Éducation aux cyber-risques Pierre-Luc REFALO Associé Icys-formation.

Éducationaux cyber-risques

Éducationaux cyber-risques

Pierre-Luc REFALOAssocié

Icys-formation

Développer la culture « cyber-risques » Agenda

Une ambition politiqueUne ambition politique

Une démarche complexeUne démarche complexe

Des expériences concrètesDes expériences concrètes

Des outils « on line » attractifsDes outils « on line » attractifs

Questions réponsesQuestions réponses

Pierre-Luc REFALO : Associé - fondateur

Icys-formationTout faire pour développer la culture « cyber-risques »

Accompagner la démarche pédagogiqueAccompagner la démarche pédagogiquePilotage des projets « éducation aux cyber-risques »Pilotage des projets « éducation aux cyber-risques »Fourniture de contenus (standards ou sur mesure)Fourniture de contenus (standards ou sur mesure)

Agir sur les comportementsAgir sur les comportementsSessions de sensibilisationSessions de sensibilisationQuiz de diagnostic en ligneQuiz de diagnostic en ligneModules e-learningModules e-learning

Renforcer la professionnalisationRenforcer la professionnalisationProgrammes intra-entreprise sur mesureProgrammes intra-entreprise sur mesureProgrammes inter-entreprises avec l’Institut L. de VinciProgrammes inter-entreprises avec l’Institut L. de VinciCertification individuelle (ProCSSI) avec l’INSECACertification individuelle (ProCSSI) avec l’INSECA

Améliorer les organisationsAméliorer les organisationsAide au recrutement / intégrationAide au recrutement / intégrationWorkshop à thèmeWorkshop à thème


Une ambition politiqueLignes directrices de l’OCDE – 25 juillet 2002

« régissant la sécurité des systèmes et des réseaux « régissant la sécurité des systèmes et des réseaux d’information - Vers une culture de la sécurité »d’information - Vers une culture de la sécurité »

« L’instauration d’une culture de la sécurité nécessitera à la fois « L’instauration d’une culture de la sécurité nécessitera à la fois une impulsion et une large participationune impulsion et une large participation et devrait se traduire par et devrait se traduire par une priorité renforcée donnée à la planification et à la gestion de la une priorité renforcée donnée à la planification et à la gestion de la sécurité, ainsi que par une sécurité, ainsi que par une compréhension de l’exigence de compréhension de l’exigence de sécuritésécurité par l’ensemble des participants. » par l’ensemble des participants. »

Ces lignes directrices complètent celles relatives à :Ces lignes directrices complètent celles relatives à :La vie privée et les flux transfrontières de données à caractère La vie privée et les flux transfrontières de données à caractère personnel (1980)personnel (1980)

La cryptographie (1997)La cryptographie (1997)

www.oecd.orgwww.oecd.org


http://www.oecd.org/

Les butsLes buts« « promouvoirpromouvoir parmi l’ensemble des parties prenantes une culture de la parmi l’ensemble des parties prenantes une culture de la sécurité en tant que sécurité en tant que moyen de protection des systèmes et réseaux moyen de protection des systèmes et réseaux d’informationd’information » »

« « renforcer la sensibilisation aux risquesrenforcer la sensibilisation aux risques pour les systèmes et réseaux pour les systèmes et réseaux d’information, aux politiques, pratiques, mesures et procédures disponibles d’information, aux politiques, pratiques, mesures et procédures disponibles pour faire face à ces risques, ainsi qu’à la nécessité de les adopter et de les pour faire face à ces risques, ainsi qu’à la nécessité de les adopter et de les mettre en œuvre. »mettre en œuvre. »

« promouvoir parmi l’ensemble des partie une plus grande « promouvoir parmi l’ensemble des partie une plus grande confiance dans confiance dans les systèmes et réseaux d’informationles systèmes et réseaux d’information et dans la manière dont ceux-ci sont et dans la manière dont ceux-ci sont mis à disposition et utilisés. »mis à disposition et utilisés. »

créer un cadre général de référence qui aide les parties prenantes à créer un cadre général de référence qui aide les parties prenantes à comprendre la nature des problèmes liés à la sécuritécomprendre la nature des problèmes liés à la sécurité, et à respecter les , et à respecter les valeurs éthiques dans l’élaboration et la mise en œuvre des politiques, valeurs éthiques dans l’élaboration et la mise en œuvre des politiques, pratiques, mesures et procédures cohérentes pour la sécurité des systèmes pratiques, mesures et procédures cohérentes pour la sécurité des systèmes et réseaux d’information. »et réseaux d’information. »

PromouvoirPromouvoir parmi l’ensemble des parties prenantes parmi l’ensemble des parties prenantes la coopération et le la coopération et le partage d’informationpartage d’information … » … »

« « Promouvoir la prise en considération de la sécuritéPromouvoir la prise en considération de la sécurité en tant qu’objectif en tant qu’objectif important parmi toutes les parties prenantes associées à l’élaboration et la important parmi toutes les parties prenantes associées à l’élaboration et la mise en œuvre de normes. »mise en œuvre de normes. »

Une ambition politiqueLignes directrices de l’OCDE – 25 juillet 2002


Une ambition politiqueLes aspects humains dans l’ISO 17799

Chapitre 6 : Sécurité du personnelChapitre 6 : Sécurité du personnelDéfinition de poste et recrutementDéfinition de poste et recrutement

La sécurité dans les responsabilités professionnellesLa sécurité dans les responsabilités professionnelles

La vérification des personnels (y compris sous traitants)La vérification des personnels (y compris sous traitants)

Accords de confidentialitéAccords de confidentialité

Termes et conditions (aspects juridiques)Termes et conditions (aspects juridiques)

Formation des utilisateursFormation des utilisateursaspects politiques et procéduresaspects politiques et procédures

Réagir aux incidents et dysfonctionnementsRéagir aux incidents et dysfonctionnementsReporting sur les incidentsReporting sur les incidents

Reporting sur les vulnérabilitésReporting sur les vulnérabilités

Reporting sur les dysfonctionnements des systèmesReporting sur les dysfonctionnements des systèmes

Apprentissage après incidentsApprentissage après incidents

Procédure disciplinaireProcédure disciplinaire


Une ambition politiqueLes guides du Medef (2005)

10 documents élaborés par des experts10 documents élaborés par des experts

Des recommandations simples sur les Des recommandations simples sur les mesures de basemesures de base

Un guide spécifique sur la Un guide spécifique sur la « sensibilisation »« sensibilisation »

Très limitatif néanmoins (ciblé sur les Très limitatif néanmoins (ciblé sur les grandes entreprises ?)grandes entreprises ?)


Une ambition politiqueRapport du Député Pierre LASBORDES (Nov 2005)

Six actions structurantes pour l’ÉtatSix actions structurantes pour l’État

En tête de liste : la sensibilisation / En tête de liste : la sensibilisation / formationformation

Communication « grand public »Communication « grand public »

Portail InternetPortail Internet

Système éducatifSystème éducatif

Information des utilisateursInformation des utilisateurs


Une démarche complexeLes choix stratégiques

Réglementation(Elaborer les référentiels

et fixer les limites)

Espionnageéconomique

Architecture(Concevoir et mettre en

œuvre les outils adaptés)

Economie(Maîtriser les risques réels

et adapter les moyens)

Patrimoineimmatériel

Fraudeinformatique

Vie privée

Organisation(Définir les

responsabilitésÉlaborer et contrôler les

procédures)

Education(Impliquer et

consolider la culture)

Veille(Connaître et influencer

l’environnement)

Catastrophes

Fraudeéconomique


Organisation opérationnelleSécurité dans les projetsDémarche d’analyse de risquesContrôle et auditContinuité des activitésGestion des incidents et crisesVeille et relations extérieures

Contrat de travailRèglement intérieur

Données personnellesPaiementsLutte contre la fraudeSignature électronique

Accords de confidentialitéSécurité dans les projets

Sécurité dans les contratsSignature électronique

Contrôle d’accès logiquesSécurisation des systèmesCloisonnement de réseaux

Gestion des attaques logiquesConfidentialité des informations

Plans de secours

Normes et référentiels

Politique « collaborateurs »

Politique « prestataires »

Politique « clients »

Charted’entreprise

Engagementdes dirigeants

Principes fondateurs

« Guides de bonnes pratiques et de management »

Codes de déontologieSurveillance des salariés

Déclinaison de la politique au sein des activités, filiales, pays, plates-formes, …

Une démarche complexePré-requis 1 : une politique structurée et ciblée


Source : Sécuriser l’entreprise connectéePierre-Luc REFALOEd d’Organisation - 2002

Managementstratégique

Managementopérationnel

Cellule« Politique et pilotage »

Cellule« Mise en oeuvre »

Enjeux

Processus

Meilleures pratiques(règles)

RégulateurVeilleur

EducateurAuditeur

AnalysteArchitecte

FournisseurIntégrateur

AdministrateurContrôleur

UrgentisteEnquêteur

ProjetsMétiersIT

ProcessusIT

JuridiqueRH

Communicat°QualitéAuditMétiers

Politique

Déclinaison de l’organisation type en termes de 5 fonctions clés et de correspondants avec des choix essentiels en termes d’externalisation.

Rôles

Structures

Une démarche complexePré-requis 2 : Une organisation en place


Source : Icys-formation / Pierre-Luc REFALO

Une démarche complexeDes démarches et messages à cibler par acteur

Les dirigeantsLes dirigeants

Les managers d’activitéLes managers d’activité

Les sous-traitants (notamment PME)Les sous-traitants (notamment PME)

Les prestatairesLes prestataires

Les métiers « sensibles »Les métiers « sensibles »

Les collaborateurs yc stagiaires, intérimairesLes collaborateurs yc stagiaires, intérimaires

Les informaticiensLes informaticiens

Mais aussi, les politiques, les médias, …Mais aussi, les politiques, les médias, …

Et les citoyens, …Et les citoyens, …Pierre-Luc REFALO : Associé - fondateur

Des expériences concrètesLes actions types

La communication (savoir)La communication (savoir)Ponctuelle / Opportuniste / PermanentePonctuelle / Opportuniste / Permanente

Goodies / guides / gadgets / bande dessinéeGoodies / guides / gadgets / bande dessinée

La sensibilisation (savoir être)La sensibilisation (savoir être)Sessions de 1 à 3h (dirigeants, managers, collaborateurs)Sessions de 1 à 3h (dirigeants, managers, collaborateurs)

Modules e-learning (5mn env par module)Modules e-learning (5mn env par module)

Quiz / Jeux (en ligne ou en séance)Quiz / Jeux (en ligne ou en séance)

La formation (savoir faire)La formation (savoir faire)Professionnels / correspondants SSIProfessionnels / correspondants SSI

Informaticiens (chefs de projets, administrateurs)Informaticiens (chefs de projets, administrateurs)

La certification individuelle : ProCSSILa certification individuelle : ProCSSI


Le quiz descomportements à risques

Le quiz descomportements à risques

Solution

Plate-forme e-learning

Plate-forme e-learning

Solution

Le jeu de groupe

Le jeu de groupe

Solution

1.1. Ne jamais oublier que la sécurité du SI permet d’abord à Ne jamais oublier que la sécurité du SI permet d’abord à l’entreprise l’entreprise d’atteindre ses objectifsd’atteindre ses objectifs..

2.2. Le recentrage sur son métier de base renforce pour les Le recentrage sur son métier de base renforce pour les dirigeants l’exigence de dirigeants l’exigence de maîtrise des risques opérationnelsmaîtrise des risques opérationnels, dont , dont ceux liés au SI.ceux liés au SI.

3.3. Intégrer les risques liés aux effets de la globalisation et de la Intégrer les risques liés aux effets de la globalisation et de la dématérialisation en développant dématérialisation en développant l’axe de la confiance « en l’axe de la confiance « en ligne »ligne » avec ses clients, fournisseurs, partenaires, … avec ses clients, fournisseurs, partenaires, …

4.4. La sécurité des SI est aussi devenue La sécurité des SI est aussi devenue une question de contenuune question de contenu autant que d’infrastructure.autant que d’infrastructure.

5.5. La sécurité du SI n’est pas la La sécurité du SI n’est pas la surveillance par le SIsurveillance par le SI : bien séparer : bien séparer les rôles !les rôles !

6.6. C’est par C’est par le comportement et l’implicationle comportement et l’implication de tous que les plus de tous que les plus grands progrès sont accomplis.grands progrès sont accomplis.

7.7. Toujours intégrer à la démarche une Toujours intégrer à la démarche une dimension économique ou dimension économique ou médiatiquemédiatique..

8.8. Rechercher, si possible, les potentiels d’économie des actions Rechercher, si possible, les potentiels d’économie des actions de sécurité ! de sécurité !

9.9. Le RSSI est l’expert qui fait bien son job et Le RSSI est l’expert qui fait bien son job et permet aux dirigeants permet aux dirigeants de « dormir tranquille ».de « dormir tranquille ».

10.10. Ne pas oublier d’intégrer le management de l’incertitude : Ne pas oublier d’intégrer le management de l’incertitude : se se préparer au pire !préparer au pire !

Les idées forces pour que les messages passent


Savoir raison garder !


Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com

http://www.microsoft.com/france

Éducation aux cyber-risques Pierre-Luc REFALO Associé Icys-formation.

Documents

Transcript of Éducation aux cyber-risques Pierre-Luc REFALO Associé Icys-formation.