Home » Sécurité

Category Archives: Sécurité

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

COBIT – La gouvernance, clé du succès de l’entreprise

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018, exigeant une bonne gouvernance des données pour toutes les entreprises et collectivités, indépendamment de la juridiction, sur le traitement des données personnelles associées aux citoyens de l’UE et de l’EEE. Dans un précédent article, j’ai montré comment COBIT 5 pouvait aider tout projet de mise en conformité au RGPD. Si le RGPD a été vraiment pris au sérieux, nos organisations sont aujourd’hui en mesure de mieux gérer leurs données. De fait, cela facilite leur tâche de gestion quotidienne de l’Entreprise.

COBIT Gouvernance, la clé du succès en entreprise
Crédits © weerapat1003

Grâce à une bonne gouvernance, nous pouvons aborder avec confiance des problèmatiques actuellement encore ignorées par la pensée dominante. Elles sont pourtant désormais très pertinentes et constitueront un facteur de succès ou d’échec pour les prochains mois et les prochaines années. Parmi les problèmes dominants affectant les Entreprises, on peut citer :

  • L’adaptation de la main-d’œuvre du troisième millénaire,
  • La transformation digitale de l’économie,
  • Après le RGPD, le règlement sur la protection de la vie privée ,
  • Le BREXIT,
  • Les géants du web, notre nouveau risque systémique,
  • L’insécurité intégrée…

Le thème central, commun à tous ces sujets, est celui des systèmes d’information. L’activité stratégique et opérationnelle doit désormais adopter une approche plus «entrepreneuriale» que «mature» pour exploiter les opportunités au fur et à mesure qu’elles se présentent. Les cadres de gouvernance doivent encourager l’innovation et gérer simultanément les risques associés au moyen de politiques, de procédures et de pratiques adaptées. Une approche collaborative est nécessaire pour anticiper et répondre rapidement au changement.

COBIT 5 : le cadre de Gouvernance d’Entreprise publié par l’ISACA

Le cadre COBIT 5 de l’ISACA permet d’avoir un aperçu de la gouvernance d’entreprise. La famille de publications comprend «COBIT 5, a Business Framework for the Governance and Management of Enterprise IT». Ce document de 94 pages fournit un guide complet sur où et comment rechercher des opportunités d’évolution et d’innovation dans votre entreprise.

COBIT 5 : un mythe tenace

Malheureusement la traduction Française de cette publication n’est pas très pertinente. Elle semble faire plus de cas de l’informatique que des métiers de l’Entreprise, seuls créateurs de valeur. Le titre lui-même a été traduit par « COBIT 5, un référentiel orienté affaires pour la gouvernance et la gestion des TI de l’entreprise ». Le titre original, en Anglais, ne fait pas référence aux TI mais à « l’information de l’entreprise et aux technologies associées ». C’est beaucoup plus vaste et cela couvre la totalité des métiers au lieu de la seule informatique. Pour COBIT, l’informatique n’est seulement qu’un « outil » au service des métiers de l’Entreprise (on parlera du 6ème « enabler »). COBIT n’est aucune un référentiel destiné à l’IT. C’est un référentiel de Gouvernance et de Management de l’Entreprise.

Le périmètre de COBIT 5 : La gouvernance et le management de l’entreprise

Cela inclut bien évidemment l’IT, mais seulement comme un composant de l’Entreprise.

Vous pouvez accéder au périmètre des publications COBIT 5 sur le site de l’ISACA. COBIT a la particularité d’être composé de publications permettant au lecteur d’accéder au contenu du cadre au travers des filtres. L’accès au cadre de référence complet est totalement gratuit. Certains autres documents, tels que le modèle de référence des processus ou le guide de mise en oeuvre sont gratuits pour les membres de l’ISACA. Enfin, d’autres documents, notamment les guides professionnels, sont payants mais avec une remise substantielles pour les membres.

Publications COBIT
Source © ISACA

COBIT 5 : quelques cas réussis de mise en oeuvre dans le monde

Chacun des cas présentés ici correspond à la liste des problèmes dominants identifiés au début de cet article. Il n’ont souvent qu’un lien très lointain avec les technologies de l’information. Vous y trouverez des liens utiles présentant le contexte et la façon dont  COBIT 5 a permis relever ces défis organisationnels.

Adaptation de la main d’oeuvre du 3ème millénaire – Cas PWC

PWC, tout comme DELOITTE et d’autres grands cabinets internationaux exigent un engagement intensif de leurs salariés dès le début. Des récompenses en matière d’évolutions de carrière, telles que des partenariats, sont appelées à venir plus tard. Ces entreprises sont actuellement confrontées à un turnover croissant de jeunes, essentiellement nés entre 1980 et 1995. Il s’agit de ceux qu’on qualifie généralement d’enfants du millénaire. Ceux de la génération Z, nés après 1995, commencent à peine à arriver sur le marché de l’emploi. PWC et DELOITTE ont constaté que la main-d’œuvre entrante avait des attentes différentes de celle des générations précédentes. Les jeunes souhaitent désormais une approche flexible pour travailler. Ils attendent des récompenses pour de bonnes performances dès le début ainsi que tout au long de leur carrière.

COBIT 5 via son approche de cascade des objectifs se focalise sur l’identification besoins des parties prenantes. Ceux-ci sont alors traduits en objectifs de l’entreprise liant les attentes internes et externes des parties prenantes avec celles de l’entreprise.Une fois identifiés, les changements appropriés peuvent être apportés aux politiques et aux pratiques.

Pour mieux comprendre comment vous appuyer sur COBIT pour résoudre cette problématique, nous vous proposons les liens suivants :

Transformation digitale de l’économie – Cas Domino’s

La transformation digitale pousse les entreprises à adapter leurs modèles commerciaux et à se concentrer. Domino’s a réalisé qu’ils devaient passer d’un service de restauration rapide à un service digital. En utilisant l’analyse de données pour personnaliser les offres marketing auprès des clients, les clients sont attirés par un service correspondant à leur style de vie.

COBIT 5, au travers des conseils sur les services, l’infrastructure et les applications, aide les entreprises à évaluer le potentiel de la transformation numérique sur l’organisation. Cette orientation élargit la réflexion, de la définition d’une solution unique jusqu’à la mise en œuvre d’un actif holistique, intégrale et soutenant les objectifs de l’entreprise.

Si vous souhaitez mieux comprendre comment COBIT a permis à Domino’s de réussir sa transformation digitale : https://www.bernardmarr.com/default.asp?contentID=1264.

Mise en conformité au futur règlement Européen sur la protection de la vie privée – Cas WhatsApp

Le règlement sur la vie privée et les communications électroniques, qui devrait être adopté par l’UE à la fin de 2018, constitue un ajout subtil au RGPD couvrant les communications électroniques.Des consentements explicites supplémentaires seront nécessaires. L’infrastructure de communication intelligente transporte, génère, utilise et stocke des données personnelles et corporatives identifiables. Donc, de fait, les principaux services de communication tels que WhatsApp sont inclus. C’est aussi le cas des fournisseurs de cookies, d’appareils IoT et de marketing direct et e-marketing.

COBIT 5 fournit des conseils sur la façon dont les entreprises, incluant leur IT, doivent se conformer aux exigences réglementaires. COBIT peut donc aider à révéler où des consentements explicites pourraient être nécessaires.

Voici quelques liens qui peuvent vous permettre de mieux comprendre comment COBIT aide à mieux protéger la vie privée :

Le BREXIT – Cas Currency Cloud

La situation sur le BREXIT restant assez imprévisible à l’heure actuelle, les entreprises doivent donc définir des plans d’urgence afin de minimiser les impacts d’un accord non favorable. Même si une organisation n’a aucun contact avec l’UE, elle doit vérifier comment le BREXIT affecte sa chaîne d’approvisionnement et sa banque. Pour certains, comme la plateforme d’échanges financiers Currency Cloud, «pas d’accord» avec l’UE serait synonyme de devoir mettre en place une présence européenne pour obtenir leur licence opérationnelle européenne, au cas où.

COBIT 5 couvre les exigences de conformité aux réglementations, lois et autres normes. Cela aide à identifier le point de départ et les processus sur lesquels se focaliser. COBIT inclut des sections sur la continuité des opérations, couvrant la prévention, l’atténuation et le retour à la normale en cas de perturbation pour aider à identifier les possibles zones de friction.

Pour mieux comprendre comment COBIT peut aider les entreprises britanniques à affronter le BREXIT : https://www.ibtimes.co.uk/why-neither-brexit-nor-loss-passporting-will-stop-uks-fintech-momentum-1659410.

Les géants du web, nouveau risque systémique – Cas des GAFAM

Chaque entreprise est dans un marché pour acheter et vendre. Pour opérer de manière efficace et efficiente, beaucoup d’entre nous se tournent vers l’infrastructure informatique et les fournisseurs de communication offrant des solutions «guichet unique» faciles à utiliser, telles que Google, Apple, Facebook, Amazon et Microsoft. Mais c’est une épée à trois tranchants.

Le grand avantage, qui les rend si attrayants, est qu’ils devient facile d’accéder à des structures de communication et de stockage avec la sécurité et l’échelle nécessaires. Les principaux inconvénients sont :

  1. avec peu d’acteurs dominants, le contrôle sur les marchés n’est pas entre nos mains
  2. et si l’un d’eux échoue, techniquement ou commercialement, l’impact négatif sur les affaires et la vie privée sera énorme.

COBIT 5 peut aider à définir une nouvelle approche pour traiter un point de défaillance systémique. Il existe également une liste de contrôles utiles sur les questions à poser aux parties prenantes externes.

L’insécurité intégrée – Cas Expedia

Un sous-produit de la construction l’efficacité de l’entreprise de construction est de jeter les bases de l’insécurité par inadvertance. Expedia a découvert qu’une de ses filiales avait laisser fuiter des données sur ses clients. Le partage et la gestion des données, même au sein d’un même groupe, sont difficiles à contrôler car les exigences et la responsabilité sont diluées, obscurcies ou réinterprétées par le partenaire en charge du traitement des données.

Pour en savoir plus sur le cas Expedia : https://www.cnbc.com/2018/03/20/an-expedia-subsidiary-says-a-security-breach-affected-880000-cards.html.

COBIT 5 est derrière chaque entrepreneur pour l’aider

COBIT 5 est là pour nous aider à mieux réfléchir à la manière dont nous gérons et opérons. Tant de choses sont demandées aux entreprises, il est facile de rater les choses auxquelles nous devrions penser. La technologie détermine à la fois le rythme et la façon dont nous travaillons. Une bonne gouvernance est essentielle pour assurer la prospérité des entreprises.COBIT 5 est essentiel p our bien gouverner.

Pour mieux comprendre pourquoi une formation COBIT vous est indispensable : http://www.ab-consulting.fr/blog/geit/cobit-5/formation-cobit-7-raisons.

Vous aussi vous avez un cas particulier, hors du domaine IT, d’utilisation réussie de COBIT 5 dans un contexte particulier? N’hésitez pas à nous laisser votre commentaire.

RGPD – La loi Française enfin publiée le 20 Juin 2018

Après une « étrange » et longue bataille juridique et un recours des sénateurs d’opposition auprès du Conseil Constitutionnel, la loi Française sur la protection des données personnelles, alignée sur le règlement européen connu sous le nom de RGPD (GDPR) a enfin été promulguée le 20 juin 2018, soit près d’un mois après la date d’entrée en vigueur du RGPD. Alors que contient cette loi? Pourquoi une aussi longue bataille pour obtenir sa promulgation? Pourquoi est-il si difficile pour la France et les Français de s’aligner sur les lois et réglementations internationales?

RGPD - La loi Française sur la protection des données personnelles publiée le 20 Juin 2018
Crédits © Sondem

La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi « Informatique et libertés » du 6 janvier 1978 au règlement général sur la protection des données (RGPD) du 27 avril 2016, directement applicable dans tous les pays européens au 25 mai 2018.

La loi du 20 juin 2018 modifie la loi « informatique et libertés » de 1978 pour la mettre en conformité avec le RGPD. Notamment, sont concernés les pouvoirs et missions de la CNIL et l’élargissement des données sensibles. Elle tire également  parti des marges de manœuvre permises par le RGPD : majorité numérique, etc.. Enfin, elle s’aligne à une directive européenne publiée également le 27 avril 2016 sur les fichiers en matière pénale, dite directive « police justice ».

Adaptation du rôle de la CNIL et de ses pouvoirs de contrôle et de sanction

La composition, les missions et les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) sont modifiés.

L’évolution des missions de la CNIL

Le RGPD introduit une nouvelle logique de responsabilisation et d’accompagnement des acteurs traitant des données personnelles (entreprises, administrations, etc.). Les missions de la CNIL évoluent donc afin de les adapter à cette nouvelle logique. En contrepartie, les formalités préalables auprès de la CNIL prévues dans la loi de 1978 sont quasiment toutes supprimées.

En outre, et en complément des missions qu’elle exerce déjà, la CNIL est désormais chargée :

  • d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
  • de produire et de publier des règlements types afin d’assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé ;
  • d’encourager l’élaboration de codes de conduite par les acteurs traitant des données ;
  • de certifier des personnes, des produits, des systèmes de données ou des procédures ;
  • de lister les fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés fondamentales des personnes.

Un rôle de conseil

Dans l’exercice de ses missions, la CNIL doit désormais prendre en compte les besoins propres des collectivités locales. Or, parmi elles, beaucoup s’inquiètent des nouvelles règles européennes. Pour les aider, la CNIL a publié sur son site internet un certain nombre de pages qui leur sont dédiées. La loi prévoit que les petites et moyennes entreprises (TPE-PME) doivent également faire l’objet d’un accompagnement personnalisé. A cet égard, la CNIL, en partenariat avec Bpifrance, a d’ores et déjà publié un guide pratique les sensibilisant au RGPD.

Un rôle consultatif vis à vis du parlement

Toujours au titre de ses missions, la CNIL peut désormais être consultée sur toute proposition de loi portant sur la protection des données personnelles par les présidents ou les commissions compétentes de l’Assemblée nationale ou du Sénat et par les présidents des groupes parlementaires.

Renforcement des pouvoirs de la CNIL en matière de contrôle et de sanction

Pouvoirs de contrôle étendus

Les pouvoirs de contrôle de la CNIL sont précisés et étendus par la loi. La nature des locaux que ses agents peuvent visiter et les conditions dans lesquelles le secret professionnel, notamment médical, peut leur être opposé sont redéfinies. De plus, pour les contrôles en ligne, ses agents peuvent dorénavant recourir à une identité d’emprunt.

Plusieurs articles de la loi sont également consacrés à la procédure de coopération entre la CNIL et les autres autorités de protection européennes en cas de traitements transnationaux (touchant des personnes de plusieurs pays européens). Le RGPD pose, en effet, de nouvelles règles en la matière. L’objectif est d‘apporter une réponse unique en cas d’atteinte au droit à la vie privée des citoyens de plusieurs pays européens. La récente affaire Cambridge Analytica-Facebook est, à cet égard, une illustration.

Pouvoirs de sanction adaptés

Les pouvoirs de sanction de la CNIL sont adaptés. De nouvelles sanctions, comme le prononcé d’une astreinte ou le retrait d’une certification ou d’un agrément, sont prévues en cas de violation des règles sur la protection des données personnelles. En outre, le montant des amendes administratives est très fortement augmenté. Elles sont désormais alignées sur le RGPD et peuvent aller jusqu’à 20 Millions d’Euros ou 4% du CA mondial annuel. Ces astreintes et amendes concernent autant les entreprises que les collectivités locales et les associations, qu’elles soient responsables d’un traitement ou sous-traitants. Seul l’État en est dispensé.

Lors de la discussion du projet de loi, le Sénat voulait exempter les collectivités locales des sanctions financières. Il souhaitait également que leur produit serve à financer l’accompagnement par l’État des responsables de traitement et de leurs sous-traitants. Il a, de plus, proposé la création d’une dotation communale et intercommunale afin d’aider les collectivités à se mettre en conformité avec le RGPD. Cette mise en conformité va, en effet, avoir un coût budgétaire pour les petites collectivités. Toutefois, ces amendements ont tous été rejetés. Néanmoins, à la demande des sénateurs, la mutualisation des services numériques entre les collectivités et leurs groupements est facilitée. Les communes peuvent, en particulier, se doter d’un délégué à la protection des données commun. Cette disposition est totalement en ligne avec le RGPD qui ne mentionnait rien à cet égard.

La CNIL a-t-elle les moyens d’exercer sa mission?

Pour assurer la bonne application du RGPD, la CNIL a clairement besoin de ressources. La présidente de la CNIL, Isabelle Falque-Pierrotin, a d’ores et déjà demandé aux pouvoirs publics plus de moyens humains. Ceux-ci seront discutés dans le cadre de la prochaine loi de finances. La CNIL emploie actuellement 200 personnes. Ce chiffre est à comparer avec ceux des autorités de protection comparables. Celles-ci comptent en général 500 ou 700 collaborateurs (comme au Royaume-Uni et en Allemagne).

Renforcement de la protection des données personnelles sensibles

Conformément au RGPD, le champ des données sensibles (sur l’origine raciale, les opinions politiques, etc.) est étendu aux données génétiques et biométriques ainsi qu’aux données relatives à l’orientation sexuelle d’une personne. En principe, ces données ne peuvent pas faire l’objet d’un traitement en raison de leur nature même.

Des dérogations à cette interdiction sont toutefois prévues par le droit européen. C’est le cas en matière de sécurité sociale ou si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques, etc.. La loi du 20 juin 2018 ajoute d’autres dérogations. Sont notamment permis les traitements de données biométriques (empreintes digitales, etc.) strictement nécessaires aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail. Sont de même autorisés les traitements portant sur la réutilisation d’informations figurant dans les décisions de justice diffusées dans le cadre de l’open data.

Les marges de manoeuvre permises et prévues par le RGPD

Le RGPD, bien que d’application directe, contient plus d’une cinquantaine de marges de manœuvre autorisant les États membres à préciser certaines dispositions. La plupart d’entre elles ont été utilisées pour conserver des dispositions qui existaient déjà dans la loi de 1978. La loi du 20 juin 2018 n’aménage que quelques points, afin notamment de répondre aux évolutions technologiques et sociétales.

Des formalités préalables maintenues pour certains traitements

Les formalités préalables (autorisations ou déclarations) auprès de la CNIL sont quasiment toutes supprimées. La loi en maintient cependant quelques une, comme prévu par le RGPD, pour certains traitements. Sont concernés les traitements :

  • comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, sauf exceptions ;
  • de données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes mis en œuvre pour le compte de l’État ;
  • qui intéressent la sûreté de l’État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
  • de données de santé se justifiant par une finalité d’intérêt public (sécurité des médicaments, etc.).

Catégories particulières de traitement

Plusieurs dispositions de la loi sont consacrées à des catégories particulières de traitements. Sont notamment visés les traitements de données de santé, qui font l’objet d’un régime spécifique.

Sont aussi concernés les traitements de données sur les infractions, condamnations ou mesures de sûreté connexes (hors champ de la directive c’est-à-dire à d’autres fins que la prévention et la répression des infractions). Ces traitements peuvent dorénavant être effectués par une liste élargie de personnes. Citons par exemple les associations d’aide aux victimes ou de réinsertion ou des personnes mises en cause ou victimes dans une procédure pénale. En revanche, le Conseil Constitutionnel, saisi par des sénateurs Les républicains, a déclaré anticonstitutionnel l’élargissement de la mise en œuvre des tels traitements « sous le contrôle de l’autorité publique » (comme l’hébergement des données sur un serveur). Cette formulation, pourtant reprise du RGPD, a été jugée insuffisamment précise.

Droits des personnes concernées

Sur ce point encore, la loi utilise les marges de souplesse permises par le RGPD.

Protection des données personnelles concernant les enfants

Elle fixe à 15 ans la majorité numérique, c’est-à-dire l’âge à partir duquel un enfant peut consentir seul au traitement de ses données, typiquement sur les réseaux sociaux. Le gouvernement et les sénateurs souhaitaient retenir le seuil de 16 ans. C’est l’âge du consentement fixé par défaut par le RGPD. Le texte a toutefois laissé aux États la possibilité de l’abaisser jusqu’à 13 ans. C’est donc dans ce cadre que les députés ont voté l’âge de la majorité numérique à 15 ans.

Recours à des décisions individuelles automatisées

La loi ouvre, par ailleurs, plus largement la possibilité pour l’administration de recourir à des décisions individuelles automatisées. Les décisions fondées exclusivement sur un algorithme ne sont plus interdites. Néanmoins, de nouvelles garanties sont données aux administrés : droits à l’information et à l’explication (déjà consacrés par la loi pour une République numérique de 2016), droit à recours avec une intervention humaine a posteriori, obligation pour l’administration de maîtriser l’algorithme et ses évolutions (prohibition des algorithmes auto-apprenants), interdiction d’utiliser des données sensibles.

Sur ce point les deux chambres étaient à nouveau en désaccord. Les sénateurs souhaitaient encadrer plus strictement l’usage des algorithmes par l’administration. Ils demandaient aussi la transparence des algorithmes utilisés par les universités dans le cadre de Parcoursup. Or cette transparence est exclue par la loi « orientation et réussite des élèves » du 8 mars 2018). Les propositions du Sénat ont été rejetées. Cependant, sur amendement du gouvernement, le fonctionnement de Parcoursup fera l’objet, chaque année, d’un rapport au Parlement.

Dans sa décision du 12 juin 2018, le Conseil constitutionnel a jugé conforme à la Constitution les nouvelles règles régissant l’emploi des algorithmes par l’administration. Il considère que « le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme ».

Traitement des données scolaires

La loi oblige aussi les établissements publics des premier et second degrés à rendre public, à partir de la rentrée 2018, le registre de leurs traitements de données scolaires. Il s’agit entre autres de permettre aux parents d’élèves de savoir comment les données de leurs enfants sont traitées.

Actions de groupe

Les actions de groupe, déjà autorisées depuis fin 2016 pour faire cesser en justice un manquement par un responsable de traitement ou un sous-traitant, sont étendues à la réparation des préjudices matériels et moraux subis en cas de violation des données personnelles.

En vertu du RGPD, les citoyens peuvent aussi se faire représenter par les associations ou organismes actifs dans le domaine de la protection des données personnelles pour exercer en leur nom une réclamation auprès de la CNIL, un recours juridictionnel contre la CNIL ou contre le responsable du traitement ou sous-traitant.

Récemment, l’association La Quadrature du Net a déposé une réclamation collective auprès de la CNIL. Elle est dirigée contre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft). L’association estime, en effet, que ces derniers ne respectent pas le RGPD sur le consentement « libre et éclairé » des internautes.

Le libre choix de ses applications sur smartphone

Cette disposition est issue de l’amendement « Bothorel », du nom du député qui l’a porté. Aujourd’hui, la quasi-totalité des smartphones vendus en France et en Europe sont équipés d’un système d’exploitation mobile iOS ou Android. Ces systèmes sont imposés ainsi que le moteur de recherche par défaut (souvent Google). Il n’y a donc pas de consentement véritable des utilisateurs. La loi oblige désormais les fabricants ou distributeurs de smartphones à proposer aux consommateurs plus de choix dans les applications. L’objectif est de faire un peu plus de place aux navigateurs web et moteurs de recherche « alternatifs ». Ceux-ci sont parfois plus respectueux de la protection des données personnelles de leurs utilisateurs (par ex. Qwant en France).

La transposition de la directive « police »

Enfin, la loi du 20 juin 2018 transpose la directive du 27 avril 2016 dite « police – justice ». Celle-ci harmonise le régime des traitements à finalité pénale. Il est clairement fait référence aux fichiers de police et de justice comme le fichier national des empreintes génétiques. Par contre, les fichiers de renseignement sont exclus.

Un droit à l’information est en particulier créé pour les personnes fichées en matière pénale. Ces dernières peuvent aussi désormais exercer de façon directe leur droit d’accès auprès du responsable du traitement (sauf exceptions). Elles peuvent ensuite demander la rectification des données les concernant, voire leur effacement.

Les autorités publiques doivent, par ailleurs, respecter un certain nombre d’obligations. Parmi celles-ci, citons la production d’une analyse d’impact pour les données sensibles, la tenue d’un registre des activités du traitement et d’un journal pour certaines opérations de traitement, la désignation d’un délégué à la protection des données, la communication de toute violation de données à la CNIL et à la personne concernée, etc.

De nouvelles règles sur les transferts de données personnelles vers les autorités judiciaires et les forces de l’ordre des pays hors Union européenne sont également posées.

 

RGPD: Optical Center va payer 250.000 € d’amende! Et vous?

La formation restreinte de la CNIL a prononcé le 7 mai dernier une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER. Celle-ci est accusée avoir insuffisamment sécurisé les données de ses clients effectuant une opération en ligne sur son site internet. Heureusement, à cette date, le RGPD n’était pas encore entré en vigueur. Ceci explique le montant relativement faible de l’amende infligée. Après le 25 mai, la même infraction aurait pu être sanctionnée d’une amende allant jusqu’à 20 millions d’Euros.

Et vous? Où en êtes-vous de votre mise en conformité un mois après l’entrée en vigueur des sanctions? 

RGPD la CNIL sanctionne Optical Center
Crédits © Jürgen Fälchle

C’est la première fois que la CNIL inflige une amende conséquente pour un défaut de sécurité sur un site web. Alors des questions se posent. Pourquoi et comment les données personnelles des clients d’une entreprise peuvent-elles se retrouver accessibles par un simple clic dans un navigateur… par la planète entière ?

La décision de la CNIL (Commission nationale informatique et libertés) a été prise deux semaines seulement avant l’entrée en vigueur du Règlement Général de Protection des Données Personnelles (RGPD). Après le 25 mai, Optical Center aurait pu payer jusqu’à 20 millions d’euros — ou 4% du chiffre d’affaire du groupe — au lieu des 250.000 € exigés. Ce qui est reproché à la société est très grave et nous allons essayer de l’analyser. Pourtant, l’Entreprise a été très réactive. Le défaut de sécurité sur son site web a été corrigé le lendemain de sa découverte. Cependant la CNIL a estimé qu’elle ne pouvait pas laisser une telle infraction à la loi sans sanctions. Il faut souligner que Optical Center avait déjà été condamnée à 25.000 € pour le même type de manquement en 2015.

Il s’agit d’un défaut de sécurité et non d’une faille exploitée

C’est quoi la différence?

Suite à un signalement, la CNIL a effectué un contrôle en ligne. Le site web d’Optical Center permettait l’accès direct par navigateur — sans vérification d’authentification — à 334.000 factures de ses clients. Autrement dit, n’importe qui pouvait télécharger les documents en question. Il suffisait de taper l’adresse web y donnant l’accès. Ces factures contenaient les noms et les prénoms des clients ainsi que leur adresse postale, leurs coordonnées téléphoniques et pour certains, leur numéro de sécurité sociale et des informations médicales (correction ophtalmique). Selon la CNIL, qui a été informée d’une « fuite de données conséquente » en juillet 2017 du site  www.optical-center.fr, « le site n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société ».

Le site web d’Optical Center n’a donc pas été piraté. La fuite de données provenait simplement d’un défaut d’administration du site. C’est très différent d’un piratage exploitant une « faille » du serveur. Dans le cas d’un piratage, des compétences techniques pointues auraient été nécessaires pour contourner la sécurité établie. Il aurait fallu pénétrer par un moyen technique dans le système distant afin d’y copier des fichiers. Dans l’affaire Optical Center, il n’y avait aucun besoin de prouesses techniques pour copier les 334.000 documents. L’accès aux factures des autres clients était direct, comme pour accéder à ses propres factures.

La sanction tient compte des précédents

Cette fois, la CNIL indique que Optical Center a immédiatement averti son prestataire. « Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte [de la CNIL, en charge de l’instruction des sanctions] a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société » précise l’autorité administrative indépendante.

Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334.000), la formation restreinte a décidé de rendre publique sa décision. Donc, ce sont la récidive et la quantité de données accessibles qui expliquent la lourdeur de la sanction.

Les sites internet doivent être mieux sécurisés

Le coup de poing sur la table de la CNIL

L’amende de 250.000 € à l’encontre d’Optical Center est un coup de semonce. Cela devrait faire réfléchir les entreprises sur leurs obligation de sécurisation de leurs sites web. Cette affaire n’est pas sans rappeler celle de la fuite de données sur le site web de Darty. Celle-ci avait conduit la CNIL à infliger à la célèbre marque d’électroménager une amende de 100.000 € pour des raisons similaires.

La mise en place de contrôles d’accès sécurisés, leur vérification par des administrateurs, sont le b.a.ba de la sécurité informatique — dont celle des sites internet. Il est surprenant que des entreprises recueillant des informations sur leurs clients ne soient pas en mesure de faire le minimum à ce niveau là. Ce constat est inquiétant, surtout pour des entreprises aux chiffres d’affaire importants et dont les moyens sont parfaitement suffisants pour s’assurer une « qualité normale » de sécurité de leurs sites internet.

Des entreprises focalisées uniquement sur les coûts

D’ailleurs, c’est bien là que réside la raison de ces défauts de sécurité. Payer des gens compétents est un élément vital en sécurité informatique. Or la culture des entreprises françaises, de ce point de vue là, ne semble pas être encore à la hauteur des enjeux. Les Entreprises Françaises sont malheureusement toujours focalisée sur les coûts au détriment des risques. Souvent, les salaires des techniciens sont faibles, leur nombre est insuffisant. Dans de nombreux cas les Responsables de la Sécurité des Systèmes d’Information (RSSI) sont inexistants. Enfin, plus souvent encore, l’Entreprise n’a pas nommé de CISO (Chief Information Security Officer) à son comité de direction.

De fait, les « économies » des entreprises (et des structures publiques) sont souvent réalisées sur le dos de la sécurité des SI. Par conséquent la France apparait, en matière de protection des données personnelles, comme un très mauvais élève. Un chiffre est éloquent concernant la sécurité des SI. Selon les dernières statistiques de l’ISO, la France compte 209 entreprises certifiées ISO 27001. Ce chiffre est à mettre en relation avec les statistiques de nos voisins. On recense 1338 entreprises certifiées ISO 27001 en Allemagne, 3367 au Royaume Uni, 1220 en Italie et 752 en Espagne. Il y a donc un gros travail à faire pour les Entreprises Françaises pour revenir dans la moyenne européenne.

Enfin, le dernier problème concerne les lanceurs d’alerte en sécurité informatique. Ils sont la plupart du temps attaqués en justice en France, plutôt qu’écoutés. Pas certain que dans ces conditions la sécurité des sites web n’y gagne beaucoup…

Et vous? Avez-vous pris toutes les mesures nécessaires?

Si vous en doutez, n’hésitez pas à poster vos commentaires et vos questions. Nos consultants experts se feront un plaisir de vous répondre.

RGPD/GDPR : Quels changements le 25 mai 2018?

Le règlement européen en matière de protection des données à caractère personnel ou RGPD (GDPR en Anglais) est la nouvelle réglementation européenne qui s’applique désormais à toute organisation, publique ou privée, traitant des données relatives aux personnes physiques avec lesquelles elles interagissent (clients, prospects, employés, partenaires, …) dans l’Espace Economique Européen. Il y avait déjà, en France, une loi qui protégeait les citoyens contre les traitements abusifs de leurs données personnelles. Il s’agit de la Loi Informatique et Libertés de 1978. Au niveau Européen, il s’agissait de la Directive 95/46/CE qui était en vigueur depuis 1995. Alors, avec le RGPD (GDPR), qu’est-ce qui change vraiment le 25 Mai 2018? Et pourquoi à un peu plus d’un mois de l’échéance, tous les acteurs économiques sont-ils aussi fébriles?

RGPD/GDPR - Les changement au 25 Mai 2018
Crédits : Vasily Merkushev – Fotolia.com

La nouveauté tient essentiellement au fait que le régulateur a prévu des montants d’amendes administratives énormes en cas de non-conformité avec le RGPD (GDPR). Ces amendes doivent être efficaces, proportionnées et dissuasives ainsi que le mentionne la loi. Elles peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial pour les groupes internationaux. Leur montant peut atteindre jusqu’à 20 millions d’euros pour les PME. Elles seront applicables dès le 25 Mai 2018 en cas de non respect de la loi. J’entends déjà les commentaires « Il ne faut pas paniquer, il y aura un délai de grâce« . Le problème c’est que c’est le délai de grâce qui se termine le 25 Mai 2018. En fait la réglementation est déjà applicable depuis Avril 2016. La Commission Européenne a laissé deux années de grâce avant l’application des sanctions. Son objectif était de permettre aux entreprises et organisations publiques pour se mettre en règle.

Afin de vous guider de façon efficace, nous allons voir pas à pas les obligations principales auxquelles vous devez vous soumettre ainsi que les actions à entreprendre pour mettre votre organisation en conformité avec le RGPD (GDPR). Ce post constitue une introduction à une série d’articles, à venir dans les prochaines semaines, qui détailleront chacune de ces actions.

Une chose est claire. Si vous n’avez pas encore commencé la mise en conformité, vous n’avez aucune chance d’être prêts pour le 25 Mai 2018. Alors il vous incombe de prioriser les actions et d’être en mesure de démontrer que vous avez démarré. Vous pourrez toujours espérer la mansuétude de l’autorité de contrôle.

Trois pièges à éviter

S’agit-il vraiment d’une problématique informatique?

Tout d’abord, essayons d’évacuer un mythe. Le mise en conformité avec le RGPD (GDPR) n’a rien à voir avec une obligation au niveau informatique. Les affaires sont un peu difficiles pour les sociétés spécialisées en informatique qui prolifèrent. Depuis que l’information sur le montant des amendes circule, beaucoup d’entre elles, voyant là un créneau pour se développer, proposent des logiciels vous permettant de réaliser cette mise en conformité. Il s’agit là d’une énorme arnaque. Le problème est d’abord un problème de gouvernance de votre organisation et non un problème informatique. Bien sûr, cela pourra ensuite déboucher sur une mise en conformité des systèmes informatiques que vous utilisez. En aucun cas un nouveau logiciel ne vous permettra d’être en conformité avec le RGPD (GDPR). Donc exit les logiciels estampillés ‘conforme au RGPD’ (GDPR compliant).

Comme d’habitude en pareil cas, le marché foisonne de charlatans.Ils ne connaissent souvent pas le premier mot de la loi et proposent des outils tout faits pour résoudre tous les problèmes. Ils résolvent surtout le problèmes que vous n’avez pas, ignorant ceux que vous avez vraiment. En effet la plupart de ces charlatans sont seulement des informaticiens et en aucun cas des juristes. Leur caractéristique commune est essentiellement qu’ils sont incapables de comprendre la loi. Soyez donc prudents avant de vous lancer dans un chantier périlleux tout autant qu’onéreux!

Votre organisation est-elle concernée par le RGPD (GDPR)?

Le deuxième mythe qu’il nous faut lever c’est celui qui consiste à penser que toutes les organisations sont concernées. C’est archi-faux. Seules les organisations qui manipulent des données personnelles sont concernées. Les données d’entreprise ne sont pas concernées par la réglementation. Il y a aussi une notion de taille de l’entreprise et de cible qui entre en jeu.

Les sanctions prévues seront-elles vraiment appliquées?

amende-GDPR
Crédit : Gilles Paire – Fotolia.com

Le troisième piège consiste à se dire que, compte tenu de l’ampleur de la tâche qui attend les autorités de contrôle nationales (en France c’est la CNIL) et de leur manque de moyens, rien ne se passera vraiment. C’est négliger un élément important. Il s’agit d’une loi européenne. Donc, en cas de non application dans un pays, des sanctions tomberont directement sur le pays. Les autorités de contrôle, indépendantes des gouvernements nationaux, vont simplement devoir prioriser leurs actions. Elles vont aussi devoir prioriser les organisation qui représentent le plus de risques pour les citoyens.

Il peut s’agir d’entreprises d’ores et déjà ciblées et qui vont devoir se mettre en conformité (Mise en demeure de DIRECT ENERGIE). C’est aussi le cas d’Entreprises pour lesquelles les organismes de contrôle reçoivent des plaintes de personnes physiques. Il peut s’agir d’organisations dont la protection des données personnelles a été testée par une publication et pour laquelle les non-conformités ont été rendues publiques (condamnation récente de DARTY). Enfin, il peut s’agir d’organismes publics qui n’auront pas désigné un responsable de la protection des renseignements personnels (DPO).  Ce serait le cas, par exemple, d’une municipalité de quelques milliers d’habitants n’ayant pas nommé de DPO.

Le RGPD (GDPR) s’applique-t-il à mon Entreprise ?

Notion de donnée personnelle et de traitement

Le texte de la loi

La loi fournit quelques définitions aux articles 2 et 4 permettant de mieux comprendre le périmètre du RGPD (GDPR). Vous pouvez consulter le texte intégral de la réglementation en ligne sur le site de la CNIL.


Article 4. Définitions

  1. «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»). Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
  2. «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Que faut-il comprendre?

D’après l’article 4, est considérée comme donnée personnelle toute donnée relative à une personne physique identifiée ou identifiable. Le traitement, pour sa part, démarre au moment de la collecte et se termine après la destruction des informations. Le traitement peut donc consister en une action réalisée par le responsable du traitement. Par exemple il peut consister en la collecte, l’enregistrement, l’organisation, l’extraction de données personnelles. Il peut être « passif » comme la mise à disposition, conservation ou diffusion (via un site web ou un réseau social). Le périmètre apparaît donc extrêmement vaste.

Champ d’application matériel du RGPD (GDPR)

Le texte de la loi

L’article 2 précise de façon plus limitée le champ d’application matériel de la loi.


Article 2. Champ d’application matériel

  1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
  2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
      • a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union;
      • b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne;
      • c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique;
      • d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Comment l’interpréter?

La loi est donc extrêmement claire quant à son champ d’application. Elle s’applique à tout traitement par une organisation publique ou privée de données personnelles par un moyen informatisé ou non. Seules les données personnelles sont concernées. Les données d’entreprise (sur des processus, des procédures, des produits, etc.) ne sont pas concernées par le RGPD (GDPR). Les personnes physiques qui gèrent leusr contacts téléphoniques sur leur téléphone portable sont également exclues de la réglementation. En d’autres termes, si vous êtes une collectivité, une entreprise, une association à but non lucratif, et si vous recueillez et gérez des noms, prénoms, adresses email, photos, des numéros de sécurité sociale ou des adresses IP, alors le règlement s’applique et vous êtes dans l’obligation de mettre votre traitement en conformité.

Quelles sont les obligations principales du RGPD (GDPR)?

Pour vous mettre en conformité avant le 25 Mai 2018, nous pouvons déjà vous donner 10 recommandations clés à mettre en oeuvre immédiatement. Ce ne sera bien sûr pas suffisant pour être conforme mais cela démontrera au moins que vous avez initié la démarche.

RGPD/GDPR : Les obligations
Crédits : Vasily Merkushev – Fotolia.com

1. Identifiez les données à caractère personnel que vous traitez

Il peut s’agir de données relatives à vos clients, à des prospects, à des membres (dans le cas d’une association), à vos employés , etc. Et identifiez les traitements que vous mettez en oeuvre pour chacune d’entre elles. Les traitements peuvent être manuels (par exemple basées sur des formulaires papier) ou informatisés. Documentez tous ces éléments avec les types de traitements réalisés pour chaque type de données.

2. Etablissez un registre des traitements

La loi exige que vous teniez un registre détaillé de tous les traitements réalisées sur les données personnelles indépendamment du fait que le traitement soit manuel ou informatisé, réalisé en interne ou sous-traité. Ce registre des traitements, obligatoire, vous permettra de démontrer que tous les traitements réalisés sont conformes au RGPD(GDPR).

3. Obtenez le consentement explicite des personnes concernées avant tout traitement

Tout traitement de données personnelles doit être précédé de l’obtention du consentement explicite des personnes concernées. N’oubliez pas que la collecte constitue un traitement. Cela signifie qu’avant de débuter la collecte d’informations personnelles, la personne concernée doit avoir exprimé clairement son consentement. Ceci implique qu’il n’est plus possible d’avoir une simple case à cocher, déjà pré-cochée, à la fin d’un formulaire. Il faut d’abord qu’un écran préalable stipule les raisons explicites du traitement et leur durée. Le consentement doit impérativement être « actif » avant de pouvoir commencer la saisie des informations personnelles. A défaut de consentement, le formulaire de collecte ne doit même pas être présenté à la personne concernée. Tous les consentements doivent être conservés et présentés à l’autorité de contrôle sur simple demande.

4. Conservez une base légale à fournir sur demande à l’autorité de contrôle

On parle beaucoup de la nécessité d’obtenir le consentement des personnes. La réalité juridique c’est que le consentement n’est qu’une des 6 bases légales prévues au règlement (Article 6).

Le consentement n’est donc pas systématiquement nécessaire pour procéder au traitement de données à caractère personnel. Il existe des exceptions clairement définies au RGPD (GDPR) telles que lorsque la loi l’impose comme dans le cas des informations liées au droit du travail, de la médecine du travail ou du code des impôts par exemple. Mais en tout état de cause vous devez être en mesure de fournir tous les éléments au travers d’une base légale. Celle-ci doit être systématiquement tracée et vérifiée pour chaque traitement.

5. Evitez de traiter des données sensibles

Une autre obligation importante tient à l’interdiction de traitement des données sensibles, sauf exception explicitement prévue par la loi (Article 9). La première étape consiste déjà à déterminer si vous traitez des données sensibles. Au sens du RGPD (GDPR), on entend par données sensibles, des données qui peuvent avoir un impact sur les doits et libertés fondamentales des individus. Ainsi par exemple, l’origine ethnique ou raciale est une donnée sensible alors que les données financières ne le sont pas. Donc, en cas de doute, évitez de traiter des données sensibles sauf nécessité absolue et si vous êtes dans un des cas explicitement prévu par le RGPD (GDPR).

6. Pour chaque nouveau traitement important ou chaque nouveau projet réalisez une DPIA

L’analyse d’impact (DPIA) est un outil important pour la responsabilisation des organisations : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD (GDPR). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

Ainsi, généralement, les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Exemple : une entreprise met en place un contrôle de l’activité de ses salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables donc la réalisation d’un DPIA sera nécessaire.

7. Organisez vos processus internes en intégrant le RGPD dans chacun d’entre eux

Réorganiser vos processus interne en intégrant les obligations du RGPD implique notamment :

  • de prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données (DPO) ;
  • de sensibiliser et d’organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
  • de traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) ;
  • d’anticiper les violations de données en prévoyant la notification à l’autorité de protection des données dans les 72 heures et, dans certains cas, aux personnes concernées dans les meilleurs délais.

8. Revoyez tous les contrats avec vos sous-traitants et intégrez-y des clauses conformes au RGPD

Le Règlement prévoit que le responsable du traitement est responsable (« accountable ») des traitements. Les traitements qui sont confiés à des sous-traitants sont, bien entendu, inclus. Le RGPD prévoit donc un certain nombre de stipulations impératives devant figurer dans tout contrat de sous-traitance.

RGPD/GDPR : Les contrats de sous-traitance
Crédits : © Viorel Sima – Fotolia.com

Entre autres, parmi les clauses obligatoires :

  • le rappel du rôle du sous-traitant dans la mesure où il « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement ». Le contrat de sous-traitance doit donc prévoir les modalités pratiques de réception de ces instructions de la part du responsable du traitement. Le sous-traitant devra, pour sa part, conserver les preuves des instructions du responsable du traitement ;
  • le respect de la confidentialité ;
  • le respect des mesures de sécurité imposées par l’article 32 du Règlement ;
  • les modalités de traitement des demandes d’exercices des droits des personnes concernées par le traitement de leurs données personnelles (Chapitre III du Règlement). Il s’agit notamment du droit d’accès, de rectification ou de limitation du traitement. Le Règlement ne met à la charge du sous-traitant qu’une obligation « d’aide » du responsable du traitement ;
  • le sort des données personnelles, en fin de contrat, au choix du responsable du traitement (restitution ou effacement) ;
  • la mise à la disposition du responsable du traitement de toutes les informations nécessaires lui permettant de démontrer le respect du Règlement avec la possibilité de réaliser d’éventuels audits ou inspections.

9. Formez la totalité de votre personnel en commençant par la Haute Direction jusqu’aux opérationnels

La mise en conformité au RGPD concerne l’ensemble des acteurs de l’Entreprise. La responsabilité échoit au Comité de Direction qui est responsable de la mise en oeuvre organisationnelle. Cela se traduira par la mise en oeuvre d’un système de management complet ainsi que son suivi régulier. Les exigences du RGPD sont transversales. Elles concernent absolument tous les métiers de l’Entreprise ainsi que tous les niveaux de management. Les opérationnels sont également concernés car ils auront la charge de la réalisation opérations quotidiennes. C’est donc l’ensemble du personnel qui doit être formé sur le contenu et les exigences du RGPD (GDPR).

Quelles directions sont concernées?

Est concernée au premier chef la Direction des Ressources Humaines qui gère les renseignements personnels relatifs aux salariés. La Direction des Achats est fortement impliquée également pour la mise en conformité des contrats de sous-traitance. La Direction juridique et de la Conformité sera la responsable idéale pour la mise en oeuvre et le suivi de la conformité. La DSI est également concernée, notamment dans le cadre de l’implémentation de la protection dès la conception et de la protection par défaut. Il s’agit là d’une exigence pour tous les systèmes informatiques utilisés pour le traitement de données personnelles. La Direction Marketing sera sans aucun doute également impactée pour déterminer les données personnelles à collecter. En cela, elle devra respecter le principe de minimisation des données. Bien sûr, toutes les équipes impliquées dans les projets et les opérations. Elles seront en charge d’intégrer les principes clés du RGPD dans leurs activités.

Quelles sont les formations disponibles?

Il est donc indispensable de former l’ensemble de ces acteurs sur les contenu de la réglementation. Il convient aussi de les former sur leurs propres responsabilités dans le respect du RGPD au sein de l’entreprise. A ce jour, plusieurs formations certifiantes existent. 2AB & Associates est d’ores et déjà en mesure de vous proposer des sessions de formation accréditées par EXIN et répondant aux besoins de l’ensemble de ces personnels :

  • Session de présentation exécutive (2  heures à 1/ journée) destinée aux membres du Comité de Direction
  • Sensibilisation au RGPD (1 journée) pour les managers en ayant un rôle dans la mise en conformité de l’Organisation
  • RGPD Foundation (2 jours) : formation certifiante destinée aux membres des équipes projets
  • RGPD Practitioner (3 jours) : formation pratique certifiante, basée sur des études de cas, destinée aux membres de l’équipe projet en charge de la mise en conformité et aux praticiens qui ont un rôle dans le suivi de la conformité au RGPD
  • Certification DPO ou Data Protection Officer (8 jours) : formation certifiante destinée spécifiquement aux DPO. Elle est composée des modules RGPD Foundation, RGPD Practitioner et ISO 27001 Foundation
  • Prochainement, nous vous proposerons une formation en e-Learning de sensibilisation pour l’ensemble des autres employés.

Toutes ce formations sont proposées en Français et en Anglais, selon le choix des Entreprises. Elles peuvent se dérouler dans le cadre de sessions internes à l’Organisation ou dans le cadre de nos sessions publiques.

10. Enfin, en cas d’obligation, nommez un DPO et communiquez ses coordonnées à l’autorité de contrôle

L’article 37 du règlement stipule que les organismes chargés de traiter des données désignent « en tout état de cause » un délégué à la protection des données (DPO) lorsque l’une des conditions suivantes est réalisée :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles ;
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel relatives à des condamnations pénales.

En résumé, les sociétés concernées sont donc celles qui sont amenées à traiter des données personnelles. Il n’y a pas de seuil plancher de taille. Une TPE remplissant les critères énumérés ci-dessus sera donc contrainte de nommer un DPO (data protection officer). En cas de non respect de cette exigence, les sanctions entrent en vigueur à partir du 25 mai 2018.

Vous avez des questions ou des remarques? N’hésitez pas à nous laisser un commentaire et nos experts vous répondront.

RGPD: Plus que 6 mois

A seulement 6 mois de la date d’application définitive du RGPD (en anglais GDPR: EU Generic Data Protection Regulation) nous vous proposons de faire un état des lieux au travers d’une infographie publiée par ComputerWeekly et TechTarget.

RGPD-Etat des lieux

La date est fixée : 25 Mai 2018

La date d’obligation de mise en oeuvre totale des exigences de la réglementation européenne sur la protection des renseignements personnels ne changera pas. Elle est fixée au 25 Mai 2018 pour toutes les organisations concernées. Et il est maintenant clair que le BREXIT ne permettra pas de report de cette date butoir. Il faut dire que cette réglementation est entrée en vigueur en mai 2016. Un délai de grâce de deux ans a été accordé aux organisations pour se mettre en conformité. Hélas, comme pour les autres projets de mise en conformité, les Entreprises ont attendu le dernier moment! Aujourd’hui le compte à rebours s’égraine inexorablement et il reste beaucoup de choses à faire.

Quelques exigences clés du RGPD à satisfaire

Recrutement d’un Délégué à la Protection des Données (DPO)

Le RGPD impose que les autorités publiques et certaines entreprises traitant des données personnelles doivent recruter un Délégué à la Protection des Données (DPO – Data Protection Officer) dans le cadre de leur mise en conformité. A ce jour, cela représente près de 28.000 DPOs à recruter dans les deux prochaines années en Europe. Le nombre de DPOs à recruter dans les deux ans est d’environ 75.000 au niveau mondial. Or aujourd’hui ce type de profil n’existe quasiment pas sur le marché. Le DPO n’est en aucun cas un informaticien comme le croient beaucoup de gens. C’est d’abord un juriste qui doit avoir quelques connaissances informatiques en plus de ses connaissances en droit.

Art. 37 : Le Délégué à la Protection des Données est désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les missions visées à l’article 39…

En vue de répondre aux besoins du marché dans les prochains mois, certains organismes de certification ont d’ores et déjà mis en place des cursus de formation et de certification de DPO. C’est le cas d’EXIN dont AB Consulting est partenaire. Nous proposons donc dès maintenant les formations Protection des données et des renseignements personnels PDP Foundation et PDP Practitioner d’EXIN qui aboutissent à la certification « Data Protection Officer Certified« .

Evaluations régulières d’impact sur la protection des données personnelles (DPIA)

Une évaluation régulière d’impact sur la protection des données personnelles (DPIA) est maintenant imposée. Cette évaluation d’impact entre dans le cadre plus général d’une évaluation du risque. Elle doit être incluse dans le système de management mis en oeuvre au niveau de l’organisation.

Obligation de consentement explicite lors de la  collecte des données

Le texte du RGPD stipule l’obligation de recueillir le consentement de la personne concernée par les données personnelles soumises au traitement. Ce consentement doit être recueilli avant toute action sur les données. Il consiste en une manifestation de volonté libre, spécifique (limitée en matière de contenu du traitement, éclairée et univoque de la personne concernée. Ce consentement doit être un acte positif clair. Ceci implique qu’une simple case cochée en bas d’un formulaire ne suffit plus.

Là encore, la procédure de consentement doit être documentée et appliquée dans le cadre d’un système de management mis en place.

Notification des violations

En cas de violation de données à caractère personnel, le responsable du traitement doit en faire la notification à l’autorité de contrôle de son pays dans un délai maximal de 72 heures. Dans le cas où cette obligation ne serait pas respectée, une justification argumentée doit être soumise.

Portabilité des données personnelles

Les personnes concernées par les données personnelles collectées par une Entreprise ont le droit d’obtenir la communication de ces données dans un format structuré couramment utilisé et lisible par machine  et ont le droit de les transmettre à une autre organisation sans que le responsable du traitement y fasse obstacle… (Article 20)

Une politique formalisée sur la protection des données personnelles

Le RGPD impose aux organisations concernées d’avoir des « règles contraignantes d’entreprise » (Article 4). Ces règles contraignantes se présentent sous la forme de « politiques sur la protection des données personnelles ». Dans la pratique, il convient de mettre en place un système de management. Celui-ci doit inclure les politiques, les processus et les procédures auxquelles doivent adhérer le responsable du traitement ainsi que son ou ses sous-traitants établis tant à l’intérieur de la communauté Européenne que dans un pays tiers. Bien entendu, l’ensemble des règles précédemment énoncées doivent être formalisées dans ce système de management.

6 étapes vers la conformité avec le RGPD

En vue de réussir à vous mettre en conformité avec le RGPD avant la date d’entrée en vigueur des sanctions fixée au 25 Mai 2018, il convient de lancer un projet d’entreprise. Celui-ci peut se décomposer en 6 étapes :

  1. Nommer un responsable général du projet (peut être interne ou externe à l’Entreprise),
  2. Elaborer une cartographie des données de votre organisation afin d’identifier les données personnelles,
  3. Evaluer les risques potentiels et prioriser les actions à entreprendre (périmètre, délai, coûts, ressources),
  4. Conduire une évaluation d’impact et planifier les plans de réponse aux risques identifiés,
  5. Documenter et mettre en place le système de management de données personnelles prévu par le règlement,
  6. Assembler la documentation afin de prouver votre conformité au RGPD/GDPR.

AB Consulting et 2AB & Associates comptent plusieurs experts du domaine susceptibles de vous accompagner pendant cette phase de mise en oeuvre.

Quels sont les risques en cas de non conformité au RGPD?

En cas de non conformité au RGPD, à compter du 25 Mai 2018, des amendes administratives pourront être appliquées. C’est l’autorité de contrôle compétente qui est en charge de les infliger. Et le montant de cette amende pourra atteindre des montant colossaux! En effet, elle peut s’élever à 4% du chiffre d’affaires mondial annuel avec un minimum de 20 millions d’euros.

Pour en savoir plus

Pouvons aider à y voir plus clair, nous vous proposons un certain nombre de ressources. Régulièrement, des wébinaires gratuits portant sur des points précis du RGPD vous sont proposés. Si vous êtes intéressés par ces wébinaires, n’hésitez pas à nous laisser un commentaire.

De plus, AB Consulting et 2AB & Associates vous proposent également plusieurs formations :

De plus, régulièrement, vous pouvez nous retourner sur ce blog ou sur les réseaux sociaux.

Vous avez d’autres questions? Vous souhaitez savoir si votre entreprise est concernée? Alors, merci de nous laisser un commentaire et nous vous répondrons en ligne.

Protection des renseignements personnels

Dans le cadre du mois de la cybersécurité 2017, nous avons eu le plaisir d’accueillir, le 11 octobre dernier, David Henrard pour un wébinaire exceptionnel présentant un état des lieux de la protection des renseignements personnels en 2017 dans le monde.

La protection des renseignements personnels
Crédits : © 2AB & Associates – AB Consulting

La protection des renseignements personnels

Un état des lieux en 2017

Les renseignements personnels sont au coeur du modèle économique du 21ème siècle. Grâce à la vidéo de notre wébinaire, nous vous proposons de mieux comprendre sur ce sujet clé. Parmi les points abordés, citons :

  • les définitions de ce qu’on appelle des renseignements personnels,
  • les pratiques en vigueur dans les différents pays du monde,
  • Les nouvelles lois et réglementations visant à protéger les citoyens contre l’utilisation de leurs données personnelles,
  • les risques pour les personnes en cas de vol de leurs données personnelles,
  • quelques conseils pour mieux se protéger en ligne.

Objectif : responsabiliser chaque individu

La protection des renseignements personnels est avant tout la responsabilité de chacun. Nous devons en permanence nous attacher à ne pas divulguer des informations concernant notre identité et notre vie personnelle. Ces informations constituent alors un produit qui ne manquera pas d’être vendu à des fins marketing ou autres. Ces données courent alors le risque d’être volées avec un impact potentiellement important pour les personnes concernées. Cela va de l’envoi de mails non désirés en masse (spam), avec souvent des liens véreux (phishing) jusqu’à l’exploitation d’informations sensibles telles que vos données médicales ou vos informations bancaires. Pour mieux comprendre ces enjeux, nous vous invitons à lire notre précédent article Protection des données – C’est votre responsabilité.

Des mesures prises par les états pour protéger leurs citoyens

De nombreux états ont d’ores et déjà légiféré sur la collecte, le traitement et la communication des renseignements personnels. L’Europe a, pour sa part, publié une réglementation qui s’applique à tous les pays de la communauté européenne et même au delà. En effet, cette règlementation appelée GDPR s’applique à toute organisation dans le monde susceptible de traiter des données personnelles de citoyens européens. La CNIL publie d’ailleurs sur son site une carte interactive montrant les pays ayant adopté une loi de protection des données personnelles et, plus intéressant encore, leur niveau de conformité avec la loi européenne.

Pays ayant une loi sur la protection des renseignements personnels

Cette carte est particulièrement intéressante car elle montre qu’actuellement la quasi totalité de l’Afrique et du Moyen Orient ne sont pas en conformité avec la loi européenne.

La loi européenne est très contraignante et sa violation sera punie d’une amende pouvant aller jusqu’à 4% du chiffre d’affaires annuel avec un minimum de 20 millions d’euros pour les organisations contrevenantes. L’impact sera donc majeur sur le commerce avec les pays africains et les états du moyen orient à compter du 25 Mai 2018, date d’application des sanctions.

En savoir plus

Vous pensez avoir été victime d’abus en matière d’utilisation de vos renseignements personnels? Nous sommes à votre disposition pour vous aider. Vous souhaitez en savoir plus sur ce sujet crucial? Alors laissez-nous un commentaire et nous vous répondrons. Vous êtres une Entreprise et vous vous demandez quel impact va avoir la réglementation sur votre organisation? Nous sommes mobilisés pour répondre à vos questions.

Aussi n’hésitez pas… Visionnez la vidéo complète et gratuite de notre wébinaire du 11 Octobre 2017. Nous attendons vos commentaires, remarques et suggestions.

Protection des données. C’est votre responsabilité!

A l’heure où internet est partout et où nous communiquons de plus en plus de façon digitale, comment protéger vos données personnelles? La réponse n’est peut-être pas celle que vous attendez. La protection des données personnelles est de la responsabilité de chacun. Il ne faut pas attendre que les entreprises ou les états s’en chargent. Chaque utilisateur d’Internet doit prendre conscience de sa responsabilité à ce niveau. Internet est un univers absolument fantastique permettant au plus grand nombre de rester connectés. Mais Internet n’est rien d’autre que ce que ses utilisateurs en font. Dans le cadre du mois de la cybersécurité 2017, nous vous proposons de nous arrêter un moment sur ce sujet capital.

Protection des données. C'est votre responsabilité!
Crédit : © Africa Studio

La protection des données : votre responsabilité

L’être humain est ainsi fait qu’il attend toujours des autres de le protéger contre tous les dangers. Les éditeurs de logiciels et constructeurs de solutions informatiques l’ont bien compris. Ils se battent à coup d’initiatives technologiques censées protéger les utilisateurs contre le vol de leurs renseignements personnels sur Internet. Les états, soucieux de la protection des données de leurs citoyens, publient des réglementations toujours plus contraignantes dans ce domaine. Bien sûr, cet arsenal technologique et réglementaire est utile pour se protéger. Mais il est très loin d’être suffisant. Le premier niveau de protection est totalement de notre responsabilité. Il consiste à adopter un comportement basé sur le bon sens. Hélas, il semble que le bons sens ne soit pas universellement partagé. Il convient donc de mettre l’accent sur la sensibilisation, l’éducation et la formation des individus. Et ce, dès le plus jeune âge…

Une technologie toujours plus performante

Au cours de ces dernières années, les éditeurs de logiciel et les constructeurs de matériel ont mis l’accent sur la protection des appareils. Cela concerne particulièrement les matériels permettant l’accès à internet comme les ordinateurs et les éléments du réseau. Malheureusement le même effort n’a pas forcément été déployé sur les téléphones portables. Bien sûr on a vu apparaître assez récemment sur ces téléphones mobiles des protections biométriques. Certains terminaux permettent aujourd’hui le cryptage des données qu’ils hébergent. Mais combien d’utilisateurs utilisent ces  systèmes de sécurisation? De plus, ces protections bien qu’assez performantes sont encore très insuffisantes pour résister à des hackers professionnels.

Pour rester performante, la technologie doit évoluer en permanence. En effet, la compétence des hackers évolue, elle, chaque jour. Cela signifie donc que les éditeurs doivent produire des mises à jour de sécurité très fréquentes. C’est généralement ce qu’ils font. La responsabilité d’installer ces mises à jours revient naturellement aux utilisateurs eux-mêmes. Or, souvent ils ne le font pas. Cela prend du temps et consomme du volume de données sur internet. Dans beaucoup de pays, notamment dans les pays africains, la facturation internet s’effectue au volume. Donc, une mise à jour de sécurité assez lourde se traduira par un coût important pour l’abonné. Par conséquent, la plupart du temps les mises à jour de sécurité ne sont pas installées, laissant des larges failles ouvertes à la disposition des pirates.

Des lois de plus en plus contraignantes

Pour protéger leurs citoyens, les états prennent des dispositions de plus en plus contraignantes en matière de protection des renseignements personnels. Ainsi, en Europe, la nouvelle réglementation connue sous le nom de GDPR (Generic Data Protection Regulation), qui entrera en vigueur le 25 mai 2018, impose aux entreprises qui utilisent et traitent des données personnelles de citoyens Européens des exigences très restrictives. Toute violation de cette réglementation sera punie d’une amende allant jusqu’à 4% du chiffre d’affaires mondial annuel de l’Entreprise fautive, avec un minimum de 20 millions d’Euros.

Parmi les contraintes imposées, figure l’obligation de recueillir le consentement explicite des personnes pour utiliser leurs données personnelles à des fins marketing ou commerciales.

Une autre disposition contraignante, ayant des impacts très importants, est la responsabilité du donneur d’ordre sur toute la chaîne de sous-traitance utilisée pour le traitement des renseignements personnels. Ceci signifie que dans le cas où des informations personnelles (nom, prénom, adresse mail ou numéro de téléphone par exemple) seraient volées à un sous-traitant de la Société qui a recueilli ces données, quel que soit l’endroit où ce vol surviendrait (sur un autre continent par exemple), la Société d’origine serait considérée comme totalement responsable du délit et passible de l’amende.

Une méconnaissance des risques

Depuis quelques années on constate une utilisation croissante des téléphones portables pour l’accès à internet. Ceux-ci sont de plus en plus performants et offrent souvent des fonctionnalités et une puissance équivalentes aux ordinateurs. Leur portabilité en fait le terminal privilégié des internautes. Pour autant ils sont beaucoup plus vulnérables que les ordinateurs. Très peu d’entre eux sont équipés d’anti-virus. Les mises à jour de sécurité sont réalisées de façon très aléatoires. Ils sont plus sujets à la perte et au vol que les ordinateurs portables.

Les téléphones mobiles constituent aujourd’hui un maillon faible en matière de protection des renseignements personnels. Chacun enregistre sur son téléphone une grande quantité de données personnelles. Il s’agit bien sûr des numéros de téléphones de ses contacts, mais aussi d’autres informations comme leur nom et leur adresse mail ou même leur adresse physique. Souvent on y retrouvera aussi leur date de naissance, pour penser à fêter leur anniversaire. Ces téléphones portables sont aussi largement utilisés, en Afrique notamment, pour le paiement par mobile ou le transfert d’argent.

Le paiement par mobile

Devant la faiblesse des banques, les opérateurs téléphoniques du continent Africain ont développé des services de paiement et de transfert d’argent extrêmement prisés. Ainsi, au Kenya, M-Pesa, le service de paiement mobile de l’opérateur Safaricom possédait plus de 29,5 millions d’abonnés fin 2016. Sur l’année 2016 plus de 6 milliards de transactions ont été réalisée par M-Pesa, pour un montant global de plus de 30 milliards de dollars US, soit près de 45% du PIB du Kenya tout entier.

Les montants annuels transitant par ces services mobiles sont devenus phénoménaux. De plus leur croissance est évolution constante. Le succès de ces offres repose sur l’ouverture de ce type de services au plus grand nombre. Par contre ni les utilisateurs, ni les vendeurs de ces services ne sont formés sur la sécurité. Le risque lié au paiement mobile en Afrique est donc, en peu de temps, devenu un risque majeur. Ce risque concerne bien sûr l’économie entière des pays concernés, mais aussi chacun des utilisateurs individuellement. Les services de paiement mobile constituent en effet une cible plutôt facile pour des pirates qui y voient une incitation financière importante.

Un comportement immature des utilisateurs

Pour la plupart des utilisateurs, la protection des données ne constitue pas une préoccupation majeure. La plupart d’entre eux considère n’avoir rien à cacher. Ils n’hésiteront pas bien longtemps devant un formulaire leur demandant des informations personnelles. Et surtout s’il y a une incitation à les fournir!

Hier encore je suis tombé sur la page Facebook d’une personne qui publiait publiquement, photos à l’appui, sur ses vacances, pendant 4 semaines à l’étranger. Sur son profil, toujours public, apparaissent diverses informations suffisamment détaillées permettant de l’identifier de façon précise avec la localisation de son domicile. Il s’agit là d’informations personnelles extrêmement faciles à exploiter par n’importe quel cambrioleur qui sait désormais que cette maison est inoccupée et que les propriétaires ne reviendront pas avant une certaine date. De plus, sur la base des informations communiquées sur son profil et des photos partagées prises à l’intérieur de cette maison, il est évident que le butin risque d’être très intéressant. Cette personne s’est elle-même exposée au risque de se faire cambrioler. Elle a donné en ligne, de son plein gré, tous les informations personnelles pouvant inciter au délit. Si, ce qu’évidement nous ne lui souhaitons pas, le cambriolage se produit, l’assurance de ladite personne ne couvrira pas les dommages car la compagnie d’assurance estimera, de façon tout à fait justifiée, que c’est la personne elle-même qui a « provoqué » le cambriolage.

C’est un exemple tout à fait courant, malheureusement, de ce que nous nommerons un comportement immature d’un utilisateur d’internet.

Comment en savoir plus?

Pour en savoir plus sur la protection des données personnelles, nous vous invitons à visionner l’enregistrement video de notre wébinaire du 11 Octobre dernier. La présentation était animée par David Henrard, expert international du domaine et actuel président du Chapitre ISACA de Québec. Vous pourrez ainsi avoir une vision complète de l’état des lieux en la matière à travers les différentes régions du monde.

Nous répondrons également avec plaisir à vos remarques, commentaires et questions sur cet article.

 

Sécurité sur internet : 10 pratiques essentielles

Dans le cadre du mois de la cybersécurité 2017, AB Consulting CI et 2AB & Associates, sponsors officiels depuis plusieurs années, s’associent de nouveau à la campagne de sensibilisation des citoyens sur les bonnes pratiques en matière de sécurité sur internet.

10 pratiques essentielles pour rester en sécurité sur internet

10 pratiques essentielles pour rester en sécurité sur internet

A l’occasion du mois de la cybersécurité 2017, nous publions un livre blanc intitulé 10 pratiques essentielles pour rester en sécurité sur internet. Ce livre blanc sera remis à tous les participants lors de notre wébinaire gratuit du 4 octobre prochain.

Aujourd’hui notre vie est étroitement liée à l’utilisation d’internet. Cela vaut aussi bien pour notre vie professionnelle que pour notre vie privée. L’objectif est de sensibiliser l’ensemble des citoyens sur la nécessité de prendre quelques précautions élémentaires pour se protéger des risques inhérents à l’utilisation de ce mode de communication.

Nous vous proposons donc de nous rejoindre sur notre wébinaire du 25 octobre 2017 pour creuser ensemble ce sujet délicat. Attention, le nombre de places est limité. Inscrivez-vous ici dès maintenant… C’est entièrement gratuit!

Nous faisons tout pour sauvegarder nos biens personnels – en verrouillant nos portes, en surveillant nos sacs et nos portefeuilles. Hélas, souvent, nous ne prenons pas le même soin avec les informations personnelles que nous stockons en ligne, sur les réseaux sociaux et dans nos appareils, qu’il s’agisse d’ordinateurs ou de téléphones. La plupart du temps, c’est simplement parce que nous ne comprenons pas bien les risques et que nous ne savons pas par où commencer.

Alors, avant de participer à notre wébinaire et de lire notre livre blanc, voici quelques règles élémentaires. Il s’agit simplement de 3 conseils de bon sens à respecter scrupuleusement :

Naviguez toujours prudemment sur Internet

Bien sûr, commencez par utiliser un navigateur et une machine à jour des correctifs de sécurité, Mais il convient encore de prendre quelques précautions élémentaires lorsque vous naviguez sur des sites internet.

Sites marchands et sites bancaires

IMPORTANT : Ne donnez jamais d’informations personnelles et confidentielles (vos coordonnées personnelles, vos coordonnées bancaires, etc) sur un site marchand ou un site bancaire, sans avoir vérifié au préalable que le site est sécurisé.

Le site doit utiliser un certificat électronique qui garantit qu’il est authentique. C’est grâce à ce certificat que la confidentialité des informations échangées est bien garantie. Bien sûr, là il s’agit de considérations quelque peu techniques et vous n’êtes pas forcément un(e) technicien(ne). Il existe une façon simple de vous assurer que le site est bien sécurisé. Il y a deux informations affichées par le navigateur qui doivent être vérifiées :

  • l’adresse URL du site web doit commencer par « https:// ». Par ailleurs, le nom du site doit correspondre à ce que vous vous attendez à trouver.
  • un petit cadenas fermé doit figurer à droite de l’adresse du site. Il peut aussi se trouver en bas à droite de la barre d’état selon la version et le type de votre navigateur. Ce cadenas symbolise une connexion sécurisée. En cliquant dessus, on peut afficher le certificat électronique du site, et visualiser le nom de l’organisme.

Attention cependant, il est toujours possible à un agresseur d’intervenir en amont (sur votre machine) ou en aval (sur le site consulté). Il peut aussi essayer de vous aiguiller sur un site frauduleux, au nom très voisin. L’objectif est le plus souvent d’obtenir des informations sensibles. La prudence doit donc être de rigueur.

Pour plus de précisions sur les procédés utilisés par les pirates, nous vous conseillons la lecture de deux articles publiés sur notre blog : Phishing – Mode d’emploi et 10 trucs pour reconnaître un mail d’hameçonnage.

Les forums et les blogs

IMPORTANT : En aucun cas vous ne devez donner d’informations personnelles sur des forums (adresse physique, de messagerie, numéro de téléphone…).

Il est désormais fréquent de communiquer sur des sites communautaires de types forums de discussion ou autres blogs. Il est important de bien garder en mémoire, lorsque l’on veut déposer un message sur ce type de site, que le contenu de vos écrits  pourra être analysé par des robots. Qu’appelle-t-on des robots? Ce sont des programmes capables de récupérer les informations personnelles contenues dans le texte. Il peut s’agir de vos adresses de messageries ou de vos identifiants de messageries instantanées. Ces informations pourront ensuite être utilisées afin de propager du pourriel (spam). Aujourd’hui, il n’est pas rare après avoir déposé son adresse personnelle de messagerie électronique sur un forum de se voir inondé de spams les heures ou jours suivants. Attention, ces informations communiquées sur ces sites resteront publiques et non maîtrisables durant une très longue période.

Le paiement en ligne

IMPORTANT : Soyez prudent sur la nature des données bancaires demandées lors d’un paiement en ligne. Un site ne doit jamais vous demander de saisir votre code secret associé à votre carte bancaire. 

Lorsque que vous décidez de faire des achats sur internet,-vous devez vous assurer du sérieux du site marchand. Il doit offrir toutes les garanties de sécurité lorsque vous payez : chiffrement, possibilité de rétractation….Si vous avez le moindre doute, ne finalisez pas la transaction et signalez le site aux points de contact mentionnés sur contrat de votre carte bancaire.

Pour en savoir plus…

Pour en savoir plus, n’hésitez pas à nous adresser vos commentaires et à partager vos expériences relatives à la sécurité sur internet. Et surtout inscrivez-vous vite à notre wébinaire gratuit du 25 Octobre et recevez le livre blanc 10 pratiques essentielles pour rester en sécurité sur internet.

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 25 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

CISM vs CISSP : quelle certification choisir?

La technologie constitue une réponse courante aux risques de cybersécurité. Cependant,aujourd’hui, envisager de se protéger des risques de sécurité uniquement grâce à la technologie est un leurre. Selon une enquête publiée par IBM, 95% des cyber-attaques réussies ont ciblé un domaine non informatique. Il est donc vital de renforcer les compétences en sécurité dans les entreprises. Or la pénurie de professionnels qualifiés en sécurité informatique représente aujourd’hui un défi majeur pour les organisations de toutes tailles. Selon (ISC)2, le déficit passera à 1,5 million d’ici 2020. L’écart de compétences est un obstacle majeur pour de nombreuses organisations. Mais c’est aussi une opportunité pour les informaticiens. Les enquêtes auprès des responsables informatiques montrent que les certifications en sécurité sont de plus en plus importantes. Les deux certifications en sécurité les plus recherchées sont CISM et CISSP. A l’heure du choix : CISM vs CISSP quelle certification vous convient le mieux?

CISM vs CISSP
Crédits : © Blacksalmon

CISM vs CISSP : l’heure du choix

Les professionnels des Systèmes d’Information possédant certains types de certifications particulièrement recherchés. Ils peuvent donc espérer une meilleure rémunération. CISM et CISSP sont  certifications professionnelles les plus  reconnues dans le domaine de la sécurité de l’information ainsi que le montre le classement 2017 des certifications qui paient le mieux. CISM (Certified Information Security Manager) est une certification de l’ISACA. CISSP (Certified Information Systems Security Professional) est une certification de la fondation (ISC)2. Les deux nécessitent un investissement important en temps et en coût. Alors, laquelle  correspond le mieux à votre profil et à vos compétences?

La différence majeure entre ces deux certifications réside dans leur contenu et le public qu’elles ciblent. CISM se concentre sur le management et la stratégie, et couvre superficiellement les sujets techniques. Elle est, par conséquent, extrêmement prisée pour des Managers (RSSI, CISO,…). A l’inverse, CISSP se focalise principalement sur les aspects tactiques des opérations de sécurité. CISSP concerne donc d’avantage les ingénieurs et techniciens impliqués dans les opérations.

CISM : la certification des managers

CISM (Certified Information Security Manager) est une certification professionnelle délivrée par l’ISACA et détenue par plus de 32.000 professionnels dans le monde parmi lesquels plus de 7.500 ont des responsabilités de CISO ou de RSSI, tandis que plus de 3.500 occupent un rôle de DSI ou de Directeur Informatique. Elle cible spécifiquement les managers en sécurité de l’information. Elle fait partie en 2017, comme en 2016 des trois certifications les mieux rémunérées.

CISM couvre 4 domaines d’expérience dans les quels vous devrez réussir un examen et, ensuite, faire la preuve de votre expérience :

CISM
Crédits : © ISACA
  1. Gouvernance de la sécurité de l’information (24%)
  2. Gestion des risques informationnels (30%)
  3. Développement et gestion d’un programme de sécurité de l’information (27%)
  4. Gestion des incidents de sécurité de l’information (19%)

L’examen, désormais électronique, se compose de 150 questions multi-choix et dure 4 heures. Le score minimum pour réussir l’examen est de 450 points. Cela semble correspondre plus ou moins à 60-70% des réponses correctes. Il est en effet à noter que toutes les questions n’ont pas le même poids. De plus, environ 25 questions ne sont pas notées et figurent dans l’examen uniquement à des fins d’évaluation.

Le syllabus du CISM s’appuie très largement sur COBIT® 5. Aussi une formation COBIT sera une bonne base pour bien comprendre les aspects de gouvernance et de gestion des risques couvrant la première moitié du contenu.

CISM : une certification professionnelle

CISM, à l’instar de CISSP ou PMP, est une certification professionnelle. Cela signifie que la réussite à l’examen n’est que la première étape. Vous devrez ensuite postuler, auprès de l’ISACA, à l’obtention de la certification CISM. Pour cela vous devrez prouver, de façon très documentée votre expérience en management de la sécurité de l’information sur 5 années. Vous devrez également donner des références pouvant confirmer cette expérience de façon détaillée. Les références seront ensuite interrogées par des membres de l’ISACA aux fins de vérification. Après un délai de l’orde de 4 à 8 semaines, vous recevrez alors votre certificat ou un mail vous indiquant les raisons du rejet de votre demande.


La certification CISM m’a aidée à progresser du niveau de support IT au service desk à celui de vice-président. La connaissance que j’ai acquise est applicable dans le monde entier, dans tous les pays. (L.D. CISM, IT Security Manager, 3M Company) (Source : site web ISACA)


CISM : une revalidation continue exigée

CISM (Certified Information Systems Security Professional) vise à garantir, non seulement des connaissances, mais aussi votre expérience. C’est ce qui explique le succès de cette certification auprès des Entreprises. Elles sont ainsi assurées de la compétence des titulaires. De plus, vous devrez, chaque année, fournir à l’ISACA des preuves de votre engagement dans un processus d’amélioration continue. A défaut votre certification vous sera purement et simplement retirée de façon définitive.

CISSP : une certification plus technique

CISSP (Certified Information Security Professional) est une certification professionnelle délivrée par la fondation (ISC)2. Elle est détenue par plus de 100.000 professionnels de la sécurité de l’information dans le monde, dont 75% aux seuls Etats-Unis. Le deuxième pays comptant le plus de CISSP est le Royaume Uni.

En Afrique de l’Ouest, on compte 1 certifié au Burkina Faso, 1 au Sénégal, 4 en Côte d’Ivoire, contre 29 au Ghana et 153 au Nigéria. Avec 922 certifiés, la France se classe au 13ème rang mondial. Les certifiés CISSP occupent pour la plupart des responsabilités tactiques et opérationnelles en sécurité du SI (RSSI, responsable réseau, Information Security Manager, architectes IT). Le CISSP se positionne à la 4ème place des certifications les mieux rémunérées.

CISSP couvre huit domaines de compétence dans lesquels vous devrez apporter la preuve de votre expérience avant de pouvoir vous présenter à l’examen :

CISSP
Crédits : © (ISC)2
  1. Gestion des risques et de la sécurité (16%)
  2. Sécurité des actifs (10%)
  3. Ingénierie de la sécurité (12%)
  4. Sécurité des communication et du réseau (12%)
  5. Gestion de l’identité et des accès (13%)
  6. Evaluation et tests de sécurité (11%)
  7. Opération de la sécurité (16%)
  8. Sécurité des développements logiciels (10%)

L’examen, au format électronique, se passe uniquement dans des centres d’examen Pearson VUE. Il comporte 250 questions et dure jusqu’à 6 heures. Le score minimum pour réussir l’examen est de 700 points (sur un total de 1000).

CISSP est une certification recherchée mais difficile à réussir. Pour la préparer et la réussir dès le premier essai, nous vous conseillons de bien vous préparer. Pour ce faire, nous vous conseillons de suivre la formation Réussir la certification CISSP® sur 5 jours. AB Consulting propose cette session dans différentes villes dont Paris et Abidjan.

CISSP : une certification professionnelle également

CISSP est également une certification professionnelle mais, à l’inverse du CISM, la preuve de l’expérience préalable dans le domaine doit être fournie en amont de l’examen. Ce n’est que lorsque (ISC)2 aura validé cette expérience d’au moins cinq années à temps complet dans un minimum de deux des 8 domaines de compétence couverts que vous pourrez vous présenter à l’examen. Aucune équivalence n’est admise. Là encore, l’objectif est de s’assurer de la compétence des candidats sur la base de l’expérience.

CISM : comment conserver votre certification

CISSP est une certification qui vise à garantir le maintien de votre compétence dans le temps. Vous devrez donc chaque année fournir à (ISC)2 la preuve que vous avez accumulé des CPEs grâce à des formations ou la participation à certaines conférences. Vous devrez en outre payer un montant annuel de 85$ à (ISC)2 et accumuler un total de 120 CPEs par cycle de 3 ans. A défaut d’apporter la preuve de vos CPEs, votre certification sera annulée. Vous pourrez cependant la récupérer ultérieurement en payant les redevances pour l’intégralité des années de retard et en repassant et  réussissant de nouveau l’examen.

L’intérêt d’une certification

Selon la dernière enquête annuelle réalisée par Certification Magazine les professionnels confirment l’intérêt d’une certification CISM ou CISSP.

Pour beaucoup de professionnels, la valeur de ces certifications réside d’abord dans une meilleure compréhension des concepts clés de leur domaine. Cela semble plus important que l’augmentation espérée de salaire liée à la certification.

Pour les employeurs, elles permettent d’identifier les candidats à fort potentiel dans le domaine de la sécurité du SI. Ces deux certifications démontrent l’expertise approfondie d’un candidat et augmentent la crédibilité et le calibre de son potentiel. C’est une façon de mesurer la qualité d’un candidat. Attention cependant à ne pas trop compter sur les certifications seules au lieu d’évaluer l’adéquation d’une personne à la culture et à la mission de l’entreprise. En soi, une certification ne constitue pas une garantie qu’un praticien réussira dans une organisation particulière.

Alors, CISM vs CISSP? Qu’en pensez-vous?

Si vous hésitez toujours, merci de nous laisser vos remarques et vos questions en commentaire. Nos experts se tiennent à votre disposition pour vous apporter une réponse. Si vous détenez déjà l’une de ces deux certifications, votre commentaire est aussi le bienvenu.

Pour en savoir plus, vous pouvez aussi nous suivre sur les réseaux sociaux et vous abonner sans engagement à notre blog.

Catégories

Archives

Calendrier

août 2018
L M M J V S D
« Juil    
 12345
6789101112
13141516171819
20212223242526
2728293031  
%d blogueurs aiment cette page :