COURS DONNE A INFOSAFE EN MAI 2011 WWW.INFOSAFE.BE

1. ISO 27002
Fil rouge d’INFOSAFE
Comment la mettre en place avec la
nécessaire collaboration des autres
départements de l’entreprise?
Jacques Folon
Chargé de cours ICHEC
Professeur Invité Université de Metz 1

2. Espérons que votre sécurité
ne ressemble jamais à ceci !
2

3.  Rappel:
 ISO est avant tout un recueil de bonnes
pratiques
 ISO 27002 est le fil rouge d’INFOSAFE
 Pas de proposition de solutions technique
 les autres départements sont concernés
 Et vous dans tout ça?
3

4. «ISO 27002 c’est donner des
recommandations pour gérer la sécurité
de l’information à l’intention de ceux qui
sont responsables de définir,
d’implémenter ou de maintenir la sécurité
dans leur organisation. Elle est conçue
pour constituer une base commune de
développement de normes de sécurité
organisationnelle et de pratiques efficaces
de gestion de la sécurité, et pour
introduire un niveau de confiance dans
les relations dans l’entreprise. »

5. 5

6. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/
images/iso27002.png

8. http://www.randco.fr/img/iso27002.jpg

9. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf

10. Pour que ca marche ....
10

11. Les limites d’ISO 27002
Elle ne permet pas de définir quelles sont les mesures de
sécurité à mettre en oeuvre en fonction du contexte de
l'entreprise.
Ainsi, il est aberrant d'imaginer qu'il faille mettre en œuvre
l'ensemble des mesures de sécurité décrites dans la norme
(pour des questions de coût et de besoins réels). Il faut démarrer
la démarche par une analyse des enjeux et des risques.
Le seconde limite est liée au cycle de normes ISO, en effet une
évolution de norme prend environ 5 ans. Dans le domaine des
technologies de l'information, les menaces potentielles et les
mesures de sécurité liées évoluent plus rapidement que cela.
Enfin la troisième limite est son hétérogénéité, certains
domaines sont trop approfondis, d'autres survolés.).

12. ASPECTS
JURIDIQUES
STRATEGIE
SITUATION ASPECTS
D’IMPLEMENTATION PLAN D’ACTIONS
ACTUELLE INFORMATIQUES
DE LA NORME
ASPECT
D’ORGANISATION

13. les freins
Résistance au changement
crainte du contrôle
comment l’imposer?
positionement du RSI
atteinte à l’activité économique
Culture d’entreprise et nationale
Besoins du business

14. Analyse de risque vue avec Alain Huet
C’est la meilleure arme des responsables de sécurité

15. Un des buts d’infosafe...
Et c’est un processus permanent!

16. Avec qui ?

18. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf

19. 8 Sécurité liée aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités
8.1.2 Sélection
8.1.3 Conditions d’embauche
8.2 Pendant la durée du contrat
8.2.1 Responsabilités de la direction
8.2.2 Sensibilisation, qualification et formations en matière de
sécurité de l’information
8.2.3 Processus disciplinaire
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat
8.3.2 Restitution des biens
8.3.3 Retrait des droits d’accès

20. LE DRH ET SON PC…
20

21. 21

22. VOUS LA DRH
22

23. Les employés partagent des informations
23

24. LES RH DANS ISO 27002
24

25. 25

26. 26

27. 27

28. Importance des RH
28

29. 29

30. 30

31. LA CULTURE D’ENTREPRISE

32. Sexe
entreprise
nationalité
Profession
Religion
32

35. On peut identifier la partie visible à première
vue…
34

36.  Un nouvel employé qui arrive?
 Cinq personnes autour de la machine à café?
 Un chef qui hurle sur un employé?
 Une personne qui est licenciée?
 Un jeune qui veut tout changer?
35

37. 36

38.  Aspects principaux de la culture:
 La culture est partagée
 La culture est intangible
 La culture est confirmée par les
autres
Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management
23
37

39. Niveau et fonction de la Culture:

40. Niveau et fonction de la Culture:
• la Culture existe à deux niveaux:
•Le côté visible et observable
immédiatement (habillement,
symboles, histoires, etc.)
•Le côté invisible qui véhicule les
valeurs, les croyances,etc.
•Fonctions de la culture
•Intégration
•Guide de fonctionnement
•Guide de communication

42.  Rites – cérémonies
 Histoires
 Symboles
 Tabous

43.  Recrutement
 Christmas party
 Discours
 Pots d’acceuil de départ
 Réunions
…
40

44. HISTOIRES

45. HISTOIRES
- basées sur des événements réels qui sont
racontées et partagées par les employés et
racontées aux nouveaux pour les informer au
sujet de l’organisation
- qui rendent vivantes les valeurs de
l’organisation
- qui parlent des “héros”, des légendes
-Le post it de 3M
-Le CEO d’IBM sans badge
-Le CEO de quick

46. SYMBOLES
42

47. TABOUS
43

48.  Horaires
 Relations avec les autres
 Dress code
 Office space
 Training
…
44

49.  Cela permet de comprendre ce qui se passe
 De prendre la « bonne décision »
 Parfois un frein au changement
 Perception de vivre avec d’autres qui partagent
les mêmes valeurs
 Point essentiel pour le recrutement et la
formation
45

50. THOUGH GROWING RAPIDLY, GOOGLE STILL MAINTAINS A SMALL COMPANY FEEL. AT THE
GOOGLEPLEX HEADQUARTERS ALMOST EVERYONE EATS IN THE GOOGLE CAFÉ (KNOWN AS
"CHARLIE'S PLACE"), SITTING AT WHATEVER TABLE HAS AN OPENING AND ENJOYING CONVERSATIONS
WITH GOOGLERS FROM ALL DIFFERENT DEPARTMENTS. TOPICS RANGE FROM THE TRIVIAL TO THE
TECHNICAL, AND WHETHER THE DISCUSSION IS ABOUT COMPUTER GAMES OR ENCRYPTION OR AD
SERVING SOFTWARE, IT'S NOT SURPRISING TO HEAR SOMEONE SAY, "THAT'S A PRODUCT I HELPED
DEVELOP BEFORE I CAME TO GOOGLE."
GOOGLE'S EMPHASIS ON INNOVATION AND COMMITMENT TO COST CONTAINMENT MEANS EACH
EMPLOYEE IS A HANDS-ON CONTRIBUTOR. THERE'S LITTLE IN THE WAY OF CORPORATE HIERARCHY
AND EVERYONE WEARS SEVERAL HATS. THE INTERNATIONAL WEBMASTER WHO CREATES GOOGLE'S
HOLIDAY LOGOS SPENT A WEEK TRANSLATING THE ENTIRE SITE INTO KOREAN. THE CHIEF
OPERATIONS ENGINEER IS ALSO A LICENSED NEUROSURGEON. BECAUSE EVERYONE REALIZES THEY
ARE AN EQUALLY IMPORTANT PART OF GOOGLE'S SUCCESS, NO ONE HESITATES TO SKATE OVER A
CORPORATE OFFICER DURING ROLLER HOCKEY.
GOOGLE'S HIRING POLICY IS AGGRESSIVELY NON-DISCRIMINATORY AND FAVORS ABILITY OVER
EXPERIENCE. THE RESULT IS A STAFF THAT REFLECTS THE GLOBAL AUDIENCE THE SEARCH ENGINE
SERVES. GOOGLE HAS OFFICES AROUND THE GLOBE AND GOOGLE ENGINEERING CENTERS ARE
RECRUITING LOCAL TALENT IN LOCATIONS FROM ZURICH TO BANGALORE. DOZENS OF LANGUAGES
ARE SPOKEN BY GOOGLE STAFFERS, FROM TURKISH TO TELUGU. WHEN NOT AT WORK, GOOGLERS
PURSUE INTERESTS FROM CROSS-COUNTRY CYCLING TO WINE TASTING, FROM FLYING TO FRISBEE.
AS GOOGLE EXPANDS ITS DEVELOPMENT TEAM, IT CONTINUES TO LOOK FOR THOSE WHO SHARE AN
OBSESSIVE COMMITMENT TO CREATING SEARCH PERFECTION AND HAVING A GREAT TIME DOING IT.
46

51.  Microsoft has an innovative corporate culture and a strong product development
focus that is designed to keep us on the leading edge of the industry. We believe
that our employees are the company's most important asset. They are the source of
our creative ingenuity and success so we empower each staff member to take
initiative in solving problems, coming up with new ideas and improving the
organisation.
 Microsoft values diversity and respects each person's individuality
 When you sell software to 180 million people, in 70 countries, speaking 150
languages, you can't afford to have a singular point of view. Microsoft employs
people from many nationalities and backgrounds.
47

52. 48

53. 49

54. 50

55. 51

56.  La
52

57.  Organigramme
 Place du responsable de sécurité
 Rôle du responsable de sécurité dans le cadre
des RH
 La stratégie de recrutement et le rôle de la
sécurité
 Job description et sécurité
 Contrats
53

58. 54

59.  Représente la
structure de
l’organisation
 Montre les relations
entre les
collaborateurs
55

60. LATERAL
56

61. 57

62. Fonctionnel
.
58

63. COMPLEXE

64. Hierarchique

65. 61

66. 62

67. 63

68. OU ?

69. 65

70. 66

71. 67

72.  Et la sécurité dans
tous ça?
 Nécessaire à
toutes les étapes
 Implication
nécessaire du
responsable de
sécurité
68

73.  Confidentialité
 Règlement de
travail
 Security policy
 CC 81 et sa
négociation
 Opportunité!
69

74.  Les consultants
 Les sous-traitants
 Les auditeurs
externes
 Les comptables
 Le personnel
d’entretien
70

75.  Tests divers
 Interviews
 Assessment
 Avantages et inconvénients
 Et la sécurité dans tout ça?
 Et les sous traitants, consultants, etc.
71

76. 72

77. 73

78.  Screening des CV
 Avant engagement
 Final check
 Antécédents
 Quid médias sociaux,
Facebook, googling,
etc?
 Tout est-il permis?
74

79.  Responsabilité des
employés
 Règles tant pendant
qu’après le contrat
d’emploi ou de sous-
traitant
 Information vie privée
 Portables, gsm,…
75

80.  8.2.1
responsabilités de
la direction
 8.2.2.
Sensibilisation,
qualification et
formation
 8.2.3 Processus
disciplinaire
76

81.  Procédures
 Contrôle
 Mise à jour
 Rôle du
responsable
de sécurité
 Sponsoring
77

82. Quelle procédure suivre ?
78

83. Vous contrôlez quoi ?
79

84. RÖLE DU RESPONSABLE DE SECURITE
80

85. 81

86. 82

87. 83

88. 84

89.  Que peut-on contrôler?
 Limites?
 Correspondance privée
 CC81
 Saisies sur salaire
 Sanctions réelles
 Communiquer les
sanctions?
85

90. Peut-on tout contrôler et tout sanctionner ?
86

91.  Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres
travailleurs, aux sociétés liées ou à ses procédés techniques ;
 Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de
XXX ;
 Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle,
sans avoir obtenu toutes les autorisations des ayants droit;
 Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département
informatique ;
 Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites
concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle
qu’elle soit, avec ou sans possibilité de gain ;
 Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non
professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message
professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;
 Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste,
révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute
réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;
 Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile,
discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou
législation belge ;
 Participer à des chaînes de lettres, quel qu’en soit le contenu ;
 Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;
 Participer directement ou indirectement à des envois d’emails non sollicités ;
 Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;
 Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la
législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir
accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à
87

92.  Dans le RT
 Cohérentes
 Légales
 Zone grise
 Réelles
 Objectives
 Syndicats
88

93. 89

94.  Attention aux mutations internes
 Maintien de confidentialité
 Qu’est-ce qui est confidentiel?
90

95. 91

96. 92

97. 93

98. 94

99. 95

100.  On ne sait jamais qui sera derrière le PC
 Nécessité que le responsable de sécurité soit
informé
 Attentions aux changements de profils
96

101.  Pensez
 Aux vols de données
 Aux consultants
 Aux étudiants
 Aux stagiaires
 Aux auditeurs
 Etc.
97

102. QUI EST RESPONSABLE DE LA SECURITE DES
INSTALLATIONS?

107. • Gestion des incidents

110. 106

111. 107

112. 108

113. 109

114. 110

115. Bref vous ne pouvez pas
accepter d’être
complètement coincé
ou…
111

116. Sinon votre sécurité ce sera ça…
112

117. 113

118. MERCI
de votre attention
Jacques Folon
+ 32 475 98 21 15
ICHEC ebiz
c/o I.Choquet, Rue au Bois,
365 A 1150 Bruxelles
Jacques.folon@ichec.be
www.ichec-ebiz.be
www.ichec.be
Février 2008 www.jitm.be
114

119.  http://www.slideshare.net/targetseo
 http://www.ssi-conseil.com/index.php
 http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation
 www.flickr.com
 www.explorehr.org
 http://www.slideshare.net/frostinel/end-user-security-awareness-
presentation-presentation
 http://www.slideshare.net/jorges
 http://www.slideshare.net/michaelmarlatt
115

120. 116