RH et sécurité de l’information un mariage de raison

JacquesFolonwww.folon.com

PartnerEdgeConsulting

MaîtredeconférencesUniversitédeLiègeProfesseurICHECBrusselsManagementSchoolProfesseurinvitéUniversitéSaintLouis(BXL)UniversitédeLorraineESCRennesSchoolofBusiness

La présentation sera dans la rubrique « cours »

WWW.FOLON.COM

Jacques Folon

email: jacques.folon@ichec.be

Site: www.folon.com

GSM: +32 475 98 21 15

Média sociaux: tous les liens sont sur le site www.folon.com

3

Espérons que votre sécurité

ne ressemble jamais à ceci !

EN quoi les RH concerne la sécurité de l’information?

Gestion des données personelles et la sécurité est une obligation légale !

Comment participer ensemble à la sécurité de l’information et quel référentiel utiliser?

4

«ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de

maintenir la sécurité dans leur organisation.

Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle

et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les

relations dans l’entreprise. »

6

7

! Rappel: ! ISO est avant tout un recueil de bonnes

pratiques ! ISO 27002 est le fil rouge de la sécurité de

l’information ! Pas de proposition de solutions technique ! les autres départements sont concernés ! Et les RH dans tout ça?

http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png

http://www.randco.fr/img/iso27002.jpg

11

Pour que ca marche ....

Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites:

1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques.2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela.3.Enfin la troisième limite est son hétérogénéité, certains domaines sont trop approfondis, d'autres survolés.).

Les limites d’ISO 27002

PLAN D’ACTIONS

ASPECTS JURIDIQUES

ASPECT D’ORGANISATION

ASPECTS INFORMATIQUES

SITUATION ACTUELLE

STRATEGIE D’IMPLEMENTATION

DE LA NORME

Comme dans infosafe

Lemonde n’apaschangé!

les freins

Résistance au changement

crainte du contrôle

Imposer ou convaincre ?

Positionnement du RSI et des RH

atteinte à l’activité économique

Culture d’entreprise et nationale

Besoins du business

les freins

http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf

De quelle information parlons nous?

Les normes

http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf

Analyse de risque

C’est la meilleure arme des responsables de sécuritéet des responsables RH

Avez-vous une politique de sécurité ?

C’est un processus permanent!Et les RH sont impliqués

Avec qui ?

8 Sécurité liée aux ressources humaines            8.1 Avant le recrutement            8.1.1 Rôles et responsabilités        8.1.2 Sélection         8.1.3 Conditions d’embauche     8.2 Pendant la durée du contrat            8.2.1 Responsabilités de la direction         8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information         8.2.3 Processus disciplinaire     8.3 Fin ou modification de contrat            8.3.1 Responsabilités en fin de contrat        8.3.2 Restitution des biens        8.3.3 Retrait des droits d’accès

24

LE DRH ET SON PC…

25

26

27

Les employés partagent des informations

28

LES RH DANS ISO 27002

29

30

31

32

Importance des RH

33

34

LA CULTURE D’ENTREPRISE CADRE DE LA SECURITE DE L’INFORMATION

36

Profession

entreprise

Religion

Sexe

nationalité

38

On peut identifier la partie visible à première vue…

39

! Un nouvel employé qui arrive? ! Cinq personnes autour de la machine à café? ! Un chef qui hurle sur un employé? ! Une personne qui est licenciée? ! Un jeune qui veut tout changer?

40

41

! Aspects principaux de la culture: " La culture est partagée " La culture est intangible " La culture est confirmée par les

autres

23Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management

Niveau et fonction de la Culture:

• la Culture existe à deux niveaux: •Le côté visible et observable immédiatement (habillement, symboles, histoires, etc.) •Le côté invisible qui véhicule les valeurs, les croyances,etc.

•Fonctions de la culture •Intégration •Guide de fonctionnement •Guide de communication

! Rites – cérémonies

! Histoires

! Symboles

! Tabous

44

! Recrutement ! Christmas party ! Discours ! Pots d’accueil de départ ! Réunions ! …

HISTOIRES- basées sur des événements réels qui sont racontées et partagées par les employés et racontées aux nouveaux pour les informer au sujet de l’organisation - qui rendent vivantes les valeurs de l’organisation - qui parlent des “héros”, des légendes

-Le post it de 3M -Le CEO d’IBM sans badge -Le CEO de quick

46

SYMBOLES

47

48

! Horaires ! Relations avec les autres ! Dress code ! Office space ! Training ! …

49

! Cela permet de comprendre ce qui se passe ! De prendre la « bonne décision » ! Parfois un frein au changement ! Perception de vivre avec d’autres qui partagent

les mêmes valeurs ! Point essentiel pour le recrutement et la

formation

50

51

52

53

! La

54

! Organigramme - réseaux ! Place du responsable de sécurité ! Rôle du responsable de sécurité dans le cadre

des RH ! La stratégie de recrutement et le rôle de la

sécurité ! Job description et sécurité ! Contrats ! Les contrats oubliés

55

56

! Représente la structure de l’organisation

! Montre les relations entre les collaborateurs

57

LATERAL

58

59

Fonctionnel .

COMPLEXE

Hierarchique

62

63

64

OU ?

66

Increasing pressure on “traditional” organizations

Formal organization/ Hierarchy

Social organization / Heterarchy

SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14

”No one knows everything, everyone knows something,

all knowledge resides in humanity.” networks

Adapted from Lévy 1997

SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14

Network structure affects performance

68Barsh et al 2007, McK Quarterly

SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14

69

FIN DU « OUI CHEF » ?

Fin de la gestion par commande et contrôle ?

SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart

71

72

73

Question

Comment intégreriez-vous la sécurité dans le cadre du recrutement?

74

75

! Et la sécurité dans tous ça?

! Nécessaire à toutes les étapes

! Implication nécessaire du responsable de sécurité

76

! Confidentialité ! Règlement de

travail ! Security policy ! Contrôle des

collaborateurs vs. Confiance

! Opportunité!

77

! Les consultants ! Les sous-traitants ! Les auditeurs

externes ! Les comptables ! Le personnel

d’entretien

78

! Tests divers ! Interviews ! Assessment ! Avantages et inconvénients ! Et la sécurité dans tout ça? ! Et les sous traitants, consultants, etc.

79

80

81

! Screening des CV ! Avant engagement ! Final check ! Antécédents ! Quid médias sociaux,

Facebook, googling, etc?

! Tout est-il permis?

82

! Responsabilité des employés

! Règles tant pendant qu’après le contrat d’emploi ou de sous-traitant

! Information vie privée ! Portables, gsm,…

83

! 8.2.1 responsabilités de la direction

! 8.2.2. Sensibilisation, qualification et formation

! 8.2.3 Processus disciplinaire

84

! Procédures ! Contrôle ! Mise à jour ! Rôle du

responsable de sécurité

! Sponsoring

85http://fr.slideshare.net/distancexpert/management-et-modernisation-de-lorganisation-du-travail?qid=27ac248f-ec95-4f01-ac7b-918b47a7d011&v=default&b=&from_search=35

86

87

Quelle procédure suivre ?

88

Vous contrôlez quoi ?

89

RÖLE DU RESPONSABLE DE SECURITE

90

91

92

93

94

! Que peut-on contrôler? ! Limites? ! Correspondance privée ! Saisies sur salaire ! Sanctions réelles ! Communiquer les

sanctions?

95Peut-on tout contrôler et tout sanctionner ?

96

! Prévues avant ! Cohérentes ! Légales ! Zone grise ! Réelles ! Objectives ! Syndicats

97

98

! Attention aux mutations internes ! Maintien de confidentialité ! Qu’est-ce qui est confidentiel?

99

100

101

102

! On ne sait jamais qui sera derrière le PC ! Nécessité que le responsable de sécurité soit

informé ! Attentions aux changements de profils

103

! Pensez " Aux vols de données " Aux consultants " Aux étudiants " Aux stagiaires " Aux auditeurs " Etc.

QUI EST RESPONSABLE DE LA SECURITE DES INSTALLATIONS?

• Gestion des incidents

112

113

114

115

116

Bref vous ne pouvez pas accepter d’être complètement coincé ou…

117

Sinon votre sécurité ce sera ça…

118

119

! http://www.slideshare.net/targetseo ! http://www.ssi-conseil.com/index.php ! http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation ! www.flickr.com ! www.explorehr.org ! http://www.slideshare.net/frostinel/end-user-security-awareness-

presentation-presentation ! http://www.slideshare.net/jorges ! http://www.slideshare.net/michaelmarlatt

120