La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Éducation aux cyber-risques Pierre-Luc REFALO Associé Icys-formation.

Présentations similaires


Présentation au sujet: "Éducation aux cyber-risques Pierre-Luc REFALO Associé Icys-formation."— Transcription de la présentation:

1 Éducation aux cyber-risques Pierre-Luc REFALO Associé Icys-formation

2 Développer la culture « cyber-risques » Agenda Une ambition politique Une démarche complexe Des expériences concrètes Des outils « on line » attractifs Questions réponses Pierre-Luc REFALO : Associé - fondateur

3 Icys-formation Tout faire pour développer la culture « cyber-risques » Accompagner la démarche pédagogique Pilotage des projets « éducation aux cyber-risques » Fourniture de contenus (standards ou sur mesure) Agir sur les comportements Sessions de sensibilisation Quiz de diagnostic en ligne Modules e-learning Renforcer la professionnalisation Programmes intra-entreprise sur mesure Programmes inter-entreprises avec lInstitut L. de Vinci Certification individuelle (ProCSSI) avec lINSECA Améliorer les organisations Aide au recrutement / intégration Workshop à thème Pierre-Luc REFALO : Associé - fondateur

4 Une ambition politique Lignes directrices de lOCDE – 25 juillet 2002 « régissant la sécurité des systèmes et des réseaux dinformation - Vers une culture de la sécurité » « Linstauration dune culture de la sécurité nécessitera à la fois une impulsion et une large participation et devrait se traduire par une priorité renforcée donnée à la planification et à la gestion de la sécurité, ainsi que par une compréhension de lexigence de sécurité par lensemble des participants. » Ces lignes directrices complètent celles relatives à : La vie privée et les flux transfrontières de données à caractère personnel (1980) La cryptographie (1997) Pierre-Luc REFALO : Associé - fondateur

5 Les buts « promouvoir parmi lensemble des parties prenantes une culture de la sécurité en tant que moyen de protection des systèmes et réseaux dinformation » « renforcer la sensibilisation aux risques pour les systèmes et réseaux dinformation, aux politiques, pratiques, mesures et procédures disponibles pour faire face à ces risques, ainsi quà la nécessité de les adopter et de les mettre en œuvre. » « promouvoir parmi lensemble des partie une plus grande confiance dans les systèmes et réseaux dinformation et dans la manière dont ceux-ci sont mis à disposition et utilisés. » créer un cadre général de référence qui aide les parties prenantes à comprendre la nature des problèmes liés à la sécurité, et à respecter les valeurs éthiques dans lélaboration et la mise en œuvre des politiques, pratiques, mesures et procédures cohérentes pour la sécurité des systèmes et réseaux dinformation. » Promouvoir parmi lensemble des parties prenantes la coopération et le partage dinformation … » « Promouvoir la prise en considération de la sécurité en tant quobjectif important parmi toutes les parties prenantes associées à lélaboration et la mise en œuvre de normes. » Une ambition politique Lignes directrices de lOCDE – 25 juillet 2002 Pierre-Luc REFALO : Associé - fondateur

6 Une ambition politique Les aspects humains dans lISO Chapitre 6 : Sécurité du personnel Définition de poste et recrutement La sécurité dans les responsabilités professionnelles La vérification des personnels (y compris sous traitants) Accords de confidentialité Termes et conditions (aspects juridiques) Formation des utilisateurs aspects politiques et procédures Réagir aux incidents et dysfonctionnements Reporting sur les incidents Reporting sur les vulnérabilités Reporting sur les dysfonctionnements des systèmes Apprentissage après incidents Procédure disciplinaire Pierre-Luc REFALO : Associé - fondateur

7 Une ambition politique Les guides du Medef (2005) 10 documents élaborés par des experts Des recommandations simples sur les mesures de base Un guide spécifique sur la « sensibilisation » Très limitatif néanmoins (ciblé sur les grandes entreprises ?) Pierre-Luc REFALO : Associé - fondateur

8 Une ambition politique Rapport du Député Pierre LASBORDES (Nov 2005) Six actions structurantes pour lÉtat En tête de liste : la sensibilisation / formation Communication « grand public » Portail Internet Système éducatif Information des utilisateurs Pierre-Luc REFALO : Associé - fondateur

9 Une démarche complexe Les choix stratégiques Réglementation (Elaborer les référentiels et fixer les limites) Espionnage économique Architecture (Concevoir et mettre en œuvre les outils adaptés) Economie (Maîtriser les risques réels et adapter les moyens) Patrimoine immatériel Fraude informatique Vie privée Organisation (Définir les responsabilités Élaborer et contrôler les procédures) Education (Impliquer et consolider la culture) Veille (Connaître et influencer lenvironnement) Catastrophes Fraude économique Pierre-Luc REFALO : Associé - fondateur

10 Organisation opérationnelle Sécurité dans les projets Démarche danalyse de risques Contrôle et audit Continuité des activités Gestion des incidents et crises Veille et relations extérieures Contrat de travail Règlement intérieur Données personnelles Paiements Lutte contre la fraude Signature électronique Accords de confidentialité Sécurité dans les projets Sécurité dans les contrats Signature électronique Contrôle daccès logiques Sécurisation des systèmes Cloisonnement de réseaux Gestion des attaques logiques Confidentialité des informations Plans de secours Normes et référentiels Politique « collaborateurs » Politique « prestataires » Politique « clients » Charte dentreprise Engagement des dirigeants Principes fondateurs « Guides de bonnes pratiques et de management » Codes de déontologie Surveillance des salariés Déclinaison de la politique au sein des activités, filiales, pays, plates-formes, … Une démarche complexe Pré-requis 1 : une politique structurée et ciblée Pierre-Luc REFALO : Associé - fondateur Source : Sécuriser lentreprise connectée Pierre-Luc REFALO Ed dOrganisation

11 Management stratégique Management opérationnel Cellule « Politique et pilotage » Cellule « Mise en oeuvre » Enjeux Processus Meilleures pratiques (règles) Régulateur Veilleur Educateur Auditeur Analyste Architecte Fournisseur Intégrateur Administrateur Contrôleur Urgentiste Enquêteur Projets Métiers IT Processus IT Juridique RH Communicat° Qualité Audit Métiers Politique Déclinaison de lorganisation type en termes de 5 fonctions clés et de correspondants avec des choix essentiels en termes dexternalisation. Rôles Structures Une démarche complexe Pré-requis 2 : Une organisation en place Pierre-Luc REFALO : Associé - fondateur Source : Icys-formation / Pierre-Luc REFALO

12 Une démarche complexe Des démarches et messages à cibler par acteur Les dirigeants Les managers dactivité Les sous-traitants (notamment PME) Les prestataires Les métiers « sensibles » Les collaborateurs yc stagiaires, intérimaires Les informaticiens Mais aussi, les politiques, les médias, … Et les citoyens, … Pierre-Luc REFALO : Associé - fondateur

13 Des expériences concrètes Les actions types La communication (savoir) Ponctuelle / Opportuniste / Permanente Goodies / guides / gadgets / bande dessinée La sensibilisation (savoir être) Sessions de 1 à 3h (dirigeants, managers, collaborateurs) Modules e-learning (5mn env par module) Quiz / Jeux (en ligne ou en séance) La formation (savoir faire) Professionnels / correspondants SSI Informaticiens (chefs de projets, administrateurs) La certification individuelle : ProCSSI Pierre-Luc REFALO : Associé - fondateur

14 Le quiz des comportements à risques Solution

15 Plate-forme e-learning Solution

16 Le jeu de groupe Solution

17 1.Ne jamais oublier que la sécurité du SI permet dabord à lentreprise datteindre ses objectifs. 2.Le recentrage sur son métier de base renforce pour les dirigeants lexigence de maîtrise des risques opérationnels, dont ceux liés au SI. 3.Intégrer les risques liés aux effets de la globalisation et de la dématérialisation en développant laxe de la confiance « en ligne » avec ses clients, fournisseurs, partenaires, … 4.La sécurité des SI est aussi devenue une question de contenu autant que dinfrastructure. 5.La sécurité du SI nest pas la surveillance par le SI : bien séparer les rôles ! 6.Cest par le comportement et limplication de tous que les plus grands progrès sont accomplis. 7.Toujours intégrer à la démarche une dimension économique ou médiatique. 8.Rechercher, si possible, les potentiels déconomie des actions de sécurité ! 9.Le RSSI est lexpert qui fait bien son job et permet aux dirigeants de « dormir tranquille ». 10.Ne pas oublier dintégrer le management de lincertitude : se préparer au pire ! Les idées forces pour que les messages passent Pierre-Luc REFALO : Associé - fondateur

18 Savoir raison garder ! Pierre-Luc REFALO : Associé - fondateur

19 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Éducation aux cyber-risques Pierre-Luc REFALO Associé Icys-formation."

Présentations similaires


Annonces Google