Éducationaux cyber-risques
Éducationaux cyber-risques
Pierre-Luc REFALOAssocié
Icys-formation
Développer la culture « cyber-risques » Agenda
Une ambition politiqueUne ambition politique
Une démarche complexeUne démarche complexe
Des expériences concrètesDes expériences concrètes
Des outils « on line » attractifsDes outils « on line » attractifs
Questions réponsesQuestions réponses
Pierre-Luc REFALO : Associé - fondateur
Icys-formationTout faire pour développer la culture « cyber-risques »
Accompagner la démarche pédagogiqueAccompagner la démarche pédagogiquePilotage des projets « éducation aux cyber-risques »Pilotage des projets « éducation aux cyber-risques »Fourniture de contenus (standards ou sur mesure)Fourniture de contenus (standards ou sur mesure)
Agir sur les comportementsAgir sur les comportementsSessions de sensibilisationSessions de sensibilisationQuiz de diagnostic en ligneQuiz de diagnostic en ligneModules e-learningModules e-learning
Renforcer la professionnalisationRenforcer la professionnalisationProgrammes intra-entreprise sur mesureProgrammes intra-entreprise sur mesureProgrammes inter-entreprises avec l’Institut L. de VinciProgrammes inter-entreprises avec l’Institut L. de VinciCertification individuelle (ProCSSI) avec l’INSECACertification individuelle (ProCSSI) avec l’INSECA
Améliorer les organisationsAméliorer les organisationsAide au recrutement / intégrationAide au recrutement / intégrationWorkshop à thèmeWorkshop à thème
Pierre-Luc REFALO : Associé - fondateur
Une ambition politiqueLignes directrices de l’OCDE – 25 juillet 2002
« régissant la sécurité des systèmes et des réseaux « régissant la sécurité des systèmes et des réseaux d’information - Vers une culture de la sécurité »d’information - Vers une culture de la sécurité »
« L’instauration d’une culture de la sécurité nécessitera à la fois « L’instauration d’une culture de la sécurité nécessitera à la fois une impulsion et une large participationune impulsion et une large participation et devrait se traduire par et devrait se traduire par une priorité renforcée donnée à la planification et à la gestion de la une priorité renforcée donnée à la planification et à la gestion de la sécurité, ainsi que par une sécurité, ainsi que par une compréhension de l’exigence de compréhension de l’exigence de sécuritésécurité par l’ensemble des participants. » par l’ensemble des participants. »
Ces lignes directrices complètent celles relatives à :Ces lignes directrices complètent celles relatives à :La vie privée et les flux transfrontières de données à caractère La vie privée et les flux transfrontières de données à caractère personnel (1980)personnel (1980)
La cryptographie (1997)La cryptographie (1997)
www.oecd.orgwww.oecd.org
Pierre-Luc REFALO : Associé - fondateur
Les butsLes buts« « promouvoirpromouvoir parmi l’ensemble des parties prenantes une culture de la parmi l’ensemble des parties prenantes une culture de la sécurité en tant que sécurité en tant que moyen de protection des systèmes et réseaux moyen de protection des systèmes et réseaux d’informationd’information » »
« « renforcer la sensibilisation aux risquesrenforcer la sensibilisation aux risques pour les systèmes et réseaux pour les systèmes et réseaux d’information, aux politiques, pratiques, mesures et procédures disponibles d’information, aux politiques, pratiques, mesures et procédures disponibles pour faire face à ces risques, ainsi qu’à la nécessité de les adopter et de les pour faire face à ces risques, ainsi qu’à la nécessité de les adopter et de les mettre en œuvre. »mettre en œuvre. »
« promouvoir parmi l’ensemble des partie une plus grande « promouvoir parmi l’ensemble des partie une plus grande confiance dans confiance dans les systèmes et réseaux d’informationles systèmes et réseaux d’information et dans la manière dont ceux-ci sont et dans la manière dont ceux-ci sont mis à disposition et utilisés. »mis à disposition et utilisés. »
créer un cadre général de référence qui aide les parties prenantes à créer un cadre général de référence qui aide les parties prenantes à comprendre la nature des problèmes liés à la sécuritécomprendre la nature des problèmes liés à la sécurité, et à respecter les , et à respecter les valeurs éthiques dans l’élaboration et la mise en œuvre des politiques, valeurs éthiques dans l’élaboration et la mise en œuvre des politiques, pratiques, mesures et procédures cohérentes pour la sécurité des systèmes pratiques, mesures et procédures cohérentes pour la sécurité des systèmes et réseaux d’information. »et réseaux d’information. »
PromouvoirPromouvoir parmi l’ensemble des parties prenantes parmi l’ensemble des parties prenantes la coopération et le la coopération et le partage d’informationpartage d’information … » … »
« « Promouvoir la prise en considération de la sécuritéPromouvoir la prise en considération de la sécurité en tant qu’objectif en tant qu’objectif important parmi toutes les parties prenantes associées à l’élaboration et la important parmi toutes les parties prenantes associées à l’élaboration et la mise en œuvre de normes. »mise en œuvre de normes. »
Une ambition politiqueLignes directrices de l’OCDE – 25 juillet 2002
Pierre-Luc REFALO : Associé - fondateur
Une ambition politiqueLes aspects humains dans l’ISO 17799
Chapitre 6 : Sécurité du personnelChapitre 6 : Sécurité du personnelDéfinition de poste et recrutementDéfinition de poste et recrutement
La sécurité dans les responsabilités professionnellesLa sécurité dans les responsabilités professionnelles
La vérification des personnels (y compris sous traitants)La vérification des personnels (y compris sous traitants)
Accords de confidentialitéAccords de confidentialité
Termes et conditions (aspects juridiques)Termes et conditions (aspects juridiques)
Formation des utilisateursFormation des utilisateursaspects politiques et procéduresaspects politiques et procédures
Réagir aux incidents et dysfonctionnementsRéagir aux incidents et dysfonctionnementsReporting sur les incidentsReporting sur les incidents
Reporting sur les vulnérabilitésReporting sur les vulnérabilités
Reporting sur les dysfonctionnements des systèmesReporting sur les dysfonctionnements des systèmes
Apprentissage après incidentsApprentissage après incidents
Procédure disciplinaireProcédure disciplinaire
Pierre-Luc REFALO : Associé - fondateur
Une ambition politiqueLes guides du Medef (2005)
10 documents élaborés par des experts10 documents élaborés par des experts
Des recommandations simples sur les Des recommandations simples sur les mesures de basemesures de base
Un guide spécifique sur la Un guide spécifique sur la « sensibilisation »« sensibilisation »
Très limitatif néanmoins (ciblé sur les Très limitatif néanmoins (ciblé sur les grandes entreprises ?)grandes entreprises ?)
Pierre-Luc REFALO : Associé - fondateur
Une ambition politiqueRapport du Député Pierre LASBORDES (Nov 2005)
Six actions structurantes pour l’ÉtatSix actions structurantes pour l’État
En tête de liste : la sensibilisation / En tête de liste : la sensibilisation / formationformation
Communication « grand public »Communication « grand public »
Portail InternetPortail Internet
Système éducatifSystème éducatif
Information des utilisateursInformation des utilisateurs
Pierre-Luc REFALO : Associé - fondateur
Une démarche complexeLes choix stratégiques
Réglementation(Elaborer les référentiels
et fixer les limites)
Espionnageéconomique
Architecture(Concevoir et mettre en
œuvre les outils adaptés)
Economie(Maîtriser les risques réels
et adapter les moyens)
Patrimoineimmatériel
Fraudeinformatique
Vie privée
Organisation(Définir les
responsabilitésÉlaborer et contrôler les
procédures)
Education(Impliquer et
consolider la culture)
Veille(Connaître et influencer
l’environnement)
Catastrophes
Fraudeéconomique
Pierre-Luc REFALO : Associé - fondateur
Organisation opérationnelleSécurité dans les projetsDémarche d’analyse de risquesContrôle et auditContinuité des activitésGestion des incidents et crisesVeille et relations extérieures
Contrat de travailRèglement intérieur
Données personnellesPaiementsLutte contre la fraudeSignature électronique
Accords de confidentialitéSécurité dans les projets
Sécurité dans les contratsSignature électronique
Contrôle d’accès logiquesSécurisation des systèmesCloisonnement de réseaux
Gestion des attaques logiquesConfidentialité des informations
Plans de secours
Normes et référentiels
Politique « collaborateurs »
Politique « prestataires »
Politique « clients »
Charted’entreprise
Engagementdes dirigeants
Principes fondateurs
« Guides de bonnes pratiques et de management »
Codes de déontologieSurveillance des salariés
Déclinaison de la politique au sein des activités, filiales, pays, plates-formes, …
Une démarche complexePré-requis 1 : une politique structurée et ciblée
Pierre-Luc REFALO : Associé - fondateur
Source : Sécuriser l’entreprise connectéePierre-Luc REFALOEd d’Organisation - 2002
Managementstratégique
Managementopérationnel
Cellule« Politique et pilotage »
Cellule« Mise en oeuvre »
Enjeux
Processus
Meilleures pratiques(règles)
RégulateurVeilleur
EducateurAuditeur
AnalysteArchitecte
FournisseurIntégrateur
AdministrateurContrôleur
UrgentisteEnquêteur
ProjetsMétiersIT
ProcessusIT
JuridiqueRH
Communicat°QualitéAuditMétiers
Politique
Déclinaison de l’organisation type en termes de 5 fonctions clés et de correspondants avec des choix essentiels en termes d’externalisation.
Rôles
Structures
Une démarche complexePré-requis 2 : Une organisation en place
Pierre-Luc REFALO : Associé - fondateur
Source : Icys-formation / Pierre-Luc REFALO
Une démarche complexeDes démarches et messages à cibler par acteur
Les dirigeantsLes dirigeants
Les managers d’activitéLes managers d’activité
Les sous-traitants (notamment PME)Les sous-traitants (notamment PME)
Les prestatairesLes prestataires
Les métiers « sensibles »Les métiers « sensibles »
Les collaborateurs yc stagiaires, intérimairesLes collaborateurs yc stagiaires, intérimaires
Les informaticiensLes informaticiens
Mais aussi, les politiques, les médias, …Mais aussi, les politiques, les médias, …
Et les citoyens, …Et les citoyens, …Pierre-Luc REFALO : Associé - fondateur
Des expériences concrètesLes actions types
La communication (savoir)La communication (savoir)Ponctuelle / Opportuniste / PermanentePonctuelle / Opportuniste / Permanente
Goodies / guides / gadgets / bande dessinéeGoodies / guides / gadgets / bande dessinée
La sensibilisation (savoir être)La sensibilisation (savoir être)Sessions de 1 à 3h (dirigeants, managers, collaborateurs)Sessions de 1 à 3h (dirigeants, managers, collaborateurs)
Modules e-learning (5mn env par module)Modules e-learning (5mn env par module)
Quiz / Jeux (en ligne ou en séance)Quiz / Jeux (en ligne ou en séance)
La formation (savoir faire)La formation (savoir faire)Professionnels / correspondants SSIProfessionnels / correspondants SSI
Informaticiens (chefs de projets, administrateurs)Informaticiens (chefs de projets, administrateurs)
La certification individuelle : ProCSSILa certification individuelle : ProCSSI
Pierre-Luc REFALO : Associé - fondateur
Le quiz descomportements à risques
Le quiz descomportements à risques
Solution
Plate-forme e-learning
Plate-forme e-learning
Solution
Le jeu de groupe
Le jeu de groupe
Solution
1.1. Ne jamais oublier que la sécurité du SI permet d’abord à Ne jamais oublier que la sécurité du SI permet d’abord à l’entreprise l’entreprise d’atteindre ses objectifsd’atteindre ses objectifs..
2.2. Le recentrage sur son métier de base renforce pour les Le recentrage sur son métier de base renforce pour les dirigeants l’exigence de dirigeants l’exigence de maîtrise des risques opérationnelsmaîtrise des risques opérationnels, dont , dont ceux liés au SI.ceux liés au SI.
3.3. Intégrer les risques liés aux effets de la globalisation et de la Intégrer les risques liés aux effets de la globalisation et de la dématérialisation en développant dématérialisation en développant l’axe de la confiance « en l’axe de la confiance « en ligne »ligne » avec ses clients, fournisseurs, partenaires, … avec ses clients, fournisseurs, partenaires, …
4.4. La sécurité des SI est aussi devenue La sécurité des SI est aussi devenue une question de contenuune question de contenu autant que d’infrastructure.autant que d’infrastructure.
5.5. La sécurité du SI n’est pas la La sécurité du SI n’est pas la surveillance par le SIsurveillance par le SI : bien séparer : bien séparer les rôles !les rôles !
6.6. C’est par C’est par le comportement et l’implicationle comportement et l’implication de tous que les plus de tous que les plus grands progrès sont accomplis.grands progrès sont accomplis.
7.7. Toujours intégrer à la démarche une Toujours intégrer à la démarche une dimension économique ou dimension économique ou médiatiquemédiatique..
8.8. Rechercher, si possible, les potentiels d’économie des actions Rechercher, si possible, les potentiels d’économie des actions de sécurité ! de sécurité !
9.9. Le RSSI est l’expert qui fait bien son job et Le RSSI est l’expert qui fait bien son job et permet aux dirigeants permet aux dirigeants de « dormir tranquille ».de « dormir tranquille ».
10.10. Ne pas oublier d’intégrer le management de l’incertitude : Ne pas oublier d’intégrer le management de l’incertitude : se se préparer au pire !préparer au pire !
Les idées forces pour que les messages passent
Pierre-Luc REFALO : Associé - fondateur
Savoir raison garder !
Pierre-Luc REFALO : Associé - fondateur
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
Top Related