Home » Non classé

Category Archives: Non classé

RGPD – La loi Française enfin publiée le 20 Juin 2018

Après une « étrange » et longue bataille juridique et un recours des sénateurs d’opposition auprès du Conseil Constitutionnel, la loi Française sur la protection des données personnelles, alignée sur le règlement européen connu sous le nom de RGPD (GDPR) a enfin été promulguée le 20 juin 2018, soit près d’un mois après la date d’entrée en vigueur du RGPD. Alors que contient cette loi? Pourquoi une aussi longue bataille pour obtenir sa promulgation? Pourquoi est-il si difficile pour la France et les Français de s’aligner sur les lois et réglementations internationales?

RGPD - La loi Française sur la protection des données personnelles publiée le 20 Juin 2018
Crédits © Sondem

La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi « Informatique et libertés » du 6 janvier 1978 au règlement général sur la protection des données (RGPD) du 27 avril 2016, directement applicable dans tous les pays européens au 25 mai 2018.

La loi du 20 juin 2018 modifie la loi « informatique et libertés » de 1978 pour la mettre en conformité avec le RGPD. Notamment, sont concernés les pouvoirs et missions de la CNIL et l’élargissement des données sensibles. Elle tire également  parti des marges de manœuvre permises par le RGPD : majorité numérique, etc.. Enfin, elle s’aligne à une directive européenne publiée également le 27 avril 2016 sur les fichiers en matière pénale, dite directive « police justice ».

Adaptation du rôle de la CNIL et de ses pouvoirs de contrôle et de sanction

La composition, les missions et les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) sont modifiés.

L’évolution des missions de la CNIL

Le RGPD introduit une nouvelle logique de responsabilisation et d’accompagnement des acteurs traitant des données personnelles (entreprises, administrations, etc.). Les missions de la CNIL évoluent donc afin de les adapter à cette nouvelle logique. En contrepartie, les formalités préalables auprès de la CNIL prévues dans la loi de 1978 sont quasiment toutes supprimées.

En outre, et en complément des missions qu’elle exerce déjà, la CNIL est désormais chargée :

  • d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
  • de produire et de publier des règlements types afin d’assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé ;
  • d’encourager l’élaboration de codes de conduite par les acteurs traitant des données ;
  • de certifier des personnes, des produits, des systèmes de données ou des procédures ;
  • de lister les fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés fondamentales des personnes.

Un rôle de conseil

Dans l’exercice de ses missions, la CNIL doit désormais prendre en compte les besoins propres des collectivités locales. Or, parmi elles, beaucoup s’inquiètent des nouvelles règles européennes. Pour les aider, la CNIL a publié sur son site internet un certain nombre de pages qui leur sont dédiées. La loi prévoit que les petites et moyennes entreprises (TPE-PME) doivent également faire l’objet d’un accompagnement personnalisé. A cet égard, la CNIL, en partenariat avec Bpifrance, a d’ores et déjà publié un guide pratique les sensibilisant au RGPD.

Un rôle consultatif vis à vis du parlement

Toujours au titre de ses missions, la CNIL peut désormais être consultée sur toute proposition de loi portant sur la protection des données personnelles par les présidents ou les commissions compétentes de l’Assemblée nationale ou du Sénat et par les présidents des groupes parlementaires.

Renforcement des pouvoirs de la CNIL en matière de contrôle et de sanction

Pouvoirs de contrôle étendus

Les pouvoirs de contrôle de la CNIL sont précisés et étendus par la loi. La nature des locaux que ses agents peuvent visiter et les conditions dans lesquelles le secret professionnel, notamment médical, peut leur être opposé sont redéfinies. De plus, pour les contrôles en ligne, ses agents peuvent dorénavant recourir à une identité d’emprunt.

Plusieurs articles de la loi sont également consacrés à la procédure de coopération entre la CNIL et les autres autorités de protection européennes en cas de traitements transnationaux (touchant des personnes de plusieurs pays européens). Le RGPD pose, en effet, de nouvelles règles en la matière. L’objectif est d‘apporter une réponse unique en cas d’atteinte au droit à la vie privée des citoyens de plusieurs pays européens. La récente affaire Cambridge Analytica-Facebook est, à cet égard, une illustration.

Pouvoirs de sanction adaptés

Les pouvoirs de sanction de la CNIL sont adaptés. De nouvelles sanctions, comme le prononcé d’une astreinte ou le retrait d’une certification ou d’un agrément, sont prévues en cas de violation des règles sur la protection des données personnelles. En outre, le montant des amendes administratives est très fortement augmenté. Elles sont désormais alignées sur le RGPD et peuvent aller jusqu’à 20 Millions d’Euros ou 4% du CA mondial annuel. Ces astreintes et amendes concernent autant les entreprises que les collectivités locales et les associations, qu’elles soient responsables d’un traitement ou sous-traitants. Seul l’État en est dispensé.

Lors de la discussion du projet de loi, le Sénat voulait exempter les collectivités locales des sanctions financières. Il souhaitait également que leur produit serve à financer l’accompagnement par l’État des responsables de traitement et de leurs sous-traitants. Il a, de plus, proposé la création d’une dotation communale et intercommunale afin d’aider les collectivités à se mettre en conformité avec le RGPD. Cette mise en conformité va, en effet, avoir un coût budgétaire pour les petites collectivités. Toutefois, ces amendements ont tous été rejetés. Néanmoins, à la demande des sénateurs, la mutualisation des services numériques entre les collectivités et leurs groupements est facilitée. Les communes peuvent, en particulier, se doter d’un délégué à la protection des données commun. Cette disposition est totalement en ligne avec le RGPD qui ne mentionnait rien à cet égard.

La CNIL a-t-elle les moyens d’exercer sa mission?

Pour assurer la bonne application du RGPD, la CNIL a clairement besoin de ressources. La présidente de la CNIL, Isabelle Falque-Pierrotin, a d’ores et déjà demandé aux pouvoirs publics plus de moyens humains. Ceux-ci seront discutés dans le cadre de la prochaine loi de finances. La CNIL emploie actuellement 200 personnes. Ce chiffre est à comparer avec ceux des autorités de protection comparables. Celles-ci comptent en général 500 ou 700 collaborateurs (comme au Royaume-Uni et en Allemagne).

Renforcement de la protection des données personnelles sensibles

Conformément au RGPD, le champ des données sensibles (sur l’origine raciale, les opinions politiques, etc.) est étendu aux données génétiques et biométriques ainsi qu’aux données relatives à l’orientation sexuelle d’une personne. En principe, ces données ne peuvent pas faire l’objet d’un traitement en raison de leur nature même.

Des dérogations à cette interdiction sont toutefois prévues par le droit européen. C’est le cas en matière de sécurité sociale ou si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques, etc.. La loi du 20 juin 2018 ajoute d’autres dérogations. Sont notamment permis les traitements de données biométriques (empreintes digitales, etc.) strictement nécessaires aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail. Sont de même autorisés les traitements portant sur la réutilisation d’informations figurant dans les décisions de justice diffusées dans le cadre de l’open data.

Les marges de manoeuvre permises et prévues par le RGPD

Le RGPD, bien que d’application directe, contient plus d’une cinquantaine de marges de manœuvre autorisant les États membres à préciser certaines dispositions. La plupart d’entre elles ont été utilisées pour conserver des dispositions qui existaient déjà dans la loi de 1978. La loi du 20 juin 2018 n’aménage que quelques points, afin notamment de répondre aux évolutions technologiques et sociétales.

Des formalités préalables maintenues pour certains traitements

Les formalités préalables (autorisations ou déclarations) auprès de la CNIL sont quasiment toutes supprimées. La loi en maintient cependant quelques une, comme prévu par le RGPD, pour certains traitements. Sont concernés les traitements :

  • comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, sauf exceptions ;
  • de données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes mis en œuvre pour le compte de l’État ;
  • qui intéressent la sûreté de l’État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
  • de données de santé se justifiant par une finalité d’intérêt public (sécurité des médicaments, etc.).

Catégories particulières de traitement

Plusieurs dispositions de la loi sont consacrées à des catégories particulières de traitements. Sont notamment visés les traitements de données de santé, qui font l’objet d’un régime spécifique.

Sont aussi concernés les traitements de données sur les infractions, condamnations ou mesures de sûreté connexes (hors champ de la directive c’est-à-dire à d’autres fins que la prévention et la répression des infractions). Ces traitements peuvent dorénavant être effectués par une liste élargie de personnes. Citons par exemple les associations d’aide aux victimes ou de réinsertion ou des personnes mises en cause ou victimes dans une procédure pénale. En revanche, le Conseil Constitutionnel, saisi par des sénateurs Les républicains, a déclaré anticonstitutionnel l’élargissement de la mise en œuvre des tels traitements « sous le contrôle de l’autorité publique » (comme l’hébergement des données sur un serveur). Cette formulation, pourtant reprise du RGPD, a été jugée insuffisamment précise.

Droits des personnes concernées

Sur ce point encore, la loi utilise les marges de souplesse permises par le RGPD.

Protection des données personnelles concernant les enfants

Elle fixe à 15 ans la majorité numérique, c’est-à-dire l’âge à partir duquel un enfant peut consentir seul au traitement de ses données, typiquement sur les réseaux sociaux. Le gouvernement et les sénateurs souhaitaient retenir le seuil de 16 ans. C’est l’âge du consentement fixé par défaut par le RGPD. Le texte a toutefois laissé aux États la possibilité de l’abaisser jusqu’à 13 ans. C’est donc dans ce cadre que les députés ont voté l’âge de la majorité numérique à 15 ans.

Recours à des décisions individuelles automatisées

La loi ouvre, par ailleurs, plus largement la possibilité pour l’administration de recourir à des décisions individuelles automatisées. Les décisions fondées exclusivement sur un algorithme ne sont plus interdites. Néanmoins, de nouvelles garanties sont données aux administrés : droits à l’information et à l’explication (déjà consacrés par la loi pour une République numérique de 2016), droit à recours avec une intervention humaine a posteriori, obligation pour l’administration de maîtriser l’algorithme et ses évolutions (prohibition des algorithmes auto-apprenants), interdiction d’utiliser des données sensibles.

Sur ce point les deux chambres étaient à nouveau en désaccord. Les sénateurs souhaitaient encadrer plus strictement l’usage des algorithmes par l’administration. Ils demandaient aussi la transparence des algorithmes utilisés par les universités dans le cadre de Parcoursup. Or cette transparence est exclue par la loi « orientation et réussite des élèves » du 8 mars 2018). Les propositions du Sénat ont été rejetées. Cependant, sur amendement du gouvernement, le fonctionnement de Parcoursup fera l’objet, chaque année, d’un rapport au Parlement.

Dans sa décision du 12 juin 2018, le Conseil constitutionnel a jugé conforme à la Constitution les nouvelles règles régissant l’emploi des algorithmes par l’administration. Il considère que « le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme ».

Traitement des données scolaires

La loi oblige aussi les établissements publics des premier et second degrés à rendre public, à partir de la rentrée 2018, le registre de leurs traitements de données scolaires. Il s’agit entre autres de permettre aux parents d’élèves de savoir comment les données de leurs enfants sont traitées.

Actions de groupe

Les actions de groupe, déjà autorisées depuis fin 2016 pour faire cesser en justice un manquement par un responsable de traitement ou un sous-traitant, sont étendues à la réparation des préjudices matériels et moraux subis en cas de violation des données personnelles.

En vertu du RGPD, les citoyens peuvent aussi se faire représenter par les associations ou organismes actifs dans le domaine de la protection des données personnelles pour exercer en leur nom une réclamation auprès de la CNIL, un recours juridictionnel contre la CNIL ou contre le responsable du traitement ou sous-traitant.

Récemment, l’association La Quadrature du Net a déposé une réclamation collective auprès de la CNIL. Elle est dirigée contre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft). L’association estime, en effet, que ces derniers ne respectent pas le RGPD sur le consentement « libre et éclairé » des internautes.

Le libre choix de ses applications sur smartphone

Cette disposition est issue de l’amendement « Bothorel », du nom du député qui l’a porté. Aujourd’hui, la quasi-totalité des smartphones vendus en France et en Europe sont équipés d’un système d’exploitation mobile iOS ou Android. Ces systèmes sont imposés ainsi que le moteur de recherche par défaut (souvent Google). Il n’y a donc pas de consentement véritable des utilisateurs. La loi oblige désormais les fabricants ou distributeurs de smartphones à proposer aux consommateurs plus de choix dans les applications. L’objectif est de faire un peu plus de place aux navigateurs web et moteurs de recherche « alternatifs ». Ceux-ci sont parfois plus respectueux de la protection des données personnelles de leurs utilisateurs (par ex. Qwant en France).

La transposition de la directive « police »

Enfin, la loi du 20 juin 2018 transpose la directive du 27 avril 2016 dite « police – justice ». Celle-ci harmonise le régime des traitements à finalité pénale. Il est clairement fait référence aux fichiers de police et de justice comme le fichier national des empreintes génétiques. Par contre, les fichiers de renseignement sont exclus.

Un droit à l’information est en particulier créé pour les personnes fichées en matière pénale. Ces dernières peuvent aussi désormais exercer de façon directe leur droit d’accès auprès du responsable du traitement (sauf exceptions). Elles peuvent ensuite demander la rectification des données les concernant, voire leur effacement.

Les autorités publiques doivent, par ailleurs, respecter un certain nombre d’obligations. Parmi celles-ci, citons la production d’une analyse d’impact pour les données sensibles, la tenue d’un registre des activités du traitement et d’un journal pour certaines opérations de traitement, la désignation d’un délégué à la protection des données, la communication de toute violation de données à la CNIL et à la personne concernée, etc.

De nouvelles règles sur les transferts de données personnelles vers les autorités judiciaires et les forces de l’ordre des pays hors Union européenne sont également posées.

 

Cyber-sécurité vs cyber-résilience

On entend de plus en plus parler de cyber-sécurité et de cyber-résilience. Mais au final, qu’est-ce qui se cache derrière ces termes compliqués pour le commun des mortels ? C’est ce que nous allons essayer d’expliquer au travers de cet article.


cyber-curité vs cyber-résilience

Sécurité ou Résilience ? De quoi parlons-nous ?

Sous l’administration Obama, les décisions prises par la Maison Blanche en matière de sécurité nationale portent le nom de Directives Politiques Présidentielles (Presidential Policy Directives – PPD). La PPD 21 publiée en 2013 porte sur la sécurité et la résilience des infrastructures critiques et définit les contraintes à respecter dans ce domaine par l’ensemble des acteurs impactant la société américaine.

Cette directive, qui peut être vue comme une référence en la matière définit les termes suivants :

La sécurité consiste à réduire le risque pour les infrastructures par des moyens physiques ou mesures de cyber-défense à des intrusions, les attaques ou les effets des catastrophes naturelles ou causées par l’homme.

Exemples de mesures de sécurité:

  • Badge aux portes d’entrée
  • Utiliser un logiciel antivirus
  • Clôture autour des bâtiments
  • Verrouillage des écrans d’ordinateur

La résilience est la capacité à préparer et à s’adapter à des conditions changeantes, de résister et de récupérer rapidement suite à des perturbations subies. La résilience comprend la capacité de résister et de se remettre d’attaques délibérées, d’accidents, ou de catastrophes naturelles ou encore d’incidents.

Exemples de mesures de résilience:

  • Élaboration d’un plan de continuité d’activité
  • Prévoir un générateur électrique de secours
  • Utilisation de matériaux de construction durables

Le préfixe Cyber, pour sa part fait référence à toutes les techniques liées à la société du numérique et notamment à l’informatique et à l’internet.

On pourrait donc résumer de la façon suivante :

la cyber-sécurité consiste à réduire les risques d’intrusion, d’attaques ou les effets de catastrophes naturelles ou causées par l’homme dans le cadre de l’utilisation des moyens informatiques et de communication,

alors que

la cyber-résilience est la capacité à se préparer et s’adapter à des conditions en perpétuelle évolution ainsi qu’à récupérer rapidement ses capacités suite à des attaques délibérées, des accidents, des catastrophes naturelles ou encore des incidents dans le cadre de l’utilisation de moyens informatiques et de communication.

 Des différences essentielles

Il résulte de ces deux définitions que le périmètre de cyber-sécurité couvre essentiellement la réduction des risques et la résolution des incidents de sécurité de l’information alors que la cyber-résilience est beaucoup plus large et couvre à la fois la préparation à subir des attaques (prévention) et par dessus tout à pouvoir continuer et reprendre une activité business normale (correction) très rapidement suite à une attaque, une catastrophe naturelle ou des incidents liés à la sécurité de l’information.

La sécurité n’est-elle donc pas suffisante en soi?

La réponse est clairement négative. La sécurité vise à prévenir les incidents de sécurité et à gérer ces incidents mais ne prépare pas l’Organisation à faire face aux conséquences d’une cyber-attaque et à récupérer ses aptitudes à créer de la valeur après en avoir été la victime.

Pouvons-nous utiliser les mêmes référentiels et normes ?

Là encore la réponse est négative, du moins en partie. La cyber-sécurité pouvant être vue comme un sous ensemble de la cyber-résilience, il est clair que les référentiels et normes en matière de sécurité constitueront une première étape mais il convient d’élargir très sensiblement le périmètre pour couvrir les aspects de cyber-résilience.

Quelques exemples des normes et de référentiels :


Sécurité :

  • ISO 27001 – Systèmes de Management de la sécurité de l’information – Exigences
  • ISO 27002 – Code de bonne pratique pour le management de la sécurité de l’information

Cyber-résilience :

  • RESILIA – Bonnes pratiques de Cyber-Résilience
  • ISO 22301 – Systèmes de management de la continuité d’activité – Exigences

Cyber-résilience: un enjeu majeur pour les organisations

La cyber-résilience vise à gérer la sécurité en adoptant une approche globale impliquant à la fois les individus, les processus et la technologie. Elle impose une méthodologie à la fois solide et évolutive de gestion, d’analyse et d’optimisation des risques. Elle se pose comme le meilleur garant du capital informationnel des entreprises, organisations, états et individus. La cyber-résilience s’appuie sur cinq piliers que sont la préparation/ l’identification, la protection, la détection, la résolution des problèmes et la récupération. Dans cette approche, il est donc essentiel de se poser les bonnes questions, d’adopter les bonnes mesures et de les réévaluer à un rythme régulier et de façon pragmatique, afin de gérer au mieux les cyber-risques.

Dès lors que les entreprises ont compris que les cyber-attaques les affecteront tôt ou tard, indépendamment des efforts de prévention qu’elles auront mis en oeuvre et seront couronnées de succès, elles peuvent passer à l’étape suivante: la conception et l’implémentation d’un Programme de Cyber-Résilience (PCR). Un PCR englobe bien sûr les concepts de défense et de prévention, mais va au-delà de ces mesures pour mettre l’accent sur la réponse et la résilience de l’organisation dans les moments de crise.

Un PCR robuste implique:

  • La définition des risques d’entreprise. Oubliez la « liste de contrôle de conformité ». Oubliez les règlementations qui régissent votre secteur d’activité pendant un moment. Il suffit de regarder votre entreprise. Au lieu de vous concentrer sur les entrées, focalisez votre attention sur les résultats. Dans le cas d’une cyber-attaque, quelles conséquences seront supportables par l’Organisation? Qu’est-ce qui vous tuera? Cela vous indiquera ce que vos «joyaux de la couronne » sont … et où vous avez besoin d’investir du temps et des ressources.
  • Le développement d’une politique de sécurité. Comme nous le disions, la cyber–résilience inclut la cyber-sécurité. Mais la sécurité se concentre désormais très directement sur les menaces pesant sur vos actifs clés (y compris les personnes, les processus et la technologie qui sont connectés à, ou ont accès à ces actifs), et sur les contrôles qui peuvent atténuer ces menaces.
  • Délimiter un plan de cyber-relance. Que ferez-vous pour assurer la priorisation, l’agilité et l’adaptabilité face à une cyber-attaque réussie? Votre plan doit être précis, complet et rigoureux. Lorsque l’attaque aura eu lieu, il sera beaucoup trop tard pour y penser.
  • La détermination d’un programme régulier de test. C’est la pratique qui rend parfait … donc mettez régulièrement votre plan de cyber-reprise à l’épreuve pour vous assurer que vous avez bien mis en place et pouvez compter sur la cyber-résilience dont vous avez besoin. Et testez bien vos comportements de sécurité au fur et à mesure que l’environnement évolue. Ils doivent suivre cette évolution.

Les entreprises doivent absolument accepter ce changement de paradigme qui consiste à passer de la cyber-sécurité à la cyber-résilience et d’en tirer des avantages stratégiques. Cela signifie focaliser l’énergie et des ressources sur les cyber-risques qui vraiment pourraient générer un impact sur l’entreprise, et sur les mesures qui fourniront des idées et des avertissements au sujet de ces risques.

L’impact business de la cyber-résilience

Passer d’une vision purement basée sur la cyber-sécurité à une vision de cyber-résilience exige trois changements clés dans l’entreprise:

  • Perspective. Passer du « Comment ? » au « Quoi ? ». Au lieu de se demander: «Avons-nous telle ou telle mesure de sécurité en place? », Les chefs d’entreprise ont besoin d’en savoir davantage sur leurs actifs et la façon dont ils sont protégés.
  • Budget. Trouver le bon équilibre entre le coût et les risques. Traiter tous les actifs et tous les risques à égalité n’est jamais rentable. Les chefs d’entreprise ont besoin de pondérer des budgets informatiques limités pour protéger leurs actifs les plus importants avec la plus grande rigueur.
  • Attentes. Les temps où on demandait des niveaux de 100% en matière de cyber-sécurité sont révolus. Les chefs d’entreprise ont besoin d’être préparés, d’anticiper les failles et les attaques, et d’avoir un plan pour limiter les impacts sur la la réputation, les finances et les opérations de l’Organisation.

Cette évolution permettra d’aligner les dépenses liées à la cyber-résilience avec les priorités des entreprises, de maximiser le retour sur investissement et de réduire les risques ciblés.

Des partenariats sont absolument nécessaires

Les entreprises trouveront difficile de faire la transition vers la cyber-résilience par elles-mêmes. Un consultant indépendant qui peut tirer parti d’une expérience terrain auprès d’autres Organisations et des meilleures pratiques du marché peut être un atout précieux. Un tel partenaire stratégique peut alors agir comme une extension de votre équipe informatique et de sécurité, en s’appuyant sur des processus et des outils avancés pour assurer à la fois la cyber-sécurité et la résilience contre la cybercriminalité.

Avec un partenaire de confiance, vous serez dans une position forte pour créer une stratégie et un plan exécutable qui vous permettront d’améliorer votre sécurité. Mais n’acceptez jamais des solutions toutes faites sorties d’un catalogue et soyez exigeant sur les références et accréditation par des organisations internationales de vos partenaires. Ils doivent vous apporter des conseils fiables et objectifs pour établir une relation de confiance et réduire votre risque.

La gouvernance au coeur des projets

Qu’entend-on par « Gouvernance »?

gouvernance projetsLe terme gouvernance renvoie aux actions de gouverner, de donner la direction ou encore de contrôler.

Définir une gouvernance implique de décrire le mode de management et le cadre organisationnel à appliquer. L’objectif est d’identifier clairement les rôles et les responsabilités des acteurs de manière à assurer le bon déroulement, la continuité et la pérennité des activités.

Au niveau des projets lancés au sein de la structure, la gouvernance englobe principalement les sujets inhérents aux activités de pilotage des projets

Autrement dit, on cherche à résoudre à travers la notion de gouvernance l’éternelle problématique de la circulation efficace de l’information et de la prise de décisions au sein d’un projet. Une gouvernance efficace doit donc permettre à l’Organisation que seuls les projets viables et rentables sont réalisés, aux chefs de projet une remontée rapide des alertes et des besoins d’arbitrage et aux décideurs une prise de décision aisée sur la base d’informations claires, fiables, exhaustives et régulières.

La gouvernance doit également s’assurer que les risques inhérents aux projets sont sous contrôle, que la conformité réglementaire et légale est assurée pour les projets de l’entreprise et que la transparence requise est bien fournie à toutes les parties prenantes.

Pourquoi une gouvernance pour les projets?

La réalisation d’un projet implique la gestion de nombreux éléments :

  • les prises de décisions
  • le choix des partenaires et celui des stratégies à mettre en place
  • la mise en œuvre et la réalisation d’activités quotidiennes
  • la collecte de données
  • la création de contenu
  • la coordination des ressources humaines, les choix technologiques
  • l’achat de matériel et de logiciels
  • le financement
  • l’évaluation des résultats, etc.

La complexité et l’envergure de cette gestion peuvent parfois provoquer des conflits et être source de malentendus. Afin d’assurer une gestion harmonieuse, il est préférable de prévoir à l’avance des mécanismes de gouvernance qui orientent, guident et définissent la coordination du projet.

Comment implémenter une gouvernance efficace?

Une des premières questions à se poser consiste à savoir si le projet identifié contribue efficacement à la vision et à la mission de l’Organisation telle que définie par son conseil d’administration. Ensuite  il convient de définir comment on veut gouverner ce projet. Déterminer au plus tôt la gouvernance d’un projet est structurant pour son bon déroulement. Car, la réussite d’un projet ne se limite pas à la fourniture d’une solution répondant au besoin mais inclut également le respect du cadre initialement délimité en termes de délais, de coûts et de qualité ce qui nécessite un suivi sérieux et régulier.

La question qui se pose est la suivante : existe-il une approche standard ? Un modèle de gouvernance unique applicable dans tous les cas? La réponse est non. Etant donné que chaque projet est différent et correspond à un concept unique, le type de gouvernance ne peut être le même.

Le rôle des conducteurs de travaux et des chefs de projets est justement de trouver la solution sur-mesure. Par ailleurs, la gouvernance retenue pour le projet peut être amenée à évoluer. Elle doit être revisitée lorsque cela s’avère nécessaire. Définir une gouvernance s’inscrit donc dans un cycle d’amélioration continue.

Sept piliers pour la gouvernance des projets

1. Comment clarifier et communiquer les objectifs du projet?

Le cas d’affaire constitue la base de la définition des objectifs de tout projet. C’est sur la base de ce document essentiel que l’Organisation se basera pour déterminer si les projet correspond bien à la stratégie globale et contribuera de façon efficace et efficiente à satisfaire les besoins des parties prenantes. Le cas d’affaire restera, durant toute la durée du projet, jusqu’à sa clôture, le document de référence permettant d’évaluer si le projet reste viable et nécessaire et le cas échéant permettra à la Direction de l’Entreprise d’clôturer le projet de façon anticipée si celui-ci n’a plus rien à apporter à la stratégie globale.

2. Quelle méthodologie de gestion de projet utiliser?

Il est important, si aucune méthodologie de gestion de projet n’est retenue pour tous les projets d’Entreprise, d’en choisir une qui réponde aux besoins de l’Organisation. Les question auxquelles il convient de répondre sont les suivantes :

  • Quel est le niveau de familiarisation de l’équipe et particulièrement du chef de projet avec les méthodologies du marché?
  • Quelle est l’expérience du chef de projet en matière de gestion de projets?
  • Quel est le contexte de l’entreprise en terme de management (réactif vs proactif, aptitude à planifier, management par exception ou micro-management, aptitude à déléguer, etc.)?
  • Quelle est le contexte Business de l’Organisation (changements rapides et besoin de réactivité important ou changements plus planifiés dans le temps)?

Sur le marché, il existe deux grands référentiels de management de projets: PMP® et PRINCE2®. Sur ces deux méthodologies majeures, viennent se greffer des méthodes « Agiles » (PRINCE2® Agile, …).

3. Quelles structures de contrôle et de décision?

Le projet doit se doter d’instances de pilotage. Ces instances doivent en particulier servir pour arbitrer quand nécessaire, obtenir des ressources complémentaires etc…

Si les propositions de gouvernance peuvent venir du chef de projet, leur mise en place ne peut se faire sans le sponsor du projet, seul autorisé à inviter des dirigeants en comité de pilotage.

4. Quelles qualités attendre des membres de l’équipe?

Les qualités de savoir-être des membres de l’équipe sont très importantes pour la réussite d’un projet et notamment celles du chef de projet dont les aptitudes suivantes sont clés :

  • Sens de l’écoute
  • Habilité à la négociation et diplomatie
  • Gestion d’équipe
  • Autonomie et organisation
  • Résistance au stress
  • Disponibilité
  • Capacité à communiquer
  • Capacité à déléguer

5. Quel type de reporting mettre en place?

Le reporting doit permettre aux instances dirigeantes de l’organisation de comprendre le statut actuel du projet en quelques lignes.  S’il est trop long vous aurez du mal à cerner l’essentiel du contenu.

Ce dont vous avez besoin c’est celui que vous avez le temps de lire, celui qui prend 1h par semaine à votre chef de projet, celui de 10 slides en compil mensuelle et de 10 lignes sur un mail hebdomadaire.

6. Quels outils utiliser pour gérer les projets?

La gestion d’un projet nécessite au quotidien, pour le chef de projet, d’avoir à sa disposition l’ensemble des informations à jour sur l’avancement du projet pour pouvoir prendre les décisions qui s’imposent et, éventuellement, en cas d’anomalie importante, d’escalader une requête au Comité de Pilotage en charge de diriger le projet. Pour ce faire il convient de choisir les outils adaptés à la taille du projet et de s’assurer que l’ensemble des membres de l’équipe projet seront autonomes dans leur utilisation.

7. Quelles sont les compétences requises pour réaliser le projet?

Le choix du chef de projet, en particulier est un choix difficile et lourd car il sera presque impossible de le remplacer ensuite.

Les erreurs de choix sont en effet très lourdes pour les acteurs et le projet :

Le choix du chef de projet est essentiel car il compte dans tous les facteurs de succès des projets. Il va faire clarifier les objectifs, va obtenir le soutien des responsables, va organiser les ateliers utilisateurs, va définir les dates clés intermédiaires. Il doit par ailleurs disposer d’une expérience au sein de l’entreprise lui permettant d’anticiper toutes les problématiques de disponibilités des ressources internes ou des problématiques politiques internes, d’une expériences projets du même type avec des enjeux similaires d’un sponsor projet fort et concerné d’une légitimité lui permettant de faire entendre son avis notamment lors de la phase amont

Enfin, il doit maitriser les principes méthodologiques de gestion de projet, quitte à participer à une formation adaptée en amont du projet.

 

 

10 trucs pour réussir le ratage d’un projet

Vous avez un projet en tête et avez besoin d’aide pour le rater ? Super ! Voici 10 trucs qui vous aiderons à le faire échouer de façon certaine.

Chef de projet en échec

1. Improvisez, c’est plus rapide!

Improvisation dans un projet

Le pire ennemi du ratage de création, c’est la réflexion et la planification. Improviser au jour le jour, plutôt que de faire l’état des lieux des besoins en termes de formation, de financement, de locaux, de communication, d’aides, d’accompagnement etc. et des façons d’y répondre, c’est s’assurer un plantage fait de stress, d’opportunités ratées et de manque de professionnalisme.

2. Ne découpez pas votre projet, essayez de faire tout d’un coup!

Un projet comprend souvent plusieurs séquences. Certaines ne peuvent commencer avant la fin des autres et peuvent avoir différent timing et faire entrer en jeu plusieurs prestataires, etc. Mais vous pouvez le déléguer en bloc. Après tout, le prestataire arrivera bien distinguer ses tâches de celles des autres. Puis s’il évalue mal son temps, il pourra toujours augmenter les tarifs à la fin ! Puis, tant pis pour vos objectifs, si le prestataire comprend mal, il faudra simplement recommencer.

3. Dans un projet, c’est chacun pour soi!

Pas d'esprit d'équipe. Chacun pour soiPour planter un projet, il suffit que chacun déroule son plan d’action personnel sans communiquer. A la fin, chacun aura travaillé pour soi et on verra bien si tout pourra s’assembler. Le projet sera une somme de briques de tailles, de formes et de couleurs différentes sans aucune caractéristique commune. Au pire on mettra en place un projet d’intégration. Ca permettra de conserver encore un peu l’équipe en place et de continuer à s’éclater.

4. Restez le plus vague possible, ça évitera les contraintes!

Pourquoi se poser trop de questions alors qu’une idée est en or. Et ne rien à foutre de ces personnes qui critiquent toujours sans rien proposer. Ne définissez jamais de cadre précis qui vous obligerait à réaliser ce que vous avez promis.

5. Ne vous prenez pas la tête avec des détails!

Le diable est dans les détailsLes cahiers des charges décrivent les fonctions essentielles sans aborder les détails. Par exemple, les tailles et les couleurs des polices sur le site internet ne sont pas en accord avec la charte graphique de l’entreprise. Les techniciens sauront bien faire les bons choix le moment venu. Ils sont les mieux à même de savoir ce qui est bon pour les utilisateurs. N’ayez crainte, l’image de votre Entreprise est solide et ne sera pas détruite à cause d’un simple site web. Vous êtes sur la bonne voie, le diable est dans les détails!

6. Ne pinaillez pas trop sur le choix du chef de projet!

Le chef de projet est souvent vu comme un chef d’orchestre. Dans une salle de concert, ce sont les musiciens qui font la magie d’une musique. N’investissez pas dans un chef de projet compétent et hors de prix. Un technicien fera parfaitement l’affaire. Inutile d’avoir des compétences spécifiques pour gérer un projet. Tout le monde est capable gérer des hommes, des budgets, des délais et la qualité.

7. N’allez pas chercher les complications pour créer votre équipe projet!

parties prenantes du projetVotre conjoint, voisin, meilleur ami ont gentiment accepté de faire partie de l’équipe de projet. Vous avez bien fait! Faudrait être un parfait idiot pour s’offrir les services onéreux de professionnels compétents. D’ailleurs, il y a bien longtemps que vous n’allez plus chez l’opticien: le voisin offre un service gratuit, une loupe et des pinces qui font parfaitement l’affaire. Ne compliquez pas toujours tout. Gardez les choses simples!

8. Commencez immédiatement. Inutile de planifier!

Pourquoi faire un planning puisque des changements seront quand même réalisés. Et puis ca ira beaucoup plus vite. On improvisera en temps utile.

9. Ne gaspillez pas votre argent à gérer des risques qui ne se réaliseront peut-être jamais!

gestion des risques projetLe risque est par définition un événement incertain. Pourquoi perdre son temps à essayer de prévoir l’avenir? S’il y avait un risque on l’aurait su depuis le début. Inutile de prendre ceinture et bretelles et de dépenser votre budget à prévenir des évènements qui n’arriveront peut-être jamais. On verra bien quand ça arrivera et on réagira à ce moment-là. Gardez vos sous pour des choses plus importantes! D’ailleurs est-ce que vous restez enfermé chez vous de peur qu’un pot de fleurs vous tombe sur la tête?

10. Ne cherchez pas absolument la qualité. De toute façon tout le monde s’en fiche!

La qualité n’est importante qu’en fin de projet! Ce qui compte, c’est le produit fini. Le client ne remarquera que l’apparence finale du produit et les fonctionnalités qui l’exciteront.


Si vous pensez qu’au moins un de ces 10 trucs peut s’appliquer à vos projets, alors ne vous certifiez surtout pas en gestion de projet et considérez que les certifications PRINCE2® et PMP®, pour lesquelles AB Consulting, Organisme de Formation Accrédité organise très régulièrement des sessions de formation et de certification en Afrique, Europe, Amérique du Nord et Asie ne sont pas faites pour vous.

Si vous ne savez pas ce qui différencie PRINCE2® et PMP, vous pouvez toujours consulter notre blog.


 

Sécurité de l’information: top 10 des meilleurs salaires

A l’heure de la pénurie de compétences en sécurité de l’information, voici les 10 postes les mieux payés

emplois les mieux payés en sécurité de l'information

Les nouvelles technologies nous offrent chaque jour d’avantage de possibilités, mais nous obligent, d’un autre côté, à nous confronter une multitude de risques directement liés à la société de l’information. En permanence, nous sommes exposés à des risques, vulnérabilités et menaces tant dans nos vies professionnelles que privées. Reconnaître les menaces et savoir comment les traiter ou, mieux encore, les éviter est essentiel. Au sein des réseaux privés de l’entreprise, la sécurité de l’information est un défi organisationnel et comportemental qu’il faut vraiment prendre au sérieux

Au cours des dernières années, elle a pris une importance significative en raison de la prolifération des délits informatiques et de l’adoption de lois concernant la sécurité de l’information par de nombreux pays sur l’ensemble de la planète.

Le domaine de la sécurité est en pleine expansion et nous remarquons que le vol de données personnelles, l’usurpation d’identité, les intrusions sur les réseaux informatiques font souvent l’actualité et causent fréquemment des dégâts irréversibles aux organisations ciblées.

Ce domaine est l’un des plus rémunérateur du marché en partie en raison du manque de compétences existant dans ce domaine. Or aujourd’hui il existe des cerifications destinée a donner l’opportunité aux intéressés de se former et de profiter d’un salaire élevé. Cela permettrait à de nombreux ingénieurs et managers au chômage de trouver un emploi d’avenir un peu partout dans le monde notamment en Afrique ou le taux de chômage est un véritable fléau. En ce moment de nombreuses entreprises sont à la recherche de spécialistes qualifiés et expérimentés dans ce domaine. Pourquoi attendre ? Comme on le dit souvent le premier arrivé est le premier servi. Voici le top 10 des métiers les mieux rémunérés dans le domaine de la sécurité.

10. Responsable de la Sécurité des Applications (Application Security Manager)

Salaire moyen annuel: 165 000 $ (soit environ146.000 EUR ou 96.000.000 FCFA)

Les gestionnaires de sécurité des applications sont en charge de veiller à ce que toutes les applications produites ou utilisées par leurs Entreprise répondent aux normes définies au sein de l’Organisation en matière de sécurité et de protection de la vie privée. Ce rôle est le plus souvent rattaché au Directeur de la Sécurité ou à un autre fonction similaire.

9. Ingénieur en Cyber-Sécurité (Cyber Security Engineer)

Salaire moyen annuel: 170 000 $ (soit environ 150.000 EUR ou 100.000.000 FCFA)

Les ingénieurs en cyber-sécurité sont généralement des professionnels expérimentés dans les tests de pénétration et autres outils de cyber-sécurité et maîtrisant leur utilisation pour maintenir l’organisation protégée contre les menaces tant internes qu’externes. Ces nombreux rôles exigent des certifications en cyber-sécurité et au minimum une licence dans un domaine technique, complétée par une certaine expérience réelle sur le terrain.

8. Ingénieur en chef de la sécurité (Lead Security Engineer)

Salaire moyen annuel: 174 375 $ (soit environ 154.500 EUR ou 101.000.000 FCFA)

L’Ingénieur en chef de la sécurité peut se voir confier une multitude de responsabilités, en fonction de l’Organisation à laquelle il appartient: sécurisation des environnements d’exploitation, de la téléphonie et des systèmes de video-conférence ainsi que des logiciels, du matériel et de l’information (à la fois stockées et en transit).  Ce rôle a malgré tout un certain nombre de constantes parmi lesquelles les revues de code et de procédures en vue détecter les vulnérabilités en matière de sécurité, développer la sensibilisation des employés sur ces vulnérabilités potentielles et l’implémentation d’outils de protection.

7. Responsable de la cyber-sécurité (Cyber Security Lead)

Salaire moyen annuel: 175 000 $ (soit environ 155.000 EUR ou 102.000.000 FCFA)

Un Responsable de la Cyber-Sécurité a un travail particulièrement exigeant et supporte une forte pression en permanence: l’évaluation de l’Organisation par rapport aux vulnérabilités potentielles, en collaboration avec les analystes et autres membres du personnel de sécurité, la détection des attaques en cours et la communication au management.

6. Administrateur de la sécurité (Director of Security)

Salaire moyen annuel: 178 333 $ (soit environ 158.000 EUR ou 104.000.000 FCFA)

Les administrateurs de la sécurité peuvent avoir des rôles et responsabilités différents en fonction de l’Organisation à laquelle ils appartiennent, mais l’essentiel de leur énergie reste focalisée sur la réduction du risque d’attaque tout en guidant les équipes internes dans le maintien de procédures de sécurité appropriées. L’Administrateur de la sécurité devant interagir avec les employés ainsi que les fournisseurs et les partenaires externes, de bonnes aptitudes relationnelles sont nécessaires pour ce poste.

5. Directeur de la Sécurité du Système d’Information (Chief Information Security Officer)

Salaire moyen annuel: 192 500 $ (soit environ 170.000 EUR ou 112.000.000 FCFA)

Ce rôle est similaire à celui du Directeur de la Sécurité, mais se concentre plus exclusivement sur la protection des données d’entreprise et la propriété intellectuelle – les actifs liés à l’information.  Les responsabilités du CISO comprennent généralement la conception et l’amélioration des bonnes pratiques de sécurité et l’élaboration de politiques efficaces pour gérer les failles et autres incidents de sécurité.

4. Consultant en sécurité (Security Consultant)

Salaire moyen annuel: 198 909 $ (soit environ 175.000 EUR ou 116.000.000 FCFA)

Les Consultants en sécurité travaillent avec les clients pour élaborer des stratégies efficaces en matière de cyber-sécurité pour l’ensemble d’une organisation. En plus d’une bonne connaissance des meilleures pratiques et des procédures prescrites, ils doivent également posséder des aptitudes avérées dans les domaines de la communication, la négociation et la gestion de projet. Les Organisations recherchent en permanence des consultants ayant une expérience de plusieurs années, ainsi que d’une connaissance pratique des règles de l’industrie, des règlementations ainsi que des produits de sécurité d’entreprise et des principaux fournisseurs du marché.

3. Administrateur Global de la Sécurité de l’Information (Global Information Security Director)

Salaire moyen annuel: 200 000 $ (soit environ 175.000 EUR ou 115 000.000 FCFA)

Ce rôle implique le maintien et l’exécution de projets de sécurité de l’information et la coordination de la réponse à une violation de sécurité ou une attaque lorsqu’elle se produit. L’Administrateur Global de la Sécurité de l’Information doit absolument avoir une connaissance pratique des règlementations spécifiques applicables au domaine de l’industrie auquel appartient son Entreprise – telles que HIPAA dans les soins de santé ou FISMA dans le secteur de la finance – en plus d’au moins une licence en informatique et d’un ensemble significatif de certifications en sécurité de l’information.

2. Directeur de la Sécurité (Chief Security Officer)

Salaire moyen annuel: 225 000 $ (soit environ 200.000EUR ou 130.000.000 FCFA)

Le Directeur de la Sécurité prépare son Organisation à contrer les menaces existantes et émergentes. Membre du Comité de Direction de l’Entreprise, ce professionnel de la sécurité est responsable de rédiger la politique de sécurité, de communiquer les bonnes pratiques en matière de sécurité des données et de contrôles l’efficacité des opérations de sécurité. Ce rôle nécessite plusieurs certifications en plus d’au moins une licence scientifique ou dans un domaine similaire.

1. Ingénieur en Chef en Sécurité Logicielle (Lead Software Security Engineer)

Salaire moyen annuel: 233 333 $ (soit  environ 207.000 EUR ou 136.000.000 FCFA)

Les tâches des ingénieurs de sécurité applicative couvrent tout les aspects liés aux applications informatiques : maintenir et déployer des programmes de formation liés à la sécurité applicative pour les équipes de développement logiciel. Les ingénieurs en chef en sécurité logiciel doivent avoir au minimum une licence en informatique, ou dans un domaine similaire, complétée par des certifications pertinentes en sécurité . Les aspects liés au savoir-être tels que les aptitudes de communication et de collaboration sont également essentielles.

Quelques exemples de formations en sécurité de l’information requises pour ces postes et proposées par AB Consulting:

ISO 27002 Gestion Avancée : les bonnes pratiques de gestion d’un système de management en sécurité de l’information. Cette formation s’adresse à l’ensemble du personnel des entreprises impliquées dans les activités liées à la sécurité de l’information.
ISO 27001 Praticien : pratique d’implémentation et d’amélioration continue d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à tout consultant participant à un projet de certification ISO 27001 d’Entreprise ainsi qu’aux managers en charge de maintenir la certification de leur Organisation
ISO 27001 Lead Implementer :  Responsable de l’implémentation d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à toute personne en charge de coordonner un projet de préparation à la certification ISO 27001 de son Entreprise.
RESILIA Praticien : les pratique de la cyber-résilience des Entreprises ou comment anticiper les cyber-attaques et se remettre en ordre de marche après avoir subi un attaque en matière de cyber-sécurité. Cette formation s’adresse à toute personne du département Informatique.
CISM: Certified Security Manager : Cette certification est reconnue comme un standard pour les professionnels qui conçoivent, créent et mettent en œuvre les programmes de sécurité de l‘information dans les entreprises. De récentes études indépendantes montrent que la certification CISM® est l‘une des certifications les plus recherchées et les plus rémunératrices.
CRISC: Certified in Risk and Information System Control :  Cette certification est destinée aux professionnels qui conçoivent, créent et mettent en œuvre les contrôles des risques SI dans les entreprises.
COBIT 5 for Information Security :  Utilisation du référentiel COBIT® 5 pour la Gouvernance et le Management de la Sécurité de l’Information de son Entreprise.

Gestion de projet – 7 conseils pour des projets réussis

7 conseil pou réussir vos projets

On se demande souvent pourquoi la majorité des projets finissent par tomber à l’eau ou bien ne voient pas le jour. Un projet n’est autre qu’une organisation temporaire créée pour livrer un produit unique, tangible ou intangible. L’organisation du travail dans une organisation de projet est un facteur essentiel de productivité et d’efficacité. La gestion de projet permet de planifier les tâches, de mobiliser les ressources et de limiter les imprévus.

Voici 7 conseils simples pour vous aider à réussir vos projets :

1. Bien choisir les acteurs du projet

Il est nécessaire de définir les acteurs du projet le plus tôt possible et d’identifier leur degré d’implication. Il existe trois niveaux principaux d’acteurs qui interviennent dans la gestion d’un projet. Le premier est le comité de pilotage qui dirige le projet et autorise les séquences. Le Management au quotidien est de la responsabilité du Chef de projet. Enfin, la réalisation des lots de travaux est confiée à des chefs d’équipes « techniques » qui livreront les produits spécialistes.

2. Créer une cohésion d’équipe

Le plus complexe en management de projet reste la gestion de l’équipe. L’équipe de projet se crée à partir de rien et les membres, aux profils très variés, doivent collaborer rapidement sur une période plus ou moins courte correspondant à la durée du projet. C’est pourquoi le bon fonctionnement de cette équipe conditionnera la réussite ou l’échec du projet.

3. Communiquer efficacement autour du projet

L’objectif de la communication « autour du projet » est de permettre à tous les acteurs de disposer de l’information nécessaire pour remplir leur rôle pendant la durée du projet. Il est nécessaire de trouver le bon support afin de bien véhiculer le message en fonction du niveau de management. Ce sera alors au Chef de projet d’établir une politique de communication à l’interne comme à l’externe et de la faire valider par le comité de pilotage dès l’initialisation du projet.

4. Etablir clairement les rôles et responsabilités de chacun

Les acteurs du projet sont les rouages qui conduisent à sa réussiteLorsque le projet se met en place les rôles et les responsabilités de chacun peuvent rapidement devenir floues. Même si chaque collaborateur semble avoir trouvé sa place, formaliser le “ qui-fait-quoi ” est nécessaire au niveau collectif comme sur le plan individuel. Les rôles flous, les responsabilités mal précisées, les objectifs approximatifs sont autant de facteurs qui n’incitent guère à l’engagement. Il est donc important de clarifier ces points pour permettre le bon déroulement du projet

5. Inclure les parties prenantes

Clients, fournisseurs, utilisateurs des produits du projet… Des partenaires extérieurs participent plus ou moins directement au projet. Du moins, les membres de l’équipe doivent garder en tête qu’elles peuvent interférer dans leur travail, de façon positive comme négative. Le but de l’opération : tenir tout le monde informé afin de désamorcer tout conflit. Mieux vaut prévenir que guérir.

6. S’auto évaluer pour progresser

A chaque séquence du projet chaque partie concernée doit émettre un rapport de retour d’expérience pour permettre au chef de projet d’évaluer la situation (voir si la séquence a respecté les délais, l’état du budget ,…) d’identifier les problèmes rencontrés et de capitaliser sur ces expériences pour améliorer la réalisation de futurs projets. Une fois le projet livré et avant de se séparer, les membres de l’équipe devraient dresser le bilan de leur expérience individuelle et collective et enrichir le dossier des retours d’expériences.

7. Choisir soigneusement le chef de projet

Le choix de votre chef de projet est le plus important car le résultat du projet dépendra en grande partie de ce dernier et c’est pourquoi il est impératif que le chef de projet choisi soit expérimenté et détienne les certifications nécessaire pour mener a bien ce travail.

Parmi ces certifications, citons PRINCE2® et PMP®, pour lesquelles AB Consulting, Organisme de Formation Accrédité organise très régulièrement des sessions de formation et de certification en Afrique, Europe, Amérique du Nord et Asie.

Si vous hésitez encore entre PRINCE2® et PMP, vous pouvez consulter notre blog.

Cyber-sécurité – Ingénierie sociale: un risque majeur

Une bonne hygiène informatique est le meilleur remède contre les risques en matière de cyber-sécurité

Les êtres humains, comme nous le savons bien, sont imparfaits. Nos cerveaux sont régis par un mélange complexe d’émotions et (espérons-le) des processus de pensée rationnelle, ce qui nous rend vulnérables à ceux qui veulent nous exploiter. Cela signifie que nous pouvons être “piratés”.

Comment pirater un cerveau humain?

C’est très simple si vous comprenez le comportement humain. Les Bugs dans notre «matériel humain» peuvent être exploités en utilisant des moyens techniques et non-techniques. Les façons de procéder peuvent inspirer la peur ou la curiosité, mais ont comme objectif commun d’amener la cible à faire quelque chose qu’elle ne devrait logiquement pas faire

On dit souvent que le moyen le plus simple pour obtenir votre mot de passe ou pour pirater votre ordinateur est juste de vous le demander. Cela peut arriver dans le cadre d’une conversation apparemment normale ou lors d’un échange sur un réseau social, par exemple. Je pourrais par exemple vous envoyer une demande pour devenir mon ami sur Facebook et démarrer rapidement une conversation avec vous, au cours de laquelle je vous poserais des questions anodines à propos de vos amis et de votre famille. Il s’agit d’un échange tout à fait normal, du type de ce à quoi vous vous attendez, et au cours de cette conversation vous m’indiquerez, en toute naïveté, les prénoms de vos enfants ou quelle est votre équipe de football préférée – vous pourrez même me parler du barbecue que vous organisez le week-end prochain, avec des amis, pour fêter l’anniversaire de votre partenaire. Si, comme c’est souvent le cas, vous utilisez l’une quelconque de ces informations comme un mot de passe, date mémorable ou comme réponse à une question de sécurité vous permettant de récupérer votre mot de passe oublié, alors vous êtes désormais en grand danger.

Après une seule conversation avec vous, je dispose maintenant de beaucoup d’informations sensibles sur vous et cette information est de nature à être utilisée pour vous voler, commettre une fraude en votre nom, percer vos profils de réseaux sociaux et bien plus grave encore. Si c’était aussi facile pour moi, c’est simplement parce que vous l’avez rendu facile. Je vais continuer à échanger avec vous jusqu’à ce que j’obtienne ce que je veux. Cette technique relève de l’ingénierie sociale.

Qu’est ce l’ingénierie sociale ?

L’ingénierie sociale (« social engineering ») est une technique qui vise à accéder à des informations confidentielles ou à certains actifs (ordinateurs, réseau informatique, compte bancaire, comptes sur les réseaux sociaux, etc.) grâce à la manipulation des personnes qui y ont accès directement ou indirectement.

L’ingénierie sociale prend de nombreuses formes

Dans le domaine de la cyber-sécurité, ll y a beaucoup d’autres formes d’ingénierie sociale qui peuvent être plus difCyber-sécurité - Exemple de mail de phishingficiles à repérer. Les courriels d’hameçonnage en sont un bon exemple. Il est assez facile de concevoir un courriel qui semble provenir de votre banque. Le texte peut ressembler à quelque chose comme ceci: « Nous avons détecté une activité frauduleuse sur votre compte bancaire en ligne. Merci de cliquer sur le lien suivant pour changer votre mot de passe.  » Ensuite, un lien est fourni. Le courriel semble légitime, il porte le logo de la banque et l’adresse email de l’expéditeur semble correcte. Si vous suivez ce lien vous aboutirez sur un site qui ressemble au site de votre banque et vous saisirez, en toute confiance, vos coordonnées afin de changer votre mot de passe.

Le problème est … que le courriel n’a pas été envoyé par votre banque, et le lien ne vous a pas dirigé sur la page web de votre établissement bancaire. Il vous a conduit sur un “faux” site web imitant
l’apparence et la convivialité du site de votre banque mais apprtenant, en fait, à des criminels, et vous venez de donner aux fraudeurs les informations de connexion lui permettant désormais accèder à votre banque en ligne. Vous l’avez fait parce que cela avait l’air réel et que vous aviez peur que quelqu’un puisse prendre votre argent sur votre compte mais vous êtes, en fait, tombé directement dans un piège. Parfois, les e-mails sont délivrés avec un numéro de téléphone à appeler qui vous amène sur un système vocal interactif, tout comme celui de votre banque. Vous êtes alors invité à entrer votre numéro de compte bancaire et votre code d’accès sans même vous rendre compte que vous donnez ces informations directement aux criminels.

L’échange est un autre moyen favori des fraudeurs. Donner quelque chose pour obtenir quelque chose. Souvent dénommé «hameçonnage vocal» ou «usurpation téléphonique», cette technique consiste, pour les criminels,  à téléphoner à votre entreprise et à demander à être mis en relation avec certains membres du personnel. Le destinataire de l’appel s’entendra dire « Bonjour. Ici, le service IT de votre Entreprise » ou quelque chose de similaire, et, finalement, les criminels utiliseront les émotions de la personne qui est effrayée d’avoir effectivement un problème technique pour obtenir l’information souhaitée. Cette personne sera reconnaissante pour l’appel car elle croit que son interlocuteur est là pour l’aider. À ce stade, on peut lui demander de faire quelque chose sur son ordinateur. Elle peut être guidée vers un site web qui a été conçu pour dérober des informations d’accès et pourrait même infecter les systèmes de son entreprise par un code malveillant (virus ou vers par exemple). L’utilisateur n’en aura pas la moindre idée parce qu’en toute bonne foi, il croit qu’il est aidé par un membre de l’équipe informatique de son Entreprise.

La résultante est que votre organisation pourrait dépenser une fortune pour acquérir un équipement technologique destine à atténuer le cyber-risque, mais qu’elle reste complètement vulnérable parce qu’elle n’a pas éduqué son personnel ou adressé le changement des comportements habituels.

Ashley Madison un site extra-conjugal, qui revendique plus de 40 millions d’utilisateurs dans le monde, a été la victime d’un piratage informatique au mois de juillet qui met en évidence des graves faiblesses au niveau de la cyber-sécurité. Les auteurs du vol des données réclamaient la suppression pure et simple de la plateforme, sous peine de publier les informations dérobées. Le piratage de Ashley Madison est particulièrement sensible, d’autant plus que certains des utilisateurs du site travaillent dans de grandes Entreprises notamment Françaises. D’autres sont actuellement en poste auprès d’institutions publiques(notamment un député repéré), on trouve également des employés de l’administration française, avec des comptes rattachés au ministère de l’Intérieur, à la culture, à la mairie de la capitale et diverses autres municipalités.

Mais surtout, il apparaît que le site contient de nombreux faux profils de belles femmes qui sont en fait utilisés par des hommes afin d’attirer plus d’utilisateurs. A l’heure actuelle la situation vire au drame : Divorces, suicides, vols de fonds… les utilisateurs craignent que leur vie extra conjugale ne soit divulguée publiquement. Les conséquences sont d’ores et déjà désastreuses. On recense déjà des victimes atteintes de traumatisme et deux suicides aux Etats-Unis pourraient être liés à la publication de leurs informations personnelles.

La liste publiée sur le net démontre à quel point les internautes prennent trop peu de précautions quant à l’usage de leurs données. On y trouve par exemple des e-mails avec des numéros de portable en préfixe. Les noms des utilisateurs et les mots de passe des comptes piratés étaient, semble-t-il, stockés sans être cryptés dans un fichier utilisé par l’équipe assurance qualité de l’entreprise. 765.607 noms d’utilisateurs et mots de passe associés ont ainsi été retrouvés!

Parmi les 25 mots de passe les plus utilisés, certaines combinaisons sont célèbres pour leur manque de sécurisation : 120.511 utilisateurs ont choisi le célèbre « 123456 » et 39.448 se sont cru malins en employant « password ».

Mais certains abonnés du site ont aussi fait preuve de plus d’imagination: 950 ont ainsi choisi le mot de passe « chatte », alors que d’autres combinaisons populaires telles que « 696969 » (943 fois), « baisemoi » (902 fois), « échangiste » (699 fois), « vastefaireenculer » (645 fois) ou « trouducul » (445 fois) sont tout aussi populaires.

mots de passe dangereux

Qui sont les pirates?

Ils peuvent être n’importe qui: des pirates, des espions, des employés mécontents, des escrocs, des courtiers de l’information et des gens ordinaires, et ils sont bons dans ce qu’ils font. Ils ont maîtrisé l’art de recueillir des informations et ils sont pleinement conscients que leurs victimes ne sont pas aussi informées qu’elles devraient l’être. Ils savent que c’est là une tâche facile et qui paie bien.

Quels sont les moyens de prévention?

Comment pouvons-nous nous défendre contre cette menace quotidienne? Comment pouvons-nous nous empêcher de devenir une autre victime de la cybercriminalité? Tout simplement: en étant informé et conscient des dangers en matière de cyber-sécurité.

Les entreprises s’appuient trop souvent sur les technologies de sécurité et ignorent l’impact qu’un «bouclier humain» peut avoir sur la sécurité.

Les organisations doivent mettre en œuvre des programmes de formation et de sensibilisation continus, et devraient reconnaître et traiter leur plus grand risque: leurs propres employés. Tout le personnel doit être mis au courant de la façon dont ils peuvent être ciblés par les pirates et ils devraient être sensibilisés sur combien il est facile d’obtenir des informations. Les gens qui comprennent les risques et les méthodes utilisées pour exploiter les vulnérabilités humaines sont mieux équipés pour les combattre. Ne laissez pas votre organisation tomber sous le coup de l’ingénierie sociale; à la place, faire en sorte que vos employés sachent exactement ce qu’ils peuvent faire pour l’éviter.

Cyber-sécurité: les premiers pas

Utiliser des certificats électroniques pour éviter le phishing, installer un logiciel antivirus et le maintenir à jour, enseigner à votre personnel comment vérifier que les appelants et les e-mails sont légitimes. Assurez-vous que votre réseau empêche l’utilisation de sites non autorisés. Surtout formez votre personnel!!

Quelques exemples de formations en cyber-sécurité proposées par AB Consulting:

ISO 27002 Foundation : les bonnes pratiques fondamentales en sécurité de l’information. Cette formation s’adresse à l’ensemble du personnel des entreprises.
ISO 27001 Foundation : les fondamentaux d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à toute personne concernée par un projet de certification ISO 27001 de son Entreprise.
ISO 27001 Praticien : Pratique d’implémentation d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à toute personne impliquée dans la préparation à la certification ISO 27001 de son Entreprise.
RESILIA Foundation : les fondamentaux de la cyber-résilience des Entreprises ou comment anticiper les cyber-attaques et se remettre en ordre de marche après avoir subi un attaque en matière de cyber-sécurité. Cette formation s’adresse à toute personne du département Informatique.

Ce sont là les premiers pas, simples à mettre oeuvre, pour réduire très sensiblement les risques en matière de cyber-sécurité.

Sécurité: Tentative d’hameçonnage sous le nom de Google


Un nouvel exemple de menace sur la sécurité des informations : un email de phishing se présentant comme une suggestion légitime émanant de Google de mise à jour de votre navigateur Google Chrome fait actuellement beaucoup de victimes sur internet.
Les utilisateurs sont invités à cliquer sur un lien pour mettre à jour leur navigateur Chrome.
La prétendue mise à jour s’effectue au travers du lancement d’un exécutable dont le nom ChromeSetup.exe fait penser à une mise à jour officielle de votre navigateur, qui  va crypter des fichiers spécifiques sur l’ordinateur de la victime, puis demander une rançon pour que les données soient décryptées.Mais ce décryptage a un prix: le montant étant est de deux bitcoins (environ $ 450, ou 400 €), et  le délai de paiement de la rançon est limité à 96 heures.L’adresse email de l’expéditeur a été habilement maquillée pour apparaître comme émanant de Google.Les experts mettent en garde les utilisateurs sur le fait que si les chevaux de Troie actifs peuvent être éliminés grâce aux anti-virus du marché, il est beaucoup plus difficile et parfois impossible de récupérer des fichiers chiffrés.Alors que les développements technologiques rapides ont fourni de vastes gisements d’opportunité et des sources potentielles d’efficacité pour les organisations de toutes tailles, ces nouvelles technologies ont également apporté des menaces sans précédent avec elles.

Sensibilisation et formation à la sécurité

La sensibilisation du personnel des entreprises sur les dangers du phishing et de la sécurité de l'information est maintenant une exigence d'affaires critique.

AXELOS publie sa stratégie pour les douze mois à venir

AXELOS vient de publier, sous la forme de feuilles de route, un aperçu de ses principales priorités et de sa stratégie pour le développement des produits de son portefeuille de bonnes pratiques de gestion de projets et de programmes (PPM)   et du référentiel ITIL pour la prochaine année . Les principales priorités  à la fois sur ITIL et PPM sont les suivantes:

  • Accréditation et soutien des partenaires : AXELOS révisera les processus de qualité et de pertinence , en vue d’ informer les partenaires sur la façon dont l’ entreprise a l’intention d’apporter des améliorations dans ce domaine.
  • Education: AXELOS tient à soutenir les établissements scolaires et universitaires dans l’accès à la gamme de produits afin de promouvoir PPM et ITIL, tant au niveau de la théorie que dans la pratique, dans le programme étendu.
  • Communauté de pratique : La communauté est au cœur du modèle d’affaires d’AXELOS . AXELOS va établir des partenariats avec des organisations , des groupes d’utilisateurs et des individus et va fournir un lieu pour partager et développer continuellement PPM et ITIL comme une philosophie et un mode de vie professionnelle .

Peter Hepworth , CEO d’AXELOS , déclare: « Les derniers mois ont été consacrés à l’écoute des communautés de praticiens et nous avons été inondés avec des idées sur la façon de faire avancer le business. Les calendriers publiés aujourd’hui fixent un certain nombre de priorités à court et à moyen terme, et même si elles ne sont pas gravées dans la pierre , je crois qu’elles vont nous aider à construire une stratégie pour le long terme .  »

Les feuilles de route complètes peuvent être télécharger sur le site AXELOS : PPM et ITIL

AXELOS a également publié une récente mise à jour concernant la propriété intellectuelle et son utilisation ainsi qu’une version gratuite de son application ITIL Exam App permettant de préparer l’examen ITIL® Foundation sur Iphone .

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :