Bonjour David, Le 20/02/2024 à 10:01, David Ponzone a écrit :
Encore une fois, on va voir se pointer un raz de marée de réglementations s’abattre sur l’entreprise lambda, alors qu’on peut se demander si Viamedis avait eu le moindre audit avant de se faire trouer et piquer 33M de numéros de sécu (ils viennent seulement de mettre en place une authentification 2FA sur leur portail en utilisant la brique b2clogin.com <http://b2clogin.com/> de Azure).Et dans le questionnaire, le CAC interroge les RH sur le process départ et la gestion des conflits? Parce qu’il me semble que la majorité des fuites viennent de l’intérieur. David
En fait l'argumentation victimaire "il y a pire ailleurs" fait partie du problème : pourquoi ne pas simplement accepter qu'il y a un enjeu *moral* à protéger les données, et en conclure que qui veut la fin veut les moyens ?
Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et se retrouvent maintenant face à la loi et la sécurité. Personne ne va les plaindre. Et il n'y a pas les gentils d'un côté et les méchants de l'autre car les gentils sont déjà certifiés depuis belle lurette, il ne reste que les mauvais, c'est-à-dire ceux qui se sont fait pirater sans le dire et ceux qui sont obligés de l'avouer.
Aujourd'hui le Code de la Cybersécurité fait plus de 1 100 pages (et encore je n'ai que la 1ere édition, de 2022) et oui, il s'applique à tous nos métiers, de l'admin sys au dev ouaibe node.js en passant par tous les métiers qui utilisent le système d'information, dont les Ressources Humaines (je hais cet oxymore).
Note que les questionnaires de gestion des tierces parties sont généralement calqués sur le framework offert par ISO 27001/27002 donc oui, les questions relatives à la prise de poste, au changement de poste et à la sortie de l'organisation sont ou devraient être inclues.
(Note aussi que la norme ISO 27001 figure au programme du Master Ressources Humaines depuis une dizaine d'années maintenant. Ce n'est évidemment pas un point majeur du programme enseigné mais cela flèche assez clairement le sens de l'histoire.)
Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/>
OpenPGP_signature.asc
Description: OpenPGP digital signature
