INFOSAFE RH et sécurité de l’information un mariage de raison Jacques Folon www.folon.com Partner Edge Consulting Maître de conférences Université de Liège Professeur ICHEC Brussels Management School Professeur invité Université de Lorraine ESC Rennes School of Business
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
INFOSAFE RH et sécurité de l’information
un mariage de raison
Jacques Folon www.folon.com
Partner Edge Consulting
Maître de conférences Université de Liège Professeur ICHEC Brussels Management School Professeur invité Université de Lorraine ESC Rennes School of Business
Média sociaux: tous les liens sont sur le site www.folon.com
3
Espérons que votre sécurité
ne ressemble jamais à ceci !
EN quoi les RH concerne la sécurité de l’information?
Gestion des données personelles et la sécurité est une obligation légale !
Comment participer ensemble à la sécurité de l’information et quel référentiel utiliser?
4
«ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de
maintenir la sécurité dans leur organisation.
Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle
et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les
relations dans l’entreprise. »
6
7
! Rappel: ! ISO est avant tout un recueil de bonnes
pratiques ! ISO 27002 est le fil rouge de la sécurité de
l’information ! Pas de proposition de solutions technique ! les autres départements sont concernés ! Et les RH dans tout ça?
Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites:
1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques.2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela.3.Enfin la troisième limite est son hétérogénéité, certains domaines sont trop approfondis, d'autres survolés.).
C’est la meilleure arme des responsables de sécuritéet des responsables RH
Avez-vous une politique de sécurité ?
C’est un processus permanent!Et les RH sont impliqués
Avec qui ?
8 Sécurité liée aux ressources humaines 8.1 Avant le recrutement 8.1.1 Rôles et responsabilités 8.1.2 Sélection 8.1.3 Conditions d’embauche 8.2 Pendant la durée du contrat 8.2.1 Responsabilités de la direction 8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information 8.2.3 Processus disciplinaire 8.3 Fin ou modification de contrat 8.3.1 Responsabilités en fin de contrat 8.3.2 Restitution des biens 8.3.3 Retrait des droits d’accès
24
LE DRH ET SON PC…
25
26
27
Les employés partagent des informations
28
LES RH DANS ISO 27002
29
30
31
32
Importance des RH
33
34
LA CULTURE D’ENTREPRISE CADRE DE LA SECURITE DE L’INFORMATION
36
Profession
entreprise
Religion
Sexe
nationalité
38
On peut identifier la partie visible à première vue…
39
! Un nouvel employé qui arrive? ! Cinq personnes autour de la machine à café? ! Un chef qui hurle sur un employé? ! Une personne qui est licenciée? ! Un jeune qui veut tout changer?
40
41
! Aspects principaux de la culture: " La culture est partagée " La culture est intangible " La culture est confirmée par les
• la Culture existe à deux niveaux: •Le côté visible et observable immédiatement (habillement, symboles, histoires, etc.) •Le côté invisible qui véhicule les valeurs, les croyances,etc.
•Fonctions de la culture •Intégration •Guide de fonctionnement •Guide de communication
! Rites – cérémonies
! Histoires
! Symboles
! Tabous
44
! Recrutement ! Christmas party ! Discours ! Pots d’accueil de départ ! Réunions ! …
HISTOIRES- basées sur des événements réels qui sont racontées et partagées par les employés et racontées aux nouveaux pour les informer au sujet de l’organisation - qui rendent vivantes les valeurs de l’organisation - qui parlent des “héros”, des légendes
-Le post it de 3M -Le CEO d’IBM sans badge -Le CEO de quick
46
SYMBOLES
47
48
! Horaires ! Relations avec les autres ! Dress code ! Office space ! Training ! …
49
! Cela permet de comprendre ce qui se passe ! De prendre la « bonne décision » ! Parfois un frein au changement ! Perception de vivre avec d’autres qui partagent
les mêmes valeurs ! Point essentiel pour le recrutement et la
formation
50
51
52
53
! La
54
! Organigramme - réseaux ! Place du responsable de sécurité ! Rôle du responsable de sécurité dans le cadre
des RH ! La stratégie de recrutement et le rôle de la
sécurité ! Job description et sécurité ! Contrats ! Les contrats oubliés
55
56
! Représente la structure de l’organisation
! Montre les relations entre les collaborateurs
57
LATERAL
58
59
Fonctionnel .
COMPLEXE
Hierarchique
62
63
64
OU ?
66
Increasing pressure on “traditional” organizations