11

Jacques FolonChargé de cours ICHEC

Professeur Invité Université de Metz

ISO 27002 Fil rouge d’INFOSAFE

Comment la mettre en place avec la nécessaire collaboration des autres

départements de l’entreprise?

2

Espérons que votre sécurité ne ressemble jamais à ceci !

3

Rappel: ISO est avant tout un recueil de bonnes

pratiques ISO 27002 est le fil rouge d’INFOSAFE Pas de proposition de solutions

technique les autres départements sont

concernés Et vous dans tout ça?

«ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou

de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de

développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations

dans l’entreprise. »

5

http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png

http://www.randco.fr/img/iso27002.jpg

http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf

10

Pour que ca marche ....

Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l'entreprise.

Ainsi, il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques.

Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela.

Enfin la troisième limite est son hétérogénéité, certains domaines sont trop approfondis, d'autres survolés.).

Les limites d’ISO 27002

PLAN D’ACTIONSPLAN D’ACTIONSPLAN D’ACTIONSPLAN D’ACTIONS

ASPECTS ASPECTS JURIDIQUESJURIDIQUES

ASPECTS ASPECTS JURIDIQUESJURIDIQUES

ASPECT ASPECT D’ORGANISATIOND’ORGANISATION

ASPECT ASPECT D’ORGANISATIOND’ORGANISATION

ASPECTS ASPECTS INFORMATIQUESINFORMATIQUES

ASPECTS ASPECTS INFORMATIQUESINFORMATIQUES

SITUATION SITUATION ACTUELLEACTUELLESITUATION SITUATION ACTUELLEACTUELLE

STRATEGIE STRATEGIE D’IMPLEMENTATIOD’IMPLEMENTATION DE LA NORMEN DE LA NORME

STRATEGIE STRATEGIE D’IMPLEMENTATIOD’IMPLEMENTATION DE LA NORMEN DE LA NORME

Résistance au changement

crainte du contrôle

comment l’imposer?

positionement du RSI

atteinte à l’activité économique

Culture d’entreprise et nationale

Besoins du business

les freins

Analyse de risque vue avec Alain HuetC’est la meilleure arme des responsables de sécurité

Un des buts d’infosafe...Et c’est un processus permanent!

Avec qui ?

http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf

8 Sécurité liée aux ressources humaines            8.1 Avant le recrutement            8.1.1 Rôles et responsabilités        8.1.2 Sélection        8.1.3 Conditions d’embauche    8.2 Pendant la durée du contrat            8.2.1 Responsabilités de la direction        8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information        8.2.3 Processus disciplinaire    8.3 Fin ou modification de contrat            8.3.1 Responsabilités en fin de contrat        8.3.2 Restitution des biens        8.3.3 Retrait des droits d’accès

20

LE DRH ET SON PC…

21

22

VOUS LA DRH

23

Les employés partagent des informations

24

LES RH DANS ISO 27002

25

26

27

28

Importance des RH

29

30

LA CULTURE D’ENTREPRISE

32

Profession

entreprise

Religion

Sexe

nationalité

34

On peut identifier la partie visible à première vue…

35

Un nouvel employé qui arrive? Cinq personnes autour de la machine à

café? Un chef qui hurle sur un employé? Une personne qui est licenciée? Un jeune qui veut tout changer?

36

37

Aspects principaux de la culture: La culture est partagée La culture est intangible La culture est confirmée par

les autres

23

Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management

Niveau et fonction de la Culture:Niveau et fonction de la Culture:

• la Culture existe à deux niveaux:la Culture existe à deux niveaux:•Le côté visible et observable Le côté visible et observable immédiatement (habillement, immédiatement (habillement, symboles, histoires, etc.)symboles, histoires, etc.)•Le côté invisible qui véhicule les Le côté invisible qui véhicule les valeurs, les croyances,etc.valeurs, les croyances,etc.•Fonctions de la cultureFonctions de la culture•Intégration Intégration •Guide de fonctionnementGuide de fonctionnement•Guide de communicationGuide de communication

Rites – cérémoniesRites – cérémonies

HistoiresHistoires

SymbolesSymboles

TabousTabous

40

Recrutement Christmas party Discours Pots d’acceuil de départ Réunions …

HISTOIRESHISTOIRES- basées sur des événements réels qui sont basées sur des événements réels qui sont racontées et partagées par les employés et racontées et partagées par les employés et racontées aux nouveaux pour les informer au racontées aux nouveaux pour les informer au sujet de l’organisationsujet de l’organisation- qui rendent vivantes les valeurs de qui rendent vivantes les valeurs de l’organisationl’organisation- qui parlent des “héros”, des légendesqui parlent des “héros”, des légendes-Le post it de 3MLe post it de 3M-Le CEO d’IBM sans badgeLe CEO d’IBM sans badge-Le CEO de quickLe CEO de quick

42

SYMBOLESSYMBOLES

43

TABOUSTABOUS

44

Horaires Relations avec les autres Dress code Office space Training …

45

Cela permet de comprendre ce qui se passe

De prendre la « bonne décision » Parfois un frein au changement Perception de vivre avec d’autres qui

partagent les mêmes valeurs Point essentiel pour le recrutement et

la formation

46

47

48

49

La

50

Organigramme Place du responsable de sécurité Rôle du responsable de sécurité dans le

cadre des RH La stratégie de recrutement et le rôle de la

sécurité Job description et sécurité Contrats Les contrats oubliés

51

52

Représente la structure de l’organisation

Montre les relations entre les collaborateurs

53

LATERAL

54

55

Fonctionnel.

COMPLEXECOMPLEXE

Hierarchique

58

59

60

OU ?

62

63

64

65

Et la sécurité dans tous ça?

Nécessaire à toutes les étapes

Implication nécessaire du responsable de sécurité

66

Confidentialité Règlement de

travail Security policy CC 81 et sa

négociation Opportunité!

67

Les consultants Les sous-

traitants Les auditeurs

externes Les comptables Le personnel

d’entretien

68

Tests divers Interviews Assessment Avantages et inconvénients Et la sécurité dans tout ça? Et les sous traitants, consultants, etc.

69

70

71

Screening des CV Avant engagement Final check Antécédents Quid médias

sociaux, Facebook, googling, etc?

Tout est-il permis?

72

Responsabilité des employés

Règles tant pendant qu’après le contrat d’emploi ou de sous-traitant

Information vie privée

Portables, gsm,…

73

8.2.1 responsabilités de la direction

8.2.2. Sensibilisation, qualification et formation

8.2.3 Processus disciplinaire

74

Procédures

Contrôle Mise à

jour Rôle du

responsable de sécurité

Sponsoring

75

Quelle procédure suivre ?

76

Vous contrôlez quoi ?

77

RÖLE DU RESPONSABLE DE SECURITE

78

79

80

81

82

Que peut-on contrôler?

Limites? Correspondance

privée CC81 Saisies sur salaire Sanctions réelles Communiquer les

sanctions?

83

Peut-on tout contrôler et tout sanctionner ?

84

Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ;

Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ;

Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit;

Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ;

Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ;

Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;

Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;

Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ;

Participer à des chaînes de lettres, quel qu’en soit le contenu ;

Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;

Participer directement ou indirectement à des envois d’emails non sollicités ;

Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;

Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;

L’énumération ci-dessus n’est pas limitative.  

Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ;

Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ;

Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit;

Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ;

Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ;

Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;

Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;

Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ;

Participer à des chaînes de lettres, quel qu’en soit le contenu ;

Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;

Participer directement ou indirectement à des envois d’emails non sollicités ;

Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;

Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;

L’énumération ci-dessus n’est pas limitative.  

85

Dans le RT Cohérentes Légales Zone grise Réelles Objectives Syndicats

86

87

Attention aux mutations internes Maintien de confidentialité Qu’est-ce qui est confidentiel?

88

89

90

91

92

93

On ne sait jamais qui sera derrière le PC

Nécessité que le responsable de sécurité soit informé

Attentions aux changements de profils

94

Pensez Aux vols de données Aux consultants Aux étudiants Aux stagiaires Aux auditeurs Etc.

QUI EST RESPONSABLE DE LA SECURITE DES INSTALLATIONS?

• Gestion des incidents

103

104

105

106

107

108

Bref vous ne pouvez pas accepter d’êtrecomplètement coincé ou…

109

Sinon votre sécurité ce sera ça…

110

111

Février 2008

Jacques FolonJacques Folon+ 32 475 98 21 15+ 32 475 98 21 15

ICHEC ebizICHEC ebizc/o I.Choquet, Rue au Bois, c/o I.Choquet, Rue au Bois,

365 A 1150 Bruxelles365 A 1150 Bruxelles

Jacques.folon@ichec.beJacques.folon@ichec.be www.ichec.bewww.ichec.be

MERCI de votre attention

112

http://www.slideshare.net/targetseo http://www.ssi-conseil.com/index.php http://www.slideshare.net/greg53/5-hiring-mistakes-vl-

presentation www.flickr.com www.explorehr.org http://www.slideshare.net/frostinel/end-user-security-

awareness-presentation-presentation http://www.slideshare.net/jorges http://www.slideshare.net/michaelmarlatt

113