sécurite de l'information
DESCRIPTION
Cours DE MANAGEMENT donné en premier bac à l'ICHEC EN DéCEMBRE 2010TRANSCRIPT
1
Introduction au management Premier Bac
Chapitre 6: Management de la sécurité de l’information
2
LE CONTEXTE: ET SI LA SECURITE C’ETAIT CA?
3
4
ISO est avant tout un recueil de bonnes pratiques
Pas de proposition de solutions technique
Spécifiquement en RH
Et vous dans tout ça?
5
6
Informatique ET….. LA DRH
7
Les employés partagent des informations
8
Importance des RH
9
L’histoire des six singes
11
On peut identifier la partie visible à première vue…
12
13
14
15
16
17
18
La
19
SECURITE ET STRATEGIE
20
Organigramme
Place du responsable de sécurité
Rôle du responsable de sécurité dans le cadre des RH
La stratégie de recrutement et le rôle de la sécurité
Job description et sécurité
Contrats
Les contrats oubliés
21
Ou est le DRH?
Ou est le responsable de securité?
22
23
Et la sécurité dans tous ça?
Nécessaire à toutes les étapes
Implication nécessaire du responsable de sécurité
24
Confidentialité
Règlement de travail
Security policy
CC 81 et sa négociation
Opportunité!
25
Les consultants
Les sous-traitants
Les auditeurs externes
Les comptables
Le personnel d’entretien
26
Tests divers
Interviews
Assessment
Avantages et inconvénients
Et la sécurité dans tout ça?
Et les sous traitants, consultants, etc.
27
28
Screening des CV
Avant engagement
Final check
Antécédents
Quid médias sociaux, Facebook, googling, etc?
Tout est-il permis?
29
Responsabilité des employés
Règles tant pendant qu’après le contrat d’emploi ou de sous-traitant
Information vie privée
Portables, gsm,…
30
8.2.1 responsabilités de la direction
8.2.2. Sensibilisation, qualification et formation
8.2.3 Processus disciplinaire
31
Procédures
Contrôle
Mise à jour
Rôle du responsable de sécurité
Sponsoring
32
Quelle procédure suivre ?
33
Vous contrôlez quoi ?
34
RÖLE DU RESPONSABLE DE SECURITE
35
36Peut-on tout contrôler et tout sanctionner ?
37
Que peut-on contrôler?
Limites?
Correspondance privée
CC81
Saisies sur salaire
Sanctions réelles
Communiquer les sanctions?
Contrôle des employés : Contrôle des employés : équilibreéquilibre
• Protection de la vie privée des travailleurs
ET• Les prérogatives de
l’employeur tendant à garantir le bon déroulement du
travail
Principe de finalité Principe de
proportionnalité
Les 4 finalités Les 4 finalités
1.1. Prévention de faits illégaux, de faits contraires Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autruiatteinte à la dignité d’autrui
2.2. La protection des intérêts économiques, La protection des intérêts économiques, commerciaux et financiers de l’entreprise commerciaux et financiers de l’entreprise auxquels est attaché un caractère de auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les confidentialité ainsi que la lutte contre les pratiques contrairespratiques contraires
Les 4 finalitésLes 4 finalités3 3 La sécurité et/ou le fonctionnement technique La sécurité et/ou le fonctionnement technique
de l’ensemble des systèmes informatiques en de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le réseau de l’entreprise, en ce compris le
contrôle des coûts y afférents, ainsi que la contrôle des coûts y afférents, ainsi que la protection physique des installations de protection physique des installations de
l’entreprisel’entreprise4 Le respect de bonne foi des principes et règles 4 Le respect de bonne foi des principes et règles
d’utilisation des technologies en réseau fixés d’utilisation des technologies en réseau fixés dans l’entreprisedans l’entreprise
42
Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ;
Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ;
Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit;
Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ;
Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ;
Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;
Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;
Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ;
Participer à des chaînes de lettres, quel qu’en soit le contenu ;
Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;
Participer directement ou indirectement à des envois d’emails non sollicités ;
Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;
Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;
L’énumération ci-dessus n’est pas limitative.
Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ;
Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ;
Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit;
Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ;
Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ;
Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;
Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;
Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ;
Participer à des chaînes de lettres, quel qu’en soit le contenu ;
Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;
Participer directement ou indirectement à des envois d’emails non sollicités ;
Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;
Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;
L’énumération ci-dessus n’est pas limitative.
43
Dans le RT
Cohérentes
Légales
Zone grise
Réelles
Objectives
Syndicats
44
Attention aux mutations internes
Maintien de confidentialité
Qu’est-ce qui est confidentiel?
45
46
47
48
On ne sait jamais qui sera derrière le PC
Nécessité que le responsable de sécurité soit informé
Attentions aux changements de profils
49
Pensez
Aux vols de données
Aux consultants
Aux étudiants
Aux stagiaires
Aux auditeurs
Etc.
50
51
52
53
54
Bref vous ne pouvez pas accepter d’être
complètement coincé ou…
55
Sinon votre sécurité ce sera ça…
• CONCLUSION:
• NEUF MOIS DE MISE EN OEUVRE
• NEGOCIATION SYNDICALE
• ET...
• CA MARCHE!
57
Chargé de cours Partner Auteur
Jacques Folon
http://be.linkedin.com/in/folon
www.edge-consulting.biz
Administrateur
59
http://www.slideshare.net/targetseo
http://www.ssi-conseil.com/index.php
http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation
www.flickr.com
www.explorehr.org
http://www.slideshare.net/frostinel/end-user-security-awareness-presentation-presentation
http://www.slideshare.net/jorges
http://www.slideshare.net/michaelmarlatt
60