Éducation aux cyber-risques 3/25/2017 1:14 AM Éducation aux cyber-risques Pierre-Luc REFALO Associé Icys-formation © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Développer la culture « cyber-risques » Agenda 3/25/2017 1:14 AM Développer la culture « cyber-risques » Agenda Une ambition politique Une démarche complexe Des expériences concrètes Des outils « on line » attractifs Questions réponses Pierre-Luc REFALO : Associé - fondateur © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Icys-formation Tout faire pour développer la culture « cyber-risques » Accompagner la démarche pédagogique Pilotage des projets « éducation aux cyber-risques » Fourniture de contenus (standards ou sur mesure) Agir sur les comportements Sessions de sensibilisation Quiz de diagnostic en ligne Modules e-learning Renforcer la professionnalisation Programmes intra-entreprise sur mesure Programmes inter-entreprises avec l’Institut L. de Vinci Certification individuelle (ProCSSI) avec l’INSECA Améliorer les organisations Aide au recrutement / intégration Workshop à thème Pierre-Luc REFALO : Associé - fondateur

Une ambition politique Lignes directrices de l’OCDE – 25 juillet 2002 « régissant la sécurité des systèmes et des réseaux d’information - Vers une culture de la sécurité » « L’instauration d’une culture de la sécurité nécessitera à la fois une impulsion et une large participation et devrait se traduire par une priorité renforcée donnée à la planification et à la gestion de la sécurité, ainsi que par une compréhension de l’exigence de sécurité par l’ensemble des participants. » Ces lignes directrices complètent celles relatives à : La vie privée et les flux transfrontières de données à caractère personnel (1980) La cryptographie (1997) www.oecd.org Pierre-Luc REFALO : Associé - fondateur

Une ambition politique Lignes directrices de l’OCDE – 25 juillet 2002 Les buts « promouvoir parmi l’ensemble des parties prenantes une culture de la sécurité en tant que moyen de protection des systèmes et réseaux d’information » « renforcer la sensibilisation aux risques pour les systèmes et réseaux d’information, aux politiques, pratiques, mesures et procédures disponibles pour faire face à ces risques, ainsi qu’à la nécessité de les adopter et de les mettre en œuvre. » « promouvoir parmi l’ensemble des partie une plus grande confiance dans les systèmes et réseaux d’information et dans la manière dont ceux-ci sont mis à disposition et utilisés. » créer un cadre général de référence qui aide les parties prenantes à comprendre la nature des problèmes liés à la sécurité, et à respecter les valeurs éthiques dans l’élaboration et la mise en œuvre des politiques, pratiques, mesures et procédures cohérentes pour la sécurité des systèmes et réseaux d’information. » Promouvoir parmi l’ensemble des parties prenantes la coopération et le partage d’information … » « Promouvoir la prise en considération de la sécurité en tant qu’objectif important parmi toutes les parties prenantes associées à l’élaboration et la mise en œuvre de normes. » Pierre-Luc REFALO : Associé - fondateur

Une ambition politique Les aspects humains dans l’ISO 17799 Chapitre 6 : Sécurité du personnel Définition de poste et recrutement La sécurité dans les responsabilités professionnelles La vérification des personnels (y compris sous traitants) Accords de confidentialité Termes et conditions (aspects juridiques) Formation des utilisateurs aspects politiques et procédures Réagir aux incidents et dysfonctionnements Reporting sur les incidents Reporting sur les vulnérabilités Reporting sur les dysfonctionnements des systèmes Apprentissage après incidents Procédure disciplinaire Pierre-Luc REFALO : Associé - fondateur

Une ambition politique Les guides du Medef (2005) 10 documents élaborés par des experts Des recommandations simples sur les mesures de base Un guide spécifique sur la « sensibilisation » Très limitatif néanmoins (ciblé sur les grandes entreprises ?) Pierre-Luc REFALO : Associé - fondateur

Une ambition politique Rapport du Député Pierre LASBORDES (Nov 2005) Six actions structurantes pour l’État En tête de liste : la sensibilisation / formation Communication « grand public » Portail Internet Système éducatif Information des utilisateurs Pierre-Luc REFALO : Associé - fondateur

Une démarche complexe Les choix stratégiques Réglementation (Elaborer les référentiels et fixer les limites) Organisation (Définir les responsabilités Élaborer et contrôler les procédures) Education (Impliquer et consolider la culture) Fraude informatique Vie privée Espionnage économique Fraude économique Patrimoine immatériel Catastrophes Economie (Maîtriser les risques réels et adapter les moyens) Veille (Connaître et influencer l’environnement) Architecture (Concevoir et mettre en œuvre les outils adaptés) Pierre-Luc REFALO : Associé - fondateur

« Guides de bonnes pratiques et de management » Une démarche complexe Pré-requis 1 : une politique structurée et ciblée Source : Sécuriser l’entreprise connectée Pierre-Luc REFALO Ed d’Organisation - 2002 Codes de déontologie Surveillance des salariés Contrat de travail Règlement intérieur Politique « collaborateurs » Engagement des dirigeants Principes fondateurs Accords de confidentialité Sécurité dans les projets Sécurité dans les contrats Signature électronique Données personnelles Paiements Lutte contre la fraude Signature électronique Charte d’entreprise Politique « prestataires » Politique « clients » « Guides de bonnes pratiques et de management » Organisation opérationnelle Sécurité dans les projets Démarche d’analyse de risques Contrôle et audit Continuité des activités Gestion des incidents et crises Veille et relations extérieures Contrôle d’accès logiques Sécurisation des systèmes Cloisonnement de réseaux Gestion des attaques logiques Confidentialité des informations Plans de secours Normes et référentiels Déclinaison de la politique au sein des activités, filiales, pays, plates-formes, … Pierre-Luc REFALO : Associé - fondateur

Une démarche complexe Pré-requis 2 : Une organisation en place Source : Icys-formation / Pierre-Luc REFALO Rôles Politique Enjeux Structures Régulateur Veilleur Educateur Auditeur Analyste Architecte Fournisseur Intégrateur Administrateur Contrôleur Urgentiste Enquêteur Juridique RH Communicat° Qualité Audit Métiers Management stratégique Cellule « Politique et pilotage » Projets Métiers IT Meilleures pratiques (règles) Management opérationnel Cellule « Mise en oeuvre » Processus IT Processus Déclinaison de l’organisation type en termes de 5 fonctions clés et de correspondants avec des choix essentiels en termes d’externalisation. Pierre-Luc REFALO : Associé - fondateur

Une démarche complexe Des démarches et messages à cibler par acteur Les dirigeants Les managers d’activité Les sous-traitants (notamment PME) Les prestataires Les métiers « sensibles » Les collaborateurs yc stagiaires, intérimaires Les informaticiens Mais aussi, les politiques, les médias, … Et les citoyens, … Pierre-Luc REFALO : Associé - fondateur

Des expériences concrètes Les actions types La communication (savoir) Ponctuelle / Opportuniste / Permanente Goodies / guides / gadgets / bande dessinée La sensibilisation (savoir être) Sessions de 1 à 3h (dirigeants, managers, collaborateurs) Modules e-learning (5mn env par module) Quiz / Jeux (en ligne ou en séance) La formation (savoir faire) Professionnels / correspondants SSI Informaticiens (chefs de projets, administrateurs) La certification individuelle : ProCSSI Pierre-Luc REFALO : Associé - fondateur

Le quiz des comportements à risques 3/25/2017 1:14 AM Le quiz des comportements à risques Solution © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Plate-forme e-learning 3/25/2017 1:14 AM Plate-forme e-learning Solution © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Le jeu de groupe Solution 3/25/2017 1:14 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Les idées forces pour que les messages passent Ne jamais oublier que la sécurité du SI permet d’abord à l’entreprise d’atteindre ses objectifs. Le recentrage sur son métier de base renforce pour les dirigeants l’exigence de maîtrise des risques opérationnels, dont ceux liés au SI. Intégrer les risques liés aux effets de la globalisation et de la dématérialisation en développant l’axe de la confiance « en ligne » avec ses clients, fournisseurs, partenaires, … La sécurité des SI est aussi devenue une question de contenu autant que d’infrastructure. La sécurité du SI n’est pas la surveillance par le SI : bien séparer les rôles ! C’est par le comportement et l’implication de tous que les plus grands progrès sont accomplis. Toujours intégrer à la démarche une dimension économique ou médiatique. Rechercher, si possible, les potentiels d’économie des actions de sécurité ! Le RSSI est l’expert qui fait bien son job et permet aux dirigeants de « dormir tranquille ». Ne pas oublier d’intégrer le management de l’incertitude : se préparer au pire ! Pierre-Luc REFALO : Associé - fondateur

Savoir raison garder ! Pierre-Luc REFALO : Associé - fondateur

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 3/25/2017 1:14 AM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.