P.I.L.O.T.E

4 min de lecture

Annexe A.6 – Mesures liées aux personnes

Introduction

Le bloc A.6 – Mesures liées aux personnes regroupe les 7 contrôles de la norme ISO/IEC 27001:2022 portant sur la gestion de la sécurité du personnel.
Ces mesures concernent l’ensemble du cycle de vie des collaborateurs : avant l’embauche, pendant l’emploi et après le départ.

Elles visent à garantir que les employés, prestataires et sous-traitants disposent des compétences nécessaires, respectent leurs responsabilités, et ne deviennent pas une source de vulnérabilités par négligence, erreur ou malveillance.

La sécurité humaine est souvent le maillon faible du SMSI : l’histoire des incidents démontre que la majorité des fuites et compromissions proviennent d’erreurs humaines ou d’un manque de sensibilisation.

A.6.1 Contrôles avant l’embauche

  • Explication : L’organisation doit vérifier les antécédents, qualifications et références des candidats occupant des postes sensibles.
  • Exemple : Une société financière effectue une vérification de casier judiciaire pour les futurs administrateurs système.

Warning

Erreur fréquente : embauche rapide sans vérifications pour des profils critiques (ex. administrateurs).

  • Preuves d’audit : procédures RH, dossiers de recrutement avec preuves de vérifications.

A.6.2 Clauses contractuelles de sécurité

  • Explication : Les contrats de travail doivent inclure des engagements clairs en matière de confidentialité et de respect des politiques SSI.
  • Exemple : Une entreprise de santé impose à ses collaborateurs une clause de confidentialité sur les données patients, avec sanction disciplinaire en cas de violation.

Warning

Erreur fréquente : clause générique de confidentialité non adaptée aux spécificités sectorielles.

  • Preuves d’audit : contrats de travail, annexes SSI, clauses spécifiques.

A.6.3 Sensibilisation, éducation et formation

  • Explication : Les collaborateurs doivent suivre une formation SSI adaptée à leur rôle. Un plan de sensibilisation doit être en place et régulièrement actualisé.
  • Exemple : Une mairie organise des campagnes de phishing simulé trimestrielles, avec suivi du taux de clics.

Warning

Erreur fréquente : limiter la sensibilisation à une présentation PowerPoint annuelle.

  • Preuves d’audit : registre de participation aux formations, supports pédagogiques, statistiques de sensibilisation.

A.6.4 Responsabilités et obligations des employés

  • Explication : Les employés doivent connaître leurs responsabilités en matière de sécurité (protection des mots de passe, signalement d’incidents, respect des politiques).
  • Exemple : Un employé découvre un mail suspect et le signale immédiatement au SOC grâce à une procédure connue.

Warning

Erreur fréquente : responsabilités mentionnées uniquement dans un document jamais diffusé.

  • Preuves d’audit : chartes utilisateurs signées, procédures internes, registres d’incidents.

A.6.5 Gestion des responsabilités après le départ

  • Explication : Lorsqu’un employé quitte l’organisation, ses accès doivent être révoqués immédiatement et ses responsabilités transférées.
  • Exemple : Dans une entreprise industrielle, un départ est automatiquement notifié à l’IT via RH → compte désactivé sous 24h.

Warning

Erreur fréquente : comptes orphelins laissés actifs après départ.

  • Preuves d’audit : procédures de sortie, tickets de désactivation, liste de comptes désactivés.

A.6.6 Sanctions disciplinaires

  • Explication : L’organisation doit disposer d’un régime disciplinaire en cas de non-respect des règles de sécurité (avertissement, suspension, licenciement).
  • Exemple : Un employé sanctionné après avoir utilisé une clé USB personnelle non autorisée.

Warning

Erreur fréquente : sanctions prévues mais jamais appliquées → perte de crédibilité des règles.

  • Preuves d’audit : règlement intérieur, exemples anonymisés de sanctions.

A.6.7 Sensibilisation continue et mise à jour des compétences

  • Explication : La sensibilisation SSI doit être continue et adaptée à l’évolution des menaces. Les compétences doivent être régulièrement mises à jour.
  • Exemple : Une société de télécoms adapte ses formations suite à l’émergence des attaques par deepfake.

Warning

Erreur fréquente : ne pas actualiser les contenus de formation pendant plusieurs années.

  • Preuves d’audit : programmes de formation révisés, indicateurs de suivi, questionnaires post-formation.

Conclusion du bloc A.6 – Mesures humaines

Les mesures humaines constituent un pilier essentiel du SMSI. Même les meilleurs outils techniques échouent si les collaborateurs ne sont pas sensibilisés, formés et encadrés.

Ce bloc met en évidence que :

  • La sécurité commence avant l’embauche avec des vérifications adaptées.
  • Les contrats et chartes créent une base juridique solide.
  • La sensibilisation continue permet de réduire le facteur de risque humain.
  • La révocation immédiate des accès après un départ reste l’un des points d’audit les plus critiques.

En résumé, le bloc A.6 rappelle que la sécurité est d’abord une affaire de personnes, et que la maturité d’un SMSI se mesure aussi à la manière dont les collaborateurs sont intégrés dans la démarche de protection de l’information.

Vue Graphique