Speaker #0Je vais te parler d'un process qui n'existe pas dans l'ISO 27001. Tu peux chercher dans le cours de 400 pages de ton bureau de certif préféré, tu ne le retrouveras pas. Tu peux chercher dans la SOA, la Statement of Applicability, tu ne la retrouveras pas. Tu peux chercher dans la norme, pareil, pas là. Je vais surtout t'expliquer comment ce process peut aussi t'aider à montrer du sérieux vis-à-vis de tes ressources internes et externes, sans faire comater tes RH. Et, on est dans Compliance Without Coma, oui ou non ? Alors même si la boîte, ou si ta boîte, ne va pas vers la certification ISO 27001, et même si elle ne fait pas d'IT du tout, ni de sécu, ce process peut malgré tout devenir une de tes forces, et non plus une faiblesse. Et c'est une belle vitrine pour ta culture d'entreprise. D'ailleurs, que fais-tu quand tu engages quelqu'un ? Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité et de gouvernance de normes ISO, sans jargon, sans lobotomie et surtout sans coma. Tu as ta checklist ? On a tous été engagés plusieurs fois, je pense, que cela soit comme job étudiant, comme salarié ou freelance, voire stagiaire, avec tous des expériences un peu différentes, non ? Et je ne te parle pas forcément de sécurité et d'IT pour le moment. Imagine que c'est toi la nouvelle recrue. On t'a promis plein de choses. Tu as finalement signé le contrat, tu es heureux. Et alors, que ton premier jour se déroule, ton badge n'est pas prêt. L'IT n'était pas au courant et n'a ni commandé ni préparé ton laptop. Ton N plus 1 est en vacances et ne rentre que dans 3 semaines. Personne pour t'accueillir et tu n'as même pas reçu ton welcome pack comme font tous les autres concurrents. Ça fait shit, genre le soufflé qui se dégonfle. Et si tout cela te titille déjà, écoute l'épisode et pense à le partager à ton service RH préféré. Et n'oublie pas de t'abonner. Alors ce petit bijou caché, c'est quoi ? C'est le JML, pour Joiner, Mover, Leaver. Il prend sa source comme un petit ruisseau juste après le screening, quand un candidat a été retenu et rejoint ton organisation. Et au fil des itérations, il deviendra un grand et long fleuve pour certains. Il te permettra d'onboarder plusieurs personnes en parallèle, de manière sécurisée, efficace, répétable et donc auditable. D'ailleurs... Toutes les boîtes pour lesquelles j'ai bossé, et ce depuis mes 16 ans avec mon premier job étudiant, encore ma dernière mission, ont en fait un process JML, mais souvent non documenté en fait. Oui, ils ont tous au moins une checklist, une checklist ou l'autre d'action. Et cette checklist est là pour quand on engage quelqu'un et elle n'est probablement pas centralisée. Ça y est, tu vois plus clair ? Tes yeux s'adaptent un peu à la lumière et... Il y a une checklist pour les documents à signer par exemple. Contrat, règlement de travail, déclaration pour les cotisations sociales, assurance, voiture de société, chèque repas ou vacances, communication de ton numéro de téléphone en cas d'urgence, abonnement internet, et j'en passe. Il y a une checklist aussi pour l'IT, avec les actifs que tu reçois, smartphone, laptop, droit d'accès, profil, etc. J'ai en fait, j'ai juste raffiné ce qui existait déjà. Mais maintenant que tu vois bien le décor, Pourquoi ne pas en profiter pour l'aligner sur les contrôles ISO 27001 ? Tu me suis toujours ? Allez, c'est parti pour quelques contrôles ISO. Je ne vais pas te les faire tous, sinon tu vas comater. Donc, comment onboardes-tu de nouvelles personnes ? Tu pourrais par exemple leur assigner des droits, leur donner les bonnes formations selon leur profil, leur attribuer les bons IT assets, revoir leurs droits. Mais là, ce n'est pas lors de l'onboarding, mais lorsqu'ils se déplacent dans l'organisation, verticalement ou horizontalement. Mais pas que. C'est en fait ce qu'il y a lieu de faire lorsqu'ils ont une sublimation percutante ou une arabesque latérale. Voir le principe de Peter. On pourrait également voir comment je m'assure qu'ils prennent connaissance des bons documents. Et là, j'ai l'ISMS Policy, le règlement de travail, et toute une série de documents qu'on doit signer lorsqu'on rentre le premier jour. Pareil lorsqu'on sort. On a dans certains cas également toute une série de documents. Donc tu vois ici je fais que le Join, mais on pourrait faire d'autres exemples. Je vais venir avec d'autres cas plus précis après. Alors, en termes de bonus, parce que là, finalement, je t'ai en fait lié des contrôles de l'annexe A parmi les 93, en termes de bonus, on pourrait regarder aussi aux clauses normatives, c'est-à-dire les clauses hors annexe A. Donc, on plonge dans les clauses 4 à 10. Mais tu ne le trouveras pas le JML, comme je t'ai dit en début de podcast. Par contre, on pourrait l'attacher à la clause compétence, 7.2, en s'assurant que les personnes en charge du JML Toutes les parties prenantes du process savent quoi faire. Le owners du process aussi, quoi. Principalement, moi, je fais ça avec des workshops pour m'assurer que tout le monde comprend bien et de temps en temps, il y a quelques petits stress tests avant l'audit. La clause 8.1, c'est la planification et le contrôle opérationnel. Donc, c'est là où tu vas formaliser le process JML comme activité de maîtrise opérationnelle. Et là, cela fait partie de mes processus de mon SMSI en général. C'est là où je mets mes fameux turtles. Tu sais, ces petites bêtes qui ont une tête, une queue, quatre pattes et qui te permettent finalement d'identifier de... cartographier tes process. D'ailleurs, je me demande si je ne ferai pas un prochain podcast rien que sur les turtles, parce que ça fait également du sens. Soit. En fait, je t'invite à prendre l'annexe A de la norme ISO, la version 2022 of course, et de regarder par toi-même quels sont les contrôles qui peuvent venir se greffer sur ton propre JML. Et ainsi, tu reparcours également les clauses 4 à 10. Et maintenant, on va parler de quelques cas pratiques Merci. d'exemples au quotidien. Le premier cas, j'ai quelqu'un qui rentre. C'est le plus simple. Je te l'ai déjà exposé. J'ai maintenant quelqu'un qui move. Donc c'est le plus simple dans le process, car c'est chaque fois du ad hoc. C'est-à-dire que je ne vais pas décrire dans le process tous les cas de figure, parce que ça dépend forcément de la personne et de ses droits d'accès. Donc faire du papier pour faire du papier, très peu pour moi. Ce n'est pas le but du podcast. Par contre, comment est-ce que je le considère, cette personne-là. Je fais un short leave et je refais un short join la plupart du temps. Short leave, la personne déplace de fonction, donc on ne va pas arrêter son contrat. Et puis, on le fait revenir, mais il avait déjà toute une série de documents qui sont toujours d'application. Est-ce qu'il doit en signer d'autres en plus ? Ah ben oui, maintenant, il hérite de tel droit. On lui fait signer autre chose. Donc, tu vois comment je fais short leave, short join. Et tout ça, ça dépend. Alors si tu as 40 personnes et que tu as... 44 figures ne les documentent pas. Fait juste du cas par cas et que c'est documenté. Alors, on a un étudiant ou un stagiaire qui, à la fin de son stage, devient employé. Pareil, c'est un short-leave et un short-join. Il va peut-être avoir des droits d'accès différents et des contrats, un contrat différent, et ainsi de suite. On a le quatrième cas de figure, un employé qui devient freelance. C'est un short-leave, short-join. Je ne vais pas le reformer sur les procédures et les... policies il connaît par contre en termes de rh et contrat de travail peut-être que maintenant il va discuter avec procurement et non plus avec rh oui et ça c'est au cas par cas je le fais exprès pour vous montrer que ça à vous à vous approprier votre propre process mais j'ai également la même chose pour quelqu'un qui a un contrat à durée déterminée et qui devient cdi envoyé short leave short join et puis on a le cas que souvent on oublie qui est le leaver, quelqu'un qui alors quand c'est quelqu'un qui part en pension c'est planifié on sait deux ans à l'avance, la personne prend ses chiffres, on engage quelqu'un pour le remplacer, qui va former ça c'est géré en général calquis de son plein gré aussi en général c'est bien géré, mais il ne faut pas oublier du coup de déstacker tout ce qu'on avait fait je lui ai donné un IT Asset, il doit me retourner les IT Asset, je lui avais fait signer un IE, par exemple me réassure qu'il a bien compris la portée de la NDA et pour encore combien de temps il doit maintenir les choses confidentielles. Et ainsi de suite. Ça peut se faire via un interview de sortie. L'ISO ne t'oblige pas à faire ça, l'interview de sortie, mais à toi de voir, de nouveau. Je donne plein de keys, en fait. Donc, il quitte de son plein gré, il quitte et part à la concurrence et ne te le dit pas. Tu vois que le risque n'est pas le même, mais tu ne sauras pas qui part à la concurrence. Donc, tu as intérêt à avoir un process... Il met tout d'équerre au moment où tu arrêtes avec la personne. Et puis j'ai vu dans certains cas où la personne prestait son préavis, et donc il a encore le temps de te facociter toute une série de choses pour aller après la concurrence, ou dans d'autres cas, le risque était refusé, et le comité de direction avait dit non, non, on paye le préavis de la personne, mais il reste chez lui, et on récupère tous les assets. À toi de voir. Et le dernier cas de figure, et non le moindre, c'est la personne qui a été licenciée pour faute grave. Là, tu vas réappliquer ton JML, mais peut-être pas dans le même ordre. C'est-à-dire que tu vas peut-être couper les accès en premier. Et après, tu lui rappelles toute une série de choses. Là aussi, je te laisse voir avec ton RH, parce que je suis persuadé qu'ils ont ça. Tu vas voir, en fait, mon JML, c'est juste un process qui fait la glu entre tout ça et qui va montrer et monter ta maîtrise opérationnelle de ton process. Et est-ce que tu sais comment je contrôle sa conformité ? Parce que c'est bien d'avoir un contrôle. Mais un procès, c'est un contrôle. J'ai un contrôle honneur. Je dois avoir des KPI, des indicateurs. Je dois mesurer. Je dois mesurer les écarts. Comment est-ce que je fais ? Tu te rappelles du SAB, mon fameux comité de sécurité. C'est mon Security Advisory Board. Je mets un Compliance Check dedans pour vérifier de mois en mois que cela tourne et qu'on est bien conforme avec ce qu'on dit. Et surtout, ça me permet de faire grandir ce petit ruisseau en un grand fleuve. Pas toujours tranquille, mais bon, on avance. Et qui permet au fil du temps, finalement, d'améliorer le process, de se dire, tiens, on a oublié ça, on va le rajouter. Tiens, maintenant, on fait comme ça. Est-ce qu'il ne faudrait pas revoir ? Donc là, comme j'ai un sabre en général une fois par mois, là aussi, il n'y a pas d'obligation de le faire une fois par mois, mais soit, j'ai au moins 12 opportunités de faire tourner mon process et de checker. Plus les audits internes, plus le drill des équipes avant l'audit interne pour voir si tout est d'équerre, mais je le sais en général parce que ça a déjà tourné 10 fois ou 12 fois, tu vois. Donc, c'est comme ça que je contrôle. Et s'il y a des écarts, on remonte les écarts au comité de direction, ou on prend des actions nous-mêmes, ou on améliore. Donc tu vois en fait que l'audit, c'est simple. Je dis ce que je fais, et je fais ce que je dis. Et moi je vais même plus loin. Je fais ce qui est écrit dans les documents. Et quand tu as compris cela, tu comprends qu'il ne faut pas forcément aller faire des choses bien compliquées, qui te donneront pour sûr un mal de crâne. Donc on arrive à la conclusion. Alors, je t'ai parlé CQ. ou simplement de bon sens, à ton avis. Tu ne le vois peut-être pas encore, mais au départ, ce n'est qu'une bonne checklist pour démarrer, qui ne fera que grossir, recrutement après recrutement. C'est normal, c'est le PDCA qui rentre, le Plain-de-Doux-Checks Act. Et son amélioration continue, continue. Et j'espère que tu parviendras par maîtriser tout ça. En tout cas, j'espère que j'ai pu aligner ton RSSI ou ton CISO avec tes RH. car, je ne te le cache pas, je ne sais plus combien de fois, j'ai entendu et j'entends encore que les RH ne font pas partie de sécurité informatique. Effectivement, elles font partie de la sécurité de l'information, et je viens de te le prouver, une fois de plus. Donc si jamais tu n'étais pas, je veux dire, encore convaincu par le process JML, en résumé, je peux te dire que cela renforce ta sécurité, améliore ta conformité et ton auditabilité, c'est plus simple. améliore ton efficacité opérationnelle, si tu es fainéant comme moi, protège tes données, démontre une bonne gouvernance, et c'est très agile en cas de changement. Et si cet épisode t'a plu, n'oublie pas de liker, t'abonner, commenter, partager avec ta RH préférée. Pour faire travailler un peu l'algo de ton application de podcast préférée, et de m'aider, n'oublie pas également à liker et à diffuser et à partager. Et ça me permet de continuer à pousser un peu plus chaque semaine le podcast vers le haut. A vendredi prochain déjà pour un nouvel épisode. Bye.
