Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ulg cours 5 rh et securite

270 views

Published on

cours donné en décembre 2018 à l'ULG

Published in: Education
  • Be the first to comment

Ulg cours 5 rh et securite

  1. 1. Sécurité de l’information : un projet RH Jacques Folon Partner & GDPR Director Edge Consulting Maître de conférences Université de Liège Professeur ICHEC Brussels Management School Professeur invité Université Saint Louis (BXL) Université de Lorraine ESC Rennes School of Business
  2. 2. !2 Espérons que votre sécurité ne ressemble jamais à ceci !
  3. 3. EN quoi les RH concerne la sécurité de l’information? Gestion des données personelles et la sécurité est une obligation légale ! Comment participer ensemble à la sécurité de l’information et quel référentiel utiliser? !3
  4. 4. «ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans l’entreprise. »
  5. 5. !5
  6. 6. !6 ! Rappel: ! ISO est avant tout un recueil de bonnes pratiques ! ISO 27002 est le fil rouge de la sécurité de l’information ! Pas de proposition de solutions technique ! les autres départements sont concernés ! Et les RH dans tout ça?
  7. 7. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png
  8. 8. !8 Pour que ca marche ....
  9. 9. Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites: 1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques. 2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela. 3.Enfin la troisième limite est son hétérogénéité, certains domaines sont trop approfondis, d'autres survolés.). Les limites d’ISO 27002
  10. 10. PLAN D’ACTIONS ASPECTS JURIDIQUES ASPECT D’ORGANISATION ASPECTS INFORMATIQUES SITUATION ACTUELLE STRATEGIE D’IMPLEMENTATION DE LA NORME
  11. 11. Le monde n’a pas changé! les freins
  12. 12. Résistance au changement crainte du contrôle Imposer ou convaincre ? Positionnement du RSI et des RH atteinte à l’activité économique Culture d’entreprise et nationale Besoins du business les freins
  13. 13. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf De quelle information parlons nous?
  14. 14. Les normes
  15. 15. Analyse de risque C’est la meilleure arme des responsables de sécurité et des responsables RH
  16. 16. Avez-vous une politique de sécurité ? C’est un processus permanent! Et les RH sont impliqués
  17. 17. Avec qui ?
  18. 18. 8 Sécurité liée aux ressources humaines        
     8.1 Avant le recrutement    
         8.1.1 Rôles et responsabilités
         8.1.2 Sélection
         8.1.3 Conditions d’embauche
     8.2 Pendant la durée du contrat    
         8.2.1 Responsabilités de la direction
         8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information
         8.2.3 Processus disciplinaire
     8.3 Fin ou modification de contrat    
         8.3.1 Responsabilités en fin de contrat
         8.3.2 Restitution des biens
         8.3.3 Retrait des droits d’accès
  19. 19. !22 LE DRH ET SON PC…
  20. 20. !23
  21. 21. !24
  22. 22. !25 Les employés partagent des informations
  23. 23. !26
  24. 24. !27
  25. 25. !28
  26. 26. !29 Importance des RH
  27. 27. !30
  28. 28. !31
  29. 29. LA CULTURE D’ENTREPRISE CADRE DE LA SECURITE DE L’INFORMATION
  30. 30. !33 Profession entreprise Religion Sexe nationalité
  31. 31. !35 On peut identifier la partie visible à première vue…
  32. 32. !36 ! Un nouvel employé qui arrive? ! Cinq personnes autour de la machine à café? ! Un chef qui hurle sur un employé? ! Une personne qui est licenciée? ! Un jeune qui veut tout changer?
  33. 33. !37
  34. 34. !38 ! Aspects principaux de la culture: " La culture est partagée " La culture est intangible " La culture est confirmée par les autres 23 Source http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management
  35. 35. Niveau et fonction de la Culture: • la Culture existe à deux niveaux: •Le côté visible et observable immédiatement (habillement, symboles, histoires, etc.) •Le côté invisible qui véhicule les valeurs, les croyances,etc. •Fonctions de la culture •Intégration •Guide de fonctionnement •Guide de communication
  36. 36. ! Rites – cérémonies ! Histoires ! Symboles ! Tabous
  37. 37. !41 ! Recrutement ! Christmas party ! Discours ! Pots d’accueil de départ ! Réunions ! …
  38. 38. HISTOIRES - basées sur des événements réels qui sont racontées et partagées par les employés et racontées aux nouveaux pour les informer au sujet de l’organisation - qui rendent vivantes les valeurs de l’organisation - qui parlent des “héros”, des légendes -Le post it de 3M -Le CEO d’IBM sans badge -Le CEO de quick
  39. 39. !43 SYMBOLES
  40. 40. !44
  41. 41. !45 ! Horaires ! Relations avec les autres ! Dress code ! Office space ! Training ! …
  42. 42. !46 ! Cela permet de comprendre ce qui se passe ! De prendre la « bonne décision » ! Parfois un frein au changement ! Perception de vivre avec d’autres qui partagent les mêmes valeurs ! Point essentiel pour le recrutement et la formation
  43. 43. !47
  44. 44. !48
  45. 45. !49 ! La
  46. 46. !50 ! Organigramme - réseaux ! Place du responsable de sécurité ! Rôle du responsable de sécurité dans le cadre des RH ! La stratégie de recrutement et le rôle de la sécurité ! Job description et sécurité ! Contrats ! Les contrats oubliés
  47. 47. !51
  48. 48. !52 ! Représente la structure de l’organisation ! Montre les relations entre les collaborateurs
  49. 49. !53 LATERAL
  50. 50. !54
  51. 51. !55 Fonctionnel .
  52. 52. COMPLEXE
  53. 53. Hierarchique
  54. 54. !58
  55. 55. !59
  56. 56. !60
  57. 57. 61 Increasing pressure on 
 “traditional” organizations Formal organization/ Hierarchy Social organization / Heterarchy SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization? from_search=14
  58. 58. !62
  59. 59. ”No one knows everything, everyone knows something, all knowledge resides in humanity.”
networks Adapted from Lévy 1997 SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14
  60. 60. Network structure affects performance 64 Barsh et al 2007, McK Quarterly SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14
  61. 61. OU ?
  62. 62. 66 FIN DU « OUI CHEF » ?
  63. 63. Fin de la gestion par commande et contrôle ? SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart

  64. 64. 68
  65. 65. !69
  66. 66. !70
  67. 67. Question Comment intégreriez-vous la sécurité dans le cadre du recrutement? !71
  68. 68. !72 ! Et la sécurité dans tous ça? ! Nécessaire à toutes les étapes ! Implication nécessaire du responsable de sécurité
  69. 69. !73 ! Confidentialité ! Règlement de travail ! Security policy ! Contrôle des collaborateurs vs. Confiance ! Opportunité!
  70. 70. !74 ! Les consultants ! Les sous-traitants ! Les auditeurs externes ! Les comptables ! Le personnel d’entretien
  71. 71. !75 ! Tests divers ! Interviews ! Assessment ! Avantages et inconvénients ! Et la sécurité dans tout ça? ! Et les sous traitants, consultants, etc.
  72. 72. !76 ! Screening des CV ! Avant engagement ! Final check ! Antécédents ! Quid médias sociaux, Facebook, googling, etc? ! Tout est-il permis?
  73. 73. !77 ! Responsabilité des employés ! Règles tant pendant qu’après le contrat d’emploi ou de sous- traitant ! Information vie privée ! Portables, gsm,…
  74. 74. !78 ! 8.2.1 responsabilités de la direction ! 8.2.2. Sensibilisation, qualification et formation ! 8.2.3 Processus disciplinaire
  75. 75. !79 ! Procédures ! Contrôle ! Mise à jour ! Rôle du responsable de sécurité ! Sponsoring
  76. 76. 80 http://fr.slideshare.net/distancexpert/management-et-modernisation-de-lorganisation-du-travail?qid=27ac248f-ec95-4f01-ac7b-918b47a7d011&v=default&b=&from_search=35
  77. 77. 81
  78. 78. !82 Quelle procédure suivre ?
  79. 79. !83 Vous contrôlez quoi ?
  80. 80. !84 RÖLE DU RESPONSABLE DE SECURITE
  81. 81. !85
  82. 82. !86
  83. 83. !87
  84. 84. !88 ! Que peut-on contrôler? ! Limites? ! Correspondance privée ! Saisies sur salaire ! Sanctions réelles ! Communiquer les sanctions?
  85. 85. CONTRÔLE DES COLLABORATEURS 161SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top-american/
  86. 86. Ce que les patrons croient…
  87. 87. En réalité…
  88. 88. L’EMPLOYEUR PEUT-IL TOUT CONTROLER?
  89. 89. Qui contrôle quoi ?
  90. 90. VERS LE CONTREMAÎTRE ELECTRONIQUE • Contremaître traditionnel – personne repérable, chargée de contrôler la présence physique du salarié sur son lieu de travail et en activité • Contremaître électronique – chargé du contrôle de la présence physique : les badges d ’accès… • Contremaître virtuel – pouvant tout exploiter sans que le salarié en ait toujours conscience et permettant, le cas échéant, d ’établir le profil professionnel, intellectuel ou psychologique du salarié ➨ Développement des chartes d ’information
  91. 91. Les emails • Ne sont pas de la correspondance • L’employeur peut-il les ouvrir ? • Emails privés avec adresse privée ? • Emails privés avec adresse professionnelle • Emails professionnels ? 169
  92. 92. Usage d’internet • Que faire en cas d’usage illégal ? • Crime (pédophilie, etc.) ? • Racisme, sexisme? • Atteinte au droit d’auteur? • Criminalité informatique? • Espionnage industriel ? • Concurrence déloyale ? 170
  93. 93. 97http://www.suez-environnement.fr/wp-content/uploads/2013/03/Guide_Medias_Sociaux_SUEZENVIRONNEMENT-FR.pdf
  94. 94. 98http://www.suez-environnement.fr/wp-content/uploads/2013/03/Guide_Medias_Sociaux_SUEZENVIRONNEMENT-FR.pdf
  95. 95. Le code de conduite • Activités illégales • Activités non autorisées durant certaines heures • Activités autorisées avec modération • Différence entre code de conduite et application de la CC 81 171
  96. 96. Contrôle des employés : équilibre • Protection de la vie privée des travailleurs ET • Les prérogatives de l’employeur tendant à garantir le bon déroulement du travail
  97. 97. CC 81 " Principe de finalité " Principe de proportionnalité " Information " Individualisation " sanctions
 

  98. 98. Les 4 finalités 1. Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui 2. La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires 3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise 4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise
  99. 99. TELEWORKING
  100. 100. Le contrôle du télétravailleur 177 http://fr.slideshare.net/olivier/identitenumeriquereseauxsociaux
  101. 101. 178 http://www.privacycommission.be/fr/brochure-information-cybersurveillance
  102. 102. !106 ! Prévues avant ! Cohérentes ! Légales ! Zone grise ! Réelles ! Objectives ! Syndicats
  103. 103. !107
  104. 104. !108 ! Attention aux mutations internes ! Maintien de confidentialité ! Qu’est-ce qui est confidentiel?
  105. 105. !109
  106. 106. !110
  107. 107. !111
  108. 108. !112 ! On ne sait jamais qui sera derrière le PC ! Nécessité que le responsable de sécurité soit informé ! Attentions aux changements de profils
  109. 109. !113 ! Pensez " Aux vols de données " Aux consultants " Aux étudiants " Aux stagiaires " Aux auditeurs " Etc.
  110. 110. QUI EST RESPONSABLE DE LA SECURITE DES INSTALLATIONS?
  111. 111. • Gestion des incidents
  112. 112. !122
  113. 113. !123
  114. 114. !124
  115. 115. !125
  116. 116. !126
  117. 117. !127 Bref vous ne pouvez pas accepter d’être complètement coincé ou…
  118. 118. !128 Sinon votre sécurité ce sera ça…
  119. 119. !129
  120. 120. !130 ! http://www.slideshare.net/targetseo ! http://www.ssi-conseil.com/index.php ! http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation ! www.flickr.com ! www.explorehr.org ! http://www.slideshare.net/frostinel/end-user-security-awareness- presentation-presentation ! http://www.slideshare.net/jorges ! http://www.slideshare.net/michaelmarlatt
  121. 121. !131

×