Cours donné à l'ULG en mars 2015

1. Master en Gestion des RH - Master 2
Techniques appliquées de GRH
GRH et Nouvelles technologies
RH et informatique: un mariage de raison
Jacques
Folon
www.folon.com
Partner
Edge
Consulting
Maître
de
conférences
Université
de
Liège
Professeur
ICHEC
Brussels
Management
School
Professeur
invité
Université
de
Lorraine
ESC
Rennes
School
of
Business

2. La présentation sera dans la rubrique
« cours »
WWW.FOLON.COM
Jacques Folon
email: jacques.folon@ichec.be
Site: www.folon.com
GSM: +32 475 98 21 15
Média sociaux: tous les liens
sont sur le site www.folon.com

3. 3
Espérons que votre sécurité
ne ressemble jamais à ceci !

4. EN quoi la sécurité de l’information
concerne-t-elle les RH ?
Vous gérez des données personelles et la
sécurité est une obligation légale !
Comment pouvez-vous participer à la
sécurité de l’information et quel référentiel
pouvez-vous utiliser?
4

5. «ISO 27002 c’est donner des recommandations pour
gérer la sécurité de l’information à l’intention de ceux
qui sont responsables de définir, d’implémenter ou de
maintenir la sécurité dans leur organisation.
Elle est conçue pour constituer une base commune de
développement de normes de sécurité organisationnelle
et de pratiques efficaces de gestion de la sécurité, et
pour introduire un niveau de confiance dans les
relations dans l’entreprise. »

6. 6

7. 7
! Rappel:
! ISO est avant tout un recueil de bonnes
pratiques
! ISO 27002 est le fil rouge de la sécurité de
l’information
! Pas de proposition de solutions technique
! les autres départements sont concernés
! Et les RH dans tout ça?

8. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png

10. http://www.randco.fr/img/iso27002.jpg

11. 11
Pour que ca marche ....

12. Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre
en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites:
1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de
sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il
faut démarrer la démarche par une analyse des enjeux et des risques.
2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de
norme prend environ 5 ans. Dans le domaine des technologies de l'information,
les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement
que cela.
3.Enfin la troisième limite est son hétérogénéité, certains domaines sont trop
approfondis, d'autres survolés.).
Les limites d’ISO 27002

13. PLAN D’ACTIONS
ASPECTS
JURIDIQUES
ASPECT
D’ORGANISATION
ASPECTS
INFORMATIQUES
SITUATION
ACTUELLE
STRATEGIE
D’IMPLEMENTATION
DE LA NORME

14. Résistance au changement
crainte du contrôle
comment l’imposer?
positionnement du RSI et des RH
atteinte à l’activité économique
Culture d’entreprise et nationale
Besoins du business
les freins

15. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf

17. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf

18. Analyse de risque
C’est la meilleure arme des responsables de sécurité
et des responsables RH

19. Avez-vous une politique de sécurité ?
C’est un processus permanent!
Et les RH sont impliqués

20. Avec qui ?

22. 8 Sécurité liée aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités
8.1.2 Sélection
8.1.3 Conditions d’embauche
8.2 Pendant la durée du contrat
8.2.1 Responsabilités de la direction
8.2.2 Sensibilisation, qualification et formations en
matière de sécurité de l’information
8.2.3 Processus disciplinaire
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat
8.3.2 Restitution des biens
8.3.3 Retrait des droits d’accès

23. 23
LE DRH ET SON PC…

24. 24

25. 25

26. 26
Les employés partagent des informations

27. 27
LES RH DANS ISO 27002

28. 28

29. 29

30. 30

31. 31
Importance des RH

32. 32

33. 33

34. LA CULTURE D’ENTREPRISE
CADRE DE LA SECURITE DE L’INFORMATION

35. 35
Profession
entreprise
Religion
Sexe
nationalité

37. 37
On peut identifier la partie visible à première
vue…

38. 38
! Un nouvel employé qui arrive?
! Cinq personnes autour de la machine à café?
! Un chef qui hurle sur un employé?
! Une personne qui est licenciée?
! Un jeune qui veut tout changer?

39. 39

40. 40
! Aspects principaux de la culture:
" La culture est partagée
" La culture est intangible
" La culture est confirmée par les
autres
23
Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management

41. Niveau et fonction de la Culture:
• la Culture existe à deux niveaux:
•Le côté visible et observable
immédiatement (habillement,
symboles, histoires, etc.)
•Le côté invisible qui véhicule les
valeurs, les croyances,etc.
•Fonctions de la culture
•Intégration
•Guide de fonctionnement
•Guide de communication

42. ! Rites – cérémonies
! Histoires
! Symboles
! Tabous

43. 43
! Recrutement
! Christmas party
! Discours
! Pots d’accueil de départ
! Réunions
! …

44. HISTOIRES
- basées sur des événements réels qui sont
racontées et partagées par les employés et
racontées aux nouveaux pour les informer au
sujet de l’organisation
- qui rendent vivantes les valeurs de
l’organisation
- qui parlent des “héros”, des légendes
-Le post it de 3M
-Le CEO d’IBM sans badge
-Le CEO de quick

45. 45
SYMBOLES

46. 46

47. 47
! Horaires
! Relations avec les autres
! Dress code
! Office space
! Training
! …

48. 48
! Cela permet de comprendre ce qui se passe
! De prendre la « bonne décision »
! Parfois un frein au changement
! Perception de vivre avec d’autres qui partagent
les mêmes valeurs
! Point essentiel pour le recrutement et la
formation

49. 49

50. 50

51. 51

52. 52
! La

53. 53
! Organigramme - réseaux
! Place du responsable de sécurité
! Rôle du responsable de sécurité dans le cadre
des RH
! La stratégie de recrutement et le rôle de la
sécurité
! Job description et sécurité
! Contrats
! Les contrats oubliés

54. 54

55. 55
! Représente la
structure de
l’organisation
! Montre les relations
entre les
collaborateurs

56. 56
LATERAL

57. 57

58. 58
Fonctionnel
.

59. COMPLEXE

60. Hierarchique

61. 61

62. 62

63. 63

64. OU ?

65. 65
Increasing pressure on
“traditional” organizations
Formal organization/
Hierarchy
Social organization /
Heterarchy
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?
from_search=14

66. 66

67. 67

68. Question
Comment intégreriez-vous la sécurité dans
le cadre du recrutement?
68

69. 69
! Et la sécurité dans
tous ça?
! Nécessaire à
toutes les étapes
! Implication
nécessaire du
responsable de
sécurité

70. 70
! Confidentialité
! Règlement de
travail
! Security policy
! Contrôle des
collaborateurs vs.
Confiance
! Opportunité!

71. 71
! Les consultants
! Les sous-traitants
! Les auditeurs
externes
! Les comptables
! Le personnel
d’entretien

72. 72
! Tests divers
! Interviews
! Assessment
! Avantages et inconvénients
! Et la sécurité dans tout ça?
! Et les sous traitants, consultants, etc.

73. 73

74. 74

75. 75
! Screening des CV
! Avant engagement
! Final check
! Antécédents
! Quid médias sociaux,
Facebook, googling,
etc?
! Tout est-il permis?

76. 76
! Responsabilité des
employés
! Règles tant pendant
qu’après le contrat
d’emploi ou de sous-
traitant
! Information vie privée
! Portables, gsm,…

77. 77
! 8.2.1
responsabilités de
la direction
! 8.2.2.
Sensibilisation,
qualification et
formation
! 8.2.3 Processus
disciplinaire

78. 78
! Procédures
! Contrôle
! Mise à jour
! Rôle du
responsable
de sécurité
! Sponsoring

79. 79
http://fr.slideshare.net/distancexpert/management-et-modernisation-de-lorganisation-du-travail?qid=27ac248f-ec95-4f01-ac7b-918b47a7d011&v=default&b=&from_search=35

80. 80

81. 81
Quelle procédure suivre ?

82. 82
Vous contrôlez quoi ?

83. 83
RÖLE DU RESPONSABLE DE SECURITE

84. 84

85. 85

86. 86

87. 87

88. 88
! Que peut-on contrôler?
! Limites?
! Correspondance privée
! Saisies sur salaire
! Sanctions réelles
! Communiquer les
sanctions?

89. 89
Peut-on tout contrôler et tout sanctionner ?

90. 90
! Prévues avant
! Cohérentes
! Légales
! Zone grise
! Réelles
! Objectives
! Syndicats

91. 91

92. 92
! Attention aux mutations internes
! Maintien de confidentialité
! Qu’est-ce qui est confidentiel?

93. 93

94. 94

95. 95

96. 96
! On ne sait jamais qui sera derrière le PC
! Nécessité que le responsable de sécurité soit
informé
! Attentions aux changements de profils

97. 97
! Pensez
" Aux vols de données
" Aux consultants
" Aux étudiants
" Aux stagiaires
" Aux auditeurs
" Etc.

98. QUI EST RESPONSABLE DE LA SECURITE DES
INSTALLATIONS?

103. • Gestion des incidents

106. 106

107. 107

108. 108

109. 109

110. 110
Bref vous ne pouvez pas
accepter d’être
complètement coincé
ou…

111. 111
Sinon votre sécurité ce sera ça…

112. 112

113. 113
! http://www.slideshare.net/targetseo
! http://www.ssi-conseil.com/index.php
! http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation
! www.flickr.com
! www.explorehr.org
! http://www.slideshare.net/frostinel/end-user-security-awareness-
presentation-presentation
! http://www.slideshare.net/jorges
! http://www.slideshare.net/michaelmarlatt

114. 114