143
La prise en compte du facteur humain dans la gestion du risque SSI Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com La prise en compte du facteur humain dans la gestion du risque SSI Animateur : Denis VIROLE Vos contacts M. Denis VIROLE Directeur des services +33 (0) 6 11 37 47 56 [email protected] M. Thierry RAMARD Dirigeant +33 (0) 6 17 64 90 72 [email protected] Mme Caroline MEOT Responsable Commerciale +33 (0) 6 46 13 00 19 [email protected] 1

le facteur humain dans la gestion de risque SSI · La prise en compte du facteur humain dans la gestion ... La relation avec la cellule de gestion ... La mise œuvre d’une voie

Embed Size (px)

Citation preview

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

La prise en compte du facteur humain dans la gestion du risque SSI

Animateur : Denis VIROLE

Vos contacts M. Denis VIROLE Directeur des services

+33 (0) 6 11 37 47 56 [email protected]

M. Thierry RAMARD Dirigeant

+33 (0) 6 17 64 90 72 [email protected]

Mme Caroline MEOT Responsable Commerciale

+33 (0) 6 46 13 00 19 [email protected]

1

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

2

Préambule..…………………………………………………………………………………………… p.003

Le facteur humain dans le risque SSI………….………………………………………....…….. p.016

Les acteurs…………………………………………………………………………………..………. p.017

La direction générale…………………………….……………………………………….……….... p.018

Les managers intermédiaires……………..………………………………………………………. p.051

Les directions métiers et les chefs de projet MOA…………..…………………………….….. p.058

Les administrateurs fonctionnels………………………………………………………………….. p.064

Les utilisateurs…………………………………………………………………………………………. p.065

Les collaborateurs à forte valeur ajoutée……………………………………………………………. p.096

Les assistantes de direction…………………………………………………………………….......... p.097

Les acheteurs……………………………………………………………………………………………. p.099

Les DSI…………………………………………………………………………………………………. p.104

Les chefs de projet informatique……………………………………………………………………… p.105

Les exploitants et administrateurs techniques………………………………………………………. p.106

Le responsable protection de l’information…………………………………………………………… p.115

Le RSSI…………………………………………………………………………………………………………. p.116

Le CPD…………………………………………………………………………………………………………… p.118

Les sous traitants…………………………………………………………………………………………….... p.120

Les syndicats……………………………………………………………..………….………………………… p.122

La malveillance………………………………………………………………………………………………… p.127

Conclusion………………………………………………………………………………………………………... p.140

S O

M

M

A

I

R

E

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Préambule Il est important de lever quelques préjugés « classiques » ou difficultés

La première cause de risque n’est pas la malveillance, mais bien l’erreur, essentiellement causée par la méconnaissance des règles. Les malveillants utilisent toujours la méconnaissance des victimes

La sécurité ne peut se résumer à la protection de la confidentialité.

La sécurité est avant tout liée au facteur humain et non pas à la technologie, (certes nécessaire).

Les équipes techniques et sécurité ne peuvent définir les besoins, elles ne peuvent que définir les moyens et les règles.

Le contrôle n’est pas obligatoirement une atteinte aux libertés fondamentales.

La sécurité n’est pas une science exacte, elle est donc susceptible d’être arbitrée.

Le but de la sensibilisation / responsabilisation n’est pas d’éliminer tous les risques, mais de les identifier et de rappeler les règles et bonnes pratiques pour les limiter.

La sécurité

La responsabilisation n’est pas mise en avant pour cacher un déficit de moyens technologiques.

Ce n’est pas la sécurité qui empêche de travailler, c’est l’absence de sécurité qui empêche de travailler

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

SSI

Organisation

Prise en compte du facteur Humain

Contrôler

Adjonction d'outils

Sécurisée à la conception

Homologué

Disponibilité Mobilité/ télé

service

Référentiels Responsabilisation

Optimiser

Best Practices

Non sécurisé

Non sensibilisé

Suivi et managé

Approches Enjeux, Métiers

Niveau de sensibilisation

Niveau de sécurité SI

0 1 2 5 3 4

0 1 2 5 3 4

Préambule La prise en compte du facteur humain devrait être un préalable à la protection de l’information et la sécurité des systèmes associés

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les best practices « auto justifiées » ont constitué une solution d’urgence à plusieurs effets: • Amélioration du niveau de sécurité de l’architecture technique

• Augmentation du niveau de maturité technique des Maîtrises d’Œuvre

• Sous estimation du facteur humain / absence de procédures organisationnelles / opérationnelles

• « Désintéressement » de l’approche par les Maîtrises d’Ouvrage entrainant

• Un manque d’expression des Besoins et,

• Paradoxalement les premiers questionnements sur la légitimité de cette approche

• Sous estimation des problèmes d’arbitrage

• Règles vécues souvent comme des contraintes, quand elles sont formalisées

• Sous estimation de la formalisation des référentiels, procédures, directives, et méthodes

• Grande difficulté de suivi, contrôle, audit et validation des risques résiduels

• Difficulté d’affectation de budgets / coûts sécurité aux Maîtrises d’Ouvrage

5

1 2

Préambule La prise en compte du facteur humain devrait être un préalable à la protection de l’information et la sécurité des systèmes associés

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

La réussite nécessite de manière incontournable la prise en compte du facteur humain / règles et procédures opérationnelles SSI

1. Mise en place d’une organisation assurant la séparation des devoirs et responsabilités, MOA, MOE ,SSI 2. Formation des correspondants et acteurs SSI dans la DSI voire dans les métiers

3. Responsabilisation des utilisateurs / acteurs

• Sensibilisation, formation des informaticiens • Responsabilisation des Directions • Responsabilisation des Managers • Responsabilisation des Chefs de Projet représentant MOA et MOE • Formation des Administrateurs • Formation des Auditeurs • Formation des Acheteurs • Sensibilisation des Responsables éditoriaux • Sensibilisation des secrétaires de Direction • …/…

4. L’écriture de référentiels SSI et procédures

5. Gestion de l’arbitrage et des dérogations éventuelles

6. Homologation des risques résiduels

7. Contrôle et suivi

1 2 5 3 4

Préambule La prise en compte du facteur humain devrait être un préalable à la protection de l’information et la sécurité des systèmes associés

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

L’inquiétude sur la sécurité liberticide portant atteinte aux droits fondamentaux

La croyance en la toute puissance de la technique

La perception de la sécurité comme une défiance

La connaissance « intuitive » des risques et des bonnes pratiques

La tentation de « l’auto dérogation »

La sous estimation des impacts

La perception de la sécurité comme un frein à la performance

La perception de la sécurité comme une inhibition à la création

La réaction « naturelle et spontanée» est plutôt dans le non ; il faut donc transformer l’énergie fondeuse du non en énergie du oui ; le « responsabilisateur » doit expliquer la pourquoi du comment pour acquérir un engagement de responsabilité

Préambule Les préjugés sont souvent culturels

Le devoir de remontée d’incidents est ressenti comme culpabilisant, voire comme « délationiste »

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

La nécessité de l’arbitrage est souvent sous estimée

--

La formalisation de règles « relatives » à des besoins classifiés est souvent ressentie comme « trop théorique » et manquant de pragmatisme

La volonté systématique de pragmatisme conduit parfois à ne croire qu’en une approche basée sur des solutions « produits » et à sous estimer risque lié au facteur humain

Préambule Les préjugés sont souvent culturels

Le « commitment » est sans doute plus simple à obtenir, La mise en application de règles de bon sens au préalable permet de mieux faire accepter l’approche des règles relatives aux besoins classifiés Attention de ne pas oublier l’arbitrage et la gestion de dérogations L’application des règle suppose néanmoins leur diffusion auprès des collaborateurs

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

L’acceptation positive et disciplinée des règles suppose aussi leurs réelles applications

Les grandes disparités entre la capacité de l’employeur et des collaborateurs à respecter les obligations légales et celles des citoyens dans la sphère privée.

Apporter trop de «confiance » à une approche produits

Le devoir de remontée d’incidents n’est pas toujours facile à faire appliquer ?

Préambule Les préjugés sont souvent culturels

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Entité

Défense

La mise en place dune voie fonctionnelle complémentaire et parallèle à la voie hiérarchique est difficile à mettre en place

La sous estimation des dispositifs d’arbitrage

La volonté de maitrise rend difficile la mise en œuvre de la séparation des pouvoirs, devoirs, prescripteurs et réalisateurs

La tentation de changer de niveaux de sensibilité en fonction du niveau de contraintes La mauvaise compréhension des niveaux et périmètres

L’évidence de l’extrême sensibilité du contexte ne doit pas cacher le besoin de sensibilisation

La responsabilisation pour tous n’est pas toujours facile à faire accepter

Préambule Les difficultés sont souvent liées à un secteur d’activités

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Il y a souvent des ressentis différents entre les prérogatives et responsabilités de la Sûreté de fonctionnement et la Sécurité Système d’Information

Les maîtrises d’ouvrage n’expriment pas leur besoins spécifiques ils s’appuient sur l’expertise technique des directions techniques

La même rigueur d’application dans les campagnes de responsabilisation doit être mise en œuvre sur le système d’information d’entreprise que sur le système d’information industriel

Les spécificités du système industriel ne simplifient pas la compréhension des règles

Préambule Les difficultés sont souvent liées à un secteur d’activités

Les besoins importants en Disponibilité, Confidentialité , Intégrité et Traçabilité prennent souvent le pas sur les obligations légales

Les best practices doivent être mises en œuvre avant tout projet de classification

Entité

Industrielle

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Le levier des obligations légales est souvent utile pour faire comprendre ou rappeler les obligations de moyens, voire de résultats et les responsabilités des personnes légales, la tentation devient alors de ne plus prendre que cette valeur en compte

Le poste de travail n’est pas toujours maîtrisable

La connexion de zones sous des responsabilités différentes ne facilite pas la mise en œuvre de la sécurité

La sensibilisation devra démontrer que le respect des règles protège toutes les valeurs de l’Entité.

Le nombre de règles fait peur

Une très nette tendance à sous estimer les besoins

La tentation de ne raisonner que « informatique »

La sécurité est parfois ressentie comme une défiance

Préambule Les difficultés sont souvent liées à un secteur d’activités

Entité Publique Administration

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

L’augmentation de la cyber criminalité ne doit pas masquer les autres risques

La communication n’est pas suffisante elle suppose au préalable une explication des règles

Les exigences techniques doivent être complétées d’exigences comportementales

Encore une fois la Maitrise d’ouvrage à tendance à sous estimer la prise en compte amont de la sécurité

Les Directions techniques n’acceptent pas toujours certaines demandes ou besoins des métiers pourtant structurants

La relation avec la cellule de gestion du risque opérationnel n’est pas toujours fluide, la SSI étant souvent identifiée comme technique

La responsabilisation pour tous n’est pas facile à faire accepter et est souvent remplacée par de la communication

A contrario certains métier ressentent la sécurité comme inhibant

Préambule Les difficultés sont souvent liées à un secteur d’activités

Banques

Assurances

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les besoins de confidentialité et de disponibilité ne doivent pas faire oublier les autres besoins

La communication n’est pas suffisante elle suppose au préalable une explication des règles

Les exigences techniques doivent être complétées d’exigences comportementales

La mise œuvre d’une voie fonctionnelle de sécurité est rare

Il n’est pas exceptionnel de rencontrer des dispositifs de « court circuit » mis en « toute bonne foi »

Un des principaux pièges est de ne se concentrer que sur la technique et d’oublier le facteur humain

La problématique des dérogations doit être anticipée et arbitrée par une structure collégiale clairement identifiée

Préambule Les difficultés sont souvent liées à un secteur d’activités

Centre

Hospitalier

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

La nécessité de l’engagement de responsabilité est souvent ressentie comme une méthode pour cacher un déficit de moyens

La communication n’est pas suffisante elle suppose au préalable une explication des règles

Les experts à très forte valeur ajoutée pressentent souvent les exigences comme des freins à la recherche

Encore une fois l’auto dérogation est courante

Il n’est pas exceptionnel de rencontrer des dispositifs de « court circuit » mis en « toute bonne foi »

Un des principaux pièges est de ne se concentrer que sur la technique et d’oublier le facteur humain

La problématique des dérogations doit être anticipée et arbitrée par une structure collégiale clairement identifiée

Préambule Les difficultés sont souvent liées à un secteur d’activités

Centre de

recherches

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les menaces

L’erreur

La malveillance • Cupide

concurrentielle • Cupide

mafieuse • Ludique • Idéologique • Stratégique

La manipulation

L’accident

Les vulnérabilités

L’ignorance L’inconscience L’absence de règles L’absence de responsabilisation L’absence de contrôle

Vulnérabilités de

conception

Vulnérabilités de réalisation

Vulnérabilités d’utilisation

Vulnérabilités

comportementales

Le facteur humain dans la gestion du risque SSI Modélisation de premier niveau

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les acteurs

La Direction Générale / le Secrétaire Général

Les Managers intermédiaires

Les Directions métiers / Les Chefs de projet représentants de la Maitrise d’ouvrage

Les Administrateurs fonctionnels

Les Utilisateurs

Les Collaborateurs à forte valeur ajoutée

Les Assistantes de direction

Les Acheteurs

Les DSI

Les chefs de projet informatique

Les exploitants informatiques et administrateurs techniques

Le Responsable protection de l’information

Le RSSI

Le CPD

Les sous traitants

Les syndicats

17

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / avant projet SSI

Des malentendus sur les périmètres, notamment après un test intrusif de sensibilisation

Le suivi des obligations légales et responsabilités, notamment sur les obligations de moyens

Sensibilisé en phase projet

1. Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à

caractère personnel

2. L’absence de formalisation ou de validation de textes de référence, d’engagement, … • (Charte éthique et valeurs essentielles, Politique Générale de Sécurité de l’information, …) • Matrice de risques • PSSI, PSI • PTS • Procédures

3. L’absence de méthodes pour faciliter l’expression de besoins de sécurité par les Directions Métiers

4. La sous estimation de l’arbitrage et la non formalisation des priorités

5. La formalisation des PCA et gestion de crises

6. L’affectation des budgets

7. Le manque d’implication dans la pédagogie de la responsabilisation

18

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / avant projet SSI

Des malentendus sur les périmètres, notamment après un test intrusif de sensibilisation

19

La composante humaine

Composante Humaine : • Collaborateurs, • Sous-traitants • Partenaires

Composante Informationnelle • Propriété entreprise ou confiée • Orale, papier, électronique, produit

Composante Technique

Les composantes sont indépendantes de toute localisation géographique et de toute plage horaire

Installations et servitudes

SI Entité • OS • Applications • Réseaux

• OS • Applications • Réseaux

SI privé / domestique

Quelques exemples

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / avant projet SSI Des malentendus sur les périmètres, notamment après un test intrusif de sensibilisation

La prise en compte de l’ensemble des composantes et périmètres doit passer par une sensibilisation profil utilisateur

• Les RSSI sont moteurs mais parfois « freinés » par le management intermédiaire parfois un peu frileux ou

DSI ?

• Le test intrusif profil sensibilisation est souvent mis en avant, mais

• Quel objectif ?

• Quelle crédibilité test + test – ?

• Très grande difficulté d’appréhender l’aspect humain / ingénierie sociale et collaborateurs ?

• Le doute sur la volonté réelle du sensibilisateur surtout si il est externe ?

• Le doute sur la réalité du discours du sensibilisateur interne ?

• Une certaine peur ou crainte de rajouter d’autres contraintes auprès des opérationnels, notamment les

collaborateurs à très forte valeur ajoutée ?

• Une très grande confiance dans ces collaborateurs / associée à la prise en compte uniquement de la

malveillance ?

• Le sentiment de se sentir épargné au regard de sa mission ou de son activité ?

20

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / avant projet SSI

Le suivi des obligations légales et responsabilités, notamment sur les obligations de moyens

Les obligations spécifiques métiers sont bien connues, Mais

• L’étendue des périmètres et composantes est trompeuse, voir les exemples page précédente

• La responsabilité ascendante du délégataire de responsabilité de la personne morale sur ces périmètres et composantes est souvent « sous estimée » !

• La responsabilité disciplinaire • La même sous estimation sur les composantes et les périmètres

• La responsabilité civile • « Quasi délictuelle »,

• Le sentiment de ne pas pouvoir faire grand-chose / face à l’obligation de moyens

• « Contractuelle », • L’absence de référentiels structurés ne favorisent pas l’intégration de clauses SSI

• Les responsabilités pénales

Protection des données à caractère personnel

Droits d’auteur Cybercriminalité Chiffrement et signatures

Traçabilités … Délégation de responsabilités

• Quelles procédures ?

21

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / avant projet SSI

La sous estimation ou la méconnaissance des composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à

caractère personnel

• RSSI identifié comme expert informatique

• Lettre de mission ?

• Positionnement hiérarchique / fonctionnel ?

• Quels moyens ?

• Nomination d’un CPD pour s’affranchir du devoir de déclaration auprès de la

Commission pour la protection des données à caractère personnel.

• Sous estimation de l’importance de la voie fonctionnelle du CPD vers la Commission

pour la protection des données à caractère personnel.

22

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / avant projet SSI

Les difficultés de mise en œuvre les composantes organisationnelles La voie fonctionnelle devrait permettre de faciliter :

• la sollicitation des structures collégiales d’arbitrage, notamment pour la gestion de dérogation • la remontée d’incidents en évitant les ressentis culpabilisant voire « délationistes »

23

Direction Générale

RSSI

Les difficultés: • faire adhérer les métiers à l’expression de besoins, à l’identification des menaces et scénarios de risques. Les métiers

ressentent t encore la sécurité comme « informatique » • la fonction CPD dans la DSI n’est pas la position optimale pour la mise en conformité avec la règlementation pour la

protection des données à caractère personnel et le respect des obligations légales

Relais SSI Relais SSI

Comité de Pilotage SSI, Comité d’homologation / Validation des

risques résiduels

Direction Métier 1 Direction Métier 2 Direction Système d’information CPD

?

Approche 1

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère

personnel

24

Direction Générale

RSSI Relais SSI Relais SSI

Comité de Pilotage SSI, Comité d’homologation / Validation des

risques résiduels

Direction Métier 1 Direction Métier 2

Équipes SI ? CPD

Direction Système d’information

?

Approche 2

1. Le comité de Pilotage et d’homologation suppose une DG fortement sensibilisé et surtout la mise œuvre d’une méthode de gestion de risques en cohérence avec la gestion du risque opérationnel

2. Les divergences d’estimations, d’incompréhensions entre • Les équipes DSI et RSSI • Les Directions métiers et la fonction SSI

3. Une grande difficulté pour les Relais SSI • pour sensibiliser les métiers • Faire exprimer les besoins de sécurité auprès des directions métiers

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère

personnel

25

Direction Générale

Relais SPI / Protection des DCP

Direction Métier 1 Direction Métier 2

RSSI CPD

Direction Système d’information

?

Approche 3

Relais SPI / Protection des DCP

Comité de Pilotage Protection de l’information et SSI, Comité

d’homologation / Validation des risques résiduels

1. Le comité de Pilotage et d’homologation suppose une DG fortement sensibilisé et surtout la mise œuvre d’une méthode de gestion de risques en cohérence avec la gestion du risque opérationnel

2. La mise en œuvre d’un réseau de Relais SPI et PDCP est mis en œuvre pour faciliter la relation MOA / MOE pour l’expression de besoins de sécurité

3. Le positionnement du CPD dans la DSI est il conforme à l’esprit de la règlementation ?

4. La relation SSI / SPI est censée faciliter l’expression des besoins attention à son bon fonctionnement et à la mobilisation des métiers

?

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère

personnel

26

Direction Générale

Relais SPI / CPD

Direction Métier 1 Direction Métier 2

RSSI

Direction Système d’information

Approche 4

Relais SPI / Correspondant

Protection des DCP

Comité de Pilotage Protection de l’information et SSI, Comité

d’homologation / Validation des risques résiduels

1. Le comité de Pilotage et d’homologation suppose une DG fortement sensibilisé et surtout la mise œuvre d’une méthode de gestion de risques en cohérence avec la gestion du risque opérationnel

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

Les difficultés de mise en œuvre les composantes organisationnelles • RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère

personnel

• Les obligations légales, les enjeux, les besoins et les acteurs pour les autres SI sont très différents

27

Internet

Partenaires

Fournisseurs

Réseaux

Téléphoniques

Service aux Clients / Usagers/Partenaires

Système d’Information Industriel / opérationnel

Système d’Information

Entreprise

Système d’Information

Billettique

Système d’information

familial

Collaborateurs

et

Sous-traitants

Patrimoine informationnel

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

Les difficultés de mise en œuvre les composantes organisationnelles / SII

• Les enjeux, les besoins et les acteurs pour les autres SI sont très différents

28

Le RSSI est il crédible et compréhensible auprès des instrumentistes et des acteurs du SI ? • Les cultures sont très différentes

• Les enjeux, besoins et risques sont très différents

• Les approches sont souvent difficiles à concilier, exemples:

• L’identification unique dans le SIE très difficile à faire passer dans le SII, les identifiants

sont des identifiants de fonctions

• L’antivirus est acquis dans le SIE, parfois impossible dans le SII temps réel

• Les mises à jours sont « acquises dans le SIE » souvent très couteuses et difficiles dans le

SII

• Les acteurs du SIE sont souvent très expérimentés sur les technologies venant du monde

de l’internet / Windows et le sont moins souvent dans le SII

• La classification des besoins DICP dans le SIE est au minimum une cible, c’est beaucoup

plus difficile dans le SII au profit de la gestion du risque opérationnel

• L’approche du SII est plus dans la gestion de risques et solutions pratiques « pérennes »

Approches 1, 2, 3, 4

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet Les difficultés de mise en œuvre les composantes organisationnelles

• RSSI, CPD/CIL, Comité d’homologation • Voie hiérarchique / Voies fonctionnelles Sécurité de l’information, SSI, Protection des données à caractère

personnel

29

Direction Générale

Relais SPI / CPD

Direction Métier 1 Direction de l’exploitation industrielle

RSSI E

Direction Système d’information

Approche 5

RSSI I Relais SPI /

Protection des DCP

Comité de Pilotage Protection de l’information et SSI, Comité

d’homologation / Validation des risques résiduels

1. Les référentiels SSI I sont sous la responsabilité du RSSI I, mais qu’en est il de la configuration des passerelles de sécurité entre les SIE et SII

2. La DSI / RSSI E souhaite prendre le contrôle du SII

?

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …

• (Charte éthique et valeurs essentielles, Politique Générale de Sécurité de l’information, …) • Matrice de risques • PSSI, PSI • PTS • Procédures

• L’approche 1 définit des PSSI structurés ISO 27002 avec un chapitre classification des besoins mais sans

règles corrélées à ces niveaux de besoins ainsi que des chartes d’utilisation des ressources informatiques

contenant un petit chapitre PDCP

• L’approche 2 définit des PSSI structurés ISO 27002 avec un chapitre classification des besoins avec des

règles corrélées à ces niveaux de besoins ainsi que des chartes de protection de l’information et un chapitre

plus développé pour la PDCP

• L'approche 3 / 4 nécessite de développer un référentiel protection de l’information complémentaire au

référentiel SSI ainsi que toutes les procédures PDCP, (droit de la personne concernée, contrôle de la

commission PDCP, …)

• L’approche 5 nécessite de développer un référentiel SSIE, PDCP et procédures et surtout SSII

Dans les 5 cas, l’engagement de responsabilité reste fondamental

30

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …

1 2 3 4 5

PSSI

Bonnes pratiques

auto justifiées

Sans classification

Souvent signée par

un membre du

COMEX mais

peu mobilisateur

PSSI

Bonnes Pratiques de

base

Règles

d’architectures

corrélées aux

besoins classifiés

+

Signée par un

membre du COMEX

Mais peu suivi par les

métiers

PGSI, voire charte

éthique pour la

protection de

l’information signée

d’un membre du

Comex

+

PSSI

+

Référentiel PDCP

Orienté fonctionnel

PGSI, voire charte

éthique pour la

protection de

l’information / et

PDCP

signée d’un membre

du Comex

+

PSSI

+

Référentiel PDCP

Orienté fonctionnel

PGSI, voire charte

éthique pour la

protection de

l’information / et

PDCP

signée d’un membre

du Comex

+

PSSIE + PSSII

+

Référentiel PDCP

Orienté fonctionnel

Charte informatique

Avec chapitre PDCP

Et procédures ?

Oubli du papier

Code de protection

de l’information et

PDCP

Et procédures ?

Oubli du papier

Code de protection

de l’information et

PDCP

Ecriture des

procédures

Code de protection

de l’information et

PDCP

Et procédures

Code de protection

de l’information et

PDCP

Et procédures

31

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …

3

PGSI, voire charte éthique pour la

protection de l’information signée d’un

membre du Comex

+

PSSI

+

Référentiel PDCP

Orienté fonctionnel

Attention la PSSI orientée fonctionnelle

déstabilise souvent les experts

techniques habitués à un « ton » plus

orienté architectures et mise en œuvre

Code de protection de l’information et

PDCP

Plus aisé pour le CPD

32

PGSI

Charte éthique

PSSI

Référentiel PDCP

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …

4

PGSI, voire charte éthique pour la

protection de l’information signée d’un

membre du Comex

+

PSSI

+

Référentiel PDCP

Orienté fonctionnel

Attention la PSSI orientée fonctionnelle

déstabilise souvent les experts

techniques habitués à un « ton » plus

orienté architectures et mise en œuvre

Code de protection de l’information et

PDCP

Nécessite un CPD plus libre sa

nomination dans la DSI ou SSI n’est

pas simple

Nécessite un CPD à relation

fonctionnelle directe avec le comité de

pilotage et d’homologation /

responsable du traitement

33

PGSI

Charte éthique

PSSI

Référentiel PDCP

Procédures PDCP

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet La formalisation et / ou la validation de textes de référence, d’engagement, …

5

PGSI, voire charte éthique pour la

protection de l’information signée d’un

membre du Comex

+

PSSI

+

Référentiel PDCP

Orienté fonctionnel

Attention la PSSI I orientée

fonctionnelle déstabilise souvent les

experts techniques habitués à un

« ton » plus orienté architectures et

mise en œuvre

Code de protection de l’information et

PDCP

Nécessite un CPD plus libre sa

nomination dans la DSI n’est pas

simple

Nécessite un CPD à relation

fonctionnelle directe avec le comité de

pilotage et d’homologation /

responsable du traitement

34

PGSI

Charte éthique

PSSI E et PSSI I

Référentiel PDCP

Procédures PDCP

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet L’application des lois entrainant des exigences spécifiques SSI

1 2 3 4 5

Peu optimale pour

faire formaliser les

obligations légales

spécifiques métiers

et respecter les

règles SI

consécutives

Sauf pour les

exigences mises en

œuvre type PCI DSS

Plus adaptée pour faire formaliser les obligations légales spécifiques métiers et respecter les

règles SSI consécutives

Protection des données à caractère personnel

Code de la santé

Code de protection des mineurs

RGS

Bale 3

Solvency 2

SOX

Codes des industriels

….

35

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet L’absence de méthode institutionnelle pour faciliter l’expression de besoins de sécurité par les Directions Métiers

• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction

générale et doit être en relation avec les valeurs essentielles de l’entreprise

• Elle doit être illustrée d’exemples d’impacts métiers, sinon elle est peu mobilisatrice

• Elle doit être cohérente avec la grille d’impacts du risque opérationnel

• La direction doit être consciente de son rôle d’arbitre entre les niveaux adjacents surtout entre les niveaux

médians par exemples 2/3

• La formalisation d’un référentiel macro des informations classifiées facilite l’approche mais ne permet pas de

s’affranchir de la responsabilisation des métiers et utilisateurs

• La direction doit formaliser ou faire formaliser les évènements redoutés, ainsi que les menaces spécifiques à

l’activité

• La grille de formalisation des niveaux de risques doit être validée par le Comex et faire l’objet d’une « religion »

d’entreprise et non plus d’un outil d’aide à la décision

36

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Chaque information ou ressource doit se voir attribuer un niveau de sensibilité (donc une classification) établie en regard :

• De critères de sensibilité prédéfinis, (besoin de sécurité)

• Des impacts liés à toute atteinte à ces critères

Critère

de sensibilité Description du critère

Disponibilité Aptitude à fournir l’information lorsque le processus métier l’exige, et à maintenir cette capacité dans le temps.

Intégrité Propriété d’une information qui n’a subi ni altération, ni modification la rendant non-conforme aux règles de gestion et aux attentes des processus métier.

Confidentialité Propriété d’une information qui ne doit pas être divulguée à des personnes ou des entités non autorisées.

Preuve et contrôle Garantie de transparence et aptitude à fournir les pistes d’audit et les éléments de preuve correspondant aux actions réalisées sur les informations.

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Disponibilité

Confidentialité

Intégrité

Imputabilité

Respect des engagements contractuels

Sécurité juridique

Sécurité financière / des investissements

Protection du climat social

Protection des personnes et des biens

Respect des intérêts des partenaires

Protection de l’image

Opérationnel

Financier

Juridique / Contractuel

Notoriété / Image

Social/ Humain / environnemental

Synthèse des Impacts La perte impacte sur les

Les valeurs essentielles

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction

Critère

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Financier

• Cout de réparation suite à une Indisponibilité des applications et des processus Métiers

• Perte de productivité

• Sanctions civiles ou pénales

Image / Notoriété

• Révélation de faiblesses de l’entreprise : incidents de sécurité, défauts caractérisés de fonctionnement…

Juridique

• Non respect des lois et réglementation : protection des données personnelles, traçabilité, lutte contre la cybercriminalité…

Opérationnel

• Divulgation d’informations sensibles pour la protection des biens et des personnes

• Dégradation du climat de travail suite à un contrôle illégal

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 40

TYPE D’IMPACT

MODERE

SERIEUX

MAJEUR

CATASTROPHIQUE

FINANCIER

Pertes limitées

Inférieures à 1% du budget

Pourcentage significatif du CA ou du budget de fonctionnement

De 1 à 10 % du budget

Remise en cause de l’une des activités

de 10 % à 100 % du budget

Remise en cause temporaire ou définitive de l’existence

>Au budget

JURIDIQUE

Contentieux juridiques simples (hors pénal)

Contentieux pénaux

Mise en cause de salariés ou d’une personne morale

Mise en cause en justice de dirigeants ou de cadres à titre personnel

Mise en cause de la responsabilité pénale de personne morale

IMAGE

Médias régionaux limités dans le temps

Médias nationaux sur une journée

Médias nationaux sur plusieurs jours +

Internet SOCIAL/ PERSONNEL/ ENVIRONNEMENTAL

Mécontentement d’un collaborateur

Mécontentement de quelques collaborateurs

Crise sociale au niveau d’un service

Alarme sociale

ou grève au

niveau de

l’ensemble de l’entreprise

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction

Validation n+1

Validation Direction

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

3 3 4 4

2 2 3 4

1 2 2 3

1 1 1 2

Impact

4

3

2

1

Potentialité

1 2 3 4

Gravité du risque Description

1

Risque tolérable S’il se concrétisait, ce risque aurait peu de conséquences sur les activités de l’entité. Il n’est pas obligatoirement utile de mettre en œuvre des moyens de protection complexes ou onéreux pour réduire ce risque.

2

Risque supportable S’il se concrétisait, ce risque aurait des conséquences sur les activités de l’entité, mais pourrait être supporté sans problème majeur. Il est cependant important de mettre en œuvre des moyens de protection pour limiter ce risque.

3 Risque insupportable Un maximum de moyens doit être prévu pour limiter ce risque, qui aurait des conséquences très importantes sur les activités de l’entité.

4 Risque inadmissible Tout doit être mise en œuvre pour que ce risque n’arrive jamais, car il aurait alors des conséquences critiques sur les activités de l’entité.

Validation Direction

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

• La grille de formalisation des niveaux de risques doit être validée par le Comex et faire l’objet d’une « religion »

d’entreprise et non plus d’un outil d’aide à la décision

Doit être présenté non plus comme un outil d’aide à la décision mais comme un

approche d’entreprise

Doit être complété d’un référentiel de règles corrélées

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 42

Besoin/impact Sensibilité

D

I C P

Synthèse de l’impact / dommage

F J I S Val E

F J I S Val E

F J I S Val E

F J I S Val E

4 définitif

3 très grave

2 important

1 non significatif

Best practices auto justifiées

Chaque case « contient » les thèmes de règles SSI concernant la manipulation des informations et des ressources

Très grande différence dans les niveaux d’exigences Attention de bien solliciter la structure collégiale d’arbitrage adéquate

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

Direction Générale / Secrétaire Général / sensibilisé en phase projet

• La grille de classification des besoins par les impacts ne peut être formalisée sans l’implication de la Direction

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet La sous estimation de l’arbitrage et la non formalisation des priorités

Lancement de la classification

Analyse des activités Identification des activités critiques et des

dysfonctionnements redoutés

Niveaux d’impacts des dysfonctionnements : Echelle des

valeurs

Validation en Comité de Direction

Identification des informations et processus métiers

Classification des processus et applications des données principales et des autres ressources

Analyse des actions immédiates à mener

Validation en Comité de Direction

Echelle de valeurs

Classification

Plan d’action

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 44

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

• La plus grande difficulté est bien dans la mise en place du Comité d’homologation

Un « risque accepté » est caractérisé par la conjonction des 3 éléments suivants : 1. connaissance de l’existence d’un risque associé à une défaillance de sécurité des

SI par les décideurs métiers;

2. mesure du risque par les intervenants autorisés, en fonction d’un référentiel (critères, calcul et seuils d’impact, etc.) opposable ;

3. arbitrage et autorisation d’assumer les conséquences du risque, en tenant compte

des mesures de réduction, selon les principes de délégation en vigueur.

La direction / le responsable du traitement

doit avoir conscience des risques encourus et des risques résiduels.

L’instance de décision locale doit réunir toutes les parties prenantes (un représentant de la direction, les représentants Métier ou leur maîtrise

d’ouvrage, les dépositaires des ressources, les tiers subissant des impacts collatéraux…) afin d’évaluer le risque dans son ensemble.

Contexte

Evènements redoutés

Menaces

Risques

Mesures

Risques résiduels

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet La sous estimation de l’arbitrage et la non formalisation des priorités

45

• Dès que l’on sort de l’étape « best practices auto justifiées-sécurité informatique » sous responsabilité des maîtrises d’œuvre (et que l’on cherche l’adhésion des métiers,) les besoins de sécurité classifiés doivent être à l’origine de la formalisation des exigences de sécurité adaptées, (règles, obligations et interdits).

• Or ces exigences de sécurité (règles, obligations et interdits) sont susceptibles d’être ressentis comme des contraintes allant à l’encontre d’objectifs de productivité du métier

• Certaines interdictions ou obligations techniques ou comportementales brident les services que veulent mettre en œuvre certaines directions de projet

• La prise en compte native de la sécurité dans les projets est identifiée comme un facteur potentiel de ralentissement

• Dans tous les cas il y a plusieurs divergences d’analyse potentielles :

• Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre • Entre la maîtrise d’ouvrage , la maîtrise d’œuvre d’une part et la SSI d’autre part • Entre la maîtrise d’œuvre et la SSI

L’arbitre ne pourra se prononcer avec raison que si les mesures « divergence « peuvent être adossées à des besoins, des enjeux ou a MINIMA À DES RISQUES

Besoin d’arbitrage Arbitre

Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre Direction / Comité de pilotage

Entre la MOA, la Maitrise d’œuvre d’une part et la SSI d’autre part Direction / Comité de pilotage

Entre SSI et DSI Direction / Comité de pilotage

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

• La formalisation des PCA et gestion de crises

• Est-ce vraiment au RSSI d’être en charge du projet / des projets PCA ?

• Tentation souvent très forte de concevoir un PCA multi sinistres ! ?

• Les cellules de crise intégraient rarement les acteurs SSI ou SPI ou CPD !

• Oublier l’identification des crises liées à la violation des DCP

• Sous estimation des tests réels souvent sous la pression des métiers !

• Oubli que le PCA n’offre qu’un mode dégradé !

• Formalisation des RTO / RPO en oubliant que la détection / déclaration du sinistre

n’est jamais instantanée et prendra du temps

• Oubli de la mise à jour récurrente du PCA

• Sous estimation des exercices

46

Activités Métiers

Ressources SI

Incidents

Dommages

Sinistre

Crise

Le Plan de Continuité d’Activité est la manifestation concrète et effective par la Direction Générale de la continuité d’activité face à un sinistre majeur

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / Sensibilisé en phase projet L’affectation des budgets

47

• Les dépenses particulières SSI (au-delà des best practices) devraient se décider au niveau d’une maîtrise d’ouvrage, en utilisant :

• Une estimation généralement mono dimensionnelle du coût) • Une estimation nécessairement multidimensionnelle de l’impact d’un sinistre, (Juridique, Image, Social

/Humain / Environnemental / Missions) • Une estimation de la plausibilité

• Il faut mentionner l’obligation de l’arbitrage (coût-approche de l’objectif) suppose un arbitre sensibilisé en

matière de sécurité • Le mode du ROI (Return On Invest) n’est pas toujours applicable aux investissements de sécurité

• Faire mettre en œuvre des indicateurs • Conformité • Efficacité • Contribution de la SSI à la performance

Aux coûts doivent normalement être opposés, outre le rapprochement des objectifs de sécurité, le gain de sécurité, productivité, efficacité, qualité,

que de bonnes mesures sont susceptibles de générer.

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

48

Le coût de la sécurité dans les « best practices » informatiques

« auto justifiées » par la DSI

Le coût de la sécurité orientée enjeux

Il existe des dépenses propres, gérées par la DSI / SSI

Chaque Direction métier / projet ne devrait prendre en charge que les éléments relatifs à sa sécurité

Au-delà des « best practices », les développements spécifiques à l’atteinte des objectifs de sécurité liés aux enjeux et aux risques, explicitement mis en avant par les maîtrises d’ouvrages, nécessitent une prise de décision argumentée pour justifier les budgets

A B

Direction Générale / Secrétaire Général / Sensibilisé en phase projet L’affectation des budgets

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

La Direction

Sensibilisation / Responsabilisation Avant projet

Sensibilisation / Responsabilisation Projet initialisé

Les liens entre la sécurité et les valeurs essentielles

Les dommages

Les obligations, responsabilités et délégations

Les périmètres

La classification des enjeux

Les menaces, les risques, les scenario de crise

Cible , Étapes et principes du Plan d’Action

Formalisation et déclinaison opérationnelles des textes de référence

Définition des responsabilités des acteurs

Formation des acteurs

Présentation / Restitution des enjeux et arbitrage

Présentation des rapports d’audit / incidents

Contrôles

Direction Générale / Secrétaire Général / Sensibilisé en phase projet

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Direction Générale / Secrétaire Général / avant projet SSI

Le manque d’implication dans la pédagogie de la responsabilisation

Voir le chapitre sur la sensibilisation utilisateurs

• La présence / participation du management aux séances de responsabilisation utilisateurs

50

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

51

Mangement intermédiaire

1.Formaliser / faire formaliser les besoins de sécurité

2.Identifier les exigences SSI consécutives aux obligations légales inhérentes au métier

3.Identifier faire identifier les risques de sécurité

4.Arbitrer les besoins et les risques

5.Participer à l’explication des règles, à leur application et au contrôle

6.Identifier et gérer les collaborateurs stratégiques

7.Identifier et gérer les collaborateurs affectés à des taches sensibles

8.Formaliser les exigences de sécurité des contrats de partenariat sous-traitance

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

52

Il est difficile : • de faire prendre conscience de l’étendue du périmètre • de faire exprimer les besoins de sécurité • de faire comprendre les mécanismes de la voie fonctionnelle de sécurité pour:

• les conseils et demandes d’arbitrage • les remontées d’incident

• de faire appliquer les obligations légales sans : • une sensibilisation SSI adaptée aux managers • l’impulsion de la Direction • la formalisation de textes de référence sécurité

Mais ce type de difficultés (commune avec les représentants de la MOA ) a su être surmonté pour la formalisation des besoins fonctionnels il est donc probable qu’avec une impulsion des Directions ces difficultés

pourront être dépassées aussi

Les managers intermédiaires

La responsabilisation complémentaire au tronc commun

1.Formaliser / faire formaliser les besoins de sécurité

2.Identifier les exigences SSI consécutives aux obligations légales inhérentes au métier

3.Identifier faire identifier les risques de sécurité

4.Arbitrer les besoins et les risques

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les managers intermédiaires

La responsabilisation complémentaire au tronc commun

5. Participer à l’explication des règles, à leur application et au contrôle

6. Identifier et gérer les collaborateurs stratégiques

7. Identifier et gérer les collaborateurs affectés à des taches sensibles

8. Formaliser les exigences de sécurité des contrats de partenariat sous-traitance

53

Il est difficile :

• De faire appliquer ces règles sans référentiels

• Sans sensibilisation conçue par la DSI / SSI / SPI / PPDCP

• Sans avoir suivi une sensibilisation adaptée au profil

• Sans l’appui de la SSI et de la RH

• De gérer le sentiment « d’être le dernier rempart »

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les managers intermédiaires

La validation des habilitations

Personnes Profils Droits Habilitations

Chaque utilisateur des SI, acteur interne ou externe (collaborateur, prestataire, stagiaire), permanent ou temporaire, doit être identifiable de façon strictement personnelle • chaque utilisateur des SI se voit attribuer un (ou plusieurs) identifiant(s) strictement personnel(s), selon un dispositif

permettant d’établir un lien unique, fiable et pérenne avec cette personne physique.

• l’utilisation par un usager d’un identifiant personnel appartenant à un autre utilisateur est interdite (même avec son accord) ;

• le partage d’un même identifiant par plusieurs utilisateurs n’est pas autorisé, à l’exception des cas spécifiques aux

organisations de travail en équipe, pour lesquels des dispositions particulières doivent être établies, documentées et validées

par la filière SSI, et sous réserve que l’utilisation de ces identifiants « collectifs » soit strictement limitée au réseau interne de

l’entité ;

• les « identifiants par défaut » (comptes opérationnels présents par défaut dans les systèmes, comptes invités, comptes

anonymes, …) doivent être supprimés ou désactivés, leur utilisation étant interdite.

La gestion des profils d’accès au SI doit : - être réalisée sous la seule et unique autorité d’un responsable désigné au sein du Métier concerné ; - respecter les principes de moindre privilège et de séparation des tâches ; - donner lieu à une revalidation périodique de la pertinence et de la compatibilité des droits par profil et des profils cumulables.

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Toute action d’autorisation d’accès d’un utilisateur à une ressource des SI, doit s’inscrire dans le cadre d’un processus d’autorisation formalisé, qui s’appuie sur le processus d’arrivée et de départ du personnel.

• Valideur d’accès au SI (Profil): Le Responsable hiérarchique • Valideur d’accès aux données classifiées: le propriétaire, (sous la responsabilité du manager métier).

Qui ? Rôle et responsabilités Responsable hiérarchique du bénéficiaire (ou responsable du contrat de prestation), pour les profils Propriétaire pour l’accès aux données par le biais de la liste de diffusion

• Valide le bien-fondé de la demande et engage sa responsabilité vis à vis de l’ouverture d’un accès au SI pour le bénéficiaire. Il doit à ce titre s’interroger sur les aspects suivants :

• S’assure que le bénéficiaire connaît les règles de sécurité à respecter : • Conserve la maîtrise des accès qu’il a autorisés :

Bénéficiaire

Valideur

Traçabilité et contrôle

« Propriétaire »

Métier

Profil d’habilitations

Mise en œuvre

Les managers intermédiaires

La validation des habilitations

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 56

Un processus d’actualisation des habilitations d’accès au SI doit permettre de garantir que seuls les accès justifiés sont autorisés à un moment donné. Il doit par conséquent couvrir : - la revue périodique de la pertinence des droits accordés et la mise en œuvre des mises à jour requises ;

- l’émission et le traitement au plus tôt des demandes devant permettre de répercuter toute évolution de l’affectation d’un

utilisateur sur ses habilitations d’accès ;

- la prise en compte dans le délai requis de la possibilité que se réserve une autorité autorisée de faire suspendre ou faire

supprimer, selon un processus pré-établi, les habilitations d’accès de tout utilisateur des SI.

Les managers intermédiaires

La validation des habilitations et le suivi des habilitations

L’ensemble des opérations relatives à la mise en oeuvre des services de contrôle d’accès logique doit être auditable, tant aux niveaux : - de la gestion des utilisateurs déclarés au sein des SI (identifiants) ;

- de la gestion des dispositifs d’authentification de ces accédants, et en particulier de la modification des codes secrets ;

- de la gestion de leurs habilitations d’accès ;

- de la gestion des profils d’accès prédéfinis.

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les Managers

Les liens entre la sécurité et les valeurs essentielles

Les dommages

Les obligations, responsabilités et délégations

Les périmètres et les textes de référence

La classification des enjeux

Les menaces, les risques, les scenario de crise

Les règles de management • Les relations avec les syndicats • Gestion des collaborateurs • Gestion des sous traitants • Gestion des partenaires

L’arbitrage et le contrôle dans les projets

Les règles à faire appliquer • Les comportements généraux • La manipulation des documents • La manipulation des outils

Gestion des habilitations

Attention si l’utilisateur suit une sensibilisation avant le manager, le manager ne peut répondre aux éventuelles questions

Peut faire l’objet d’un séminaire sur ce thème

Les managers

La responsabilisation complémentaire au tronc commun

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les Directions métiers

Chefs de projet représentants de la Maitrise d’ouvrage

Habitués aujourd’hui à exprimer les besoins fonctionnels, Mais

• Très grande difficulté pour obtenir les besoins de sécurité, probablement liée au passé de la sécurité

informatique,

• Dans le « meilleur « des cas l’essentiel des projets s’appuie sur l’expertise du Chef de projet SI

• Voire développe ou achète seul sans la DSI / SSI

• Ne sentent pas concernées par les responsabilisations ou formations d’intégration native de la SSI dans les

projets

• Trop grande complexité des méthodes d’intégration native de la SSI dans les projets, ( EBIOS, MEHARI, …)

• La SSI ou la SPI vécue comme « inhibant » en tout cas « toujours » comme un frein

• Ne retienne classiquement que la menace de la malveillance

• Relation souvent compliquée avec la DSI ou la SSI, (choix structurants / non structurants)

• Certaines maitrises d’ouvrage très impliquées dans l’expression de besoins vont jusqu’à formaliser des

spécifications techniques, dans ce cas la relation MOA / MOE rencontre de nouvelles difficultés

• Choix structurants / non structurants pour la direction métier

• Dans le cas de l’externalisation nécessite un bon niveau de maturité

• Référentiel, Expression de besoins, Evaluation des risques, formalisation d’un PAS et des clauses

contractuelles

• Engagements du prestataire et auditabilité/réversibilité

58

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Responsabilité MOA

Les Directions métiers

Chefs de projet représentants de la Maitrise d’ouvrage

Habitués aujourd’hui à exprimer les besoins fonctionnels, Mais

La formalisation des besoins de besoins de sécurité, devrait passer par une modélisation des processus

59

Information I1 ou

Documents

Information I2 ou

Documents

Processus Processus Consolidation dans le Processus

Et héritages entre processus

D1, I3, C3, P2

D2, I2, C3, P1

D2, I3, C3, P2

D3, I1, C1, P2 D1, I2, C1, P2

D3, I2, C1, P2

Consolidation dans le Processus, puis dans la ressource Sans oublier • la classification héritée d’un autre processus • La classification de la ressource par le Maitre

d’Œuvre

Processus D3, I3, C3, P2

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les Directions métiers

Chefs de projet représentants de la Maitrise d’ouvrage

Habitués aujourd’hui à exprimer les besoins fonctionnels, Mais

Les pièges classiques :

• Ne pas y adhérer, pour les infos et documents

• Oublier la motivation de la classification

• Sur classifier

• Sous classifier, classifier en fonction règles identifiées comme admissibles

• Classifier en fonction de la potentialité

• Classifier en fonction des budgets identifiés comme admissibles

• Attendre du management qu’ils classifient les informations et les documents

• Classifier les infos mais ne pas donner l’impulsion pour classifier les documents

• Oublier de classifier les documents notamment les documents contenant des DCP

• Oublier de revoir la classification

• Oublier de formaliser les listes de distribution

• Ne pas avoir les règles corrélées aux niveaux de classification

• Il n’est pas rare d’oublier la classification des biens du projet pendant la vie du projet !

• Travaux sur futurs d’offres accessibles en interne par les sous traitants !

• Oubli des obligations concernant les DCP

• Oublier que l’on classifie à la maison et que l’on pourrait le faire pour la vie professionnelle !

60

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

RPO : Recovery Point Objective, degré de fraicheur des données T(-1) – T0 (Perte de donnée acceptable entre l’arrêt de l’activité et sa reprise)

PDMA : Perte de Données Maximum Admissible RTO : Recovery Time Objective T1- T0

(Délai nécessaire entre l’arrêt de l’activité et la remise à disposition de l’informatique) DIMA : Délai d’Interruption Maximum Admissible

T(-1) T0 T1 T2

Procédures fonctionnelles dégradées

Restauration sauvegarde

Dernière sauvegarde

Reprise système

Reconstitution des données (T(-1) à T0) ACTIVITÉ

NORMALE

SYSTÈME

DONNÉES

OPERATIONS

RPO RTO Fin de crise

Les Directions métiers

Chefs de projet représentants de la Maitrise d’ouvrage Faire exprimer les RTO / RPO

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Demande d'accès en provenance de l'utilisateur

Reconnaissance de l'utilisateur

Authentification de l'utilisateur

Reconnaissance du profil de l'utilisateur

Vérification des droits de l'utilisateur

Autorisation ou refus de l'accès

Contrôle dynamique

A B C A D E G H I J K L M Oui Non Non Oui Oui Non Oui Non Non Oui Non Oui

Après avoir déterminé le niveau de sensibilité, le besoin de diffusion et de partage des ressources, les droits d’accès aux ressources doivent être gérés suivant les principes suivants : • besoin d’en connaître (chaque utilisateur n’est autorisé à accéder qu’aux

ressources pour lesquelles on lui accorde explicitement le bénéfice de l’accès), • moindre privilège (chaque utilisateur accède aux ressources avec le minimum de

privilèges lui permettant de conduire les actions explicitement autorisées pour lui);

• la séparation des pouvoirs, Bale 3, SOX, Solvency 2, …

Les Directions métiers

Chefs de projet représentants de la Maitrise d’ouvrage

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les Directions métiers

Chefs de projet représentants de la Maitrise d’ouvrage

La cartographies des risques nécessite de la part du métier :

• Une formalisation des menaces liées à son contexte métier

• Une identification des vulnérabilités spécifiques métier

• Une relation étroite avec le Chef de projet MOE pour l’identification des menaces et vulnérabilités liées au SI

métier

• Une formalisation des menaces et vulnérabilités uniquement sur les composants SI, or elle devrait être

constituée sur :

• La formalisation des menaces doit passée par une revue conjointe , quelles bases, quels outils ?

• Il y a un véritable oubli de la menace de l’erreur par ignorance

• La formalisation des niveaux de risques nécessite une direction sensibilisée et engagée dans la formalisation

des grilles d’impact et niveaux de risques

• La grille des niveaux de risques, ne doit plus être identifiée comme un outil d’aide à la décision mais comme

une « religion » d’entreprise

63

Les Ressources Physiques IT

Les Ressources logicielles

Les Ressources et canaux Papier

Les Ressources Humaines Internes

Les Ressources humaines externes

Les Tiers fournisseurs

L’environnement physique

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les administrateurs fonctionnels

64

Il est malheureusement classique de tomber dans les pièges suivants : • Méconnaissance du devoir de secret professionnel (administrateurs techniques ou fonctionnels)

• Méconnaissance du devoir de réserve

• Méconnaissance des obligations et ou interdits concernant la Protection des données à caractère personnel

• Partager les identifiants / authentifiants entre administrateurs

• Utiliser les identifiants authentifiés « administrateurs » pour naviguer

• Ne pas avoir de procédures d’administration, ni de procédures d’escalade

• Méconnaissance des obligations de proportionnalité et transparence dans les contrôles

• Faire des contresens dans le pouvoir / devoir de dire non

• Sous estimation de la traçabilité des procédures

• Sous estimation des devoirs de remontée d’incidents

• Ne pas tracer les processus d’affectation, validation, approbation de droits/habilitations

• Faire donner des droits à un utilisateur au lieu d’affecter un utilisateur à un profil d’habilitations d’administrateur

• Oublier de faire approuver et valider les affectations à un profil

• Oublier de faire supprimer les identifiants / authentifiés lors des départs ou des changements de fonction

• Oublier de supprimer ou de faire supprimer les données à caractère personnel, (fin de vie, maintenance, …)

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Les Utilisateurs

Reconnus part tous les experts comme des maillons essentiels Toutes les normes exigent la responsabilisation au respect des lois, règlements, et procédures Tous les Codes exigent un devoir de loyauté vis-à-vis de l’employeur Pourtant ils semblent bien les oubliés de la responsabilisation Il est clair qu’il n’y pas de solution miracle, multi entreprises et multicultures,

Les pièges : • Faire pour répondre à une exigence normée, non pas pour être efficace

• Confondre la communication « piqure de rappel », avec la sensibilisation-formation « premier vaccin »

• Mettre en avant la malveillance systématique

• Ne mettre avant que les devoirs de l’utilisateur, en communicant peu sur les devoirs de l’employeur et les droits de

l’utilisateur

• Ne pas inclure les sous traitants

• N’avoir qu’une approche « pull »

• Surinvestir dans un didacticiel ou un E-learning

Les difficultés :

• Appréhender le besoin / niveau

• Obligatoire ? / Périodicité

• Tronc commun , puis modules complémentaires adaptés aux profils spécifiques,

• Uniquement modules spécifiques

65

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Appréhender le besoin / niveau

Nécessite une communication du management selon les mêmes fondements que la formalisation des documents référentiels de règles Un questionnaire « anonyme » permet d’évaluer les « manques »

Peut aussi permettre un système d’exemption, mais il serait dommage de perdre l’effet mobilisateur de l’implication de tous Attention de ne pas créer une défiance Si le questionnaire est anonyme il est difficile d’adapter les questions aux profils de collaborateurs à forte valeur ajouté / VIP Si le questionnaire est ciblé, la compréhension de l’objectif du questionnaire est troublée Dans le monde industriel les questionnaires d’évaluation de l’appropriation sont toujours réalisés après la formation Doit absolument intégré des questions orientées sur les droits des utilisateurs

Obligatoire / Périodicité

Devrait être obligatoire dès la mise en œuvre des approches 1 à 5 La mise en œuvre d’un tronc commun obligatoire, avec les sous traitants orienté best practices complété de modules spécifiques orientés fonctions, missions, responsabilités permet d’alléger le poids d’une périodicité trop rapide Le caractère obligatoire est plus facile à mettre en œuvre dans le monde industriel Ne pas oublier les très nombreuses obligations de responsabilisation des collaborateurs (civiles et pénales)

66

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

67

Les utilisateurs

Les utilisateurs et sur tout le périmètre sont au cœur du système, or la Charte quand elle existe ne peut présenter que les éléments structurants de responsabilité de la personne morale et des utilisateurs. Il est donc fondamental d’expliquer les règles détaillées et pratiques

Les utilisateurs ont souvent quelques préjugés • Ils pensent que la première cause de risques est la malveillance • Ils ignorent la réalité de l’ingénierie sociale • Ils confondent les devoirs de réserve et confidentialité • Ils oublient le devoir de remontée d’incidents • Il ignorent les vulnérabilités, notamment les dispositifs d’ingénierie sociale • La technique doit tout résoudre et pourtant ils méconnaissent les vulnérabilités ( internet, mail, réseaux sociaux, …) • La sécurité est une affaire de spécialiste • La sécurité constitue une défiance, un frein à la création, la recherche , la performance • La sécurité est liberticide et intrusive • L’engagement de responsabilité est mis en avant pour cacher des déficits de moyens • Lorsque qu’une action est techniquement possible cela signifie qu’elle est légale • La sécurité protège la confidentialité uniquement et elle n’est pas mobilisatrice pour le utilisateurs ne manipulant pas

d’informations sensibles • Il n’est jamais rien arrivé de grave • La coexistence des données professionnelles et privées dans les SI

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

Les pièges :

• Les erreurs de périmètres

• Oublier la présentation des droits

• Ne pas oser expliquer la formalisation des besoins

• Mettre l’accent uniquement sur la confidentialité en oubliant les autres besoins et en démobilisant les personnels ne

manipulant pas d’informations sensibles

• Oublier les comportements généraux notamment à l’extérieur des établissements

• Ne prendre en compte la sphère privée droits / devoirs et bonnes pratiques

Faut il commencer par un chapitre juridique dans le tronc commun ?

• Théoriquement oui sans aucun doute, dans la réalité :

• cela dépend de l’implication du management, de la durée consacrée à l’ensemble, difficile en environnement

international

• Difficulté pour l’expert de s’adapter à tous les niveaux de profils

Faut il commencer par une explication de l’évaluation des besoins, puis des règles corrélées aux différents niveaux ? Le tronc commun est plutôt adapté aux démarrages de plans de campagnes

68

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun, approche 1

Exhaustif, rigoureux , nécessite une direction sensibilisée, Pas toujours facile dans le monde industriel de démarrer par les obligations légales, en fait peu utilisé car ressenti comme une approche lourde

Enjeux et valeurs essentielles

Périmètres Organisation Référentiels

Obligations légales Droits et devoirs de

l’entité et de l’utilisateur

Règles Disciplinaires Contractuelles

Evaluation des besoins

Menaces Risques

Comportements

généraux

À l’intérieur des établissements

À l’extérieur des établissements

Règles de manipulation

de l’information corrélées aux besoins et

obligations légales

Règles

d’ utilisation des outils et application de l’Entité

et privés/ personnels

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun, approche 2

Plus facile à mettre en œuvre notamment dans le monde industriel, ressenti comme plus pratique

Enjeux et valeurs

essentielles

Périmètres

Organisation Référentiels

Menaces Risques

Obligations légales,

Droits et devoirs Règles

disciplinaires, contractuelles

Comportements

généraux À l’intérieur des établissements À l’extérieur des établissements

Règles de manipulation

de l’information

Règles d’ utilisation

des outils et applications

de l’Entité et

privés/ personnels

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun, approche 3

Plus facile, mais nécessitera du temps disponible et des rappels adaptés sur le chapitre des obligations légales

Enjeux et valeurs essentielles

Périmètres Organisation Référentiels

Menaces Risques

Comportements généraux

À l’intérieur des établissements À l’extérieur des établissements

Règles de manipulation de l’information

Règles d’ utilisation des outils et application de

l’Entité et privés/ personnels

Obligations légales,

Droits et devoirs Obligations légales, disciplinaires, contractuelles

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun, approche 4

Malheureusement le plus pratiqué

Menaces Risques

Règles d’ utilisation des outils et applications de l’Entité

Obligations légales, disciplinaires, contractuelles

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun, approche 5

Malheureusement le plus pratiqué

Menaces Risques

Règles d’ utilisation des outils et applications de l’Entité

Voire

Règles d’ utilisation des outils et applications de l’Entité

Convient plus à une approche de communication pour rappel, attention à la prise de risque juridique

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun, approche 1

Le lien avec les valeurs essentielles de l’entité permet de mobiliser

Le respect des droits des personnes La protection des personnes et des biens

L’Image de l’Entité

La responsabilité juridique (civile et pénale)

Le respect des intérêts légitimes des partenaires et fournisseurs.

Le climat de travail, aspect social et ressources humaines,

La sécurité financière et protection des investissements

La garantie de disponibilité et de qualité du service public / de service aux clients

La confiance des usagers / clients dans leurs échanges avec l’Entité,

La préservation de l’environnement

La protection du patrimoine professionnel voire historique et culturel de l’Entité

Erreur

Accident

Malveillance

Respect des cultures et souverainetés des pays dans lesquels l’Entité est implantée

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun, approche 1

Ne pas reproduire les erreurs du début de l’approche, il s’agit de prendre en compte l’ensemble des acteurs et composantes

La composante humaine

Composante Humaine : • Collaborateurs, • Sous-traitants • Partenaires

Composante Informationnelle • Propriété entreprise ou confiée • Orale, papier, électronique, produit

Composante Technique

Installations et servitudes

SI Entité • OS • Applications • Réseaux

• OS • Applications • Réseaux

SI privé / domestique

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

Les pièges :

• Oublier la présentation des droits

76

DEVOIRS

ENTITE • Respecte les lois et engage sa

responsabilité • Définit des règles • Informe les personnels sur:

• Les règles • Les dispositifs de surveillance • Les éventuels contrôles • Les niveaux de responsabilité

individuelle • Met en place les dispositifs de protection • Analyse leurs efficacités

DROITS

Donner à chacun les informations nécessaires sur les droits et les devoirs

PERSONNEL / PARTENAIRE • Respecte les lois, les règles et le principe

de loyauté • Informe Hub One des éventuels incidents

PERSONNEL / PARTENAIRE • Etre informé et formé sur :

• Les lois • Les risques • Les dispositifs de surveillance • Les dispositifs de contrôle • Les règles • Les engagements de responsabilité

ENTITE • Définit des règles • Met en place des dispositifs de

surveillance • Met en place des dispositifs de contrôle • Engage la responsabilité des acteurs

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun

Les pièges :

• Oublier la présentation des devoirs et des droits

Statuts /Code du travail / Code civil / Code pénal / … / Code de la propriété intellectuelle / … / / …

Devoirs de Loyauté Réserve

Confidentialité Statuts

Resp. Civile

Délictuelle Contractuelle

Obligations métiers

Code de la

santé

Protection des mineurs

Sox

Solvency 2

Etc …

Protection des données à caractère personnel

Droits d’auteur

Cyber criminalité

Traçabilité Cryptographie Délégation de

responsabilité

DEVOIRS ET RESPONSABILITÉS DES ADMINISTRATEURS SI ET DES COLLABORATEURS

DEVOIRS ET RESPONSABILITÉS DES MANAGERS SI DELEGATION DE RESPONSABILITE DE LA PERSONNE MORALE

DEVOIRS ET RESPONSABILITÉS DE LA PERSONNE MORALE

DEVOIRS ET RESPONSABILITÉS DES REPRÉSENTATIONS DES COLLABORATEURS

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun

Les pièges :

• Oublier la présentation des droits des personnes concernées par les DCP

• Mettre en œuvre les dispositifs de respect des droits de la personne concernée par les DCP pour les collaborateurs

comme il doit être fait pour toutes personnes concernées par les DCP

d’opposition

d’accès Et

communication

de rectification

d’être informé

Les droits

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Disponibilité

Confidentialité

Intégrité

Imputabilité

Respect des engagements contractuels

Sécurité juridique

Sécurité financière / des investissements

Protection du climat social

Protection des personnes et des biens

Respect des intérêts des partenaires

Protection de l’image

Opérationnel

Financier

Juridique / Contractuel

Notoriété / Image

Social/ Humain / environnemental

Synthèse des Impacts La perte impacte sur les

Les valeurs essentielles Critère

Les utilisateurs

Le Tronc commun Rappeler l’approche de l’expression de besoins aux utilisateurs

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun L’expression de besoins aux utilisateurs

Les pièges :

• Ne pas oser expliquer la formalisation des besoins

• Mettre l’accent uniquement sur la confidentialité en oubliant les autres besoins et en démobilisant les personnels ne

manipulant pas d’informations sensibles

• Nécessite un bon niveau de formalisation et d’implication de la direction mais ne diffère pas de la problématique de

l’expression des besoins par les métiers.

• Dans la réalité la confidentialité est toujours mise en avant

• Oublier de mettre en avant la ou les voies fonctionnelles pour conseil, assistance et demande d’arbitrage ou

dérogations

Les difficultés

• Trouver l’approche complexe alors qu’elle est réalisée dans la sphère privée !

• Avoir le ressenti que l’on rajoute du travail

• Avoir les difficultés à la faire appliquer alors que l’on cherche l’adhésion par la formalisation des règles adaptées aux

besoins

• Parfois les utilisateurs ont l’impression que l’approche apporte de nouvelles vulnérabilités utilisables par les

indiscrets

• Nécessite la formalisation des règles suivantes, expliquées argumentées et illustrées d’exemples

• La mise en application nécessite la création d’une culture / projet d’entreprise

• Voir page suivantes

80

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

• La présentation des risques

• Il est nécessaire de toujours mettre en avant le besoin de disponibilité et les risques associés

• Rappeler l’impact du non respect de règles

• Rappeler l’importance du respect des règles, l’évitement des erreurs

• Une des premières causes de fuite reste la divulgation spontanée d’information

• Rappeler l’utilisation de la méconnaissance des menaces et des bonnes pratiques par la malveillance

• La malveillance représente un risque réel et il est absolument nécessaire de la présenter, sous les différentes

formes qu’elle peut prendre dans le contexte de l’entité, mais attention de ne pas oublier :

• Que la première cause de risque reste l’ignorance / le non respect de la règle

• De ne pas créer un climat de défiance

• Qu’une présentation des risques même « spectaculaire » inadaptée au contexte n’entrainera qu’une

mobilisation faible

• Bien mettre en avant que le « flou » entre les sphères et composantes/ressources professionnelles,

personnelles, privées, publiques augmentent tous les risques, accidents, malveillance, erreurs

• Il est extrêmement utile de rapprocher les risques privés des risques professionnels

• Les exemples adaptés aux contextes restent sans doute le meilleur outil pédagogique

• Pour les risques IT, commencer par la prise de conscience des niveaux d’authentification particulièrement

faibles utilisés dans les SI / Internet

81

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

• La présentation des vulnérabilités et des menaces

82

Toute malveillance, Quelle que soit sa motivation, nécessite toujours une première étape pouvant prendre deux

formes

Une manipulation incitant à : • Ouvrir un mail, une pièce jointe,

• Se connecter sur un serveur,

• Supprimer un ou plusieurs fichiers,

• Dire, divulguer, exemple un mot de passe,

• Croire une fausse information,

• Répéter un mail, une rumeur,

• …

Une récupération d’information divulguée spontanément de manière inconsciente :

• Dans un lieu public, ou transport par

exemple,

• Dans un séminaire à l’extérieur,

• Fournie dans un réseau social sur internet,

• Laissée sur un ordinateur public,

• Récupérée dans une poubelle,

• ...

L’ incitation «à faire» ou «dire» et la récupération d’information sont identifiées sous le terme d’Ingénierie Sociale

L’ utilisateur a une responsabilité première dans le respect des bonnes pratiques comportementales pour limiter les risques liés à l’Ingénierie Sociale

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

• La présentation des vulnérabilités et des menaces, l’ingénierie sociale base du renseignement

83

Menace stratégique Ex: Espionage d'état

Intelligence Économique

Menace Cupide Concurrentielle

Ex: Espionnage Industriel

Ingénierie Sociale

Menace Ludique

Ex: Piratage

Menace Idéologique

Ex: Déni de service

Menace cupide mafieuse

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

• La présentation des vulnérabilités et des menaces

• L’inconscience des comportements généraux

84

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun

• La présentation des vulnérabilités et des menaces

• La méconnaissance des outils

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun

• La présentation des vulnérabilités et des menaces

• La méconnaissance des outils

***************

Mot de passe Tablette

*************** Mot de passe Adobe

*************** Mot de passe Gmail Perso

*************** Mot de passe sites Internet

***************

Mot de passe professionnel

***************

Mot de passe PC

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Internet

Serveur Professionnel « cadenassé »

Serveur Professionnel

Serveur Non

Professionnel « toléré »

Serveur non Professionnel à caractère non officiel « toléré »

Serveur D’accès à distance

Entité

Serveur non officiel

contraire aux bonnes

pratiques

Nomade OTP Poste de travail

La navigation non professionnelle est tolérée si elle est modérée loyale, respectueuse des lois et des

règles

Les utilisateurs

Le tronc commun

• La présentation des vulnérabilités et des menaces

• La méconnaissance des outils

La navigation professionnelle doit être privilégiée

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Didier Dupont De: olivier.martin.entité@hotmail.com Envoyé: vendredi 28 aout 2009 14:44 À: Didier Dupont Cc: Alain.dubois@entité.fr Objet: confidentiel

Bonjour, Je suis nouvellement nommé dans l’équipe support. Nous sommes en train de mettre à niveau le système d’information. Afin d’optimiser les performances, pouvez vous nous envoyer votre mot de passe dans les meilleurs délais. Les nouvelles procédures d’acquisition de votre nouveau mot de passe sont dans le fichier crypté joint. Pour décrypter le fichier, le code décrypteur est ZR8_3fg01. Pour de plus amples informations vous pouvez vous connecter sur le serveur www.serveur.entité.admin.ma. Cordialement Olivier

Message Urgentetconfidentiel.exe (113Ko)

Les utilisateurs

Le tronc commun

• La présentation des vulnérabilités et des menaces

• La méconnaissance des outils

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Internet Serveur

Non officiel Messagerie privée

Forum Réseau social

La participation privée à un réseau social ou un forum de discussion vous engage à : • Ne vous présentez pas comme un collaborateur de l’entité, pas d’adresse Email nom@entité.com • Ne communiquez aucune information sensible et détaillée sur vos activités professionnelles, • Utilisez des paramètres de confidentialité sur les profils pour que seuls vos amis proches puissent accéder à vos informations, • Contrôler régulièrement les paramètres de son profil, • Se connecter régulièrement sur les moteurs de recherche pour connaitre sa « réputation », • Ne pas accordez pas trop de confiance à un profil « ami », malgré les photographies et le descriptif, • Être prudent en donnant des informations sur votre vie privée, elles peuvent être exploitées, • Être conscient qu’il n’ y a aucune garantie de réelle de suppression.

Ordinateur privé, personnel

Aucune garantie de « véracité », confidentialité, suppression, toujours exploité en ingénierie sociale

Les réseaux sociaux

Les utilisateurs

Le tronc commun

• La présentation des vulnérabilités et des menaces

• La méconnaissance des outils

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les utilisateurs

Le tronc commun

• La présentation des vulnérabilités et des menaces

• La méconnaissance des outils concernant l’archivage, la sauvegarde et la destruction

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

Les pièges :

• Oublier les comportements généraux à l’intérieur des établissements

• Le devoir de loyauté

• Le devoir de réserve

• Le devoir de confidentialité

• Le devoir de notification d’incidents

• Le devoir de respecter les règles d’accès et de circulation dans les différentes zones de l’entité

• Les bonnes pratiques de l’orateur / animateur séminaire en interne

• Les bonnes pratiques du stagiaire en formation séminaire interne

• L'accueil des visiteurs

• La circulation des visiteurs

• La gestion du départ des visiteurs

91

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

Les pièges :

• Oublier les comportements généraux à l’extérieur des établissements

• Le devoir de loyauté

• Le devoir de réserve

• Le devoir de confidentialité

• Le devoir de notification d’incidents

• Les bonnes pratiques du voyageur, (services officiels/douane/police, transports, hôtels, invitations, …)

• La gestion des cadeaux, notamment à l’international

• Les bonnes pratiques de l’orateur / animateur séminaire lieu public

• Les bonnes pratiques du personnel stagiaire en formation lieu public

92

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

• L’ approche exhaustive pour la manipulation des supports d’informations sensibles

93

REGLES ETAPES

DICP Supports d’information papier

Supports de données numériques Environnement papier

Locaux entité Extérieur

Environnements Partagés Environnements individuels

Supports amovibles externes individuels

Marquage

Transmission

Copie

Impression

Accès

Stockage / Archivage

Destruction

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les utilisateurs

Le tronc commun

• La coexistence de la sphère professionnelle et privée / et le contrôle

94

L’administrateur ne peut divulguer le contenu d’un courrier personnel/ privé d’un salarié, (sans avoir prévenu l’utilisateur) à la demande de l’employeur, (responsabilité pénale sur le fondement de l’article 226-15 du Code pénal).

Vie privée Vie professionnelle (valeur par défaut) Vie privée

dite résiduelle

Engage la responsabilité pénale et civile de la personne physique Peut engager la responsabilité disciplinaire / contractuelle • Réserve • Confidentialité, Diffamation, • Insultes, • Intrusions, • …

1. Engage la responsabilité disciplinaire

/ contractuelle de l’utilisateur 2. Engage la responsabilité pénale de l’utilisateur mais peut entrainer la responsabilité pénale du délégataire de la responsabilité de la personne morale 3. Engage la responsabilité civile de

l’employeur

Doit être explicitement notifié « privé/ personnel »

1. Engage la responsabilité

disciplinaire / contractuelle de l’utilisateur

2. Engage la responsabilité civile de l’employé

3. Engage la responsabilité pénale de l’employé

4. Peut engager la responsabilité pénale de l’employeur

Contrôle proportionnel à la finalité et transparent ++++ Transparent

Discussion collective, proportionnalité et transparence

Sensibilisation / Responsabilisation

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

L’Utilisateur

Les liens entre la sécurité et les valeurs essentielles Des exemples de dommage

Les obligations, responsabilités, droits et devoirs Les périmètres

La classification des enjeux

Les menaces, les risques

Les comportements généraux

La manipulation des documents

A l’intérieur des établissements

A l’extérieur des établissements

Conception

Échanges et diffusions

Archivage / Stockage

Fin de vie

La manipulation des outils serveurs / postes

Installation / maintenance

Échanges et communications

Stockage/ Sauvegarde

Fin de vie La véritable efficacité serait d’en faire un tronc commun obligatoire et récurrent

Les utilisateurs

Le tronc commun

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les collaborateurs à forte valeur ajoutée

Le cas des personnels à forte valeur ajoutée : Le cas des personnels à forte valeur ajoutée (cadre supérieur, informaticien – avec polémique possible - , chercheur) ne diffère théoriquement pas de celui des autres personnels, hormis le fait que leur environnement de travail fait toujours partie des environnements sensibles Dans la pratique, dans les pays à culture latine (dont la France est un archétype) ces personnels sont les plus difficiles à convaincre

• Ils considèrent les mesures de sécurité comme des freins, et argumentent précisément que leur position à forte

valeur ajouté perd son efficacité du fait de ces freins

• Ils ont l’impression que les mesures de sécurité sont des marques de défiance et que leur position est sensée

les mettre à l’abris de toute défiance de l’entreprise à leur égard

• Ils pensent avoir, du fait de leur recul et de leur pratique des technologies modernes, une compréhension

intuitive des risques, vulnérabilités et parades, et revendique la pertinence de leur autonomie en matière de

comportement sécurisé

Ces personnels doivent être aussi sensibilisés : L’existence d’actions précises les concernant est un élément fort de la sensibilisation des personnels internes

Charte, règlement (PSSI) à destination des personnels extérieurs Mesures de sécurité au moins aussi précises vis à vis d’eux que vis à vis des personnels internes

• En cas de veille technologique / stratégique / … sur les forums thématiques leur fournir une adresse E mail anonyme

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les assistantes de direction

Les assistantes sont souvent en première ligne face aux manipulations d’ingénierie sociale • Récupérations d’informations par téléphone / voyages des managers

• Récupérations d’informations pour contacts

• Manipulation arnaque au président

• Incitation à connecter une clé USB avec aspirateur à données

• ….

• Elles doivent a minima suivre le tronc commun ou l'équivalent, ou mieux suivre le tronc commun et un module

complémentaire, voir la page suivante

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les Assistantes

La circulation de l’information

Gestion des tâches logistiques liées à l’espace professionnel

La gestion des documents

Organisation des réunions

Gestion des agendas

Réception et Gestion des appels

Gestion du courrier

Gestion des photocopies et impressions

Gestion des déplacements

Remontée d’incidents

Suivi de certaines dépenses

Gestion de la documentation de l’unité

Contrôle des procédures qualité/sécurité dans les classements

Gestion des tâches logistiques liées à l’espace professionnel

Classification des sensibilités

Protection

L’utilisation des outils

Les assistantes de direction

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les Acheteurs

Les responsables de la plateforme de dématérialisation

Les processus de dématérialisation des échanges engendrent un grand nombre d’exigences techniques et juridiques souvent complexes et entrainent de nombreux piéges Les acheteurs connaissent généralement les devoirs de confidentialité des achats Les personnes « connexes » ne sont pas toujours conscients de ces exigences

• Les séminaires externes

• Les discussions à l’intérieur des établissements

• …

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les Acheteurs

Les responsables de la plateforme de dématérialisation

• Catégories de documents à archiver et durée de conservation

• Mise en œuvre de l’archivage

• Modalités de la publicité

• Intégrité des informations

• Gestion des authentifiants Publication et consultation

• Classification des informations Engagement de l’affaire

Diffusion en interne

Analyse des offres Commission de choix

Archivage des dossiers

Règles de sécurité : Décomposition du processus métier

• Confidentialité des informations

• Confidentialité des informations

Réception des offres • Disponibilité de la plate-forme lors de la remise des offres

• Signature des offres

• Confidentialité des informations

• Offres et détection des éventuels virus

Ouverture des plis

Réglementation CNIL /DCP Cas de dispense de déclaration dans le cadre de la dématérialisation des marchés Obligation d’information / Obligation de sécurité des informations /Respect de la durée de conservation Obligation de déclaration des transmissions éventuelles de données vers des pays tiers à la Communauté européenne Les transmissions éventuelles de données vers des pays tiers à la Communauté européenne, y compris lorsque cette transmission est réalisée à des fins de sous-traitance, font l’objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978.

1

2

3

4

5

6

7

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les niveaux de classification des informations doivent être définis, exemples:

Information Sensibilité en Confidentialité Commentaires

Dossiers de consultation 3 avant diffusion aux soumissionnaires

0 pour appel d’offre public

Le document doit être considéré comme final dès lors qu’il est reçu par l’acheteur. Avant diffusion, le document est « Confidentiel Achat ».

2 pour appel d’offre restreint

Registre des entreprises qui ont retiré le Dossier de la consultation

2

Registre des entreprises qui ont déposé une candidature/offre

2

Journal des événements de la consultation 2

Candidatures déposées par les entreprises 3 avant choix du soumissionnaire Avant le choix du soumissionnaire, ces documents sont « Confidentiel Achat ».

2 après

Offres remises par les entreprises 3 avant choix du soumissionnaire Avant le choix du soumissionnaire, ces documents sont « Confidentiel Achat ».

2 après

Questions des soumissionnaires dans le cadre de la consultation

2

Réponses aux questions des soumissionnaires dans le cadre de la consultation

1

Notations 3 Ces documents sont « Confidentiel Achat ».

Rapport de choix 3 Ce document est « Confidentiel ».

Les Acheteurs

Les responsables de la plateforme de dématérialisation

1

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les Acheteurs

Les responsables de la plateforme de dématérialisation

1. Obligation CNIL • Cas de dispense de déclaration dans le cadre de la dématérialisation des marchés

2. Obligation d’information

• Les utilisateurs de la plate-forme sont informés de l’identité du responsable du traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de leur droit d’opposition et de rectification ainsi que des modalités d’exercice de leurs droits

3. Obligation de sécurité des informations • Le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et,

notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. • Il s’agit d’une obligation de moyens mais le défaut de protection est passible d’une sanction pénale de cinq ans

d'emprisonnement et de 300 000 Euros d'amende conformément l’article L. 226-17 du Code Pénal.

4. Obligation de déclaration des transmissions éventuelles de données vers des pays tiers à la Communauté européenne • Les transmissions éventuelles de données vers des pays tiers à la Communauté européenne, y compris lorsque cette

transmission est réalisée à des fins de sous-traitance, font l’objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978.

4. Respect de la durée de conservation

• Les données à caractère personnel recueillies à l'occasion de ce traitement sont conservées conformément aux dispositions légales applicables (cf point sur l’archivage)

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

0 Les Acheteurs

Les responsables de la plateforme de dématérialisation

• Qualification juridique des fonctions potentielles à assurer conformément à la loi LCEN • Qualification principale : Editeur en ligne • Qualifications secondaires :

• Hébergeur (au cas ou l’Entité héberge la plate-forme de dématérialisation) • Fournisseur d’Accès Internet

• Obligations de l’éditeur en ligne • Informations légales (identification de la personne physique ou morale éditeur, directeur de publication,

coordonnées de l’hébergeur) • Respect du droit de réponse (à priori non pertinent pour une plate-forme de dématérialisation)

• Obligations complémentaires au titre de la fonction d’hébergeur • L’hébergeur n’a pas d’obligation générale de surveillance mais supporte une obligation de conservation des

données de nature à permettre l'identification de quiconque a contribué à la création de contenu sur un site hébergé.

• Dès le moment où il a eu connaissance d’informations illicites stockées dans le cadre de ses services il doit agir promptement pour retirer ces informations ou en rendre l'accès impossible sous peine de voir sa responsabilité pénale engagée • L'article 29 de la LSQ (Loi relative à la Sécurité Quotidienne du 15 novembre 2001) pose des garde-fous à la conservation de

ces données : • Les hébergeurs et les FAI sont tenus d'effacer ou de rendre anonyme toute donnée après une durée d'un an • Les données conservées portent exclusivement sur l'identification des personnes utilisatrices des services fournis

par les opérateurs et sur les caractéristiques techniques des communications assurées par ces derniers • « Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations

consultées, sous quelque forme que ce soit, dans le cadre de ces communications« • « La conservation et le traitement de ces données s'effectuent dans le respect des dispositions de la loi no 78-17 du

6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

104

Les DSI Pour l’aspect sécurité le/la DSI rencontre des difficultés : • Pour faire comprendre que le problème n’est plus informatique mais Sécurité Systèmes d’information, voire Protection

du Patrimoine Informationnel • Pour faire valider leurs propositions de textes de Références, (Charte Ethique, PGSI, PSSI, …)

• Pour constituer un Comité de Pilotage / suivi et homologation avec les représentants des Directions métiers

• Pour impliquer les MOA dans la classification de leurs besoins et l’identification des menaces

• Pour faire comprendre à leurs collaborateurs que la sécurité ne peut être que technique

• Pour faire appliquer des procédures d’exploitation et d’administration

• Pour constituer un réseau SSI dans les directions métiers et les établissements

• Pour faire comprendre la différence entre les PRA et les PCA

• Pour faire comprendre qu’un PRA ne fournit pas nécessairement les mêmes qualités de service que le mode normal

• Pour sensibiliser les acteurs :

• Comité de Direction

• Chefs d’établissement

• Représentants de la MOA

• Utilisateurs

• …

• Pour faire déclencher des budgets sécurité hors de son périmètre comme pour la sensibilisation par exemples ou pour

des projets métiers spécifiques hors des best practices

• La gestion ( séparation des fonctions demande, approbation, validation, réalisation des identités, profils et habilitations

constitue un enjeu stratégique

• La relation avec la SSI nécessite une approche fonctionnelle de la SSI que la DSI doit intégrée, puis contrôlée par la SSI

• Le besoin de lien fonctionnel SSI / Direction Générale – Comité de pilotage n’est pas toujours compris

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

105

Les chefs de projet informatique Il est malheureusement classique de rencontrer des réticences sur une approche méthodologique d’intégration native de la sécurité. • elle constitue un frein à la performance • elle rajoute du travail • elle rallonge les délais • on s’en passait • les métiers ne sont pas compétents pour formaliser les besoins de sécurité à décliner/hériter dans les

ressources SI • elle coute cher • ne pas documenter L’application d’une méthode adaptée nécessite la formalisation d’un référentiel de mesures consécutif à une Politique Générale de Sécurité

Parfois il est difficile d’identifier un correspondant MOA par exemples pour les architectures techniques ou applicatives mutualisées

Les MOA choisissent parfois les solutions techniques sans les consulter et se sentent volés de leurs responsabilités

Parfois il ne comprennent pas les chois structurants des MOA et les identifient à tord comme des choix techniques

L’application d’une méthode comme un alibi ou au contraire d’y être inféodée L’absence de comité de validation et pilotage pour arbitrer et valider les risques résiduels

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les exploitants et administrateurs informatiques

• Ignorer ou ne pas avoir de conventions de service pour la SSI

• Ne pas avoir de base référentielle à jour des câblages, réseaux et configurations

• Ne pas avoir des procédures formalisées de tests recettes mises à jour

• Ne pas formaliser ou ne connaitre les procédures d’escalade sur incidents

• Ne pas avoir prévu de revenir dans la configuration précédente

• L’utilisation « d’armes » sans habilitation

• L’utilisation d’outils « perso »,

• Partager les comptes

• La mise en avant de la compétence technique pour s’affranchir du respect des procédures

• Les préoccupations de rapidité et de performance sont mises en avant pour ne pas les respecter

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Civile Délictuelle Contractuelle

il existe une présomption de caractère professionnel pour les documents physiques et numériques détenus par le salarié et que :

« les fichiers et dossiers créés par le salarié grâce à l’outil informatique mis à sa disposition par son employeur sont présumés professionnels sauf si le salarié les identifie comme personnels de sorte que l’employeur ne peut y avoir accès sans sa présence », ou tout au moins être prévenu

La nature personnelle d’un fichier ne suffit plus à le soustraire à un contrôle de l’employeur mais définit étroitement les conditions d’un tel contrôle.

par principe, l’accès à l’espace réservé à l’employé nécessite la prévision d’un tel accès dans le règlement intérieur ainsi que l’information préalable du salarié (qui doit être présent ou au moins être prévenu)

Par exception, le contrôle de l’espace réservé (privé/personnel ) est possible sans inscription au règlement intérieur et sans

information préalable en cas de

« risque ou d’événement particulier d’exceptionnelle gravité ».

Les exploitants et administrateurs informatiques

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

La prise de main à distance d’une ressource informatique locale ne doit être réalisable que par les agents autorisés par l’équipe locale chargée des SI, sur les ressources informatiques de leur périmètre. Des mesures de sécurité spécifiques doivent être définies et respectées.

Les règles spécifiques aux administrateurs Obligation de confidentialité renforcée

Les administrateurs sont tenus au secret professionnel et, plus généralement, à une obligation de discrétion professionnelle qui leur interdit de divulguer les informations qu’ils auraient été amenés à connaitre dans l’exercice de leurs fonctions, notamment :

Les informations couvertes par le secret des correspondances, Relevant de la vie privée, Ne mettant en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l’intérêt de l’entité

Règles Administrateurs

Fiche de Poste Clauses contractuelles

Procédure d’escalade

Ils n’utilisent les outils d’administration qu’à des fins strictement professionnelles

Les exploitants et administrateurs informatiques

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

• Cas particulier de l’accès aux données à caractère personnel par les administrateurs

• Le fait que les administrateurs des réseaux et des systèmes informatiques aient accès à l’ensemble des informations

relatives aux utilisateurs, y compris celles stockées sur leur disque dur, n’est pas contraire aux dispositions de la loi « Informatique et Libertés ».

• Il en est de même pour ce qui est de la prise en main à distance du poste utilisateur, à condition que les mesures de sécurité nécessaires à la protection des données soient mises en œuvre.

• Ces administrateurs sont toutefois tenus au secret professionnel. Il ne doivent donc pas divulguer les informations portées à leur connaissance dans le cadre de leur fonction, notamment celles couvertes par le secret des correspondances ou relevant de la vie privée des utilisateurs.

Les administrateurs respectent les règles de confidentialité, des données personnelles ou privées des utilisateurs, ces données ne peuvent être transmises que sur ordre de réquisition ou commission rogatoire signée et uniquement aux agents de l’état chargés de l’enquête

Les exploitants et administrateurs informatiques

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les conditions d’intervention des administrateurs réseaux doivent être portées à la connaissance des employés et des organes représentatifs du personnel. L’utilisateur doit être informé au préalable de la finalité du contrôle. Le contrôle doit être conforme au principe de proportionnalité et respectueux du principe de finalité énoncé par la loi informatique et libertés.

Les règles spécifiques aux administrateurs Transparence et Proportionnalité

Il est important de noter que ces administrateurs ont le « pouvoir de dire non » dans le cas où un employeur demanderait à ces administrateurs une action non conforme à la règlementation, comme par exemple l’absence de transparence dans

les contrôles.

Il est important de noter que les administrateurs doivent respecter les règles: • Ne pas utiliser les comptes et mots de passe partagés d’administration

pour se connecter sur internet, • La mise hors circuit d’un dispositif de sécurité, ( filtrage) constitue une faute, pouvant conduire à des sanctions

disciplinaires ou pénales

Les exploitants et administrateurs informatiques

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Lorsqu'un administrateur constate qu’un incident est dû à des actes non conformes à la charte utilisateur: l’administrateur de ressources informatiques contacte l’utilisateur concerné et lui rappelle les règles à respecter. Si l’administrateur trouve un accord avec l’utilisateur, et si les activités de l’utilisateur redeviennent conformes à la charte utilisateur, l’administrateur informe le RSSI de la résolution de l'incident.

Tout utilisateur disposant d’un compte permettant d’accéder à des ressources informatiques gérées par l’Entité doit avoir pris connaissance de la charte utilisateur pour l'usage des ressources informatiques et doit en respecter les règles.

Les exploitants et administrateurs informatiques

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les exploitants et administrateurs informatiques

Dans le cas d’un refus de respect des règles par l’utilisateur • Si l’administrateur ne parvient pas à trouver un accord avec l’utilisateur qui a commis des actes non conformes à la charte utilisateur, ou si l’utilisateur ne met pas fin à ces actes:

• L’administrateur informe le RSSI de la nature de l’incident et de l’identité de l’utilisateur.

Le RSSI rappelle à l’utilisateur qu’il s’est engagé à respecter les règles de la charte utilisateur. En cas de désaccord entre le RSSI et l’utilisateur, ou si l’utilisateur ne met pas fin à ses activités illicites:

• Le RSSI informe la hiérarchie qui pourra demander au président de centre le déclenchement d’une procédure d'investigation ciblée.

Le RSSI est informé de la procédure d'investigation ciblée.

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Nature de l’incident Identité de l’utilisateur

Administrateur informatique

RSSI

Obligation de respect de la charte Recherche d’un accord

Hiérarchie

Utilisateur concerné

En cas de désaccord

Procédure d’investigation ciblée

Direction générale Directeur d’unité

Désaccord entre l’administrateur informatique et l’utilisateur

Refus de respect des règles, suite

Les exploitants et administrateurs informatiques

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Procédure d’alerte • Tout administrateur qui observe un incident relatif à l’utilisation des ressources informatiques doit le signaler au RSSI.

• À défaut de pouvoir contacter le RSSI, il signale l’incident à sa hiérarchie.

Témoin de l’incident

Personne concernée

Équipe Informatique

Administrateur concerné

Hiérarchie

RSSI

L’administrateur applique les mesures de surveillance et de contrôle, en respectant les obligations d'information des utilisateurs.

Les exploitants et administrateurs informatiques

Incident provoqué par une personne extérieure • Si un administrateur de ressources informatiques constate qu’un incident est causé par une action anormale ou malveillante de la part d’une personne extérieure à l’académie,

• il en informe le RSSI et sa hiérarchie • Ils recherchent ensemble une solution, en concertation avec toute assistance jugée utile (RSSI, assistance juridique…).

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Responsable protection de l’information

• Cherche à impliquer les métiers ou la direction

• L’argument à mettre en avant :

• Les règles auto justifiées par la DSI ne peuvent répondre à des besoins non exprimés, seule l’expression

des besoins sur les contenus permettra de vivre les règles comme des exigences et non plus comme des

contraintes

• Cela suppose une bonne relation avec la DSI

• Est malheureusement contraint de sensibiliser par la mise en avant de la malveillance potentielle alors

que le risque premier reste la méconnaissance / ignorance !

Doit s’adapter aux spécificités métiers, (obligations légales, menaces, besoins et vulnérabilités, …..) et

nécessite une Direction sensibilisée !!!

• Doit s’appuyer sur la fonction SSI pour les mesures

Très probablement fonction à fusionner avec le CPD et les relais associés

115

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 116

RSSI • Le positionnement dans l’organigramme ne règle pas tout

1. Formalisation des référentiels

2. Assistance à MOA ,via les relais SSI ou SPI ou via le CPD

3. Assistance à la MOE/DSI par le biais de la formalisation des règles fonctionnelles

4. Veille juridique via le CPD , le RSPI et bien sur la Direction Juridique

5. Sensibilisation / communication

6. Contrôle et audit

L’ autoritarisme en fonctionne pas

La recherche « consensuelle » systématique ne marche pas

La collaboration avec la DSI est bien sur essentielles il faut absolument mettre en œuvre une séparation des

devoirs, la DSI met en œuvre, elle intègre les règles fonctionnelles

La collaboration avec le CPD est fondamental

Ne jamais sous estimé la formation communication

L’audit est réalisé avec le contrôle interne

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Le RSSI

Les difficultés : • S’adapter à la culture du pays, de l’activité et de l’entité,

• Formaliser la PSSI avec le niveau de profondeur approprié

• Réussir la relation avec la DSI et gérer la bonne « distance avec la technique »

• Réussir la relation avec les métiers

• Réussir la relation avec les Chefs de projet informatique

• Réussir la relation avec le CPD

• Réussir l’équilibre entre autorité et souplesse

• Réussir l’équilibre formation / communication et contrôle

• Réussir la relation avec l’audit et le contrôle

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les Correspondants pour la protection des données à caractère personnel

• Il n’est pas rare que le CPD finisse par se sentir comme un alibi, permettant d’alléger le régime des déclarations

• Typiquement sa fonction est vue comme le formalisateur du registre

• Son positionnement dans la DSI ou dans la SSI, n’est pas conforme à l’idée d’indépendance et d’évitement des

conflits d’intérêt

• La voie fonctionnelle et le devoir de notification vers la Commission est souvent ressentie, (à tord) comme

théorique

• Les difficultés ou pièges classiques sont souvent :

• L’oubli du papier et des canaux correspondants

• L’oubli de l’analyse de risques

• La difficulté de l’analyse de risques, ce n’est pas toujours son métier

• La très grande difficulté à faire appliquer les mesures pour réduire les risques

• La mise en cohérence des mesures proposées par la commission et les mesures de la PSSI / ISO 27002

118

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

2.Mesures sur les éléments à contrôler

Essentiellement juridique

3.Mesures sur les sources de risques

Limiter les menaces sources de risques

4.Mesures sur les supports Limiter les vulnérabilités pouvant être exploitées par les menaces

5.Mesures sur les impacts

Réduire les dommages

1.

Actions transverses

Organiser

Et formaliser PPDCP

Les Correspondants pour la protection des données à caractère personnel

• Les propositions des mesures sont vécues comme un référentiel supplémentaire à formaliser et à s’approprier

• Afin d’harmoniser les rapports avec la SSI il est important d’intégrer dans la PSSI les mesures de protection des DCP, sans oublier les textes fondateurs de la PPDCP

• Nécessite clairement une direction sensibilisée

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les sous traitants

Tout projet d’externalisation de services liés à une ressource du SI doit donner lieu à la constitution d’un dossier qui doit comporter une description : 1. des services attendus et des exigences de SSI associées à ces services compte tenu des enjeux Métiers sous-

tendus ;

2. des évolutions techniques et organisationnelles induites en matière de SSI ;

3. des risques relevant de la SSI induits par le projet (liés aux modalités de conduite du projet ou aux évolutions, engendrés par l'arrivée du prestataire en tant qu’acteur du SI …) ;

4. des moyens requis pour conserver en interne une maîtrise suffisante des risques encourus.

L’ensemble de ces éléments doit être repris dans un Plan d’Assurance Sécurité (PAS) qui sera actualisé tout au long de l’instruction.

• Le respect d'un référentiel de sécurité sous la forme d’un PAS validé par la fonction SSI sécurité.

• L’application des obligations légales

• L'auditabilité

• La réversibilité

• Le maintien de la propriété du client

• La protection contre les actions en contrefaçon

• La formation à la sécurité du personnel du prestataire et aux règles de l’entreprise cliente ???????

• La confidentialité du contrat et de ses annexes

• Le suivi du contrat de service avec des indicateurs précis

• L'obligation de conseil

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Les sous traitants

• Les différencier dans leurs adresses Email, didier.dupont.external@entité.com

• Formaliser les responsabilités chapitre dans la charte/ charte dédiée

• Les faire participer au tronc commun

• Rappeler les bonnes pratiques, notamment à propos de: • La confidentialité, • Du devoir de remontée d’incidents • Du devoir de conseil • Et de la propriété intellectuelle

• Ne pas hésiter à contrôler.

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

• Le Code du travail ne prévoit pas une application électronique • Il faut se référer aux moyens traditionnels accordés aux représentants du personnel

• Le Code du travail et la jurisprudence visent à établir un équilibre entre • La liberté d’action nécessaire aux délégués • La protection du légitime intérêt de l’employeur dans la non perturbation du travail, de la productivité

• Les moyens accordés aux syndicats • La convention Européenne des droits de l’Homme, article 10, alinéa 1

• « Toute personne a le droit à la liberté d’expression, ce droit comprend la liberté d’opinons et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorité publique et sans considération de frontière »

• L’affichage syndical • L’article L. 412-8 du Code du travail dispose que l’affichage des communications syndicales s’effectue

librement sur des panneaux réservés à cet usage et distincts de ceux qui sont affectés aux communications des délégués du personnel et du CE.

Les syndicats

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Un spamming syndical peut être assimilé à une distribution de tracts en dehors des horaires déterminés par le Code du travail (entrées et sorties uniquement), et donc interdit. (sauf accord avec la Direction, voir la fin du chapitre) En revanche un échange de messages entre un délégué syndical et un salarié, à l’occasion d’une affaire concernant le dit salarié ne saurait être interdit par l’employeur. Les délégués syndicaux et les institutions représentatives doivent respecter les droits des tiers, comme tous les autres salariés de l’entreprise Ne pas utiliser la messagerie : • Pour inciter à une infraction • Diffamer ou injurier une personne • Porter atteinte à la propriété intellectuelle • Ne pas respecter les obligations LIL ….

Les modalités des moyens: Un accord entre les sections syndicales et l’employeur L’intervention de la justice est possible en cas d’abus de l’employeur L’affichage en dehors des panneaux est illicite

Les syndicats

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

• Du fait de la liberté d’affichage, l’employeur reçoit un exemplaire des communications syndicales au moment

de leur affichage • Cette communication est obligatoire, le défaut de communication permet à l’employeur d’obtenir le retrait de

l’affichage en référé

• Aucun contrôle préalable de l’employeur et aucune procédure d’autorisation de sa part n’est possible • Seule l’action a posteriori est ouverte à l’employeur

• Procédure de référé engagée devant le tribunal de grande instance en vue d’obtenir le retrait de l’affichage

• Des sanctions disciplinaires, (jusqu’au licenciement) peuvent être prises en cas d’affichage illégal ou abusif

• Des dommages-intérêts peuvent être réclamés en cas d’affiche injurieuse • Les communications syndicales doivent rester dans la limite de l’objet de l’action syndicale

• Article L 412-8 alinéa 5

Les syndicats

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

• Les modes de communication électronique • Le Ministre de l’Emploi et de la Solidarité indique qu’à propos des réseaux de communications internes à

l’entreprise fondée sur la technologie de l’internet, il appartient aux organisations syndicales de rechercher , par voie d’accord avec l’employeur, les modalités d’ accès de la messagerie générale, et de la diffusion des messages à caractère syndical, l’Intranet ayant vocation à être strictement professionnel

• Aucune disposition ne contraint l’employeur à accorder aux organisations syndicales l’accès à ce réseau.

• La jurisprudence indique: • « il n’existe aucune raison évidente d’interdire aux salariés d’utiliser les techniques nouvelles pour

l’exercice de ce droit, l’usage d’Internet pour la communication des pensées et le opinions étant soumises aux mêmes règles que l’emploi des supports traditionnels, tels que tracts ou affiches, et la liberté d’expression trouvant d’une manière ou d’une autre ses limites dans les dispositions de la loi sur la presse ou dans l’application de la théorie de l’abus de droit ,

• Dès lors qu’il est possible de connaître les animateurs d’un site Web et de situer sans ambiguïté leurs

messages dans le cadre d’un conflit existant, • Article L 461 – 1 Code du travail

Les syndicats

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

En état actuel de la loi et de la jurisprudence :

L’employeur ne peut être contraint d’accorder un « affichage virtuel » aux délégués syndicaux et aux institutions représentatives

Si l’employeur y consent , il devra veiller à n’établir aucune discrimination entre

les différents syndicats représentés

Les syndicats

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Motivation Cupide / « mafieuse »

Ludique

Concurrentielle

Idéologique

Stratégique

Compétences

Connaissances du contexte de la cible

Temps nécessaire pour réaliser l’attaque

Moyens

La

Malveillance

Très fort(e)

Forte

Moyen(ne)

Faible

Le respect des bonnes pratiques permet toujours de limiter la faisabilité, les potentialités et impacts de la malveillance

127

La malveillance

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

PROFIL COMPÉTENCE TEMPS MOTIVATION MOYENS CONNAISSANCE

DU CONTEXTE

État ennemi ++++ ++++ ++++ Stratégique

++++ ++++

Concurrent ++++ +++ ++++ Concurrentielle

+++ +++

Pirate ++++ +++ +++ Ludique

+++ ++

Escroc (enjeu financier) +++ +++ +++ Cupide

++ +++

Stagiaire / élève ++ ++ ++ Ludique

+ ++

Membre de société de service

+++ ++ ++ Ludique /

Concurrentielle

++ ++

Casseur, « rebelle » ++ ++ +++ Ludique

Idéologique

++ +

Ancien membre du personnel

+++ + +++ Ludique

+ ++++

Membre du personnel +++ +++ + Ludique

++ ++++

« Victime innocente » + + - - ??? 128

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Le facteur humain dans la gestion du risque SSI Zoom sur la malveillance

Blocage d’un centre informatique ou de locaux métiers

Usurpation de droits

Abus de droits

Utilisation illicite de matériels

Utilisation illicite de logiciels

Reniements d’actions

Altérations de données

Vol de matériels

Vol de supports ou de documents

Récupération de supports recyclés

Traitement illicite des données

Piégeage du matériel

Saturation du système informatique / DOS

Destruction de matériel ou de support

Récupération de supports recyclés

Piégeage du logiciel Ecoute

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 130

Menaces Description Acteurs pour détecter la menace

et le risque Menaces sur les Ressources humaines

Atteinte à la disponibilité du personnel

Un évènement majeur (ex : épidémie, grève générale, occupation des locaux) empêche les gestionnaires d'application de gestion d'accéder à l’établissement site de X

RPCA + Managers

Disparition d’un collaborateur stratégique

Démission ou disparition d’une personne ou d’une équipe seule capable de gérer certaines ressources informatiques. Les conséquences peuvent être l’impossibilité de gérer correctement les ressources tant que les connaissances n’ont pas été retrouvées, ce qui peut aboutir à des dysfonctionnements des applications utilisant les ressources concernées. Exemples : 1. Départ d’une équipe non privilégiée car n’étant pas sur un domaine « en vue » et qui a pu se sentir démotivée à certains moments, et décider de tenter sa chance ailleurs. 2. Départ de spécialistes pour des conflits d’intérêts, par recherche d’emploi mieux rémunéré par exemple. 3. Départ d’un prestataire sur lequel toute l’expertise reposait.

Managers

Atteinte à la maintenabilité du SI

Une application dont la maîtrise technique est l'exclusivité d'une personne physique, n'est plus en mesure d'être correctement maintenue en cas de départ volontaire ou involontaire

Managers

Atteinte à la maintenabilité du SI

Suite à des renouvellements trop fréquents des personnels techniques et à l'absence de procédure d'exploitations certaines applications ne sont plus en capacité d'être maintenues en mode opérationnel, pouvant provoquer un arrêt total en cas de dysfonctionnement majeur.

Managers

Usurpation de droits Un membre du personnel ayant quitté l’effectif de X continue à accéder à

des applications, ses comptes d'accès n'ayant pas été supprimés.

Managers

Les menaces sur les ressources humaines

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 131

Menaces Description Acteurs pour détecter la

menace et le risque

Juridique

Utilisation de logiciels contrefaits

L’entité utilise des modules pour ses applications en licence "gratuiciel" alors que l'utilisation n'est réservée que pour un usage privé et personnel

DSI et managers

Utilisation de logiciels contrefaits

Un serveur d'application est installé avec des licences de systèmes d'exploitation ou d'applications tiers sans que les licences adéquates soient possédées par l’entité

DSI et managers

Utilisation illicite des matériels

Un collaborateur ou sous-traitant profite des accès réseaux pour naviguer sur des sites contraires aux lois

RSSI et managers

Les menaces humaines sur la conformité juridique

Physique Matériels

Blocage d’un centre informatique ou de locaux métiers

Le site (informatique et/ou utilisateur) n’est plus accessible pour les équipes qui y travaillent normalement. Exemples : 1. Blocage suite à un conflit social.

RPCA, Responsable sécurité des installations et managers

Les menaces humaines sur la sécurité physique

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 132

Menaces Description Acteurs pour détecter la menace

et le risque

Abus de droit Un membre du personnel profite de ses droits d'accès aux applications, pour modifier les données d'un personnel ou d’un client dans le but soit de le favoriser soit de le desservir

Managers et RSSI

Un utilisateur ayant accès à une application financière, profite de ses droits pour détourner des fonds

Managers

Le responsable de la gestion d'identité valide l'accès à une application hébergée nationalement pour un utilisateur qui n'est pas un ayant droit.

Managers

Un membre du personnel profite de ses droits sur les applications de gestion de clients pour consulter ou altérer des informations concernant un client

Managers

Un administrateur profite de ses droits d'accès, par exemple aux applications de gestion clients, pour modifier directement en base de données, des données clients

DSI

Un membre du personnel ayant accès à un produit de GRH, profite de ses droits pour modifier les informations d'un autre membre du personnel à des fins malveillantes ou lucratives

RH, RSSI

Un administrateur profite de ses droits d'accès, par exemple aux applications, pour altérer directement les tables de correspondances entre les numéros clients et les informations nominatives, réalisant des permutations entre des clients.

Managers

Le responsable de la gestion d'identité refuse l'accès à une application hébergée nationalement pour un utilisateur qui est un ayant droit.

DSI

Un chef de service appelle le support pour modifier une donnée de gestion verrouillée (ex : notation).

Managers

Un membre du personnel fait pression sur un administrateur de bases de données pour que ce dernier réalise une requête non prévue dans l'interface et qui altère les données en ne tenant pas compte des contraintes d'intégrité

Managers

Un administrateur réseau modifie la configuration du SSO. Plus aucun utilisateur ne peut s'authentifier

DSI

Un administrateur profite de ses droits d'accès sur le système de messagerie pour intercepter / modifier des courriers électroniques

DSI

Les menaces humaines sur le SI

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 133

Menaces Description Acteurs pour détecter la

menace et le risque

Reniement d'actions

Un membre du personnel ayant effectué une requête malveillante sur une application de gestion renie avoir effectué une telle opération prétextant un vol de compte

Managers +DSI+ RSSI

Un membre du personnel effectue par erreur une mauvaise manipulation sur une application, puis renie l'avoir effectuée

Un utilisateur externe renie des actions effectuées via une application Internet, renie ses actions et conteste les choix effectués)

Un membre du personnel utilisant un identifiant générique (non nominatif) sur une application effectue des opérations illicites puis renie les avoir effectuées rejetant la responsabilité sur d'autres personnels utilisateurs du même compte.

Un administrateur de bases de données ayant réalisé des requêtes en direct, altère par erreur un certain nombre de tables provoquant une perte d'information

Les menaces humaines sur le SI

Erreur d’utilisation

Un membre du personnel ayant directement accès à une base de données (sans passer par l'interface), réalise une mauvaise requête provoquant une perte massive de données ;

Membre du personnel + managers

Un membre du personnel réalise une extraction de données pour un partenaire institutionnel alors que l'ensemble des données transmises n'ont pas lieu d'être communiquées.

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 134

Menaces Description Acteurs pour détecter la

menace et le risque

Récupération de supports recyclés

Un matériel réseau réformé est récupéré par le constructeur (obligation de recyclage) sans que des éléments sensibles ne soient effacés (tables de routage, mots de passe,…)

Managers et DSI +RSSI

Un matériel réformé par est donné gracieusement à une association sans effacement préalable des données dont certaines sont à caractère personnel, mais également pouvant contenir des logiciels sous licence

Divulgation Un exploitant envoie par messagerie des caractéristiques d'authentification à un mauvais destinataire

Utilisateur + DSI

Erreur d’utilisation Un membre du personnel ayant réalisé une extraction sur son poste local la transfère par mégarde à l'extérieur

Managers + utilisateurs

Dysfonctionnement du matériel

Un serveur ayant été sous dimensionné par rapport à la charge induite par les applications qu'il héberge, provoque des dysfonctionnements perturbant la qualité de service (délais de stockage, blocage de la machine obligeant à un redémarrage)

DSI+RSSI

Un système de sauvegarde dysfonctionne provoquant des erreurs dans les sauvegardes ou dans les archives.

DSI + managers

Saturation du système informatique

Un attaquant ou un groupe d'attaquants réalise un déluge de requêtes fictives sur un serveur public

RSSI +DSI

Un individu malveillant insère un site de partage de fichier "pirate" (ex : Peer-to-Peer) sur le réseau saturant une grande partie de la bande passante

Destruction de matériel ou de support

Un individu ayant pénétré dans le local technique d'un établissement, détruit de manière volontaire un serveur mettant en œuvre un certain nombre d'applications, provoquant un arrêt de certaines activités)

RSSI et Responsable sécurité physique Un individu, pénètre dans le local technique d'un établissement et détruit de manière volontaire

les équipements d'interconnexion réseau permettant à l'établissement de se connecter aux applications.

Les menaces humaines sur le SI

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 135

Menaces Description Acteurs pour

détecter la menace et le risque

Perte des moyens de télécommunication

Une action de maintenance sur un serveur DNS neutralise toutes les connexions faisant appel à cette correspondance de nom

DSI +RSSI

Altération des données

Suite à une modification de la configuration DNS d'un serveur d'application ou d'un poste utilisateur, certaines applications ne peuvent plus fonctionner correctement Suite à l'utilisation de données de production à des fins de test, des transactions réelles sont en fait produites générant une perturbation de fonctionnement interne. Un pirate exploite une faille d'un serveur Internet (ex : dépassement de buffer) pour accéder à distance aux pages du site Internet et les modifier Un pirate ayant réussi grâce à une faille sur une application Internet (ex : dépassement de buffer, injection SQL) à obtenir des privilèges sur une machine, modifie ou consulte les données d'autres applications hébergées sur le même serveur Suite à l'altération d'une bande de sauvegarde, des données devant être restaurées ne sont pas disponibles

DSI + managers

Suite à une modification accidentelle ou malveillante du serveur DNS, les applications utilisant la résolution de nom ne peuvent plus fonctionner

DSI +RSSI

Un pirate exploite une faille d'une application Internet (ex : Injection SQL) afin de lancer des requêtes à distance dans les bases de données Une action de maintenance sur un serveur DNS neutralise toutes les connexions faisant appel à cette correspondance de nom Suite à une modification de la configuration DNS d'un serveur d'application ou d'un poste utilisateur, certaines applications ne peuvent plus fonctionner correctement

Les menaces humaines sur le SI

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 136

Menaces Description Acteurs pour détecter la

menace et le risque

Atteinte à la maintenabilité du SI

X ayant mutualisé les applications sur certains de ses serveurs, voit ses applications dysfonctionner suite à l'installation d'un correctif sur l'un des produits

Managers + DSI + RSSI

La perte des éléments d'authentification sur une machine ou un élément actif du réseau par les administrateurs provoque une indisponibilité en cas de problème majeur

DSI

Vol de matériel Un individu ayant accès au site de X, subtilise le portable d'un personnel qui contient des données à caractère personnel concernant des clients ou des personnels.

Utilisateurs

Un individu ayant accès à un site de X, subtilise un serveur mis au rebut. Le serveur n'était pas purgé et été stocké temporairement dans un local non protégé

DSI + RSSI

Vol de supports ou de documents

Un individu subtilise une bande de sauvegarde contenant le code d'une application contenant des mots de passe "stockés en dur" ou des mots de passe système Un individu subtilise les bandes de sauvegardes mensuelles contenant des informations sensibles (par exemple à caractère personnel)

Récupération de supports recyclés

Un fournisseur récupère en échange standard un disque dur présenté comme défectueux et contenant des données à caractère personnel client ou collaborateurs. .

Managers + RSSI

Traitement illicite des données

Un membre du personnel ayant accès à une application de gestion des clients ou de gestion des collaborateurs, génère des fichiers contenant des données à caractère personnel et les transmet à une entité commerciale à des fins de prospection

Managers

Les menaces humaines sur le SI

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 137

Menaces Description Acteurs pour détecter la

menace et le risque

Usurpation de droits

Un individu malveillant usurpe l'identité d'un ayant droit sur une application de gestion

RSSI + DSI

Piégeage du logiciel

Un administrateur réalise des requêtes malveillantes sur des bases de données afin d'altérer les informations stockées. Un membre du personnel installe dans une application des requêtes malveillantes pouvant provoquer à retardement ou à une date précise des suppressions/modifications de données Un informaticien installe un keyloger logiciel sur un poste de travail ou sur un serveur Un développeur d'application de type Web service installe une porte dérobée afin de pouvoir accéder à distance à l'application Un personnel malveillant piège logiquement le serveur DNS pour rediriger tous les flux sur un serveur DNS pirate, qui effectue de mauvaises correspondances d'adresses.

Piégeage du matériel

Un individu installe un espion de clavier (keylogger) matériel sur le poste d'un membre du personnel ou d'un personnel de direction afin de récupérer des données sensibles (ex : authentifiant de connexion)

Les menaces humaines sur le SI

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 138

Menaces Description Acteurs pour détecter la menace

et le risque Information sans garantie d’origine

Un pirate (interne ou externe) réalise une attaque de type "man in the middle" afin d'intercepter les communications sécurisées établies sur des applications Intranet ou Internet, à des fins de divulgation (informations nominatives) ou de réutilisation (éléments d'authentification)

RSSI + DSI

Un membre du personnel reçoit par messagerie électronique une demande de renseignement, par un individu se faisant passer pour la personne concernée.

Utilisateurs + managers

Un pirate réalise une opération de phishing sur un site Internet pour capturer les informations d'authentification et les utiliser à des fins malveillantes

Utilisation illicite des matériels

Un personnel malveillant utilise son accès au réseau pour y implanter un site "pirate" disponible soit en interne soit en externe (exemple : pages cachées dans un site officiel, site de phishing)

DSI + RSSI

Ecoute passive

Un individu ayant accès aux éléments actifs du réseau, insère un dispositif d'écoute afin de récupérer des éléments sensibles. Un visiteur ayant accès à une salle de réunion disposant d'une prise réseau active, connecte son portable contenant des outils d’écoute, afin d'intercepter du trafic sensible (ex : mots de passes, messagerie interne,…) Un individu, capture les communications Wifi utilisées sur le site d'un établissement afin de récupérer des informations sensibles ou de s'octroyer une connexion au dit réseau Un individu, capture les communications entre deux sites, véhiculées par voie hertzienne, afin de récupérer des informations sensibles

Les menaces humaines sur le SI

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

139

La malveillance

L’identification des menaces, notamment sur les sources de malveillances doit être une responsabilité partagée entre la SSI / la DSI et les directions métiers Le management doit jouer un rôle déterminant au quotidien dans l’identification de ces menaces et des vulnérabilités pouvant les exploiter:

Les menaces liées au facteur humain: Les vulnérabilités • L’absence de règles • La méconnaissance des règles • Le non respect des règles

État ennemi

Concurrent

Pirate

Escroc (enjeu financier)

Stagiaire / élève

Membre de société de service

Casseur, « rebelle »

Ancien membre du personnel

Membre du personnel

« Victime innocente »

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Voie Hiérarchique

Voie Fonctionnelle

Protection des DCP

Responsables hiérarchiques

Métier

Voie Fonctionnelle

Sécurité de l’information

Voie Fonctionnelle

SSI

Direction Générale

Responsable sécurité

patrimoine informationnel

RSSI

Relais métier

CPD

Relais PDCP Relais / OSSI

Comité de pilotage, d’homologations et cellule de crise

Les missions SSI • Concevoir les référentiels PGSI,

PSSI, PTS, … • Accompagner • Sensibilisation /

Responsabilisation / Formation SSI

• Conseil et assistance • aux projets si • aux analyses de risques • à l’intégration des règles

fonctionnelles • pour la validation des risques

résiduels • pour l’arbitrage

• Gérer les demande de conseil

pour arbitrage

• Gérer les demandes de dérogations

• Contrôle / Mise en conformité

• Remontée d’incidents / Gestion d’incidents

Conclusion

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Voie Hiérarchique

Voie Fonctionnelle

Protection des DCP

Responsables hiérarchiques

Métier

Voie Fonctionnelle

Sécurité de l’information

Voie Fonctionnelle

SSI

Direction Générale

Responsable sécurité

patrimoine informationnel

RSSI

Relais métier

CPD

Relais PDCP Relais / OSSI

Comité de pilotage, d’homologations et cellule de crise

LES BONNES PRATIQUES DE MANAGEMENT POUR LA SSI

1. Faire classifier les biens informationnels

2. Identifier les menaces et les risques / traiter les risques / accepter les risques résiduels

3. Demander du conseil pour arbitrage

4. Faire remonter les incidents

5. Participer à la gestion de crise et PCA

6. Connaitre et engager sa responsabilité

7. Respecter les pratiques de management pour la SSI

8. Participer au rappel des obligations, des règles et bonnes pratiques

9. Respecter les procédures demande de dérogation

10. Contrôler

Conclusion

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Voie Hiérarchique

Voie Fonctionnelle

Protection des DCP

Responsables hiérarchiques

Métier

Voie Fonctionnelle

Sécurité de l’information

Voie Fonctionnelle

SSI

Direction Générale

Responsable sécurité

patrimoine informationnel

RSSI

Relais métier

CPD

Relais PDCP Relais / OSSI

Comité de pilotage, d’homologations et cellule de crise

Conclusion

• Les obligations, responsabilités, droits et devoirs

• La classification des informations

• Les comportements généraux

• La manipulation des documents

• La manipulation des outils réseaux / serveurs / postes

La p

rise

en c

ompt

e du

fact

eur h

umai

n da

ns la

ges

tion

du ri

sque

SSI

Organisation • Lois • Formations • Méthodes • Procédures • Directives • Contrôles • Sanctions • Technologies

Engagement de responsabilité :

• Personne morale • Directions • Chefs de services • Administrateurs • Personnels • Partenaires • Sous-traitants

Relativité Valeurs et Enjeux • Potentialités • Impacts • Relativité des règles

Conclusion La prise en compte du facteur humain dans le risque SSI nécessite l’appropriation par tous de trois idées pilier