtenir, La mise en application de règles de bon sens au préalable permet de mieux faire accepter l’approche des règles relatives aux besoins classifiés Attention de ne pas oublier l’arbitrage et la gestion de dérogations L’application des règle suppose néanmoins leur diffusion auprès des collaborateurs
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
L’acceptation positive et disciplinée des règles suppose aussi leurs réelles applications
Les grandes disparités entre la capacité de l’employeur et des collaborateurs à respecter les obligations légales et celles des citoyens dans la sphère privée.
Apporter trop de «confiance » à une approche produits
Le devoir de remontée d’incidents n’est pas toujours facile à faire appliquer ?
Préambule Les préjugés sont souvent culturels
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Entité
Défense
La mise en place dune voie fonctionnelle complémentaire et parallèle à la voie hiérarchique est difficile à mettre en place
La sous estimation des dispositifs d’arbitrage
La volonté de maitrise rend difficile la mise en œuvre de la séparation des pouvoirs, devoirs, prescripteurs et réalisateurs
La tentation de changer de niveaux de sensibilité en fonction du niveau de contraintes La mauvaise compréhension des niveaux et périmètres
L’évidence de l’extrême sensibilité du contexte ne doit pas cacher le besoin de sensibilisation
La responsabilisation pour tous n’est pas toujours facile à faire accepter
Préambule Les difficultés sont souvent liées à un secteur d’activités
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Il y a souvent des ressentis différents entre les prérogatives et responsabilités de la Sûreté de fonctionnement et la Sécurité Système d’Information
Les maîtrises d’ouvrage n’expriment pas leur besoins spécifiques ils s’appuient sur l’expertise technique des directions techniques
La même rigueur d’application dans les campagnes de responsabilisation doit être mise en œuvre sur le système d’information d’entreprise que sur le système d’information industriel
Les spécificités du système industriel ne simplifient pas la compréhension des règles
Préambule Les difficultés sont souvent liées à un secteur d’activités
Les besoins importants en Disponibilité, Confidentialité , Intégrité et Traçabilité prennent souvent le pas sur les obligations légales
Les best practices doivent être mises en œuvre avant tout projet de classification
Entité
Industrielle
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Le levier des obligations légales est souvent utile pour faire comprendre ou rappeler les obligations de moyens, voire de résultats et les responsabilités des personnes légales, la tentation devient alors de ne plus prendre que cette valeur en compte
Le poste de travail n’est pas toujours maîtrisable
La connexion de zones sous des responsabilités différentes ne facilite pas la mise en œuvre de la sécurité
La sensibilisation devra démontrer que le respect des règles protège toutes les valeurs de l’Entité.
Le nombre de règles fait peur
Une très nette tendance à sous estimer les besoins
La tentation de ne raisonner que « informatique »
La sécurité est parfois ressentie comme une défiance
Préambule Les difficultés sont souvent liées à un secteur d’activités
Entité Publique Administration
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
L’augmentation de la cyber criminalité ne doit pas masquer les autres risques
La communication n’est pas suffisante elle suppose au préalable une explication des règles
Les exigences techniques doivent être complétées d’exigences comportementales
Encore une fois la Maitrise d’ouvrage à tendance à sous estimer la prise en compte amont de la sécurité
Les Directions techniques n’acceptent pas toujours certaines demandes ou besoins des métiers pourtant structurants
La relation avec la cellule de gestion du risque opérationnel n’est pas toujours fluide, la SSI étant souvent identifiée comme technique
La responsabilisation pour tous n’est pas facile à faire accepter et est souvent remplacée par de la communication
A contrario certains métier ressentent la sécurité comme inhibant
Préambule Les difficultés sont souvent liées à un secteur d’activités
Banques
Assurances
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les besoins de confidentialité et de disponibilité ne doivent pas faire oublier les autres besoins
La communication n’est pas suffisante elle suppose au préalable une explication des règles
Les exigences techniques doivent être complétées d’exigences comportementales
La mise œuvre d’une voie fonctionnelle de sécurité est rare
Il n’est pas exceptionnel de rencontrer des dispositifs de « court circuit » mis en « toute bonne foi »
Un des principaux pièges est de ne se concentrer que sur la technique et d’oublier le facteur humain
La problématique des dérogations doit être anticipée et arbitrée par une structure collégiale clairement identifiée
Préambule Les difficultés sont souvent liées à un secteur d’activités
Centre
Hospitalier
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
La nécessité de l’engagement de responsabilité est souvent ressentie comme une méthode pour cacher un déficit de moyens
La communication n’est pas suffisante elle suppose au préalable une explication des règles
Les experts à très forte valeur ajoutée pressentent souvent les exigences comme des freins à la recherche
Encore une fois l’auto dérogation est courante
Il n’est pas exceptionnel de rencontrer des dispositifs de « court circuit » mis en « toute bonne foi »
Un des principaux pièges est de ne se concentrer que sur la technique et d’oublier le facteur humain
La problématique des dérogations doit être anticipée et arbitrée par une structure collégiale clairement identifiée
Préambule Les difficultés sont souvent liées à un secteur d’activités
Centre de
recherches
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les menaces
L’erreur
La malveillance • Cupide
concurrentielle • Cupide
mafieuse • Ludique • Idéologique • Stratégique
La manipulation
L’accident
Les vulnérabilités
L’ignorance L’inconscience L’absence de règles L’absence de responsabilisation L’absence de contrôle
Vulnérabilités de
conception
Vulnérabilités de réalisation
Vulnérabilités d’utilisation
Vulnérabilités
comportementales
Le facteur humain dans la gestion du risque SSI Modélisation de premier niveau
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les acteurs
La Direction Générale / le Secrétaire Général
Les Managers intermédiaires
Les Directions métiers / Les Chefs de projet représentants de la Maitrise d’ouvrage
Les Administrateurs fonctionnels
Les Utilisateurs
Les Collaborateurs à forte valeur ajoutée
Les Assistantes de direction
Les Acheteurs
Les DSI
Les chefs de projet informatique
Les exploitants informatiques et administrateurs techniques
Le Responsable protection de l’information
Le RSSI
Le CPD
Les sous traitants
Les syndicats
17
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / avant projet SSI
Des malentendus sur les périmètres, notamment après un test intrusif de sensibilisation
Le suivi des obligations légales et responsabilités, notamment sur les obligations de moyens
Sensibilisé en phase projet
1. Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à
caractère personnel
2. L’absence de formalisation ou de validation de textes de référence, d’engagement, … • (Charte éthique et valeurs essentielles, Politique Générale de Sécurité de l’information, …) • Matrice de risques • PSSI, PSI • PTS • Procédures
3. L’absence de méthodes pour faciliter l’expression de besoins de sécurité par les Directions Métiers
4. La sous estimation de l’arbitrage et la non formalisation des priorités
5. La formalisation des PCA et gestion de crises
6. L’affectation des budgets
7. Le manque d’implication dans la pédagogie de la responsabilisation
18
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / avant projet SSI
Des malentendus sur les périmètres, notamment après un test intrusif de sensibilisation
19
La composante humaine
Composante Humaine : • Collaborateurs, • Sous-traitants • Partenaires
Composante Informationnelle • Propriété entreprise ou confiée • Orale, papier, électronique, produit
Composante Technique
Les composantes sont indépendantes de toute localisation géographique et de toute plage horaire
Installations et servitudes
SI Entité • OS • Applications • Réseaux
• OS • Applications • Réseaux
SI privé / domestique
Quelques exemples
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / avant projet SSI Des malentendus sur les périmètres, notamment après un test intrusif de sensibilisation
La prise en compte de l’ensemble des composantes et périmètres doit passer par une sensibilisation profil utilisateur
• Les RSSI sont moteurs mais parfois « freinés » par le management intermédiaire parfois un peu frileux ou
DSI ?
• Le test intrusif profil sensibilisation est souvent mis en avant, mais
• Quel objectif ?
• Quelle crédibilité test + test – ?
• Très grande difficulté d’appréhender l’aspect humain / ingénierie sociale et collaborateurs ?
• Le doute sur la volonté réelle du sensibilisateur surtout si il est externe ?
• Le doute sur la réalité du discours du sensibilisateur interne ?
• Une certaine peur ou crainte de rajouter d’autres contraintes auprès des opérationnels, notamment les
collaborateurs à très forte valeur ajoutée ?
• Une très grande confiance dans ces collaborateurs / associée à la prise en compte uniquement de la
malveillance ?
• Le sentiment de se sentir épargné au regard de sa mission ou de son activité ?
20
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / avant projet SSI
Le suivi des obligations légales et responsabilités, notamment sur les obligations de moyens
Les obligations spécifiques métiers sont bien connues, Mais
• L’étendue des périmètres et composantes est trompeuse, voir les exemples page précédente
• La responsabilité ascendante du délégataire de responsabilité de la personne morale sur ces périmètres et composantes est souvent « sous estimée » !
• La responsabilité disciplinaire • La même sous estimation sur les composantes et les périmètres
• La responsabilité civile • « Quasi délictuelle »,
• Le sentiment de ne pas pouvoir faire grand-chose / face à l’obligation de moyens
• « Contractuelle », • L’absence de référentiels structurés ne favorisent pas l’intégration de clauses SSI
• Les responsabilités pénales
Protection des données à caractère personnel
Droits d’auteur Cybercriminalité Chiffrement et signatures
Traçabilités … Délégation de responsabilités
• Quelles procédures ?
21
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / avant projet SSI
La sous estimation ou la méconnaissance des composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à
caractère personnel
• RSSI identifié comme expert informatique
• Lettre de mission ?
• Positionnement hiérarchique / fonctionnel ?
• Quels moyens ?
• Nomination d’un CPD pour s’affranchir du devoir de déclaration auprès de la
Commission pour la protection des données à caractère personnel.
• Sous estimation de l’importance de la voie fonctionnelle du CPD vers la Commission
pour la protection des données à caractère personnel.
22
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / avant projet SSI
Les difficultés de mise en œuvre les composantes organisationnelles La voie fonctionnelle devrait permettre de faciliter :
• la sollicitation des structures collégiales d’arbitrage, notamment pour la gestion de dérogation • la remontée d’incidents en évitant les ressentis culpabilisant voire « délationistes »
23
Direction Générale
RSSI
Les difficultés: • faire adhérer les métiers à l’expression de besoins, à l’identification des menaces et scénarios de risques. Les métiers
ressentent t encore la sécurité comme « informatique » • la fonction CPD dans la DSI n’est pas la position optimale pour la mise en conformité avec la règlementation pour la
protection des données à caractère personnel et le respect des obligations légales
Relais SSI Relais SSI
Comité de Pilotage SSI, Comité d’homologation / Validation des
risques résiduels
Direction Métier 1 Direction Métier 2 Direction Système d’information CPD
?
Approche 1
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère
personnel
24
Direction Générale
RSSI Relais SSI Relais SSI
Comité de Pilotage SSI, Comité d’homologation / Validation des
risques résiduels
Direction Métier 1 Direction Métier 2
Équipes SI ? CPD
Direction Système d’information
?
Approche 2
1. Le comité de Pilotage et d’homologation suppose une DG fortement sensibilisé et surtout la mise œuvre d’une méthode de gestion de risques en cohérence avec la gestion du risque opérationnel
2. Les divergences d’estimations, d’incompréhensions entre • Les équipes DSI et RSSI • Les Directions métiers et la fonction SSI
3. Une grande difficulté pour les Relais SSI • pour sensibiliser les métiers • Faire exprimer les besoins de sécurité auprès des directions métiers
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère
personnel
25
Direction Générale
Relais SPI / Protection des DCP
Direction Métier 1 Direction Métier 2
RSSI CPD
Direction Système d’information
?
Approche 3
Relais SPI / Protection des DCP
Comité de Pilotage Protection de l’information et SSI, Comité
d’homologation / Validation des risques résiduels
1. Le comité de Pilotage et d’homologation suppose une DG fortement sensibilisé et surtout la mise œuvre d’une méthode de gestion de risques en cohérence avec la gestion du risque opérationnel
2. La mise en œuvre d’un réseau de Relais SPI et PDCP est mis en œuvre pour faciliter la relation MOA / MOE pour l’expression de besoins de sécurité
3. Le positionnement du CPD dans la DSI est il conforme à l’esprit de la règlementation ?
4. La relation SSI / SPI est censée faciliter l’expression des besoins attention à son bon fonctionnement et à la mobilisation des métiers
?
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère
personnel
26
Direction Générale
Relais SPI / CPD
Direction Métier 1 Direction Métier 2
RSSI
Direction Système d’information
Approche 4
Relais SPI / Correspondant
Protection des DCP
Comité de Pilotage Protection de l’information et SSI, Comité
d’homologation / Validation des risques résiduels
1. Le comité de Pilotage et d’homologation suppose une DG fortement sensibilisé et surtout la mise œuvre d’une méthode de gestion de risques en cohérence avec la gestion du risque opérationnel
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère
personnel
• Les obligations légales, les enjeux, les besoins et les acteurs pour les autres SI sont très différents
27
Internet
Partenaires
Fournisseurs
Réseaux
Téléphoniques
Service aux Clients / Usagers/Partenaires
Système d’Information Industriel / opérationnel
Système d’Information
Entreprise
Système d’Information
Billettique
Système d’information
familial
Collaborateurs
et
Sous-traitants
Patrimoine informationnel
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
Les difficultés de mise en œuvre les composantes organisationnelles / SII
• Les enjeux, les besoins et les acteurs pour les autres SI sont très différents
28
Le RSSI est il crédible et compréhensible auprès des instrumentistes et des acteurs du SI ? • Les cultures sont très différentes
• Les enjeux, besoins et risques sont très différents
• Les approches sont souvent difficiles à concilier, exemples:
• L’identification unique dans le SIE très difficile à faire passer dans le SII, les identifiants
sont des identifiants de fonctions
• L’antivirus est acquis dans le SIE, parfois impossible dans le SII temps réel
• Les mises à jours sont « acquises dans le SIE » souvent très couteuses et difficiles dans le
SII
• Les acteurs du SIE sont souvent très expérimentés sur les technologies venant du monde
de l’internet / Windows et le sont moins souvent dans le SII
• La classification des besoins DICP dans le SIE est au minimum une cible, c’est beaucoup
plus difficile dans le SII au profit de la gestion du risque opérationnel
• L’approche du SII est plus dans la gestion de risques et solutions pratiques « pérennes »
Approches 1, 2, 3, 4
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet Les difficultés de mise en œuvre les composantes organisationnelles
• RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère
personnel
29
Direction Générale
Relais SPI / CPD
Direction Métier 1 Direction de l’exploitation industrielle
RSSI E
Direction Système d’information
Approche 5
RSSI I Relais SPI /
Protection des DCP
Comité de Pilotage Protection de l’information et SSI, Comité
d’homologation / Validation des risques résiduels
1. Les référentiels SSI I sont sous la responsabilité du RSSI I, mais qu’en est il de la configuration des passerelles de sécurité entre les SIE et SII
2. La DSI / RSSI E souhaite prendre le contrôle du SII
?
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …
• (Charte éthique et valeurs essentielles, Politique Générale de Sécurité de l’information, …) • Matrice de risques • PSSI, PSI • PTS • Procédures
• L’approche 1 définit des PSSI structurés ISO 27002 avec un chapitre classification des besoins mais sans
règles corrélées à ces niveaux de besoins ainsi que des chartes d’utilisation des ressources informatiques
contenant un petit chapitre PDCP
• L’approche 2 définit des PSSI structurés ISO 27002 avec un chapitre classification des besoins avec des
règles corrélées à ces niveaux de besoins ainsi que des chartes de protection de l’information et un chapitre
plus développé pour la PDCP
• L'approche 3 / 4 nécessite de développer un référentiel protection de l’information complémentaire au
référentiel SSI ainsi que toutes les procédures PDCP, (droit de la personne concernée, contrôle de la
commission PDCP, …)
• L’approche 5 nécessite de développer un référentiel SSIE, PDCP et procédures et surtout SSII
Dans les 5 cas, l’engagement de responsabilité reste fondamental
30
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …
1 2 3 4 5
PSSI
Bonnes pratiques
auto justifiées
Sans classification
Souvent signée par
un membre du
COMEX mais
peu mobilisateur
PSSI
Bonnes Pratiques de
base
Règles
d’architectures
corrélées aux
besoins classifiés
+
Signée par un
membre du COMEX
Mais peu suivi par les
métiers
PGSI, voire charte
éthique pour la
protection de
l’information signée
d’un membre du
Comex
+
PSSI
+
Référentiel PDCP
Orienté fonctionnel
PGSI, voire charte
éthique pour la
protection de
l’information / et
PDCP
signée d’un membre
du Comex
+
PSSI
+
Référentiel PDCP
Orienté fonctionnel
PGSI, voire charte
éthique pour la
protection de
l’information / et
PDCP
signée d’un membre
du Comex
+
PSSIE + PSSII
+
Référentiel PDCP
Orienté fonctionnel
Charte informatique
Avec chapitre PDCP
Et procédures ?
Oubli du papier
Code de protection
de l’information et
PDCP
Et procédures ?
Oubli du papier
Code de protection
de l’information et
PDCP
Ecriture des
procédures
Code de protection
de l’information et
PDCP
Et procédures
Code de protection
de l’information et
PDCP
Et procédures
31
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …
3
PGSI, voire charte éthique pour la
protection de l’information signée d’un
membre du Comex
+
PSSI
+
Référentiel PDCP
Orienté fonctionnel
Attention la PSSI orientée fonctionnelle
déstabilise souvent les experts
techniques habitués à un « ton » plus
orienté architectures et mise en œuvre
Code de protection de l’information et
PDCP
Plus aisé pour le CPD
32
PGSI
Charte éthique
PSSI
Référentiel PDCP
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …
4
PGSI, voire charte éthique pour la
protection de l’information signée d’un
membre du Comex
+
PSSI
+
Référentiel PDCP
Orienté fonctionnel
Attention la PSSI orientée fonctionnelle
déstabilise souvent les experts
techniques habitués à un « ton » plus
orienté architectures et mise en œuvre
Code de protection de l’information et
PDCP
Nécessite un CPD plus libre sa
nomination dans la DSI ou SSI n’est
pas simple
Nécessite un CPD à relation
fonctionnelle directe avec le comité de
pilotage et d’homologation /
responsable du traitement
33
PGSI
Charte éthique
PSSI
Référentiel PDCP
Procédures PDCP
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …
5
PGSI, voire charte éthique pour la
protection de l’information signée d’un
membre du Comex
+
PSSI
+
Référentiel PDCP
Orienté fonctionnel
Attention la PSSI I orientée
fonctionnelle déstabilise souvent les
experts techniques habitués à un
« ton » plus orienté architectures et
mise en œuvre
Code de protection de l’information et
PDCP
Nécessite un CPD plus libre sa
nomination dans la DSI n’est pas
simple
Nécessite un CPD à relation
fonctionnelle directe avec le comité de
pilotage et d’homologation /
responsable du traitement
34
PGSI
Charte éthique
PSSI E et PSSI I
Référentiel PDCP
Procédures PDCP
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet L’application des lois entrainant des exigences spécifiques SSI
1 2 3 4 5
Peu optimale pour
faire formaliser les
obligations légales
spécifiques métiers
et respecter les
règles SI
consécutives
Sauf pour les
exigences mises en
œuvre type PCI DSS
Plus adaptée pour faire formaliser les obligations légales spécifiques métiers et respecter les
règles SSI consécutives
Protection des données à caractère personnel
Code de la santé
Code de protection des mineurs
RGS
Bale 3
Solvency 2
SOX
Codes des industriels
….
35
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet L’absence de méthode institutionnelle pour faciliter l’expression de besoins de sécurité par les Directions Métiers
• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction
générale et doit être en relation avec les valeurs essentielles de l’entreprise
• Elle doit être illustrée d’exemples d’impacts métiers, sinon elle est peu mobilisatrice
• Elle doit être cohérente avec la grille d’impacts du risque opérationnel
• La direction doit être consciente de son rôle d’arbitre entre les niveaux adjacents surtout entre les niveaux
médians par exemples 2/3
• La formalisation d’un référentiel macro des informations classifiées facilite l’approche mais ne permet pas de
s’affranchir de la responsabilisation des métiers et utilisateurs
• La direction doit formaliser ou faire formaliser les évènements redoutés, ainsi que les menaces spécifiques à
l’activité
• La grille de formalisation des niveaux de risques doit être validée par le Comex et faire l’objet d’une « religion »
d’entreprise et non plus d’un outil d’aide à la décision
36
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Chaque information ou ressource doit se voir attribuer un niveau de sensibilité (donc une classification) établie en regard :
• De critères de sensibilité prédéfinis, (besoin de sécurité)
• Des impacts liés à toute atteinte à ces critères
Critère
de sensibilité Description du critère
Disponibilité Aptitude à fournir l’information lorsque le processus métier l’exige, et à maintenir cette capacité dans le temps.
Intégrité Propriété d’une information qui n’a subi ni altération, ni modification la rendant non-conforme aux règles de gestion et aux attentes des processus métier.
Confidentialité Propriété d’une information qui ne doit pas être divulguée à des personnes ou des entités non autorisées.
Preuve et contrôle Garantie de transparence et aptitude à fournir les pistes d’audit et les éléments de preuve correspondant aux actions réalisées sur les informations.
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Disponibilité
Confidentialité
Intégrité
Imputabilité
Respect des engagements contractuels
Sécurité juridique
Sécurité financière / des investissements
Protection du climat social
Protection des personnes et des biens
Respect des intérêts des partenaires
Protection de l’image
…
Opérationnel
Financier
Juridique / Contractuel
Notoriété / Image
Social/ Humain / environnemental
Synthèse des Impacts La perte impacte sur les
Les valeurs essentielles
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction
Critère
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Financier
• Cout de réparation suite à une Indisponibilité des applications et des processus Métiers
• Perte de productivité
• Sanctions civiles ou pénales
Image / Notoriété
• Révélation de faiblesses de l’entreprise : incidents de sécurité, défauts caractérisés de fonctionnement…
Juridique
• Non respect des lois et réglementation : protection des données personnelles, traçabilité, lutte contre la cybercriminalité…
Opérationnel
• Divulgation d’informations sensibles pour la protection des biens et des personnes
• Dégradation du climat de travail suite à un contrôle illégal
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 40
TYPE D’IMPACT
MODERE
SERIEUX
MAJEUR
CATASTROPHIQUE
FINANCIER
Pertes limitées
Inférieures à 1% du budget
Pourcentage significatif du CA ou du budget de fonctionnement
De 1 à 10 % du budget
Remise en cause de l’une des activités
de 10 % à 100 % du budget
Remise en cause temporaire ou définitive de l’existence
>Au budget
JURIDIQUE
Contentieux juridiques simples (hors pénal)
Contentieux pénaux
Mise en cause de salariés ou d’une personne morale
Mise en cause en justice de dirigeants ou de cadres à titre personnel
Mise en cause de la responsabilité pénale de personne morale
IMAGE
Médias régionaux limités dans le temps
Médias nationaux sur une journée
Médias nationaux sur plusieurs jours +
Internet SOCIAL/ PERSONNEL/ ENVIRONNEMENTAL
Mécontentement d’un collaborateur
Mécontentement de quelques collaborateurs
Crise sociale au niveau d’un service
Alarme sociale
ou grève au
niveau de
l’ensemble de l’entreprise
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction
Validation n+1
Validation Direction
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
3 3 4 4
2 2 3 4
1 2 2 3
1 1 1 2
Impact
4
3
2
1
Potentialité
1 2 3 4
Gravité du risque Description
1
Risque tolérable S’il se concrétisait, ce risque aurait peu de conséquences sur les activités de l’entité. Il n’est pas obligatoirement utile de mettre en œuvre des moyens de protection complexes ou onéreux pour réduire ce risque.
2
Risque supportable S’il se concrétisait, ce risque aurait des conséquences sur les activités de l’entité, mais pourrait être supporté sans problème majeur. Il est cependant important de mettre en œuvre des moyens de protection pour limiter ce risque.
3 Risque insupportable Un maximum de moyens doit être prévu pour limiter ce risque, qui aurait des conséquences très importantes sur les activités de l’entité.
4 Risque inadmissible Tout doit être mise en œuvre pour que ce risque n’arrive jamais, car il aurait alors des conséquences critiques sur les activités de l’entité.
Validation Direction
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
• La grille de formalisation des niveaux de risques doit être validée par le Comex et faire l’objet d’une « religion »
d’entreprise et non plus d’un outil d’aide à la décision
Doit être présenté non plus comme un outil d’aide à la décision mais comme un
approche d’entreprise
Doit être complété d’un référentiel de règles corrélées
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 42
Besoin/impact Sensibilité
D
I C P
Synthèse de l’impact / dommage
F J I S Val E
F J I S Val E
F J I S Val E
F J I S Val E
4 définitif
3 très grave
2 important
1 non significatif
Best practices auto justifiées
Chaque case « contient » les thèmes de règles SSI concernant la manipulation des informations et des ressources
Très grande différence dans les niveaux d’exigences Attention de bien solliciter la structure collégiale d’arbitrage adéquate
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
Direction Générale / Secrétaire Général / sensibilisé en phase projet
• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet La sous estimation de l’arbitrage et la non formalisation des priorités
Lancement de la classification
Analyse des activités Identification des activités critiques et des
dysfonctionnements redoutés
Niveaux d’impacts des dysfonctionnements : Echelle des
valeurs
Validation en Comité de Direction
Identification des informations et processus métiers
Classification des processus et applications des données principales et des autres ressources
Analyse des actions immédiates à mener
Validation en Comité de Direction
Echelle de valeurs
Classification
Plan d’action
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 44
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
• La plus grande difficulté est bien dans la mise en place du Comité d’homologation
Un « risque accepté » est caractérisé par la conjonction des 3 éléments suivants : 1. connaissance de l’existence d’un risque associé à une défaillance de sécurité des
SI par les décideurs métiers;
2. mesure du risque par les intervenants autorisés, en fonction d’un référentiel (critères, calcul et seuils d’impact, etc.) opposable ;
3. arbitrage et autorisation d’assumer les conséquences du risque, en tenant compte
des mesures de réduction, selon les principes de délégation en vigueur.
La direction / le responsable du traitement
doit avoir conscience des risques encourus et des risques résiduels.
L’instance de décision locale doit réunir toutes les parties prenantes (un représentant de la direction, les représentants Métier ou leur maîtrise
d’ouvrage, les dépositaires des ressources, les tiers subissant des impacts collatéraux…) afin d’évaluer le risque dans son ensemble.
Contexte
Evènements redoutés
Menaces
Risques
Mesures
Risques résiduels
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet La sous estimation de l’arbitrage et la non formalisation des priorités
45
• Dès que l’on sort de l’étape « best practices auto justifiées-sécurité informatique » sous responsabilité des maîtrises d’œuvre (et que l’on cherche l’adhésion des métiers,) les besoins de sécurité classifiés doivent être à l’origine de la formalisation des exigences de sécurité adaptées, (règles, obligations et interdits).
• Or ces exigences de sécurité (règles, obligations et interdits) sont susceptibles d’être ressentis comme des contraintes allant à l’encontre d’objectifs de productivité du métier
• Certaines interdictions ou obligations techniques ou comportementales brident les services que veulent mettre en œuvre certaines directions de projet
• La prise en compte native de la sécurité dans les projets est identifiée comme un facteur potentiel de ralentissement
• Dans tous les cas il y a plusieurs divergences d’analyse potentielles :
• Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre • Entre la maîtrise d’ouvrage , la maîtrise d’œuvre d’une part et la SSI d’autre part • Entre la maîtrise d’œuvre et la SSI
L’arbitre ne pourra se prononcer avec raison que si les mesures « divergence « peuvent être adossées à des besoins, des enjeux ou a MINIMA À DES RISQUES
Besoin d’arbitrage Arbitre
Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre Direction / Comité de pilotage
Entre la MOA, la Maitrise d’œuvre d’une part et la SSI d’autre part Direction / Comité de pilotage
Entre SSI et DSI Direction / Comité de pilotage
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
• La formalisation des PCA et gestion de crises
• Est-ce vraiment au RSSI d’être en charge du projet / des projets PCA ?
• Tentation souvent très forte de concevoir un PCA multi sinistres ! ?
• Les cellules de crise intégraient rarement les acteurs SSI ou SPI ou CPD !
• Oublier l’identification des crises liées à la violation des DCP
• Sous estimation des tests réels souvent sous la pression des métiers !
• Oubli que le PCA n’offre qu’un mode dégradé !
• Formalisation des RTO / RPO en oubliant que la détection / déclaration du sinistre
n’est jamais instantanée et prendra du temps
• Oubli de la mise à jour récurrente du PCA
• Sous estimation des exercices
46
Activités Métiers
Ressources SI
Incidents
Dommages
Sinistre
Crise
Le Plan de Continuité d’Activité est la manifestation concrète et effective par la Direction Générale de la continuité d’activité face à un sinistre majeur
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / Sensibilisé en phase projet L’affectation des budgets
47
• Les dépenses particulières SSI (au-delà des best practices) devraient se décider au niveau d’une maîtrise d’ouvrage, en utilisant :
• Une estimation généralement mono dimensionnelle du coût) • Une estimation nécessairement multidimensionnelle de l’impact d’un sinistre, (Juridique, Image, Social
/Humain / Environnemental / Missions) • Une estimation de la plausibilité
• Il faut mentionner l’obligation de l’arbitrage (coût-approche de l’objectif) suppose un arbitre sensibilisé en
matière de sécurité • Le mode du ROI (Return On Invest) n’est pas toujours applicable aux investissements de sécurité
• Faire mettre en œuvre des indicateurs • Conformité • Efficacité • Contribution de la SSI à la performance
Aux coûts doivent normalement être opposés, outre le rapprochement des objectifs de sécurité, le gain de sécurité, productivité, efficacité, qualité,
que de bonnes mesures sont susceptibles de générer.
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
48
Le coût de la sécurité dans les « best practices » informatiques
« auto justifiées » par la DSI
Le coût de la sécurité orientée enjeux
Il existe des dépenses propres, gérées par la DSI / SSI
Chaque Direction métier / projet ne devrait prendre en charge que les éléments relatifs à sa sécurité
Au-delà des « best practices », les développements spécifiques à l’atteinte des objectifs de sécurité liés aux enjeux et aux risques, explicitement mis en avant par les maîtrises d’ouvrages, nécessitent une prise de décision argumentée pour justifier les budgets
A B
Direction Générale / Secrétaire Général / Sensibilisé en phase projet L’affectation des budgets
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
La Direction
Sensibilisation / Responsabilisation Avant projet
Sensibilisation / Responsabilisation Projet initialisé
Les liens entre la sécurité et les valeurs essentielles
Les dommages
Les obligations, responsabilités et délégations
Les périmètres
La classification des enjeux
Les menaces, les risques, les scenario de crise
Cible , Étapes et principes du Plan d’Action
Formalisation et déclinaison opérationnelles des textes de référence
Définition des responsabilités des acteurs
Formation des acteurs
Présentation / Restitution des enjeux et arbitrage
Présentation des rapports d’audit / incidents
Contrôles
Direction Générale / Secrétaire Général / Sensibilisé en phase projet
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Direction Générale / Secrétaire Général / avant projet SSI
Le manque d’implication dans la pédagogie de la responsabilisation
Voir le chapitre sur la sensibilisation utilisateurs
• La présence / participation du management aux séances de responsabilisation utilisateurs
50
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
51
Mangement intermédiaire
1.Formaliser / faire formaliser les besoins de sécurité
2.Identifier les exigences SSI consécutives aux obligations légales inhérentes au métier
3.Identifier faire identifier les risques de sécurité
4.Arbitrer les besoins et les risques
5.Participer à l’explication des règles, à leur application et au contrôle
6.Identifier et gérer les collaborateurs stratégiques
7.Identifier et gérer les collaborateurs affectés à des taches sensibles
8.Formaliser les exigences de sécurité des contrats de partenariat sous-traitance
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
52
Il est difficile : • de faire prendre conscience de l’étendue du périmètre • de faire exprimer les besoins de sécurité • de faire comprendre les mécanismes de la voie fonctionnelle de sécurité pour:
• les conseils et demandes d’arbitrage • les remontées d’incident
• de faire appliquer les obligations légales sans : • une sensibilisation SSI adaptée aux managers • l’impulsion de la Direction • la formalisation de textes de référence sécurité
Mais ce type de difficultés (commune avec les représentants de la MOA ) a su être surmonté pour la formalisation des besoins fonctionnels il est donc probable qu’avec une impulsion des Directions ces difficultés
pourront être dépassées aussi
Les managers intermédiaires
La responsabilisation complémentaire au tronc commun
1.Formaliser / faire formaliser les besoins de sécurité
2.Identifier les exigences SSI consécutives aux obligations légales inhérentes au métier
3.Identifier faire identifier les risques de sécurité
4.Arbitrer les besoins et les risques
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les managers intermédiaires
La responsabilisation complémentaire au tronc commun
5. Participer à l’explication des règles, à leur application et au contrôle
6. Identifier et gérer les collaborateurs stratégiques
7. Identifier et gérer les collaborateurs affectés à des taches sensibles
8. Formaliser les exigences de sécurité des contrats de partenariat sous-traitance
53
Il est difficile :
• De faire appliquer ces règles sans référentiels
• Sans sensibilisation conçue par la DSI / SSI / SPI / PPDCP
• Sans avoir suivi une sensibilisation adaptée au profil
• Sans l’appui de la SSI et de la RH
• De gérer le sentiment « d’être le dernier rempart »
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les managers intermédiaires
La validation des habilitations
Personnes Profils Droits Habilitations
Chaque utilisateur des SI, acteur interne ou externe (collaborateur, prestataire, stagiaire), permanent ou temporaire, doit être identifiable de façon strictement personnelle • chaque utilisateur des SI se voit attribuer un (ou plusieurs) identifiant(s) strictement personnel(s), selon un dispositif
permettant d’établir un lien unique, fiable et pérenne avec cette personne physique.
• l’utilisation par un usager d’un identifiant personnel appartenant à un autre utilisateur est interdite (même avec son accord) ;
• le partage d’un même identifiant par plusieurs utilisateurs n’est pas autorisé, à l’exception des cas spécifiques aux
organisations de travail en équipe, pour lesquels des dispositions particulières doivent être établies, documentées et validées
par la filière SSI, et sous réserve que l’utilisation de ces identifiants « collectifs » soit strictement limitée au réseau interne de
l’entité ;
• les « identifiants par défaut » (comptes opérationnels présents par défaut dans les systèmes, comptes invités, comptes
anonymes, …) doivent être supprimés ou désactivés, leur utilisation étant interdite.
La gestion des profils d’accès au SI doit : - être réalisée sous la seule et unique autorité d’un responsable désigné au sein du Métier concerné ; - respecter les principes de moindre privilège et de séparation des tâches ; - donner lieu à une revalidation périodique de la pertinence et de la compatibilité des droits par profil et des profils cumulables.
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Toute action d’autorisation d’accès d’un utilisateur à une ressource des SI, doit s’inscrire dans le cadre d’un processus d’autorisation formalisé, qui s’appuie sur le processus d’arrivée et de départ du personnel.
• Valideur d’accès au SI (Profil): Le Responsable hiérarchique • Valideur d’accès aux données classifiées: le propriétaire, (sous la responsabilité du manager métier).
Qui ? Rôle et responsabilités Responsable hiérarchique du bénéficiaire (ou responsable du contrat de prestation), pour les profils Propriétaire pour l’accès aux données par le biais de la liste de diffusion
• Valide le bien-fondé de la demande et engage sa responsabilité vis à vis de l’ouverture d’un accès au SI pour le bénéficiaire. Il doit à ce titre s’interroger sur les aspects suivants :
• S’assure que le bénéficiaire connaît les règles de sécurité à respecter : • Conserve la maîtrise des accès qu’il a autorisés :
Bénéficiaire
Valideur
Traçabilité et contrôle
« Propriétaire »
Métier
Profil d’habilitations
Mise en œuvre
Les managers intermédiaires
La validation des habilitations
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 56
Un processus d’actualisation des habilitations d’accès au SI doit permettre de garantir que seuls les accès justifiés sont autorisés à un moment donné. Il doit par conséquent couvrir : - la revue périodique de la pertinence des droits accordés et la mise en œuvre des mises à jour requises ;
- l’émission et le traitement au plus tôt des demandes devant permettre de répercuter toute évolution de l’affectation d’un
utilisateur sur ses habilitations d’accès ;
- la prise en compte dans le délai requis de la possibilité que se réserve une autorité autorisée de faire suspendre ou faire
supprimer, selon un processus pré-établi, les habilitations d’accès de tout utilisateur des SI.
Les managers intermédiaires
La validation des habilitations et le suivi des habilitations
L’ensemble des opérations relatives à la mise en oeuvre des services de contrôle d’accès logique doit être auditable, tant aux niveaux : - de la gestion des utilisateurs déclarés au sein des SI (identifiants) ;
- de la gestion des dispositifs d’authentification de ces accédants, et en particulier de la modification des codes secrets ;
- de la gestion de leurs habilitations d’accès ;
- de la gestion des profils d’accès prédéfinis.
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les Managers
Les liens entre la sécurité et les valeurs essentielles
Les dommages
Les obligations, responsabilités et délégations
Les périmètres et les textes de référence
La classification des enjeux
Les menaces, les risques, les scenario de crise
Les règles de management • Les relations avec les syndicats • Gestion des collaborateurs • Gestion des sous traitants • Gestion des partenaires
L’arbitrage et le contrôle dans les projets
Les règles à faire appliquer • Les comportements généraux • La manipulation des documents • La manipulation des outils
Gestion des habilitations
Attention si l’utilisateur suit une sensibilisation avant le manager, le manager ne peut répondre aux éventuelles questions
Peut faire l’objet d’un séminaire sur ce thème
Les managers
La responsabilisation complémentaire au tronc commun
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les Directions métiers
Chefs de projet représentants de la Maitrise d’ouvrage
Habitués aujourd’hui à exprimer les besoins fonctionnels, Mais
• Très grande difficulté pour obtenir les besoins de sécurité, probablement liée au passé de la sécurité
informatique,
• Dans le « meilleur « des cas l’essentiel des projets s’appuie sur l’expertise du Chef de projet SI
• Voire développe ou achète seul sans la DSI / SSI
• Ne sentent pas concernées par les responsabilisations ou formations d’intégration native de la SSI dans les
projets
• Trop grande complexité des méthodes d’intégration native de la SSI dans les projets, ( EBIOS, MEHARI, …)
• La SSI ou la SPI vécue comme « inhibant » en tout cas « toujours » comme un frein
• Ne retienne classiquement que la menace de la malveillance
• Relation souvent compliquée avec la DSI ou la SSI, (choix structurants / non structurants)
• Certaines maitrises d’ouvrage très impliquées dans l’expression de besoins vont jusqu’à formaliser des
spécifications techniques, dans ce cas la relation MOA / MOE rencontre de nouvelles difficultés
• Choix structurants / non structurants pour la direction métier
• Dans le cas de l’externalisation nécessite un bon niveau de maturité
• Référentiel, Expression de besoins, Evaluation des risques, formalisation d’un PAS et des clauses
contractuelles
• Engagements du prestataire et auditabilité/réversibilité
58
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Responsabilité MOA
Les Directions métiers
Chefs de projet représentants de la Maitrise d’ouvrage
Habitués aujourd’hui à exprimer les besoins fonctionnels, Mais
La formalisation des besoins de besoins de sécurité, devrait passer par une modélisation des processus
59
Information I1 ou
Documents
Information I2 ou
Documents
Processus Processus Consolidation dans le Processus
Et héritages entre processus
D1, I3, C3, P2
D2, I2, C3, P1
D2, I3, C3, P2
D3, I1, C1, P2 D1, I2, C1, P2
D3, I2, C1, P2
Consolidation dans le Processus, puis dans la ressource Sans oublier • la classification héritée d’un autre processus • La classification de la ressource par le Maitre
d’Œuvre
Processus D3, I3, C3, P2
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les Directions métiers
Chefs de projet représentants de la Maitrise d’ouvrage
Habitués aujourd’hui à exprimer les besoins fonctionnels, Mais
Les pièges classiques :
• Ne pas y adhérer, pour les infos et documents
• Oublier la motivation de la classification
• Sur classifier
• Sous classifier, classifier en fonction règles identifiées comme admissibles
• Classifier en fonction de la potentialité
• Classifier en fonction des budgets identifiés comme admissibles
• Attendre du management qu’ils classifient les informations et les documents
• Classifier les infos mais ne pas donner l’impulsion pour classifier les documents
• Oublier de classifier les documents notamment les documents contenant des DCP
• Oublier de revoir la classification
• Oublier de formaliser les listes de distribution
• Ne pas avoir les règles corrélées aux niveaux de classification
• Il n’est pas rare d’oublier la classification des biens du projet pendant la vie du projet !
• Travaux sur futurs d’offres accessibles en interne par les sous traitants !
• Oubli des obligations concernant les DCP
• Oublier que l’on classifie à la maison et que l’on pourrait le faire pour la vie professionnelle !
60
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
RPO : Recovery Point Objective, degré de fraicheur des données T(-1) – T0 (Perte de donnée acceptable entre l’arrêt de l’activité et sa reprise)
PDMA : Perte de Données Maximum Admissible RTO : Recovery Time Objective T1- T0
(Délai nécessaire entre l’arrêt de l’activité et la remise à disposition de l’informatique) DIMA : Délai d’Interruption Maximum Admissible
T(-1) T0 T1 T2
Procédures fonctionnelles dégradées
Restauration sauvegarde
Dernière sauvegarde
Reprise système
Reconstitution des données (T(-1) à T0) ACTIVITÉ
NORMALE
SYSTÈME
DONNÉES
OPERATIONS
RPO RTO Fin de crise
Les Directions métiers
Chefs de projet représentants de la Maitrise d’ouvrage Faire exprimer les RTO / RPO
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Demande d'accès en provenance de l'utilisateur
Reconnaissance de l'utilisateur
Authentification de l'utilisateur
Reconnaissance du profil de l'utilisateur
Vérification des droits de l'utilisateur
Autorisation ou refus de l'accès
Contrôle dynamique
A B C A D E G H I J K L M Oui Non Non Oui Oui Non Oui Non Non Oui Non Oui
Après avoir déterminé le niveau de sensibilité, le besoin de diffusion et de partage des ressources, les droits d’accès aux ressources doivent être gérés suivant les principes suivants : • besoin d’en connaître (chaque utilisateur n’est autorisé à accéder qu’aux
ressources pour lesquelles on lui accorde explicitement le bénéfice de l’accès), • moindre privilège (chaque utilisateur accède aux ressources avec le minimum de
privilèges lui permettant de conduire les actions explicitement autorisées pour lui);
• la séparation des pouvoirs, Bale 3, SOX, Solvency 2, …
Les Directions métiers
Chefs de projet représentants de la Maitrise d’ouvrage
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les Directions métiers
Chefs de projet représentants de la Maitrise d’ouvrage
La cartographies des risques nécessite de la part du métier :
• Une formalisation des menaces liées à son contexte métier
• Une identification des vulnérabilités spécifiques métier
• Une relation étroite avec le Chef de projet MOE pour l’identification des menaces et vulnérabilités liées au SI
métier
• Une formalisation des menaces et vulnérabilités uniquement sur les composants SI, or elle devrait être
constituée sur :
• La formalisation des menaces doit passée par une revue conjointe , quelles bases, quels outils ?
• Il y a un véritable oubli de la menace de l’erreur par ignorance
• La formalisation des niveaux de risques nécessite une direction sensibilisée et engagée dans la formalisation
des grilles d’impact et niveaux de risques
• La grille des niveaux de risques, ne doit plus être identifiée comme un outil d’aide à la décision mais comme
une « religion » d’entreprise
63
Les Ressources Physiques IT
Les Ressources logicielles
Les Ressources et canaux Papier
Les Ressources Humaines Internes
Les Ressources humaines externes
Les Tiers fournisseurs
L’environnement physique
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les administrateurs fonctionnels
64
Il est malheureusement classique de tomber dans les pièges suivants : • Méconnaissance du devoir de secret professionnel (administrateurs techniques ou fonctionnels)
• Méconnaissance du devoir de réserve
• Méconnaissance des obligations et ou interdits concernant la Protection des données à caractère personnel
• Partager les identifiants / authentifiants entre administrateurs
• Utiliser les identifiants authentifiés « administrateurs » pour naviguer
• Ne pas avoir de procédures d’administration, ni de procédures d’escalade
• Méconnaissance des obligations de proportionnalité et transparence dans les contrôles
• Faire des contresens dans le pouvoir / devoir de dire non
• Sous estimation de la traçabilité des procédures
• Sous estimation des devoirs de remontée d’incidents
• Ne pas tracer les processus d’affectation, validation, approbation de droits/habilitations
• Faire donner des droits à un utilisateur au lieu d’affecter un utilisateur à un profil d’habilitations d’administrateur
• Oublier de faire approuver et valider les affectations à un profil
• Oublier de faire supprimer les identifiants / authentifiés lors des départs ou des changements de fonction
• Oublier de supprimer ou de faire supprimer les données à caractère personnel, (fin de vie, maintenance, …)
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Les Utilisateurs
Reconnus part tous les experts comme des maillons essentiels Toutes les normes exigent la responsabilisation au respect des lois, règlements, et procédures Tous les Codes exigent un devoir de loyauté vis-à-vis de l’employeur Pourtant ils semblent bien les oubliés de la responsabilisation Il est clair qu’il n’y pas de solution miracle, multi entreprises et multicultures,
Les pièges : • Faire pour répondre à une exigence normée, non pas pour être efficace
• Confondre la communication « piqure de rappel », avec la sensibilisation-formation « premier vaccin »
• Mettre en avant la malveillance systématique
• Ne mettre avant que les devoirs de l’utilisateur, en communicant peu sur les devoirs de l’employeur et les droits de
l’utilisateur
• Ne pas inclure les sous traitants
• N’avoir qu’une approche « pull »
• Surinvestir dans un didacticiel ou un E-learning
Les difficultés :
• Appréhender le besoin / niveau
• Obligatoire ? / Périodicité
• Tronc commun , puis modules complémentaires adaptés aux profils spécifiques,
• Uniquement modules spécifiques
65
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Appréhender le besoin / niveau
Nécessite une communication du management selon les mêmes fondements que la formalisation des documents référentiels de règles Un questionnaire « anonyme » permet d’évaluer les « manques »
Peut aussi permettre un système d’exemption, mais il serait dommage de perdre l’effet mobilisateur de l’implication de tous Attention de ne pas créer une défiance Si le questionnaire est anonyme il est difficile d’adapter les questions aux profils de collaborateurs à forte valeur ajouté / VIP Si le questionnaire est ciblé, la compréhension de l’objectif du questionnaire est troublée Dans le monde industriel les questionnaires d’évaluation de l’appropriation sont toujours réalisés après la formation Doit absolument intégré des questions orientées sur les droits des utilisateurs
Obligatoire / Périodicité
Devrait être obligatoire dès la mise en œuvre des approches 1 à 5 La mise en œuvre d’un tronc commun obligatoire, avec les sous traitants orienté best practices complété de modules spécifiques orientés fonctions, missions, responsabilités permet d’alléger le poids d’une périodicité trop rapide Le caractère obligatoire est plus facile à mettre en œuvre dans le monde industriel Ne pas oublier les très nombreuses obligations de responsabilisation des collaborateurs (civiles et pénales)
66
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
67
Les utilisateurs
Les utilisateurs et sur tout le périmètre sont au cœur du système, or la Charte quand elle existe ne peut présenter que les éléments structurants de responsabilité de la personne morale et des utilisateurs. Il est donc fondamental d’expliquer les règles détaillées et pratiques
Les utilisateurs ont souvent quelques préjugés • Ils pensent que la première cause de risques est la malveillance • Ils ignorent la réalité de l’ingénierie sociale • Ils confondent les devoirs de réserve et confidentialité • Ils oublient le devoir de remontée d’incidents • Il ignorent les vulnérabilités, notamment les dispositifs d’ingénierie sociale • La technique doit tout résoudre et pourtant ils méconnaissent les vulnérabilités ( internet, mail, réseaux sociaux, …) • La sécurité est une affaire de spécialiste • La sécurité constitue une défiance, un frein à la création, la recherche , la performance • La sécurité est liberticide et intrusive • L’engagement de responsabilité est mis en avant pour cacher des déficits de moyens • Lorsque qu’une action est techniquement possible cela signifie qu’elle est légale • La sécurité protège la confidentialité uniquement et elle n’est pas mobilisatrice pour le utilisateurs ne manipulant pas
d’informations sensibles • Il n’est jamais rien arrivé de grave • La coexistence des données professionnelles et privées dans les SI
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
Les pièges :
• Les erreurs de périmètres
• Oublier la présentation des droits
• Ne pas oser expliquer la formalisation des besoins
• Mettre l’accent uniquement sur la confidentialité en oubliant les autres besoins et en démobilisant les personnels ne
manipulant pas d’informations sensibles
• Oublier les comportements généraux notamment à l’extérieur des établissements
• Ne prendre en compte la sphère privée droits / devoirs et bonnes pratiques
Faut il commencer par un chapitre juridique dans le tronc commun ?
• Théoriquement oui sans aucun doute, dans la réalité :
• cela dépend de l’implication du management, de la durée consacrée à l’ensemble, difficile en environnement
international
• Difficulté pour l’expert de s’adapter à tous les niveaux de profils
Faut il commencer par une explication de l’évaluation des besoins, puis des règles corrélées aux différents niveaux ? Le tronc commun est plutôt adapté aux démarrages de plans de campagnes
68
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun, approche 1
Exhaustif, rigoureux , nécessite une direction sensibilisée, Pas toujours facile dans le monde industriel de démarrer par les obligations légales, en fait peu utilisé car ressenti comme une approche lourde
Enjeux et valeurs essentielles
Périmètres Organisation Référentiels
Obligations légales Droits et devoirs de
l’entité et de l’utilisateur
Règles Disciplinaires Contractuelles
Evaluation des besoins
Menaces Risques
Comportements
généraux
À l’intérieur des établissements
À l’extérieur des établissements
Règles de manipulation
de l’information corrélées aux besoins et
obligations légales
Règles
d’ utilisation des outils et application de l’Entité
et privés/ personnels
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun, approche 2
Plus facile à mettre en œuvre notamment dans le monde industriel, ressenti comme plus pratique
Enjeux et valeurs
essentielles
Périmètres
Organisation Référentiels
Menaces Risques
Obligations légales,
Droits et devoirs Règles
disciplinaires, contractuelles
Comportements
généraux À l’intérieur des établissements À l’extérieur des établissements
Règles de manipulation
de l’information
Règles d’ utilisation
des outils et applications
de l’Entité et
privés/ personnels
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun, approche 3
Plus facile, mais nécessitera du temps disponible et des rappels adaptés sur le chapitre des obligations légales
Enjeux et valeurs essentielles
Périmètres Organisation Référentiels
Menaces Risques
Comportements généraux
À l’intérieur des établissements À l’extérieur des établissements
Règles de manipulation de l’information
Règles d’ utilisation des outils et application de
l’Entité et privés/ personnels
Obligations légales,
Droits et devoirs Obligations légales, disciplinaires, contractuelles
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun, approche 4
Malheureusement le plus pratiqué
Menaces Risques
Règles d’ utilisation des outils et applications de l’Entité
Obligations légales, disciplinaires, contractuelles
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun, approche 5
Malheureusement le plus pratiqué
Menaces Risques
Règles d’ utilisation des outils et applications de l’Entité
Voire
Règles d’ utilisation des outils et applications de l’Entité
Convient plus à une approche de communication pour rappel, attention à la prise de risque juridique
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun, approche 1
Le lien avec les valeurs essentielles de l’entité permet de mobiliser
Le respect des droits des personnes La protection des personnes et des biens
L’Image de l’Entité
La responsabilité juridique (civile et pénale)
Le respect des intérêts légitimes des partenaires et fournisseurs.
Le climat de travail, aspect social et ressources humaines,
La sécurité financière et protection des investissements
La garantie de disponibilité et de qualité du service public / de service aux clients
La confiance des usagers / clients dans leurs échanges avec l’Entité,
La préservation de l’environnement
La protection du patrimoine professionnel voire historique et culturel de l’Entité
Erreur
Accident
Malveillance
Respect des cultures et souverainetés des pays dans lesquels l’Entité est implantée
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun, approche 1
Ne pas reproduire les erreurs du début de l’approche, il s’agit de prendre en compte l’ensemble des acteurs et composantes
La composante humaine
Composante Humaine : • Collaborateurs, • Sous-traitants • Partenaires
Composante Informationnelle • Propriété entreprise ou confiée • Orale, papier, électronique, produit
Composante Technique
Installations et servitudes
SI Entité • OS • Applications • Réseaux
• OS • Applications • Réseaux
SI privé / domestique
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
Les pièges :
• Oublier la présentation des droits
76
DEVOIRS
ENTITE • Respecte les lois et engage sa
responsabilité • Définit des règles • Informe les personnels sur:
• Les règles • Les dispositifs de surveillance • Les éventuels contrôles • Les niveaux de responsabilité
individuelle • Met en place les dispositifs de protection • Analyse leurs efficacités
DROITS
Donner à chacun les informations nécessaires sur les droits et les devoirs
PERSONNEL / PARTENAIRE • Respecte les lois, les règles et le principe
de loyauté • Informe Hub One des éventuels incidents
PERSONNEL / PARTENAIRE • Etre informé et formé sur :
• Les lois • Les risques • Les dispositifs de surveillance • Les dispositifs de contrôle • Les règles • Les engagements de responsabilité
ENTITE • Définit des règles • Met en place des dispositifs de
surveillance • Met en place des dispositifs de contrôle • Engage la responsabilité des acteurs
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun
Les pièges :
• Oublier la présentation des devoirs et des droits
Statuts /Code du travail / Code civil / Code pénal / … / Code de la propriété intellectuelle / … / / …
Devoirs de Loyauté Réserve
Confidentialité Statuts
Resp. Civile
Délictuelle Contractuelle
Obligations métiers
Code de la
santé
Protection des mineurs
Sox
Solvency 2
Etc …
Protection des données à caractère personnel
Droits d’auteur
Cyber criminalité
Traçabilité Cryptographie Délégation de
responsabilité
DEVOIRS ET RESPONSABILITÉS DES ADMINISTRATEURS SI ET DES COLLABORATEURS
DEVOIRS ET RESPONSABILITÉS DES MANAGERS SI DELEGATION DE RESPONSABILITE DE LA PERSONNE MORALE
DEVOIRS ET RESPONSABILITÉS DE LA PERSONNE MORALE
DEVOIRS ET RESPONSABILITÉS DES REPRÉSENTATIONS DES COLLABORATEURS
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun
Les pièges :
• Oublier la présentation des droits des personnes concernées par les DCP
• Mettre en œuvre les dispositifs de respect des droits de la personne concernée par les DCP pour les collaborateurs
comme il doit être fait pour toutes personnes concernées par les DCP
d’opposition
d’accès Et
communication
de rectification
d’être informé
Les droits
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Disponibilité
Confidentialité
Intégrité
Imputabilité
Respect des engagements contractuels
Sécurité juridique
Sécurité financière / des investissements
Protection du climat social
Protection des personnes et des biens
Respect des intérêts des partenaires
Protection de l’image
…
Opérationnel
Financier
Juridique / Contractuel
Notoriété / Image
Social/ Humain / environnemental
Synthèse des Impacts La perte impacte sur les
Les valeurs essentielles Critère
Les utilisateurs
Le Tronc commun Rappeler l’approche de l’expression de besoins aux utilisateurs
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun L’expression de besoins aux utilisateurs
Les pièges :
• Ne pas oser expliquer la formalisation des besoins
• Mettre l’accent uniquement sur la confidentialité en oubliant les autres besoins et en démobilisant les personnels ne
manipulant pas d’informations sensibles
• Nécessite un bon niveau de formalisation et d’implication de la direction mais ne diffère pas de la problématique de
l’expression des besoins par les métiers.
• Dans la réalité la confidentialité est toujours mise en avant
• Oublier de mettre en avant la ou les voies fonctionnelles pour conseil, assistance et demande d’arbitrage ou
dérogations
Les difficultés
• Trouver l’approche complexe alors qu’elle est réalisée dans la sphère privée !
• Avoir le ressenti que l’on rajoute du travail
• Avoir les difficultés à la faire appliquer alors que l’on cherche l’adhésion par la formalisation des règles adaptées aux
besoins
• Parfois les utilisateurs ont l’impression que l’approche apporte de nouvelles vulnérabilités utilisables par les
indiscrets
• Nécessite la formalisation des règles suivantes, expliquées argumentées et illustrées d’exemples
• La mise en application nécessite la création d’une culture / projet d’entreprise
• Voir page suivantes
80
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
• La présentation des risques
• Il est nécessaire de toujours mettre en avant le besoin de disponibilité et les risques associés
• Rappeler l’impact du non respect de règles
• Rappeler l’importance du respect des règles, l’évitement des erreurs
• Une des premières causes de fuite reste la divulgation spontanée d’information
• Rappeler l’utilisation de la méconnaissance des menaces et des bonnes pratiques par la malveillance
• La malveillance représente un risque réel et il est absolument nécessaire de la présenter, sous les différentes
formes qu’elle peut prendre dans le contexte de l’entité, mais attention de ne pas oublier :
• Que la première cause de risque reste l’ignorance / le non respect de la règle
• De ne pas créer un climat de défiance
• Qu’une présentation des risques même « spectaculaire » inadaptée au contexte n’entrainera qu’une
mobilisation faible
• Bien mettre en avant que le « flou » entre les sphères et composantes/ressources professionnelles,
personnelles, privées, publiques augmentent tous les risques, accidents, malveillance, erreurs
• Il est extrêmement utile de rapprocher les risques privés des risques professionnels
• Les exemples adaptés aux contextes restent sans doute le meilleur outil pédagogique
• Pour les risques IT, commencer par la prise de conscience des niveaux d’authentification particulièrement
faibles utilisés dans les SI / Internet
81
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
• La présentation des vulnérabilités et des menaces
82
Toute malveillance, Quelle que soit sa motivation, nécessite toujours une première étape pouvant prendre deux
formes
Une manipulation incitant à : • Ouvrir un mail, une pièce jointe,
• Se connecter sur un serveur,
• Supprimer un ou plusieurs fichiers,
• Dire, divulguer, exemple un mot de passe,
• Croire une fausse information,
• Répéter un mail, une rumeur,
• …
Une récupération d’information divulguée spontanément de manière inconsciente :
• Dans un lieu public, ou transport par
exemple,
• Dans un séminaire à l’extérieur,
• Fournie dans un réseau social sur internet,
• Laissée sur un ordinateur public,
• Récupérée dans une poubelle,
• ...
L’ incitation «à faire» ou «dire» et la récupération d’information sont identifiées sous le terme d’Ingénierie Sociale
L’ utilisateur a une responsabilité première dans le respect des bonnes pratiques comportementales pour limiter les risques liés à l’Ingénierie Sociale
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
• La présentation des vulnérabilités et des menaces, l’ingénierie sociale base du renseignement
83
Menace stratégique Ex: Espionage d'état
Intelligence Économique
Menace Cupide Concurrentielle
Ex: Espionnage Industriel
Ingénierie Sociale
Menace Ludique
Ex: Piratage
Menace Idéologique
Ex: Déni de service
Menace cupide mafieuse
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
• La présentation des vulnérabilités et des menaces
• L’inconscience des comportements généraux
84
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun
• La présentation des vulnérabilités et des menaces
• La méconnaissance des outils
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun
• La présentation des vulnérabilités et des menaces
• La méconnaissance des outils
***************
Mot de passe Tablette
*************** Mot de passe Adobe
*************** Mot de passe Gmail Perso
*************** Mot de passe sites Internet
***************
Mot de passe professionnel
***************
Mot de passe PC
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Internet
Serveur Professionnel « cadenassé »
Serveur Professionnel
Serveur Non
Professionnel « toléré »
Serveur non Professionnel à caractère non officiel « toléré »
Serveur D’accès à distance
Entité
Serveur non officiel
contraire aux bonnes
pratiques
Nomade OTP Poste de travail
La navigation non professionnelle est tolérée si elle est modérée loyale, respectueuse des lois et des
règles
Les utilisateurs
Le tronc commun
• La présentation des vulnérabilités et des menaces
• La méconnaissance des outils
La navigation professionnelle doit être privilégiée
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Didier Dupont De: olivier.martin.entité@hotmail.com Envoyé: vendredi 28 aout 2009 14:44 À: Didier Dupont Cc: Alain.dubois@entité.fr Objet: confidentiel
Bonjour, Je suis nouvellement nommé dans l’équipe support. Nous sommes en train de mettre à niveau le système d’information. Afin d’optimiser les performances, pouvez vous nous envoyer votre mot de passe dans les meilleurs délais. Les nouvelles procédures d’acquisition de votre nouveau mot de passe sont dans le fichier crypté joint. Pour décrypter le fichier, le code décrypteur est ZR8_3fg01. Pour de plus amples informations vous pouvez vous connecter sur le serveur www.serveur.entité.admin.ma. Cordialement Olivier
Message Urgentetconfidentiel.exe (113Ko)
Les utilisateurs
Le tronc commun
• La présentation des vulnérabilités et des menaces
• La méconnaissance des outils
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Internet Serveur
Non officiel Messagerie privée
Forum Réseau social
La participation privée à un réseau social ou un forum de discussion vous engage à : • Ne vous présentez pas comme un collaborateur de l’entité, pas d’adresse Email nom@entité.com • Ne communiquez aucune information sensible et détaillée sur vos activités professionnelles, • Utilisez des paramètres de confidentialité sur les profils pour que seuls vos amis proches puissent accéder à vos informations, • Contrôler régulièrement les paramètres de son profil, • Se connecter régulièrement sur les moteurs de recherche pour connaitre sa « réputation », • Ne pas accordez pas trop de confiance à un profil « ami », malgré les photographies et le descriptif, • Être prudent en donnant des informations sur votre vie privée, elles peuvent être exploitées, • Être conscient qu’il n’ y a aucune garantie de réelle de suppression.
Ordinateur privé, personnel
Aucune garantie de « véracité », confidentialité, suppression, toujours exploité en ingénierie sociale
Les réseaux sociaux
Les utilisateurs
Le tronc commun
• La présentation des vulnérabilités et des menaces
• La méconnaissance des outils
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les utilisateurs
Le tronc commun
• La présentation des vulnérabilités et des menaces
• La méconnaissance des outils concernant l’archivage, la sauvegarde et la destruction
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
Les pièges :
• Oublier les comportements généraux à l’intérieur des établissements
• Le devoir de loyauté
• Le devoir de réserve
• Le devoir de confidentialité
• Le devoir de notification d’incidents
• Le devoir de respecter les règles d’accès et de circulation dans les différentes zones de l’entité
• Les bonnes pratiques de l’orateur / animateur séminaire en interne
• Les bonnes pratiques du stagiaire en formation séminaire interne
• L'accueil des visiteurs
• La circulation des visiteurs
• La gestion du départ des visiteurs
91
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
Les pièges :
• Oublier les comportements généraux à l’extérieur des établissements
• Le devoir de loyauté
• Le devoir de réserve
• Le devoir de confidentialité
• Le devoir de notification d’incidents
• Les bonnes pratiques du voyageur, (services officiels/douane/police, transports, hôtels, invitations, …)
• La gestion des cadeaux, notamment à l’international
• Les bonnes pratiques de l’orateur / animateur séminaire lieu public
• Les bonnes pratiques du personnel stagiaire en formation lieu public
92
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
• L’ approche exhaustive pour la manipulation des supports d’informations sensibles
93
REGLES ETAPES
DICP Supports d’information papier
Supports de données numériques Environnement papier
Locaux entité Extérieur
Environnements Partagés Environnements individuels
Supports amovibles externes individuels
Marquage
Transmission
Copie
Impression
Accès
Stockage / Archivage
Destruction
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les utilisateurs
Le tronc commun
• La coexistence de la sphère professionnelle et privée / et le contrôle
94
L’administrateur ne peut divulguer le contenu d’un courrier personnel/ privé d’un salarié, (sans avoir prévenu l’utilisateur) à la demande de l’employeur, (responsabilité pénale sur le fondement de l’article 226-15 du Code pénal).
Vie privée Vie professionnelle (valeur par défaut) Vie privée
dite résiduelle
Engage la responsabilité pénale et civile de la personne physique Peut engager la responsabilité disciplinaire / contractuelle • Réserve • Confidentialité, Diffamation, • Insultes, • Intrusions, • …
1. Engage la responsabilité disciplinaire
/ contractuelle de l’utilisateur 2. Engage la responsabilité pénale de l’utilisateur mais peut entrainer la responsabilité pénale du délégataire de la responsabilité de la personne morale 3. Engage la responsabilité civile de
l’employeur
Doit être explicitement notifié « privé/ personnel »
1. Engage la responsabilité
disciplinaire / contractuelle de l’utilisateur
2. Engage la responsabilité civile de l’employé
3. Engage la responsabilité pénale de l’employé
4. Peut engager la responsabilité pénale de l’employeur
Contrôle proportionnel à la finalité et transparent ++++ Transparent
Discussion collective, proportionnalité et transparence
Sensibilisation / Responsabilisation
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
L’Utilisateur
Les liens entre la sécurité et les valeurs essentielles Des exemples de dommage
Les obligations, responsabilités, droits et devoirs Les périmètres
La classification des enjeux
Les menaces, les risques
Les comportements généraux
La manipulation des documents
A l’intérieur des établissements
A l’extérieur des établissements
Conception
Échanges et diffusions
Archivage / Stockage
Fin de vie
La manipulation des outils serveurs / postes
Installation / maintenance
Échanges et communications
Stockage/ Sauvegarde
Fin de vie La véritable efficacité serait d’en faire un tronc commun obligatoire et récurrent
Les utilisateurs
Le tronc commun
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les collaborateurs à forte valeur ajoutée
Le cas des personnels à forte valeur ajoutée : Le cas des personnels à forte valeur ajoutée (cadre supérieur, informaticien – avec polémique possible - , chercheur) ne diffère théoriquement pas de celui des autres personnels, hormis le fait que leur environnement de travail fait toujours partie des environnements sensibles Dans la pratique, dans les pays à culture latine (dont la France est un archétype) ces personnels sont les plus difficiles à convaincre
• Ils considèrent les mesures de sécurité comme des freins, et argumentent précisément que leur position à forte
valeur ajouté perd son efficacité du fait de ces freins
• Ils ont l’impression que les mesures de sécurité sont des marques de défiance et que leur position est sensée
les mettre à l’abris de toute défiance de l’entreprise à leur égard
• Ils pensent avoir, du fait de leur recul et de leur pratique des technologies modernes, une compréhension
intuitive des risques, vulnérabilités et parades, et revendique la pertinence de leur autonomie en matière de
comportement sécurisé
Ces personnels doivent être aussi sensibilisés : L’existence d’actions précises les concernant est un élément fort de la sensibilisation des personnels internes
Charte, règlement (PSSI) à destination des personnels extérieurs Mesures de sécurité au moins aussi précises vis à vis d’eux que vis à vis des personnels internes
• En cas de veille technologique / stratégique / … sur les forums thématiques leur fournir une adresse E mail anonyme
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les assistantes de direction
Les assistantes sont souvent en première ligne face aux manipulations d’ingénierie sociale • Récupérations d’informations par téléphone / voyages des managers
• Récupérations d’informations pour contacts
• Manipulation arnaque au président
• Incitation à connecter une clé USB avec aspirateur à données
• ….
• Elles doivent a minima suivre le tronc commun ou l'équivalent, ou mieux suivre le tronc commun et un module
complémentaire, voir la page suivante
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les Assistantes
La circulation de l’information
Gestion des tâches logistiques liées à l’espace professionnel
La gestion des documents
Organisation des réunions
Gestion des agendas
Réception et Gestion des appels
Gestion du courrier
Gestion des photocopies et impressions
Gestion des déplacements
Remontée d’incidents
Suivi de certaines dépenses
Gestion de la documentation de l’unité
Contrôle des procédures qualité/sécurité dans les classements
Gestion des tâches logistiques liées à l’espace professionnel
Classification des sensibilités
Protection
L’utilisation des outils
Les assistantes de direction
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les Acheteurs
Les responsables de la plateforme de dématérialisation
Les processus de dématérialisation des échanges engendrent un grand nombre d’exigences techniques et juridiques souvent complexes et entrainent de nombreux piéges Les acheteurs connaissent généralement les devoirs de confidentialité des achats Les personnes « connexes » ne sont pas toujours conscients de ces exigences
• Les séminaires externes
• Les discussions à l’intérieur des établissements
• …
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les Acheteurs
Les responsables de la plateforme de dématérialisation
• Catégories de documents à archiver et durée de conservation
• Mise en œuvre de l’archivage
• Modalités de la publicité
• Intégrité des informations
• Gestion des authentifiants Publication et consultation
• Classification des informations Engagement de l’affaire
Diffusion en interne
Analyse des offres Commission de choix
Archivage des dossiers
Règles de sécurité : Décomposition du processus métier
• Confidentialité des informations
• Confidentialité des informations
Réception des offres • Disponibilité de la plate-forme lors de la remise des offres
• Signature des offres
• Confidentialité des informations
• Offres et détection des éventuels virus
Ouverture des plis
Réglementation CNIL /DCP Cas de dispense de déclaration dans le cadre de la dématérialisation des marchés Obligation d’information / Obligation de sécurité des informations /Respect de la durée de conservation Obligation de déclaration des transmissions éventuelles de données vers des pays tiers à la Communauté européenne Les transmissions éventuelles de données vers des pays tiers à la Communauté européenne, y compris lorsque cette transmission est réalisée à des fins de sous-traitance, font l’objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978.
1
2
3
4
5
6
7
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les niveaux de classification des informations doivent être définis, exemples:
Information Sensibilité en Confidentialité Commentaires
Dossiers de consultation 3 avant diffusion aux soumissionnaires
0 pour appel d’offre public
Le document doit être considéré comme final dès lors qu’il est reçu par l’acheteur. Avant diffusion, le document est « Confidentiel Achat ».
2 pour appel d’offre restreint
Registre des entreprises qui ont retiré le Dossier de la consultation
2
Registre des entreprises qui ont déposé une candidature/offre
2
Journal des événements de la consultation 2
Candidatures déposées par les entreprises 3 avant choix du soumissionnaire Avant le choix du soumissionnaire, ces documents sont « Confidentiel Achat ».
2 après
Offres remises par les entreprises 3 avant choix du soumissionnaire Avant le choix du soumissionnaire, ces documents sont « Confidentiel Achat ».
2 après
Questions des soumissionnaires dans le cadre de la consultation
2
Réponses aux questions des soumissionnaires dans le cadre de la consultation
1
Notations 3 Ces documents sont « Confidentiel Achat ».
Rapport de choix 3 Ce document est « Confidentiel ».
Les Acheteurs
Les responsables de la plateforme de dématérialisation
1
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les Acheteurs
Les responsables de la plateforme de dématérialisation
1. Obligation CNIL • Cas de dispense de déclaration dans le cadre de la dématérialisation des marchés
2. Obligation d’information
• Les utilisateurs de la plate-forme sont informés de l’identité du responsable du traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de leur droit d’opposition et de rectification ainsi que des modalités d’exercice de leurs droits
3. Obligation de sécurité des informations • Le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et,
notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. • Il s’agit d’une obligation de moyens mais le défaut de protection est passible d’une sanction pénale de cinq ans
d'emprisonnement et de 300 000 Euros d'amende conformément l’article L. 226-17 du Code Pénal.
4. Obligation de déclaration des transmissions éventuelles de données vers des pays tiers à la Communauté européenne • Les transmissions éventuelles de données vers des pays tiers à la Communauté européenne, y compris lorsque cette
transmission est réalisée à des fins de sous-traitance, font l’objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978.
4. Respect de la durée de conservation
• Les données à caractère personnel recueillies à l'occasion de ce traitement sont conservées conformément aux dispositions légales applicables (cf point sur l’archivage)
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
0 Les Acheteurs
Les responsables de la plateforme de dématérialisation
• Qualification juridique des fonctions potentielles à assurer conformément à la loi LCEN • Qualification principale : Editeur en ligne • Qualifications secondaires :
• Hébergeur (au cas ou l’Entité héberge la plate-forme de dématérialisation) • Fournisseur d’Accès Internet
• Obligations de l’éditeur en ligne • Informations légales (identification de la personne physique ou morale éditeur, directeur de publication,
coordonnées de l’hébergeur) • Respect du droit de réponse (à priori non pertinent pour une plate-forme de dématérialisation)
• Obligations complémentaires au titre de la fonction d’hébergeur • L’hébergeur n’a pas d’obligation générale de surveillance mais supporte une obligation de conservation des
données de nature à permettre l'identification de quiconque a contribué à la création de contenu sur un site hébergé.
• Dès le moment où il a eu connaissance d’informations illicites stockées dans le cadre de ses services il doit agir promptement pour retirer ces informations ou en rendre l'accès impossible sous peine de voir sa responsabilité pénale engagée • L'article 29 de la LSQ (Loi relative à la Sécurité Quotidienne du 15 novembre 2001) pose des garde-fous à la conservation de
ces données : • Les hébergeurs et les FAI sont tenus d'effacer ou de rendre anonyme toute donnée après une durée d'un an • Les données conservées portent exclusivement sur l'identification des personnes utilisatrices des services fournis
par les opérateurs et sur les caractéristiques techniques des communications assurées par ces derniers • « Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations
consultées, sous quelque forme que ce soit, dans le cadre de ces communications« • « La conservation et le traitement de ces données s'effectuent dans le respect des dispositions de la loi no 78-17 du
6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
104
Les DSI Pour l’aspect sécurité le/la DSI rencontre des difficultés : • Pour faire comprendre que le problème n’est plus informatique mais Sécurité Systèmes d’information, voire Protection
du Patrimoine Informationnel • Pour faire valider leurs propositions de textes de Références, (Charte Ethique, PGSI, PSSI, …)
• Pour constituer un Comité de Pilotage / suivi et homologation avec les représentants des Directions métiers
• Pour impliquer les MOA dans la classification de leurs besoins et l’identification des menaces
• Pour faire comprendre à leurs collaborateurs que la sécurité ne peut être que technique
• Pour faire appliquer des procédures d’exploitation et d’administration
• Pour constituer un réseau SSI dans les directions métiers et les établissements
• Pour faire comprendre la différence entre les PRA et les PCA
• Pour faire comprendre qu’un PRA ne fournit pas nécessairement les mêmes qualités de service que le mode normal
• Pour sensibiliser les acteurs :
• Comité de Direction
• Chefs d’établissement
• Représentants de la MOA
• Utilisateurs
• …
• Pour faire déclencher des budgets sécurité hors de son périmètre comme pour la sensibilisation par exemples ou pour
des projets métiers spécifiques hors des best practices
• La gestion ( séparation des fonctions demande, approbation, validation, réalisation des identités, profils et habilitations
constitue un enjeu stratégique
• La relation avec la SSI nécessite une approche fonctionnelle de la SSI que la DSI doit intégrée, puis contrôlée par la SSI
• Le besoin de lien fonctionnel SSI / Direction Générale – Comité de pilotage n’est pas toujours compris
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
105
Les chefs de projet informatique Il est malheureusement classique de rencontrer des réticences sur une approche méthodologique d’intégration native de la sécurité. • elle constitue un frein à la performance • elle rajoute du travail • elle rallonge les délais • on s’en passait • les métiers ne sont pas compétents pour formaliser les besoins de sécurité à décliner/hériter dans les
ressources SI • elle coute cher • ne pas documenter L’application d’une méthode adaptée nécessite la formalisation d’un référentiel de mesures consécutif à une Politique Générale de Sécurité
Parfois il est difficile d’identifier un correspondant MOA par exemples pour les architectures techniques ou applicatives mutualisées
Les MOA choisissent parfois les solutions techniques sans les consulter et se sentent volés de leurs responsabilités
Parfois il ne comprennent pas les chois structurants des MOA et les identifient à tord comme des choix techniques
L’application d’une méthode comme un alibi ou au contraire d’y être inféodée L’absence de comité de validation et pilotage pour arbitrer et valider les risques résiduels
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les exploitants et administrateurs informatiques
• Ignorer ou ne pas avoir de conventions de service pour la SSI
• Ne pas avoir de base référentielle à jour des câblages, réseaux et configurations
• Ne pas avoir des procédures formalisées de tests recettes mises à jour
• Ne pas formaliser ou ne connaitre les procédures d’escalade sur incidents
• Ne pas avoir prévu de revenir dans la configuration précédente
• L’utilisation « d’armes » sans habilitation
• L’utilisation d’outils « perso »,
• Partager les comptes
• La mise en avant de la compétence technique pour s’affranchir du respect des procédures
• Les préoccupations de rapidité et de performance sont mises en avant pour ne pas les respecter
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Civile Délictuelle Contractuelle
il existe une présomption de caractère professionnel pour les documents physiques et numériques détenus par le salarié et que :
« les fichiers et dossiers créés par le salarié grâce à l’outil informatique mis à sa disposition par son employeur sont présumés professionnels sauf si le salarié les identifie comme personnels de sorte que l’employeur ne peut y avoir accès sans sa présence », ou tout au moins être prévenu
La nature personnelle d’un fichier ne suffit plus à le soustraire à un contrôle de l’employeur mais définit étroitement les conditions d’un tel contrôle.
par principe, l’accès à l’espace réservé à l’employé nécessite la prévision d’un tel accès dans le règlement intérieur ainsi que l’information préalable du salarié (qui doit être présent ou au moins être prévenu)
Par exception, le contrôle de l’espace réservé (privé/personnel ) est possible sans inscription au règlement intérieur et sans
information préalable en cas de
« risque ou d’événement particulier d’exceptionnelle gravité ».
Les exploitants et administrateurs informatiques
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
La prise de main à distance d’une ressource informatique locale ne doit être réalisable que par les agents autorisés par l’équipe locale chargée des SI, sur les ressources informatiques de leur périmètre. Des mesures de sécurité spécifiques doivent être définies et respectées.
Les règles spécifiques aux administrateurs Obligation de confidentialité renforcée
Les administrateurs sont tenus au secret professionnel et, plus généralement, à une obligation de discrétion professionnelle qui leur interdit de divulguer les informations qu’ils auraient été amenés à connaitre dans l’exercice de leurs fonctions, notamment :
Les informations couvertes par le secret des correspondances, Relevant de la vie privée, Ne mettant en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l’intérêt de l’entité
Règles Administrateurs
Fiche de Poste Clauses contractuelles
Procédure d’escalade
Ils n’utilisent les outils d’administration qu’à des fins strictement professionnelles
Les exploitants et administrateurs informatiques
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
• Cas particulier de l’accès aux données à caractère personnel par les administrateurs
• Le fait que les administrateurs des réseaux et des systèmes informatiques aient accès à l’ensemble des informations
relatives aux utilisateurs, y compris celles stockées sur leur disque dur, n’est pas contraire aux dispositions de la loi « Informatique et Libertés ».
• Il en est de même pour ce qui est de la prise en main à distance du poste utilisateur, à condition que les mesures de sécurité nécessaires à la protection des données soient mises en œuvre.
• Ces administrateurs sont toutefois tenus au secret professionnel. Il ne doivent donc pas divulguer les informations portées à leur connaissance dans le cadre de leur fonction, notamment celles couvertes par le secret des correspondances ou relevant de la vie privée des utilisateurs.
Les administrateurs respectent les règles de confidentialité, des données personnelles ou privées des utilisateurs, ces données ne peuvent être transmises que sur ordre de réquisition ou commission rogatoire signée et uniquement aux agents de l’état chargés de l’enquête
Les exploitants et administrateurs informatiques
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les conditions d’intervention des administrateurs réseaux doivent être portées à la connaissance des employés et des organes représentatifs du personnel. L’utilisateur doit être informé au préalable de la finalité du contrôle. Le contrôle doit être conforme au principe de proportionnalité et respectueux du principe de finalité énoncé par la loi informatique et libertés.
Les règles spécifiques aux administrateurs Transparence et Proportionnalité
Il est important de noter que ces administrateurs ont le « pouvoir de dire non » dans le cas où un employeur demanderait à ces administrateurs une action non conforme à la règlementation, comme par exemple l’absence de transparence dans
les contrôles.
Il est important de noter que les administrateurs doivent respecter les règles: • Ne pas utiliser les comptes et mots de passe partagés d’administration
pour se connecter sur internet, • La mise hors circuit d’un dispositif de sécurité, ( filtrage) constitue une faute, pouvant conduire à des sanctions
disciplinaires ou pénales
Les exploitants et administrateurs informatiques
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Lorsqu'un administrateur constate qu’un incident est dû à des actes non conformes à la charte utilisateur: l’administrateur de ressources informatiques contacte l’utilisateur concerné et lui rappelle les règles à respecter. Si l’administrateur trouve un accord avec l’utilisateur, et si les activités de l’utilisateur redeviennent conformes à la charte utilisateur, l’administrateur informe le RSSI de la résolution de l'incident.
Tout utilisateur disposant d’un compte permettant d’accéder à des ressources informatiques gérées par l’Entité doit avoir pris connaissance de la charte utilisateur pour l'usage des ressources informatiques et doit en respecter les règles.
Les exploitants et administrateurs informatiques
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les exploitants et administrateurs informatiques
Dans le cas d’un refus de respect des règles par l’utilisateur • Si l’administrateur ne parvient pas à trouver un accord avec l’utilisateur qui a commis des actes non conformes à la charte utilisateur, ou si l’utilisateur ne met pas fin à ces actes:
• L’administrateur informe le RSSI de la nature de l’incident et de l’identité de l’utilisateur.
Le RSSI rappelle à l’utilisateur qu’il s’est engagé à respecter les règles de la charte utilisateur. En cas de désaccord entre le RSSI et l’utilisateur, ou si l’utilisateur ne met pas fin à ses activités illicites:
• Le RSSI informe la hiérarchie qui pourra demander au président de centre le déclenchement d’une procédure d'investigation ciblée.
Le RSSI est informé de la procédure d'investigation ciblée.
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Nature de l’incident Identité de l’utilisateur
Administrateur informatique
RSSI
Obligation de respect de la charte Recherche d’un accord
Hiérarchie
Utilisateur concerné
En cas de désaccord
Procédure d’investigation ciblée
Direction générale Directeur d’unité
Désaccord entre l’administrateur informatique et l’utilisateur
Refus de respect des règles, suite
Les exploitants et administrateurs informatiques
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Procédure d’alerte • Tout administrateur qui observe un incident relatif à l’utilisation des ressources informatiques doit le signaler au RSSI.
• À défaut de pouvoir contacter le RSSI, il signale l’incident à sa hiérarchie.
Témoin de l’incident
Personne concernée
Équipe Informatique
Administrateur concerné
Hiérarchie
RSSI
L’administrateur applique les mesures de surveillance et de contrôle, en respectant les obligations d'information des utilisateurs.
Les exploitants et administrateurs informatiques
Incident provoqué par une personne extérieure • Si un administrateur de ressources informatiques constate qu’un incident est causé par une action anormale ou malveillante de la part d’une personne extérieure à l’académie,
• il en informe le RSSI et sa hiérarchie • Ils recherchent ensemble une solution, en concertation avec toute assistance jugée utile (RSSI, assistance juridique…).
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Responsable protection de l’information
• Cherche à impliquer les métiers ou la direction
• L’argument à mettre en avant :
• Les règles auto justifiées par la DSI ne peuvent répondre à des besoins non exprimés, seule l’expression
des besoins sur les contenus permettra de vivre les règles comme des exigences et non plus comme des
contraintes
• Cela suppose une bonne relation avec la DSI
• Est malheureusement contraint de sensibiliser par la mise en avant de la malveillance potentielle alors
que le risque premier reste la méconnaissance / ignorance !
Doit s’adapter aux spécificités métiers, (obligations légales, menaces, besoins et vulnérabilités, …..) et
nécessite une Direction sensibilisée !!!
• Doit s’appuyer sur la fonction SSI pour les mesures
Très probablement fonction à fusionner avec le CPD et les relais associés
115
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 116
RSSI • Le positionnement dans l’organigramme ne règle pas tout
1. Formalisation des référentiels
2. Assistance à MOA ,via les relais SSI ou SPI ou via le CPD
3. Assistance à la MOE/DSI par le biais de la formalisation des règles fonctionnelles
4. Veille juridique via le CPD , le RSPI et bien sur la Direction Juridique
5. Sensibilisation / communication
6. Contrôle et audit
L’ autoritarisme en fonctionne pas
La recherche « consensuelle » systématique ne marche pas
La collaboration avec la DSI est bien sur essentielles il faut absolument mettre en œuvre une séparation des
devoirs, la DSI met en œuvre, elle intègre les règles fonctionnelles
La collaboration avec le CPD est fondamental
Ne jamais sous estimé la formation communication
L’audit est réalisé avec le contrôle interne
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Le RSSI
Les difficultés : • S’adapter à la culture du pays, de l’activité et de l’entité,
• Formaliser la PSSI avec le niveau de profondeur approprié
• Réussir la relation avec la DSI et gérer la bonne « distance avec la technique »
• Réussir la relation avec les métiers
• Réussir la relation avec les Chefs de projet informatique
• Réussir la relation avec le CPD
• Réussir l’équilibre entre autorité et souplesse
• Réussir l’équilibre formation / communication et contrôle
• Réussir la relation avec l’audit et le contrôle
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les Correspondants pour la protection des données à caractère personnel
• Il n’est pas rare que le CPD finisse par se sentir comme un alibi, permettant d’alléger le régime des déclarations
• Typiquement sa fonction est vue comme le formalisateur du registre
• Son positionnement dans la DSI ou dans la SSI, n’est pas conforme à l’idée d’indépendance et d’évitement des
conflits d’intérêt
• La voie fonctionnelle et le devoir de notification vers la Commission est souvent ressentie, (à tord) comme
théorique
• Les difficultés ou pièges classiques sont souvent :
• L’oubli du papier et des canaux correspondants
• L’oubli de l’analyse de risques
• La difficulté de l’analyse de risques, ce n’est pas toujours son métier
• La très grande difficulté à faire appliquer les mesures pour réduire les risques
• La mise en cohérence des mesures proposées par la commission et les mesures de la PSSI / ISO 27002
118
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
2.Mesures sur les éléments à contrôler
Essentiellement juridique
3.Mesures sur les sources de risques
Limiter les menaces sources de risques
4.Mesures sur les supports Limiter les vulnérabilités pouvant être exploitées par les menaces
5.Mesures sur les impacts
Réduire les dommages
1.
Actions transverses
Organiser
Et formaliser PPDCP
Les Correspondants pour la protection des données à caractère personnel
• Les propositions des mesures sont vécues comme un référentiel supplémentaire à formaliser et à s’approprier
• Afin d’harmoniser les rapports avec la SSI il est important d’intégrer dans la PSSI les mesures de protection des DCP, sans oublier les textes fondateurs de la PPDCP
• Nécessite clairement une direction sensibilisée
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les sous traitants
Tout projet d’externalisation de services liés à une ressource du SI doit donner lieu à la constitution d’un dossier qui doit comporter une description : 1. des services attendus et des exigences de SSI associées à ces services compte tenu des enjeux Métiers sous-
tendus ;
2. des évolutions techniques et organisationnelles induites en matière de SSI ;
3. des risques relevant de la SSI induits par le projet (liés aux modalités de conduite du projet ou aux évolutions, engendrés par l'arrivée du prestataire en tant qu’acteur du SI …) ;
4. des moyens requis pour conserver en interne une maîtrise suffisante des risques encourus.
L’ensemble de ces éléments doit être repris dans un Plan d’Assurance Sécurité (PAS) qui sera actualisé tout au long de l’instruction.
• Le respect d'un référentiel de sécurité sous la forme d’un PAS validé par la fonction SSI sécurité.
• L’application des obligations légales
• L'auditabilité
• La réversibilité
• Le maintien de la propriété du client
• La protection contre les actions en contrefaçon
• La formation à la sécurité du personnel du prestataire et aux règles de l’entreprise cliente ???????
• La confidentialité du contrat et de ses annexes
• Le suivi du contrat de service avec des indicateurs précis
• L'obligation de conseil
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Les sous traitants
• Les différencier dans leurs adresses Email, didier.dupont.external@entité.com
• Formaliser les responsabilités chapitre dans la charte/ charte dédiée
• Les faire participer au tronc commun
• Rappeler les bonnes pratiques, notamment à propos de: • La confidentialité, • Du devoir de remontée d’incidents • Du devoir de conseil • Et de la propriété intellectuelle
• Ne pas hésiter à contrôler.
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
• Le Code du travail ne prévoit pas une application électronique • Il faut se référer aux moyens traditionnels accordés aux représentants du personnel
• Le Code du travail et la jurisprudence visent à établir un équilibre entre • La liberté d’action nécessaire aux délégués • La protection du légitime intérêt de l’employeur dans la non perturbation du travail, de la productivité
• Les moyens accordés aux syndicats • La convention Européenne des droits de l’Homme, article 10, alinéa 1
• « Toute personne a le droit à la liberté d’expression, ce droit comprend la liberté d’opinons et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorité publique et sans considération de frontière »
• L’affichage syndical • L’article L. 412-8 du Code du travail dispose que l’affichage des communications syndicales s’effectue
librement sur des panneaux réservés à cet usage et distincts de ceux qui sont affectés aux communications des délégués du personnel et du CE.
Les syndicats
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Un spamming syndical peut être assimilé à une distribution de tracts en dehors des horaires déterminés par le Code du travail (entrées et sorties uniquement), et donc interdit. (sauf accord avec la Direction, voir la fin du chapitre) En revanche un échange de messages entre un délégué syndical et un salarié, à l’occasion d’une affaire concernant le dit salarié ne saurait être interdit par l’employeur. Les délégués syndicaux et les institutions représentatives doivent respecter les droits des tiers, comme tous les autres salariés de l’entreprise Ne pas utiliser la messagerie : • Pour inciter à une infraction • Diffamer ou injurier une personne • Porter atteinte à la propriété intellectuelle • Ne pas respecter les obligations LIL ….
Les modalités des moyens: Un accord entre les sections syndicales et l’employeur L’intervention de la justice est possible en cas d’abus de l’employeur L’affichage en dehors des panneaux est illicite
Les syndicats
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
• Du fait de la liberté d’affichage, l’employeur reçoit un exemplaire des communications syndicales au moment
de leur affichage • Cette communication est obligatoire, le défaut de communication permet à l’employeur d’obtenir le retrait de
l’affichage en référé
• Aucun contrôle préalable de l’employeur et aucune procédure d’autorisation de sa part n’est possible • Seule l’action a posteriori est ouverte à l’employeur
• Procédure de référé engagée devant le tribunal de grande instance en vue d’obtenir le retrait de l’affichage
• Des sanctions disciplinaires, (jusqu’au licenciement) peuvent être prises en cas d’affichage illégal ou abusif
• Des dommages-intérêts peuvent être réclamés en cas d’affiche injurieuse • Les communications syndicales doivent rester dans la limite de l’objet de l’action syndicale
• Article L 412-8 alinéa 5
Les syndicats
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
• Les modes de communication électronique • Le Ministre de l’Emploi et de la Solidarité indique qu’à propos des réseaux de communications internes à
l’entreprise fondée sur la technologie de l’internet, il appartient aux organisations syndicales de rechercher , par voie d’accord avec l’employeur, les modalités d’ accès de la messagerie générale, et de la diffusion des messages à caractère syndical, l’Intranet ayant vocation à être strictement professionnel
• Aucune disposition ne contraint l’employeur à accorder aux organisations syndicales l’accès à ce réseau.
• La jurisprudence indique: • « il n’existe aucune raison évidente d’interdire aux salariés d’utiliser les techniques nouvelles pour
l’exercice de ce droit, l’usage d’Internet pour la communication des pensées et le opinions étant soumises aux mêmes règles que l’emploi des supports traditionnels, tels que tracts ou affiches, et la liberté d’expression trouvant d’une manière ou d’une autre ses limites dans les dispositions de la loi sur la presse ou dans l’application de la théorie de l’abus de droit ,
• Dès lors qu’il est possible de connaître les animateurs d’un site Web et de situer sans ambiguïté leurs
messages dans le cadre d’un conflit existant, • Article L 461 – 1 Code du travail
Les syndicats
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
En état actuel de la loi et de la jurisprudence :
L’employeur ne peut être contraint d’accorder un « affichage virtuel » aux délégués syndicaux et aux institutions représentatives
Si l’employeur y consent , il devra veiller à n’établir aucune discrimination entre
les différents syndicats représentés
Les syndicats
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Motivation Cupide / « mafieuse »
Ludique
Concurrentielle
Idéologique
Stratégique
Compétences
Connaissances du contexte de la cible
Temps nécessaire pour réaliser l’attaque
Moyens
La
Malveillance
Très fort(e)
Forte
Moyen(ne)
Faible
Le respect des bonnes pratiques permet toujours de limiter la faisabilité, les potentialités et impacts de la malveillance
127
La malveillance
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
PROFIL COMPÉTENCE TEMPS MOTIVATION MOYENS CONNAISSANCE
DU CONTEXTE
État ennemi ++++ ++++ ++++ Stratégique
++++ ++++
Concurrent ++++ +++ ++++ Concurrentielle
+++ +++
Pirate ++++ +++ +++ Ludique
+++ ++
Escroc (enjeu financier) +++ +++ +++ Cupide
++ +++
Stagiaire / élève ++ ++ ++ Ludique
+ ++
Membre de société de service
+++ ++ ++ Ludique /
Concurrentielle
++ ++
Casseur, « rebelle » ++ ++ +++ Ludique
Idéologique
++ +
Ancien membre du personnel
+++ + +++ Ludique
+ ++++
Membre du personnel +++ +++ + Ludique
++ ++++
« Victime innocente » + + - - ??? 128
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Le facteur humain dans la gestion du risque SSI Zoom sur la malveillance
Blocage d’un centre informatique ou de locaux métiers
Usurpation de droits
Abus de droits
Utilisation illicite de matériels
Utilisation illicite de logiciels
Reniements d’actions
Altérations de données
Vol de matériels
Vol de supports ou de documents
Récupération de supports recyclés
Traitement illicite des données
Piégeage du matériel
Saturation du système informatique / DOS
Destruction de matériel ou de support
Récupération de supports recyclés
Piégeage du logiciel Ecoute
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 130
Menaces Description Acteurs pour détecter la menace
et le risque Menaces sur les Ressources humaines
Atteinte à la disponibilité du personnel
Un évènement majeur (ex : épidémie, grève générale, occupation des locaux) empêche les gestionnaires d'application de gestion d'accéder à l’établissement site de X
RPCA + Managers
Disparition d’un collaborateur stratégique
Démission ou disparition d’une personne ou d’une équipe seule capable de gérer certaines ressources informatiques. Les conséquences peuvent être l’impossibilité de gérer correctement les ressources tant que les connaissances n’ont pas été retrouvées, ce qui peut aboutir à des dysfonctionnements des applications utilisant les ressources concernées. Exemples : 1. Départ d’une équipe non privilégiée car n’étant pas sur un domaine « en vue » et qui a pu se sentir démotivée à certains moments, et décider de tenter sa chance ailleurs. 2. Départ de spécialistes pour des conflits d’intérêts, par recherche d’emploi mieux rémunéré par exemple. 3. Départ d’un prestataire sur lequel toute l’expertise reposait.
Managers
Atteinte à la maintenabilité du SI
Une application dont la maîtrise technique est l'exclusivité d'une personne physique, n'est plus en mesure d'être correctement maintenue en cas de départ volontaire ou involontaire
Managers
Atteinte à la maintenabilité du SI
Suite à des renouvellements trop fréquents des personnels techniques et à l'absence de procédure d'exploitations certaines applications ne sont plus en capacité d'être maintenues en mode opérationnel, pouvant provoquer un arrêt total en cas de dysfonctionnement majeur.
Managers
Usurpation de droits Un membre du personnel ayant quitté l’effectif de X continue à accéder à
des applications, ses comptes d'accès n'ayant pas été supprimés.
Managers
Les menaces sur les ressources humaines
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 131
Menaces Description Acteurs pour détecter la
menace et le risque
Juridique
Utilisation de logiciels contrefaits
L’entité utilise des modules pour ses applications en licence "gratuiciel" alors que l'utilisation n'est réservée que pour un usage privé et personnel
DSI et managers
Utilisation de logiciels contrefaits
Un serveur d'application est installé avec des licences de systèmes d'exploitation ou d'applications tiers sans que les licences adéquates soient possédées par l’entité
DSI et managers
Utilisation illicite des matériels
Un collaborateur ou sous-traitant profite des accès réseaux pour naviguer sur des sites contraires aux lois
RSSI et managers
Les menaces humaines sur la conformité juridique
Physique Matériels
Blocage d’un centre informatique ou de locaux métiers
Le site (informatique et/ou utilisateur) n’est plus accessible pour les équipes qui y travaillent normalement. Exemples : 1. Blocage suite à un conflit social.
RPCA, Responsable sécurité des installations et managers
Les menaces humaines sur la sécurité physique
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 132
Menaces Description Acteurs pour détecter la menace
et le risque
Abus de droit Un membre du personnel profite de ses droits d'accès aux applications, pour modifier les données d'un personnel ou d’un client dans le but soit de le favoriser soit de le desservir
Managers et RSSI
Un utilisateur ayant accès à une application financière, profite de ses droits pour détourner des fonds
Managers
Le responsable de la gestion d'identité valide l'accès à une application hébergée nationalement pour un utilisateur qui n'est pas un ayant droit.
Managers
Un membre du personnel profite de ses droits sur les applications de gestion de clients pour consulter ou altérer des informations concernant un client
Managers
Un administrateur profite de ses droits d'accès, par exemple aux applications de gestion clients, pour modifier directement en base de données, des données clients
DSI
Un membre du personnel ayant accès à un produit de GRH, profite de ses droits pour modifier les informations d'un autre membre du personnel à des fins malveillantes ou lucratives
RH, RSSI
Un administrateur profite de ses droits d'accès, par exemple aux applications, pour altérer directement les tables de correspondances entre les numéros clients et les informations nominatives, réalisant des permutations entre des clients.
Managers
Le responsable de la gestion d'identité refuse l'accès à une application hébergée nationalement pour un utilisateur qui est un ayant droit.
DSI
Un chef de service appelle le support pour modifier une donnée de gestion verrouillée (ex : notation).
Managers
Un membre du personnel fait pression sur un administrateur de bases de données pour que ce dernier réalise une requête non prévue dans l'interface et qui altère les données en ne tenant pas compte des contraintes d'intégrité
Managers
Un administrateur réseau modifie la configuration du SSO. Plus aucun utilisateur ne peut s'authentifier
DSI
Un administrateur profite de ses droits d'accès sur le système de messagerie pour intercepter / modifier des courriers électroniques
DSI
Les menaces humaines sur le SI
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 133
Menaces Description Acteurs pour détecter la
menace et le risque
Reniement d'actions
Un membre du personnel ayant effectué une requête malveillante sur une application de gestion renie avoir effectué une telle opération prétextant un vol de compte
Managers +DSI+ RSSI
Un membre du personnel effectue par erreur une mauvaise manipulation sur une application, puis renie l'avoir effectuée
Un utilisateur externe renie des actions effectuées via une application Internet, renie ses actions et conteste les choix effectués)
Un membre du personnel utilisant un identifiant générique (non nominatif) sur une application effectue des opérations illicites puis renie les avoir effectuées rejetant la responsabilité sur d'autres personnels utilisateurs du même compte.
Un administrateur de bases de données ayant réalisé des requêtes en direct, altère par erreur un certain nombre de tables provoquant une perte d'information
Les menaces humaines sur le SI
Erreur d’utilisation
Un membre du personnel ayant directement accès à une base de données (sans passer par l'interface), réalise une mauvaise requête provoquant une perte massive de données ;
Membre du personnel + managers
Un membre du personnel réalise une extraction de données pour un partenaire institutionnel alors que l'ensemble des données transmises n'ont pas lieu d'être communiquées.
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 134
Menaces Description Acteurs pour détecter la
menace et le risque
Récupération de supports recyclés
Un matériel réseau réformé est récupéré par le constructeur (obligation de recyclage) sans que des éléments sensibles ne soient effacés (tables de routage, mots de passe,…)
Managers et DSI +RSSI
Un matériel réformé par est donné gracieusement à une association sans effacement préalable des données dont certaines sont à caractère personnel, mais également pouvant contenir des logiciels sous licence
Divulgation Un exploitant envoie par messagerie des caractéristiques d'authentification à un mauvais destinataire
Utilisateur + DSI
Erreur d’utilisation Un membre du personnel ayant réalisé une extraction sur son poste local la transfère par mégarde à l'extérieur
Managers + utilisateurs
Dysfonctionnement du matériel
Un serveur ayant été sous dimensionné par rapport à la charge induite par les applications qu'il héberge, provoque des dysfonctionnements perturbant la qualité de service (délais de stockage, blocage de la machine obligeant à un redémarrage)
DSI+RSSI
Un système de sauvegarde dysfonctionne provoquant des erreurs dans les sauvegardes ou dans les archives.
DSI + managers
Saturation du système informatique
Un attaquant ou un groupe d'attaquants réalise un déluge de requêtes fictives sur un serveur public
RSSI +DSI
Un individu malveillant insère un site de partage de fichier "pirate" (ex : Peer-to-Peer) sur le réseau saturant une grande partie de la bande passante
Destruction de matériel ou de support
Un individu ayant pénétré dans le local technique d'un établissement, détruit de manière volontaire un serveur mettant en œuvre un certain nombre d'applications, provoquant un arrêt de certaines activités)
RSSI et Responsable sécurité physique Un individu, pénètre dans le local technique d'un établissement et détruit de manière volontaire
les équipements d'interconnexion réseau permettant à l'établissement de se connecter aux applications.
Les menaces humaines sur le SI
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 135
Menaces Description Acteurs pour
détecter la menace et le risque
Perte des moyens de télécommunication
Une action de maintenance sur un serveur DNS neutralise toutes les connexions faisant appel à cette correspondance de nom
DSI +RSSI
Altération des données
Suite à une modification de la configuration DNS d'un serveur d'application ou d'un poste utilisateur, certaines applications ne peuvent plus fonctionner correctement Suite à l'utilisation de données de production à des fins de test, des transactions réelles sont en fait produites générant une perturbation de fonctionnement interne. Un pirate exploite une faille d'un serveur Internet (ex : dépassement de buffer) pour accéder à distance aux pages du site Internet et les modifier Un pirate ayant réussi grâce à une faille sur une application Internet (ex : dépassement de buffer, injection SQL) à obtenir des privilèges sur une machine, modifie ou consulte les données d'autres applications hébergées sur le même serveur Suite à l'altération d'une bande de sauvegarde, des données devant être restaurées ne sont pas disponibles
DSI + managers
Suite à une modification accidentelle ou malveillante du serveur DNS, les applications utilisant la résolution de nom ne peuvent plus fonctionner
DSI +RSSI
Un pirate exploite une faille d'une application Internet (ex : Injection SQL) afin de lancer des requêtes à distance dans les bases de données Une action de maintenance sur un serveur DNS neutralise toutes les connexions faisant appel à cette correspondance de nom Suite à une modification de la configuration DNS d'un serveur d'application ou d'un poste utilisateur, certaines applications ne peuvent plus fonctionner correctement
Les menaces humaines sur le SI
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 136
Menaces Description Acteurs pour détecter la
menace et le risque
Atteinte à la maintenabilité du SI
X ayant mutualisé les applications sur certains de ses serveurs, voit ses applications dysfonctionner suite à l'installation d'un correctif sur l'un des produits
Managers + DSI + RSSI
La perte des éléments d'authentification sur une machine ou un élément actif du réseau par les administrateurs provoque une indisponibilité en cas de problème majeur
DSI
Vol de matériel Un individu ayant accès au site de X, subtilise le portable d'un personnel qui contient des données à caractère personnel concernant des clients ou des personnels.
Utilisateurs
Un individu ayant accès à un site de X, subtilise un serveur mis au rebut. Le serveur n'était pas purgé et été stocké temporairement dans un local non protégé
DSI + RSSI
Vol de supports ou de documents
Un individu subtilise une bande de sauvegarde contenant le code d'une application contenant des mots de passe "stockés en dur" ou des mots de passe système Un individu subtilise les bandes de sauvegardes mensuelles contenant des informations sensibles (par exemple à caractère personnel)
Récupération de supports recyclés
Un fournisseur récupère en échange standard un disque dur présenté comme défectueux et contenant des données à caractère personnel client ou collaborateurs. .
Managers + RSSI
Traitement illicite des données
Un membre du personnel ayant accès à une application de gestion des clients ou de gestion des collaborateurs, génère des fichiers contenant des données à caractère personnel et les transmet à une entité commerciale à des fins de prospection
Managers
Les menaces humaines sur le SI
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 137
Menaces Description Acteurs pour détecter la
menace et le risque
Usurpation de droits
Un individu malveillant usurpe l'identité d'un ayant droit sur une application de gestion
RSSI + DSI
Piégeage du logiciel
Un administrateur réalise des requêtes malveillantes sur des bases de données afin d'altérer les informations stockées. Un membre du personnel installe dans une application des requêtes malveillantes pouvant provoquer à retardement ou à une date précise des suppressions/modifications de données Un informaticien installe un keyloger logiciel sur un poste de travail ou sur un serveur Un développeur d'application de type Web service installe une porte dérobée afin de pouvoir accéder à distance à l'application Un personnel malveillant piège logiquement le serveur DNS pour rediriger tous les flux sur un serveur DNS pirate, qui effectue de mauvaises correspondances d'adresses.
Piégeage du matériel
Un individu installe un espion de clavier (keylogger) matériel sur le poste d'un membre du personnel ou d'un personnel de direction afin de récupérer des données sensibles (ex : authentifiant de connexion)
Les menaces humaines sur le SI
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 138
Menaces Description Acteurs pour détecter la menace
et le risque Information sans garantie d’origine
Un pirate (interne ou externe) réalise une attaque de type "man in the middle" afin d'intercepter les communications sécurisées établies sur des applications Intranet ou Internet, à des fins de divulgation (informations nominatives) ou de réutilisation (éléments d'authentification)
RSSI + DSI
Un membre du personnel reçoit par messagerie électronique une demande de renseignement, par un individu se faisant passer pour la personne concernée.
Utilisateurs + managers
Un pirate réalise une opération de phishing sur un site Internet pour capturer les informations d'authentification et les utiliser à des fins malveillantes
Utilisation illicite des matériels
Un personnel malveillant utilise son accès au réseau pour y implanter un site "pirate" disponible soit en interne soit en externe (exemple : pages cachées dans un site officiel, site de phishing)
DSI + RSSI
Ecoute passive
Un individu ayant accès aux éléments actifs du réseau, insère un dispositif d'écoute afin de récupérer des éléments sensibles. Un visiteur ayant accès à une salle de réunion disposant d'une prise réseau active, connecte son portable contenant des outils d’écoute, afin d'intercepter du trafic sensible (ex : mots de passes, messagerie interne,…) Un individu, capture les communications Wifi utilisées sur le site d'un établissement afin de récupérer des informations sensibles ou de s'octroyer une connexion au dit réseau Un individu, capture les communications entre deux sites, véhiculées par voie hertzienne, afin de récupérer des informations sensibles
Les menaces humaines sur le SI
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
139
La malveillance
L’identification des menaces, notamment sur les sources de malveillances doit être une responsabilité partagée entre la SSI / la DSI et les directions métiers Le management doit jouer un rôle déterminant au quotidien dans l’identification de ces menaces et des vulnérabilités pouvant les exploiter:
Les menaces liées au facteur humain: Les vulnérabilités • L’absence de règles • La méconnaissance des règles • Le non respect des règles
État ennemi
Concurrent
Pirate
Escroc (enjeu financier)
Stagiaire / élève
Membre de société de service
Casseur, « rebelle »
Ancien membre du personnel
Membre du personnel
« Victime innocente »
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Voie Hiérarchique
Voie Fonctionnelle
Protection des DCP
Responsables hiérarchiques
Métier
Voie Fonctionnelle
Sécurité de l’information
Voie Fonctionnelle
SSI
Direction Générale
Responsable sécurité
patrimoine informationnel
RSSI
Relais métier
CPD
Relais PDCP Relais / OSSI
Comité de pilotage, d’homologations et cellule de crise
Les missions SSI • Concevoir les référentiels PGSI,
PSSI, PTS, … • Accompagner • Sensibilisation /
Responsabilisation / Formation SSI
• Conseil et assistance • aux projets si • aux analyses de risques • à l’intégration des règles
fonctionnelles • pour la validation des risques
résiduels • pour l’arbitrage
• Gérer les demande de conseil
pour arbitrage
• Gérer les demandes de dérogations
• Contrôle / Mise en conformité
• Remontée d’incidents / Gestion d’incidents
Conclusion
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Voie Hiérarchique
Voie Fonctionnelle
Protection des DCP
Responsables hiérarchiques
Métier
Voie Fonctionnelle
Sécurité de l’information
Voie Fonctionnelle
SSI
Direction Générale
Responsable sécurité
patrimoine informationnel
RSSI
Relais métier
CPD
Relais PDCP Relais / OSSI
Comité de pilotage, d’homologations et cellule de crise
LES BONNES PRATIQUES DE MANAGEMENT POUR LA SSI
1. Faire classifier les biens informationnels
2. Identifier les menaces et les risques / traiter les risques / accepter les risques résiduels
3. Demander du conseil pour arbitrage
4. Faire remonter les incidents
5. Participer à la gestion de crise et PCA
6. Connaitre et engager sa responsabilité
7. Respecter les pratiques de management pour la SSI
8. Participer au rappel des obligations, des règles et bonnes pratiques
9. Respecter les procédures demande de dérogation
10. Contrôler
Conclusion
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Voie Hiérarchique
Voie Fonctionnelle
Protection des DCP
Responsables hiérarchiques
Métier
Voie Fonctionnelle
Sécurité de l’information
Voie Fonctionnelle
SSI
Direction Générale
Responsable sécurité
patrimoine informationnel
RSSI
Relais métier
CPD
Relais PDCP Relais / OSSI
Comité de pilotage, d’homologations et cellule de crise
Conclusion
• Les obligations, responsabilités, droits et devoirs
• La classification des informations
• Les comportements généraux
• La manipulation des documents
• La manipulation des outils réseaux / serveurs / postes
La p
rise
en c
ompt
e du
fact
eur h
umai
n da
ns la
ges
tion
du ri
sque
SSI
Organisation • Lois • Formations • Méthodes • Procédures • Directives • Contrôles • Sanctions • Technologies
Engagement de responsabilité :
• Personne morale • Directions • Chefs de services • Administrateurs • Personnels • Partenaires • Sous-traitants
Relativité Valeurs et Enjeux • Potentialités • Impacts • Relativité des règles
Conclusion La prise en compte du facteur humain dans le risque SSI nécessite l’appropriation par tous de trois idées pilier