1 / 19

Éducation aux cyber-risques

Éducation aux cyber-risques. Pierre-Luc REFALO Associé Icys-formation. Pierre-Luc REFALO : Associé - fondateur. Développer la culture « cyber-risques » Agenda. Une ambition politique Une démarche complexe Des expériences concrètes Des outils « on line » attractifs Questions réponses.

field
Download Presentation

Éducation aux cyber-risques

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Éducationaux cyber-risques Pierre-Luc REFALO Associé Icys-formation

  2. Pierre-Luc REFALO : Associé - fondateur Développer la culture « cyber-risques » Agenda • Une ambition politique • Une démarche complexe • Des expériences concrètes • Des outils « on line » attractifs • Questions réponses

  3. Pierre-Luc REFALO : Associé - fondateur Icys-formationTout faire pour développer la culture « cyber-risques » • Accompagner la démarche pédagogique • Pilotage des projets « éducation aux cyber-risques » • Fourniture de contenus (standards ou sur mesure) • Agir sur les comportements • Sessions de sensibilisation • Quiz de diagnostic en ligne • Modules e-learning • Renforcer la professionnalisation • Programmes intra-entreprise sur mesure • Programmes inter-entreprises avec l’Institut L. de Vinci • Certification individuelle (ProCSSI) avec l’INSECA • Améliorer les organisations • Aide au recrutement / intégration • Workshop à thème

  4. Pierre-Luc REFALO : Associé - fondateur Une ambition politiqueLignes directrices de l’OCDE – 25 juillet 2002 • « régissant la sécurité des systèmes et des réseaux d’information - Vers une culture de la sécurité » • « L’instauration d’une culture de la sécurité nécessitera à la fois une impulsion et une large participation et devrait se traduire par une priorité renforcée donnée à la planification et à la gestion de la sécurité, ainsi que par une compréhension de l’exigence de sécurité par l’ensemble des participants. » • Ces lignes directrices complètent celles relatives à : • La vie privée et les flux transfrontières de données à caractère personnel (1980) • La cryptographie (1997) • www.oecd.org

  5. Pierre-Luc REFALO : Associé - fondateur Une ambition politiqueLignes directrices de l’OCDE – 25 juillet 2002 • Les buts • « promouvoir parmi l’ensemble des parties prenantes une culture de la sécurité en tant que moyen de protection des systèmes et réseaux d’information » • « renforcer la sensibilisation aux risques pour les systèmes et réseaux d’information, aux politiques, pratiques, mesures et procédures disponibles pour faire face à ces risques, ainsi qu’à la nécessité de les adopter et de les mettre en œuvre. » • « promouvoir parmi l’ensemble des partie une plus grande confiance dans les systèmes et réseaux d’information et dans la manière dont ceux-ci sont mis à disposition et utilisés. » • créer un cadre général de référence qui aide les parties prenantes à comprendre la nature des problèmes liés à la sécurité, et à respecter les valeurs éthiques dans l’élaboration et la mise en œuvre des politiques, pratiques, mesures et procédures cohérentes pour la sécurité des systèmes et réseaux d’information. » • Promouvoir parmi l’ensemble des parties prenantes la coopération et le partage d’information … » • « Promouvoir la prise en considération de la sécurité en tant qu’objectif important parmi toutes les parties prenantes associées à l’élaboration et la mise en œuvre de normes. »

  6. Pierre-Luc REFALO : Associé - fondateur Une ambition politiqueLes aspects humains dans l’ISO 17799 • Chapitre 6 : Sécurité du personnel • Définition de poste et recrutement • La sécurité dans les responsabilités professionnelles • La vérification des personnels (y compris sous traitants) • Accords de confidentialité • Termes et conditions (aspects juridiques) • Formation des utilisateurs • aspects politiques et procédures • Réagir aux incidents et dysfonctionnements • Reporting sur les incidents • Reporting sur les vulnérabilités • Reporting sur les dysfonctionnements des systèmes • Apprentissage après incidents • Procédure disciplinaire

  7. Pierre-Luc REFALO : Associé - fondateur Une ambition politiqueLes guides du Medef (2005) • 10 documents élaborés par des experts • Des recommandations simples sur les mesures de base • Un guide spécifique sur la « sensibilisation » • Très limitatif néanmoins (ciblé sur les grandes entreprises ?)

  8. Pierre-Luc REFALO : Associé - fondateur Une ambition politiqueRapport du Député Pierre LASBORDES (Nov 2005) • Six actions structurantes pour l’État • En tête de liste : la sensibilisation / formation • Communication « grand public » • Portail Internet • Système éducatif • Information des utilisateurs

  9. Pierre-Luc REFALO : Associé - fondateur Une démarche complexeLes choix stratégiques Réglementation (Elaborer les référentiels et fixer les limites) Organisation (Définir les responsabilités Élaborer et contrôler les procédures) Education (Impliquer etconsolider la culture) Fraude informatique Vie privée Espionnage économique Fraude économique Patrimoine immatériel Catastrophes Veille (Connaître et influencer l’environnement) Economie (Maîtriser les risques réels et adapter les moyens) Architecture (Concevoir et mettre enœuvre les outils adaptés)

  10. Pierre-Luc REFALO : Associé - fondateur Une démarche complexePré-requis 1 : une politique structurée et ciblée Source : Sécuriser l’entreprise connectée Pierre-Luc REFALO Ed d’Organisation - 2002 Contrat de travail Règlement intérieur Codes de déontologie Surveillance des salariés Politique « collaborateurs » Engagement des dirigeants Principes fondateurs Accords de confidentialité Sécurité dans les projets Sécurité dans les contrats Signature électronique Données personnelles Paiements Lutte contre la fraude Signature électronique Charte d’entreprise Politique « prestataires » Politique « clients » « Guides de bonnes pratiques et de management » Contrôle d’accès logiques Sécurisation des systèmes Cloisonnement de réseaux Gestion des attaques logiques Confidentialité des informations Plans de secours Organisation opérationnelle Sécurité dans les projets Démarche d’analyse de risques Contrôle et audit Continuité des activités Gestion des incidents et crises Veille et relations extérieures Normes et référentiels Déclinaison de la politique au sein des activités, filiales, pays, plates-formes, …

  11. Pierre-Luc REFALO : Associé - fondateur Une démarche complexePré-requis 2 : Une organisation en place Source : Icys-formation / Pierre-Luc REFALO Rôles Politique Enjeux Régulateur Veilleur Educateur Auditeur Analyste Architecte Fournisseur Intégrateur Administrateur Contrôleur Urgentiste Enquêteur Structures Juridique RH Communicat° Qualité Audit Métiers Management stratégique Cellule « Politique et pilotage » Projets Métiers IT Meilleures pratiques (règles) Processus IT Management opérationnel Cellule « Mise en oeuvre » Processus Déclinaison de l’organisation type en termes de 5 fonctions clés et de correspondants avec des choix essentiels en termes d’externalisation.

  12. Pierre-Luc REFALO : Associé - fondateur Une démarche complexeDes démarches et messages à cibler par acteur • Les dirigeants • Les managers d’activité • Les sous-traitants (notamment PME) • Les prestataires • Les métiers « sensibles » • Les collaborateurs yc stagiaires, intérimaires • Les informaticiens • Mais aussi, les politiques, les médias, … • Et les citoyens, …

  13. Pierre-Luc REFALO : Associé - fondateur Des expériences concrètesLes actions types • La communication (savoir) • Ponctuelle / Opportuniste / Permanente • Goodies / guides / gadgets / bande dessinée • La sensibilisation (savoir être) • Sessions de 1 à 3h (dirigeants, managers, collaborateurs) • Modules e-learning (5mn env par module) • Quiz / Jeux (en ligne ou en séance) • La formation (savoir faire) • Professionnels / correspondants SSI • Informaticiens (chefs de projets, administrateurs) • La certification individuelle : ProCSSI

  14. Le quiz descomportements à risques Solution

  15. Plate-forme e-learning Solution

  16. Le jeu de groupe Solution

  17. Pierre-Luc REFALO : Associé - fondateur Les idées forces pour que les messages passent • Ne jamais oublier que la sécurité du SI permet d’abord à l’entreprise d’atteindre ses objectifs. • Le recentrage sur son métier de base renforce pour les dirigeants l’exigence de maîtrise des risques opérationnels, dont ceux liés au SI. • Intégrer les risques liés aux effets de la globalisation et de la dématérialisation en développant l’axe de la confiance « en ligne » avec ses clients, fournisseurs, partenaires, … • La sécurité des SI est aussi devenue une question de contenu autant que d’infrastructure. • La sécurité du SI n’est pas la surveillance par le SI : bien séparer les rôles ! • C’est par le comportement et l’implication de tous que les plus grands progrès sont accomplis. • Toujours intégrer à la démarche une dimension économique ou médiatique. • Rechercher, si possible, les potentiels d’économie des actions de sécurité ! • Le RSSI est l’expert qui fait bien son job et permet aux dirigeants de « dormir tranquille ». • Ne pas oublier d’intégrer le management de l’incertitude : se préparer au pire !

  18. Pierre-Luc REFALO : Associé - fondateur Savoir raison garder !

  19. Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com

More Related