Home » Posts tagged 'AB Consulting'

Tag Archives: AB Consulting

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

RGPD/GDPR : appuyez-vous sur COBIT

Dans notre précédent article intitulé RGPD/GDPR ; Les changements au 25 Mai 2018, nous vous avons proposé 10 axes clés pour devenir conforme au RGPD. La mise en conformité est, par définition, un projet transversal relevant de la gouvernance de l’Entreprise. Or, dès lors qu’on parle de Gouvernance, le référentiel susceptible de nous aider est COBIT 5. Dans quelle mesure, COBIT 5 peut-il nous aider à mettre en oeuvre le RGPD (GDPR) via ses 7 facilitateurs, en s’appuyant sur les 5 principes de la Gouvernance?

RGPD : comment COBIT peut vous aider
Crédits : Tatyana – Fotolia.com

Le RGPD (GDPR en Anglais) contient 99 articles définissant les exigences et les droits accordés aux citoyens de l’UE. Le RGPD (/GDPR) décrit également la structure de conformité et pénalités pour non-conformité. Chaque organisation a besoin de bien comprendre le RGPD (/GDPR) et de déterminer ses prochaines actions. Nous allons, pour les principaux sujets de préoccupation, décrire comment l’approche COBIT peut vous aider à y répondre.

Quel rapport en tre RGPD (GDPR) et COBIT?

Le RGPD (GDPR en Anglais) est une Règlementation Européenne destinée à la protection des renseignements et des données personnelles des citoyens de l’Union. Il s’agit donc d’une loi, applicable à toute entreprise ou organisme, public ou privé, dans l’Espace Economique Européen. Cette loi est entrée en vigueur le 4 Mai 2016 (date de publication au journal officiel de l’Union Européenne) . La Commission Européenne a accordé  deux ans de grâce aux Etats et aux organisations pour se mettre en conformité. Ce délai de grâce expire le 25 Mai 2018. Par conséquent, les sanctions prévues par loi vont s’appliquer à compter cette date. De plus, il faut reconnaître que les sanctions prévues sont dissuasives (jusqu’à 4% du chiffre d’affaires mondial annuel pour les grandes entreprises et 20 Millions d’Euros pour les TPE et PME).

Malheureusement, comme d’habitude, les organisations des pays francophones ont attendu le dernier moment pour se préoccuper de leur mise en conformité. Aussi, à un mois de l’échéance, beaucoup d’entre elles commencent seulement à se poser la question. De plus, elles pensent, de façon totalement erronée, qu’il s’agit simplement d’un projet informatique de plus.

La conformité légale et réglementaire est, par essence, un sujet de Gouvernance des Entreprises. Dans le cas précis du RGPD, il s’agit de Gouvernance du Système d’Informations. Or le référentiel de Gouvernance du Système d’Informations, reconnu dans le monde entier, n’est autre que COBIT 5. Il apparaît donc clairement que COBIT 5 peut nous aider efficacement à mettre en oeuvre des exigences du RGPD (GDPR).

Quelques exigences clés du RGPD (GDPR)

Identification des données présentant un risque élevé et analyses d’impact

Les entreprises ont désormais l’obligation effectuer des analyses d’impact sur la protection des données (DPIA) lors de l’utilisation de nouvelles technologies ou lors du lancement de nouveaux projets, pour toute donnée présentant un risque élevé pour les droits et libertés des citoyens de l’UE. Ces analyses d’impact doivent également décrire comment l’entreprise entend aborder le risque grâce à un traitement systématique et étendu ou via des activités de surveillance. Donc, cela s’apparente à une évaluation traditionnelle des risques qui analyse les risques et les mesures en place pour y remédier. Ainsi, il est simple, en nous appuyant sur la cascade d’objectifs, d’identifier les processus primaires de COBIT à considérer:

  • EDM02 Ensure Benefits Delivery ;
  • EDM04 Ensure Risk Optimization ;
  • APO11 Manage Quality ;
  • APO12 Manage Risk ;
  • APO13 Manage Security ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Protection, traitement et stockage des données personnelles

Les données personnelles de chaque personne concernée doivent être traitées de manière transparente, et uniquement pour les finalités spécifiées. L’Entreprise doit garantir un niveau « raisonnable » de protection des données et des renseignements personnels. Les données doivent être traitées en toute sécurité pour se protéger contre tout accès non autorisé, perte ou dommage. Des mesures techniques et organisationnelles appropriées doivent être mises en oeuvre. Le RGPD (GDPR) ne définit pas ce que cela signifie de façon précise. Il est cependant clair que si les données sont perdues ou volées, l’entreprise est manifestement en violation de la conformité. Les principaux processus COBIT à considérer sont donc les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO02 Manage Strategy ;
  • APO03 Manage Enterprise Architecture ;
  • APO10 Manage Suppliers ;
  • BAI01 Manage Programs and Projects ;
  • BAI02 Manage Requirements Definition ;
  • BAI03 Manage Solutions Identification and Build ;
  • BAI04 Manage Availability and Capacity ;
  • BAI06 Manage Changes ;
  • BAI07 Manage Change Acceptance and Transitioning ;
  • BAI08 Manage Knowledge ;
  • BAI09 Manage Assets ;
  • BAI10 Manage Configuration.

Consentement, portabilité, droit d’accès et droit à l’oubli

Les individus doivent donner leur consentement explicite concernant le traitement de leurs données personnelles. Rappelons que le RGPD (GDPR) considère comme traitements la collecte initialel’enregistrementl’organisationla structurationla conservationl’adaptation ou la modificationl’extractionla consultationl’utilisationla communication par transmissionla diffusion ou toute autre forme de mise à dispositionle rapprochement ou l’interconnexionla limitationl’effacement jusqu’à la destruction.

Ces personnes (« les personnes concernées ») ont le droit de savoir, sur demande, quelles données personnelles une entreprise utilise et comment ces données sont utilisées. Un citoyen de l’UE peut également obtenir, sur demande, le transfert de ses données personnelles d’une entreprise à une autre dans un format lisible par machine. De plus, les entreprises ont l’obligation  d’arrêter de traiter et / ou de supprimer des données personnelles sur un citoyen de l’UE sur sa demande. Cette exigence va plus loin: il s’agit de permettre aux citoyens de l’UE le droit d’être oublié en ayant des données personnelles supprimées sur demande. Les principaux processus COBIT à considérer sont les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO08 Manage Relationships ;
  • APO09 Manage Service Agreements ;
  • APO10 Manage Suppliers ;
  • BAI08 Manage Knowledge.

Nomination d’un délégué à la protection des données

Certaines organisations ont obligation de désigner un délégué à la protection des données (DPO). Le rôle du DPO est de superviser la stratégie de sécurité des données de l’entreprise et sa conformité au RGPD (GDPR). Alors, quelles sont les  organisations qui ont l’obligation d’avoir un DPO? L’exigence s’applique à toute organisation qui traite ou stocke de grandes quantités de données sur les citoyens de l’UE. Elle s’applique également aux organisations qui traitent ou stockent des données personnelles, surveillent régulièrement les individus. Enfin elle s’applique à toutes les autorités publiques. Pour répondre à cette exigence, les principaux processus COBIT à considérer sont :

  • EDM01 Ensure Governance Framework Setting and Maintenance ;
  • APO07 Manage Human Resources ;
  • BAI05 Manage Organizational Change Enablement.

Notification des violations de données à caractère personnel

Les entreprises (et plus particulièrement les responsables du traitement) doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une violation de données à caractère personnel. Les sous-traitants sont généralement ceux qui découvrent en premier  une telle violation de données. Par conséquent, la loi les rend responsables d’informer sans délai le responsable du traitement. Beaucoup d’organisations ont déjà mis en place de telles procédures. Cependant,  peu d’entre elles effectuent régulièrement des tests pour s’assurer que les exigences sont bien respectées. Concernant cet axe de travail, les principaux processus COBIT à considérer sont :

  • DSS01 Manage Operations ;
  • DSS02 Manage Service Requests and Incidents ;
  • DSS03 Manage Problems ;
  • DSS04 Manage Continuity ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Assurer la conformité réglementaire

Pour assurer la conformité à la législation, les organisations ont l’obligation de s’évaluer, de surveiller et d’évaluer en permanence leurs contrôles et d’étudier les améliorations continues à mettre en oeuvre en termes de technologies et d’idées. Les organisations doivent également fournir l’assurance qu’elles suivent les obligations énoncées. Pour cette exigence du RGPD (GDPR) les principaux processus COBIT à améliorer sont les suivants :

  • APO04 Manage Innovation ;
  • APO05 Manage Portfolio ;
  • APO06 Manage Budget and Costs ;
  • MEA01 Monitor, Evaluate and Assess Performance and Conformance ;
  • MEA02 Monitor, Evaluate and Assess the System of Internal Control ;
  • MEA03 Monitor, Evaluate and Assess Compliance With External Requirements.

Quelques conseils et astuces pour réussir la mise en œuvre du RGPD

Pour faciliter le travail de mise en conformité, nous vous livrons ici une série de conseils et d’astuces basés sur COBIT 5. De plus, ces conseils et astuces proviennent des observations et recommandations issues de l’expérience d’organisations qui ont déjà entamé, et pour certaines terminé avec succès, leur marche vers la conformité au RGPD (GDPR). Ce qui suit est  donc, de fait, une liste des facteurs clés de succès à prendre en compte dans votre programme de mise en conformité.

1. Créez un sentiment d’urgence et de criticité au niveau du top management

Très logiquement, c’est la toute la première des choses à faire. Obtenir le soutien de niveau exécutif est clé. C’est ce soutien qui déclenchera les attitudes et provoquera les attentes nécessaires permettant d’adopter avec succès les bonnes pratiques de gouvernance. En effet ce sont ces pratiques qui permettront d’appliquer et de se conformer les exigences du RGPD. Pour obtenir ce soutien précieux, vous devez absolument convaincre le Comité de Direction de l’urgence et de la criticité de ce programme.

Astuce : Lisez COBIT 5 Implementation Guide pour plus de conseils et techniques permettant d’obtenir un soutien de niveau exécutif et faire reconnaître le besoin d’agir.

2. Considérez le RGPD comme une opportunité de créer davantage de valeur

Le RGPD n’est pas seulement un contrainte. C’est aussi l’opportunité d’améliorer les pratiques et créer davantage de valeur pour les parties prenantes de l’organisation. Bien que mettre en oeuvre et maintenir la conformité puisse sembler pesant, c’est clairement la bonne approche. Rappelez-vous que la raison d’être de l’entreprise est de créer de la valeur pour les parties prenantes. Et le RGPD  bien appliqué est un important contributeur à la création de valeur ajoutée.

Astuce : La cascade d’objectifs de COBIT 5 identifie les besoins des parties prenantes et les transforme en objectifs d’affaires. Ensuite ceux-ci sont déclinés en objectifs informatiques permettant de soutenir les objectifs métiers. Enfin, les objectifs informatiques permettent d’identifier les processus les plus appropriés sur lesquels se concentrer pour améliorer valeur pour les parties prenantes.

3. Inventoriez les pratiques et les référentiels utilisés actuellement

Identifiez les pratiques et les référentiels utilisés actuellement dans le cadre de la gouvernance et de management de l’entreprise, y compris le plan de protection des données existant. La plupart des entreprises ont déjà mis en place un tel  plan (souvent basé sur ITIL, COBIT ou ISO 27001 par exemple). Cependant elles devront le revoir et le mettre à jour pour s’assurer qu’il s’aligne bien avec les exigences du RGPD.

Astuce : Le RGPD est une préoccupation réglementaire qui peut être satisfaite en s’appuyant sur les meilleures pratiques existantes du marché telles que COBIT, ITIL, TOGAF (le référentiel d’architecture d’entreprise de l’Open Group), le cadre de l’Institut National Américain des normes et de la technologie (NIST), les normes ISO (ISO 27001, ISO 29100 par exemple) et bien d’autres. N’hésitez pas à vous appuyer sur ce qui existe déjà au sein de l’Organisation.

4. Considérez COBIT 5 un intégrateur des autres référentiels de bonnes pratiques

Ne vous arrêtez pas à un seul référentiel. Il s’agit là d’une extension de l’astuce précédente. Bien que COBIT soit le seul cadre d’affaires pour la GEIT (Gouvernance de l’Information d’Entreprise et des Technologies associées), COBIT n’est pas le seul référentiel susceptible de vous aider. Cependant, il est bien adapté pour servir de cadre pour aider à déterminer les composants nécessaires d’autres référentiel et fournir un vrai modèle GEIT.

Astuce : Le site web COBIT Online contient des informations supplémentaires à propos de cette approche https://cobitonline.isaca.org/about.

5. Nommez un DPO dès maintenant

Nommez dès maintenant un DPO et d’éventuels autres rôles pertinents. Même dans entreprises qui ne sont pas concernées par le RGPD, certains rôles sont indispensables. Ils doivent être identifiés et assignés. Ces rôles peuvent être remplis sous des noms différents. L’essentiel est que les responsabilités correspondantes soient bien attribuées sans qu’il n’y ait de conflit d’intérêt.

Astuce : La publication COBIT 5: Enabling Processes identifie les diagrammes RACI pour chacun des 37 processus de COBIT 5. Vous pouvez vous en inspirer pour identifier les rôles et responsabilités nécessaires au bon fonctionnement de votre organisation.

6. Menez une évaluation des risques

Une évaluation des risques d’entreprise permet d’aider à la prise de décision. Il est important de savoir quelles données personnelles l’entreprise stocke et traite sur les citoyens de l’UE, ainsi que le risque associé. Les évaluations des risques permettent d’identifier les risques, de déterminer des mesures pour réduire les risques et développer des plans d’actions pour gérer les risques. Avant chaque traitement important et au début de chaque nouveau projet, le RGPD impose qu’une analyse d’impact sur les données personnelles soit menée et que des actions soient prises en fonction des risques identifiés.

Astuce : COBIT 5 for Risk et ISO 31000 constituent d’excellents cadres de référence pour déterminer le processus approprié d’évaluation des risques et le relier aux exigences du RGPD.

7. Lancez un vaste programme de sensibilisation et de formation

Tout le personnel de l’organisation doit être familier avec les exigences du RGPD ainsi qu’avec leurs applications à chaque rôle spécifique de l’Entreprise. La formation est probablement l’une des actions les plus importantes qu’une entreprise peut lancer pour augmenter la probabilité de réussite d’un programme tel que la mise en conformité à la réglementation.

Astuce : Dans les entreprises qui s’appuient sur COBIT pour leur gouvernance et le suivi de leur conformité, le cours COBIT 5 Foundation constitue une excellente première étape. Dans tous les cas, une sensibilisation au RGPD  d’une journée est un bon point de départ pour l’ensemble des employés traitant des données personnelles.

8. Préparez et répétez les plans de réponse aux incidents

Planifiez les plans de réponse aux incidents. Et surtout n’oubliez pas de les tester, de les répéter et de les revoir régulièrement. La plupart des organisations ont déjà mis en place une forme de processus de gestion incidents. Cependant, le RGPD impose certaines exigences qui n’ont pas toujours été prises en compte dans le plan déjà en place. Notamment, les entreprises doivent signaler toute violation de données personnelles à l’Autorité de Contrôle dans les 72 heures suivant sa découverte. La façon dont les équipes d’intervention réagiront influera directement sur les risque d’amendes pour l’entreprise en cas de non respect des exigences.

Astuce : Améliorez les procédures existantes de gestion des incidents en vous appuyant, le cas échéant, sur les processus COBIT, ITIL ou ISO 27001 applicables et adaptez les pour créer un modèle spécifique intégrant les exigences du RGPD.

9. Focalisez-vous sur l’information

Quand on parle de protection des données personnelles, on fait référence à un type particulier d’information.. Rappelez-vous que l’information est un actif, une ressource qui, si elle n’est pas protégée peut devenir un passif. Comprendre les attributs, l’emplacement et le cycle de vie des données permet d’améliorer la capacité de l’entreprise à fournir les protections requises par le RGPD.

Astuce : COBIT 5: Enabling Information peut aider à la compréhension du cycle de vie et des attributs de l’information.

10. Effectuez des évaluations et des audits continus

Le maintien de la conformité nécessite un suivi et une amélioration continue. Il est important pour l’entreprise de ne pas laisser ses efforts s’estomper en passant à la prochaine initiative. Dans ce cas,  des surprises désagréables peuvent survenir. Poursuivez l’élan sans relâcher les efforts.

Astuce : Utilisez le modèle de mise en œuvre de COBIT (COBIT Implementation) ou l’approche d’amélioration continue des services d’ITIL (CSI) et veillez à ce les fonctions d’audit et d’audit interne soient pleinement impliquées dans la démarche.

Les apports de COBIT dans votre mise en conformité avec le RGPD

Les organisations qui se concentrent uniquement sur la conformité sont généralement celles qui n’ont pas mis en oeuvre de cadre de gouvernance. La conformité au RGPD n’est qu’une conformité supplémentaire à respecter. C’est une composante d’une initiative plus vaste basée sur un ratio risque / bénéfice. L’objectif doit être d’équilibrer cette conformité avec les performances de l’entreprise. Le référentiel COBIT 5 est complet dans la couverture de la gouvernance d’entreprise. Cependant il ne répond pas à tous les besoins de conformité d’une entreprise. Toutefois, il peut certainement fournir le cadre de gouvernance et de gestion permettant de déterminer l’approche la plus appropriée visant à créer de la valeur et de la confiance pour les parties prenantes. Dans ce cas, il permet de donner l’assurance que les données personnelles bénéficieront de bien de la confidentialité, de l’intégrité et de la disponibilité sur la base du RGPD (GDPR).

Une remarque? Un commentaire? Une question? N’hésitez pas à lancer la discussion. Nos experts sont à votre disposition pour vous répondre. Alors merci de nous laisser un commentaire sur ce blog.

RGPD/GDPR : Quels changements le 25 mai 2018?

Le règlement européen en matière de protection des données à caractère personnel ou RGPD (GDPR en Anglais) est la nouvelle réglementation européenne qui s’applique désormais à toute organisation, publique ou privée, traitant des données relatives aux personnes physiques avec lesquelles elles interagissent (clients, prospects, employés, partenaires, …) dans l’Espace Economique Européen. Il y avait déjà, en France, une loi qui protégeait les citoyens contre les traitements abusifs de leurs données personnelles. Il s’agit de la Loi Informatique et Libertés de 1978. Au niveau Européen, il s’agissait de la Directive 95/46/CE qui était en vigueur depuis 1995. Alors, avec le RGPD (GDPR), qu’est-ce qui change vraiment le 25 Mai 2018? Et pourquoi à un peu plus d’un mois de l’échéance, tous les acteurs économiques sont-ils aussi fébriles?

RGPD/GDPR - Les changement au 25 Mai 2018
Crédits : Vasily Merkushev – Fotolia.com

La nouveauté tient essentiellement au fait que le régulateur a prévu des montants d’amendes administratives énormes en cas de non-conformité avec le RGPD (GDPR). Ces amendes doivent être efficaces, proportionnées et dissuasives ainsi que le mentionne la loi. Elles peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial pour les groupes internationaux. Leur montant peut atteindre jusqu’à 20 millions d’euros pour les PME. Elles seront applicables dès le 25 Mai 2018 en cas de non respect de la loi. J’entends déjà les commentaires « Il ne faut pas paniquer, il y aura un délai de grâce« . Le problème c’est que c’est le délai de grâce qui se termine le 25 Mai 2018. En fait la réglementation est déjà applicable depuis Avril 2016. La Commission Européenne a laissé deux années de grâce avant l’application des sanctions. Son objectif était de permettre aux entreprises et organisations publiques pour se mettre en règle.

Afin de vous guider de façon efficace, nous allons voir pas à pas les obligations principales auxquelles vous devez vous soumettre ainsi que les actions à entreprendre pour mettre votre organisation en conformité avec le RGPD (GDPR). Ce post constitue une introduction à une série d’articles, à venir dans les prochaines semaines, qui détailleront chacune de ces actions.

Une chose est claire. Si vous n’avez pas encore commencé la mise en conformité, vous n’avez aucune chance d’être prêts pour le 25 Mai 2018. Alors il vous incombe de prioriser les actions et d’être en mesure de démontrer que vous avez démarré. Vous pourrez toujours espérer la mansuétude de l’autorité de contrôle.

Trois pièges à éviter

S’agit-il vraiment d’une problématique informatique?

Tout d’abord, essayons d’évacuer un mythe. Le mise en conformité avec le RGPD (GDPR) n’a rien à voir avec une obligation au niveau informatique. Les affaires sont un peu difficiles pour les sociétés spécialisées en informatique qui prolifèrent. Depuis que l’information sur le montant des amendes circule, beaucoup d’entre elles, voyant là un créneau pour se développer, proposent des logiciels vous permettant de réaliser cette mise en conformité. Il s’agit là d’une énorme arnaque. Le problème est d’abord un problème de gouvernance de votre organisation et non un problème informatique. Bien sûr, cela pourra ensuite déboucher sur une mise en conformité des systèmes informatiques que vous utilisez. En aucun cas un nouveau logiciel ne vous permettra d’être en conformité avec le RGPD (GDPR). Donc exit les logiciels estampillés ‘conforme au RGPD’ (GDPR compliant).

Comme d’habitude en pareil cas, le marché foisonne de charlatans.Ils ne connaissent souvent pas le premier mot de la loi et proposent des outils tout faits pour résoudre tous les problèmes. Ils résolvent surtout le problèmes que vous n’avez pas, ignorant ceux que vous avez vraiment. En effet la plupart de ces charlatans sont seulement des informaticiens et en aucun cas des juristes. Leur caractéristique commune est essentiellement qu’ils sont incapables de comprendre la loi. Soyez donc prudents avant de vous lancer dans un chantier périlleux tout autant qu’onéreux!

Votre organisation est-elle concernée par le RGPD (GDPR)?

Le deuxième mythe qu’il nous faut lever c’est celui qui consiste à penser que toutes les organisations sont concernées. C’est archi-faux. Seules les organisations qui manipulent des données personnelles sont concernées. Les données d’entreprise ne sont pas concernées par la réglementation. Il y a aussi une notion de taille de l’entreprise et de cible qui entre en jeu.

Les sanctions prévues seront-elles vraiment appliquées?

amende-GDPR
Crédit : Gilles Paire – Fotolia.com

Le troisième piège consiste à se dire que, compte tenu de l’ampleur de la tâche qui attend les autorités de contrôle nationales (en France c’est la CNIL) et de leur manque de moyens, rien ne se passera vraiment. C’est négliger un élément important. Il s’agit d’une loi européenne. Donc, en cas de non application dans un pays, des sanctions tomberont directement sur le pays. Les autorités de contrôle, indépendantes des gouvernements nationaux, vont simplement devoir prioriser leurs actions. Elles vont aussi devoir prioriser les organisation qui représentent le plus de risques pour les citoyens.

Il peut s’agir d’entreprises d’ores et déjà ciblées et qui vont devoir se mettre en conformité (Mise en demeure de DIRECT ENERGIE). C’est aussi le cas d’Entreprises pour lesquelles les organismes de contrôle reçoivent des plaintes de personnes physiques. Il peut s’agir d’organisations dont la protection des données personnelles a été testée par une publication et pour laquelle les non-conformités ont été rendues publiques (condamnation récente de DARTY). Enfin, il peut s’agir d’organismes publics qui n’auront pas désigné un responsable de la protection des renseignements personnels (DPO).  Ce serait le cas, par exemple, d’une municipalité de quelques milliers d’habitants n’ayant pas nommé de DPO.

Le RGPD (GDPR) s’applique-t-il à mon Entreprise ?

Notion de donnée personnelle et de traitement

Le texte de la loi

La loi fournit quelques définitions aux articles 2 et 4 permettant de mieux comprendre le périmètre du RGPD (GDPR). Vous pouvez consulter le texte intégral de la réglementation en ligne sur le site de la CNIL.


Article 4. Définitions

  1. «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»). Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
  2. «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Que faut-il comprendre?

D’après l’article 4, est considérée comme donnée personnelle toute donnée relative à une personne physique identifiée ou identifiable. Le traitement, pour sa part, démarre au moment de la collecte et se termine après la destruction des informations. Le traitement peut donc consister en une action réalisée par le responsable du traitement. Par exemple il peut consister en la collecte, l’enregistrement, l’organisation, l’extraction de données personnelles. Il peut être « passif » comme la mise à disposition, conservation ou diffusion (via un site web ou un réseau social). Le périmètre apparaît donc extrêmement vaste.

Champ d’application matériel du RGPD (GDPR)

Le texte de la loi

L’article 2 précise de façon plus limitée le champ d’application matériel de la loi.


Article 2. Champ d’application matériel

  1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
  2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
      • a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union;
      • b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne;
      • c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique;
      • d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Comment l’interpréter?

La loi est donc extrêmement claire quant à son champ d’application. Elle s’applique à tout traitement par une organisation publique ou privée de données personnelles par un moyen informatisé ou non. Seules les données personnelles sont concernées. Les données d’entreprise (sur des processus, des procédures, des produits, etc.) ne sont pas concernées par le RGPD (GDPR). Les personnes physiques qui gèrent leusr contacts téléphoniques sur leur téléphone portable sont également exclues de la réglementation. En d’autres termes, si vous êtes une collectivité, une entreprise, une association à but non lucratif, et si vous recueillez et gérez des noms, prénoms, adresses email, photos, des numéros de sécurité sociale ou des adresses IP, alors le règlement s’applique et vous êtes dans l’obligation de mettre votre traitement en conformité.

Quelles sont les obligations principales du RGPD (GDPR)?

Pour vous mettre en conformité avant le 25 Mai 2018, nous pouvons déjà vous donner 10 recommandations clés à mettre en oeuvre immédiatement. Ce ne sera bien sûr pas suffisant pour être conforme mais cela démontrera au moins que vous avez initié la démarche.

RGPD/GDPR : Les obligations
Crédits : Vasily Merkushev – Fotolia.com

1. Identifiez les données à caractère personnel que vous traitez

Il peut s’agir de données relatives à vos clients, à des prospects, à des membres (dans le cas d’une association), à vos employés , etc. Et identifiez les traitements que vous mettez en oeuvre pour chacune d’entre elles. Les traitements peuvent être manuels (par exemple basées sur des formulaires papier) ou informatisés. Documentez tous ces éléments avec les types de traitements réalisés pour chaque type de données.

2. Etablissez un registre des traitements

La loi exige que vous teniez un registre détaillé de tous les traitements réalisées sur les données personnelles indépendamment du fait que le traitement soit manuel ou informatisé, réalisé en interne ou sous-traité. Ce registre des traitements, obligatoire, vous permettra de démontrer que tous les traitements réalisés sont conformes au RGPD(GDPR).

3. Obtenez le consentement explicite des personnes concernées avant tout traitement

Tout traitement de données personnelles doit être précédé de l’obtention du consentement explicite des personnes concernées. N’oubliez pas que la collecte constitue un traitement. Cela signifie qu’avant de débuter la collecte d’informations personnelles, la personne concernée doit avoir exprimé clairement son consentement. Ceci implique qu’il n’est plus possible d’avoir une simple case à cocher, déjà pré-cochée, à la fin d’un formulaire. Il faut d’abord qu’un écran préalable stipule les raisons explicites du traitement et leur durée. Le consentement doit impérativement être « actif » avant de pouvoir commencer la saisie des informations personnelles. A défaut de consentement, le formulaire de collecte ne doit même pas être présenté à la personne concernée. Tous les consentements doivent être conservés et présentés à l’autorité de contrôle sur simple demande.

4. Conservez une base légale à fournir sur demande à l’autorité de contrôle

On parle beaucoup de la nécessité d’obtenir le consentement des personnes. La réalité juridique c’est que le consentement n’est qu’une des 6 bases légales prévues au règlement (Article 6).

Le consentement n’est donc pas systématiquement nécessaire pour procéder au traitement de données à caractère personnel. Il existe des exceptions clairement définies au RGPD (GDPR) telles que lorsque la loi l’impose comme dans le cas des informations liées au droit du travail, de la médecine du travail ou du code des impôts par exemple. Mais en tout état de cause vous devez être en mesure de fournir tous les éléments au travers d’une base légale. Celle-ci doit être systématiquement tracée et vérifiée pour chaque traitement.

5. Evitez de traiter des données sensibles

Une autre obligation importante tient à l’interdiction de traitement des données sensibles, sauf exception explicitement prévue par la loi (Article 9). La première étape consiste déjà à déterminer si vous traitez des données sensibles. Au sens du RGPD (GDPR), on entend par données sensibles, des données qui peuvent avoir un impact sur les doits et libertés fondamentales des individus. Ainsi par exemple, l’origine ethnique ou raciale est une donnée sensible alors que les données financières ne le sont pas. Donc, en cas de doute, évitez de traiter des données sensibles sauf nécessité absolue et si vous êtes dans un des cas explicitement prévu par le RGPD (GDPR).

6. Pour chaque nouveau traitement important ou chaque nouveau projet réalisez une DPIA

L’analyse d’impact (DPIA) est un outil important pour la responsabilisation des organisations : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD (GDPR). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

Ainsi, généralement, les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Exemple : une entreprise met en place un contrôle de l’activité de ses salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables donc la réalisation d’un DPIA sera nécessaire.

7. Organisez vos processus internes en intégrant le RGPD dans chacun d’entre eux

Réorganiser vos processus interne en intégrant les obligations du RGPD implique notamment :

  • de prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données (DPO) ;
  • de sensibiliser et d’organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
  • de traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) ;
  • d’anticiper les violations de données en prévoyant la notification à l’autorité de protection des données dans les 72 heures et, dans certains cas, aux personnes concernées dans les meilleurs délais.

8. Revoyez tous les contrats avec vos sous-traitants et intégrez-y des clauses conformes au RGPD

Le Règlement prévoit que le responsable du traitement est responsable (« accountable ») des traitements. Les traitements qui sont confiés à des sous-traitants sont, bien entendu, inclus. Le RGPD prévoit donc un certain nombre de stipulations impératives devant figurer dans tout contrat de sous-traitance.

RGPD/GDPR : Les contrats de sous-traitance
Crédits : © Viorel Sima – Fotolia.com

Entre autres, parmi les clauses obligatoires :

  • le rappel du rôle du sous-traitant dans la mesure où il « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement ». Le contrat de sous-traitance doit donc prévoir les modalités pratiques de réception de ces instructions de la part du responsable du traitement. Le sous-traitant devra, pour sa part, conserver les preuves des instructions du responsable du traitement ;
  • le respect de la confidentialité ;
  • le respect des mesures de sécurité imposées par l’article 32 du Règlement ;
  • les modalités de traitement des demandes d’exercices des droits des personnes concernées par le traitement de leurs données personnelles (Chapitre III du Règlement). Il s’agit notamment du droit d’accès, de rectification ou de limitation du traitement. Le Règlement ne met à la charge du sous-traitant qu’une obligation « d’aide » du responsable du traitement ;
  • le sort des données personnelles, en fin de contrat, au choix du responsable du traitement (restitution ou effacement) ;
  • la mise à la disposition du responsable du traitement de toutes les informations nécessaires lui permettant de démontrer le respect du Règlement avec la possibilité de réaliser d’éventuels audits ou inspections.

9. Formez la totalité de votre personnel en commençant par la Haute Direction jusqu’aux opérationnels

La mise en conformité au RGPD concerne l’ensemble des acteurs de l’Entreprise. La responsabilité échoit au Comité de Direction qui est responsable de la mise en oeuvre organisationnelle. Cela se traduira par la mise en oeuvre d’un système de management complet ainsi que son suivi régulier. Les exigences du RGPD sont transversales. Elles concernent absolument tous les métiers de l’Entreprise ainsi que tous les niveaux de management. Les opérationnels sont également concernés car ils auront la charge de la réalisation opérations quotidiennes. C’est donc l’ensemble du personnel qui doit être formé sur le contenu et les exigences du RGPD (GDPR).

Quelles directions sont concernées?

Est concernée au premier chef la Direction des Ressources Humaines qui gère les renseignements personnels relatifs aux salariés. La Direction des Achats est fortement impliquée également pour la mise en conformité des contrats de sous-traitance. La Direction juridique et de la Conformité sera la responsable idéale pour la mise en oeuvre et le suivi de la conformité. La DSI est également concernée, notamment dans le cadre de l’implémentation de la protection dès la conception et de la protection par défaut. Il s’agit là d’une exigence pour tous les systèmes informatiques utilisés pour le traitement de données personnelles. La Direction Marketing sera sans aucun doute également impactée pour déterminer les données personnelles à collecter. En cela, elle devra respecter le principe de minimisation des données. Bien sûr, toutes les équipes impliquées dans les projets et les opérations. Elles seront en charge d’intégrer les principes clés du RGPD dans leurs activités.

Quelles sont les formations disponibles?

Il est donc indispensable de former l’ensemble de ces acteurs sur les contenu de la réglementation. Il convient aussi de les former sur leurs propres responsabilités dans le respect du RGPD au sein de l’entreprise. A ce jour, plusieurs formations certifiantes existent. 2AB & Associates est d’ores et déjà en mesure de vous proposer des sessions de formation accréditées par EXIN et répondant aux besoins de l’ensemble de ces personnels :

  • Session de présentation exécutive (2  heures à 1/ journée) destinée aux membres du Comité de Direction
  • Sensibilisation au RGPD (1 journée) pour les managers en ayant un rôle dans la mise en conformité de l’Organisation
  • RGPD Foundation (2 jours) : formation certifiante destinée aux membres des équipes projets
  • RGPD Practitioner (3 jours) : formation pratique certifiante, basée sur des études de cas, destinée aux membres de l’équipe projet en charge de la mise en conformité et aux praticiens qui ont un rôle dans le suivi de la conformité au RGPD
  • Certification DPO ou Data Protection Officer (8 jours) : formation certifiante destinée spécifiquement aux DPO. Elle est composée des modules RGPD Foundation, RGPD Practitioner et ISO 27001 Foundation
  • Prochainement, nous vous proposerons une formation en e-Learning de sensibilisation pour l’ensemble des autres employés.

Toutes ce formations sont proposées en Français et en Anglais, selon le choix des Entreprises. Elles peuvent se dérouler dans le cadre de sessions internes à l’Organisation ou dans le cadre de nos sessions publiques.

10. Enfin, en cas d’obligation, nommez un DPO et communiquez ses coordonnées à l’autorité de contrôle

L’article 37 du règlement stipule que les organismes chargés de traiter des données désignent « en tout état de cause » un délégué à la protection des données (DPO) lorsque l’une des conditions suivantes est réalisée :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles ;
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel relatives à des condamnations pénales.

En résumé, les sociétés concernées sont donc celles qui sont amenées à traiter des données personnelles. Il n’y a pas de seuil plancher de taille. Une TPE remplissant les critères énumérés ci-dessus sera donc contrainte de nommer un DPO (data protection officer). En cas de non respect de cette exigence, les sanctions entrent en vigueur à partir du 25 mai 2018.

Vous avez des questions ou des remarques? N’hésitez pas à nous laisser un commentaire et nos experts vous répondront.

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

10 clés pour décrocher un emploi

Vous postulez à un emploi et vous avez particulièrement bien réussi un entretien avec un recruteur. Vous en êtes convaincu(e), ça y est le poste est à vous! En plus c’est vraiment le job de vos rêves! Puis le temps passe… Au bout de deux semaines vous appelez pour savoir où en est votre candidature. Et on vous informe que finalement vous n’avez pas été retenu(e). C’est inadmissible!! C’est sans doute parce que quelqu’un s’est fait pistonner alors que vous ne connaissiez personne susceptible de vous appuyer. Ou alors, c’est ce manager, plus jeune que vous, qui avait peur que vous ne lui fassiez de l’ombre. A moins que ce ne soit parce que vous êtes tout simplement surdimensionné(e) pour le poste. Et si vous en profitiez pour prendre un peu de recul et essayer de comprendre les raisons de votre échec afin de ne pas le reproduire à l’avenir?…

10 clés pour décrocher un emploi
Crédits : © Momius

Tout commence par votre candidature. Un simple nom mentionné sans aucune information en commentaire à un réseau social tel que Linkedin par exemple ne suffit bien évidemment pas. Un commentaire stipulant « pour en savoir plus consultez mon profil » est évidemment aussi insuffisant. De même un message du type « merci de me contacter » en mentionnant une adresse email ou un numéro de téléphone est absurde. Cela signifie simplement que les personnes n’ont pas compris les enjeux. N’oubliez jamais que l’Entreprise qui recrute cherche trois éléments importants :

  1. Trouver le candidat idéal qui lui permettra de générer le bénéfice maximal pour ses actionnaires, qu’il s’agisse d’une entreprise privée, d’une association ou d’un service public. Le bénéfice n’est pas nécessairement calculé financièrement.
  2. Réduire les risques associés à ce recrutement et ensuite à la participation de la personne recrutée aux objectifs de l’Organisation.
  3. Optimiser ses ressources et s’assurer d’avoir les meilleurs employés, alignés sur la stratégie de l’Entreprise en optimisant les coûts.

Votre candidature doit répondre à ces trois objectifs. Dans le cas contraire, elle ne sera même pas étudiée. Rechercher un nouvel emploi est un véritable projet et doit donc être mené comme tel par les candidats. Ceci signifie qu’une recherche d’emploi nécessite beaucoup d’investissement personnel. Cet investissement personnel doit être évident sur la durée.

Suivez notre wébinaire gratuit du 29 Novembre à 11h UTC

Nos experts vous proposent un wébinaire gratuit le 29 Novembre à 11 heures UTC pour découvrir les 10 clés de bases pour pouvoir décrocher un emploi. A l’issue de ce wébinaire vous pourrez poser vos questions auxquelles nous répondrons avec grand plaisir.

Inscrivez-vous vite, il ne reste que quelques places.

Protection des renseignements personnels

Dans le cadre du mois de la cybersécurité 2017, nous avons eu le plaisir d’accueillir, le 11 octobre dernier, David Henrard pour un wébinaire exceptionnel présentant un état des lieux de la protection des renseignements personnels en 2017 dans le monde.

La protection des renseignements personnels
Crédits : © 2AB & Associates – AB Consulting

La protection des renseignements personnels

Un état des lieux en 2017

Les renseignements personnels sont au coeur du modèle économique du 21ème siècle. Grâce à la vidéo de notre wébinaire, nous vous proposons de mieux comprendre sur ce sujet clé. Parmi les points abordés, citons :

  • les définitions de ce qu’on appelle des renseignements personnels,
  • les pratiques en vigueur dans les différents pays du monde,
  • Les nouvelles lois et réglementations visant à protéger les citoyens contre l’utilisation de leurs données personnelles,
  • les risques pour les personnes en cas de vol de leurs données personnelles,
  • quelques conseils pour mieux se protéger en ligne.

Objectif : responsabiliser chaque individu

La protection des renseignements personnels est avant tout la responsabilité de chacun. Nous devons en permanence nous attacher à ne pas divulguer des informations concernant notre identité et notre vie personnelle. Ces informations constituent alors un produit qui ne manquera pas d’être vendu à des fins marketing ou autres. Ces données courent alors le risque d’être volées avec un impact potentiellement important pour les personnes concernées. Cela va de l’envoi de mails non désirés en masse (spam), avec souvent des liens véreux (phishing) jusqu’à l’exploitation d’informations sensibles telles que vos données médicales ou vos informations bancaires. Pour mieux comprendre ces enjeux, nous vous invitons à lire notre précédent article Protection des données – C’est votre responsabilité.

Des mesures prises par les états pour protéger leurs citoyens

De nombreux états ont d’ores et déjà légiféré sur la collecte, le traitement et la communication des renseignements personnels. L’Europe a, pour sa part, publié une réglementation qui s’applique à tous les pays de la communauté européenne et même au delà. En effet, cette règlementation appelée GDPR s’applique à toute organisation dans le monde susceptible de traiter des données personnelles de citoyens européens. La CNIL publie d’ailleurs sur son site une carte interactive montrant les pays ayant adopté une loi de protection des données personnelles et, plus intéressant encore, leur niveau de conformité avec la loi européenne.

Pays ayant une loi sur la protection des renseignements personnels

Cette carte est particulièrement intéressante car elle montre qu’actuellement la quasi totalité de l’Afrique et du Moyen Orient ne sont pas en conformité avec la loi européenne.

La loi européenne est très contraignante et sa violation sera punie d’une amende pouvant aller jusqu’à 4% du chiffre d’affaires annuel avec un minimum de 20 millions d’euros pour les organisations contrevenantes. L’impact sera donc majeur sur le commerce avec les pays africains et les états du moyen orient à compter du 25 Mai 2018, date d’application des sanctions.

En savoir plus

Vous pensez avoir été victime d’abus en matière d’utilisation de vos renseignements personnels? Nous sommes à votre disposition pour vous aider. Vous souhaitez en savoir plus sur ce sujet crucial? Alors laissez-nous un commentaire et nous vous répondrons. Vous êtres une Entreprise et vous vous demandez quel impact va avoir la réglementation sur votre organisation? Nous sommes mobilisés pour répondre à vos questions.

Aussi n’hésitez pas… Visionnez la vidéo complète et gratuite de notre wébinaire du 11 Octobre 2017. Nous attendons vos commentaires, remarques et suggestions.

Protection des données. C’est votre responsabilité!

A l’heure où internet est partout et où nous communiquons de plus en plus de façon digitale, comment protéger vos données personnelles? La réponse n’est peut-être pas celle que vous attendez. La protection des données personnelles est de la responsabilité de chacun. Il ne faut pas attendre que les entreprises ou les états s’en chargent. Chaque utilisateur d’Internet doit prendre conscience de sa responsabilité à ce niveau. Internet est un univers absolument fantastique permettant au plus grand nombre de rester connectés. Mais Internet n’est rien d’autre que ce que ses utilisateurs en font. Dans le cadre du mois de la cybersécurité 2017, nous vous proposons de nous arrêter un moment sur ce sujet capital.

Protection des données. C'est votre responsabilité!
Crédit : © Africa Studio

La protection des données : votre responsabilité

L’être humain est ainsi fait qu’il attend toujours des autres de le protéger contre tous les dangers. Les éditeurs de logiciels et constructeurs de solutions informatiques l’ont bien compris. Ils se battent à coup d’initiatives technologiques censées protéger les utilisateurs contre le vol de leurs renseignements personnels sur Internet. Les états, soucieux de la protection des données de leurs citoyens, publient des réglementations toujours plus contraignantes dans ce domaine. Bien sûr, cet arsenal technologique et réglementaire est utile pour se protéger. Mais il est très loin d’être suffisant. Le premier niveau de protection est totalement de notre responsabilité. Il consiste à adopter un comportement basé sur le bon sens. Hélas, il semble que le bons sens ne soit pas universellement partagé. Il convient donc de mettre l’accent sur la sensibilisation, l’éducation et la formation des individus. Et ce, dès le plus jeune âge…

Une technologie toujours plus performante

Au cours de ces dernières années, les éditeurs de logiciel et les constructeurs de matériel ont mis l’accent sur la protection des appareils. Cela concerne particulièrement les matériels permettant l’accès à internet comme les ordinateurs et les éléments du réseau. Malheureusement le même effort n’a pas forcément été déployé sur les téléphones portables. Bien sûr on a vu apparaître assez récemment sur ces téléphones mobiles des protections biométriques. Certains terminaux permettent aujourd’hui le cryptage des données qu’ils hébergent. Mais combien d’utilisateurs utilisent ces  systèmes de sécurisation? De plus, ces protections bien qu’assez performantes sont encore très insuffisantes pour résister à des hackers professionnels.

Pour rester performante, la technologie doit évoluer en permanence. En effet, la compétence des hackers évolue, elle, chaque jour. Cela signifie donc que les éditeurs doivent produire des mises à jour de sécurité très fréquentes. C’est généralement ce qu’ils font. La responsabilité d’installer ces mises à jours revient naturellement aux utilisateurs eux-mêmes. Or, souvent ils ne le font pas. Cela prend du temps et consomme du volume de données sur internet. Dans beaucoup de pays, notamment dans les pays africains, la facturation internet s’effectue au volume. Donc, une mise à jour de sécurité assez lourde se traduira par un coût important pour l’abonné. Par conséquent, la plupart du temps les mises à jour de sécurité ne sont pas installées, laissant des larges failles ouvertes à la disposition des pirates.

Des lois de plus en plus contraignantes

Pour protéger leurs citoyens, les états prennent des dispositions de plus en plus contraignantes en matière de protection des renseignements personnels. Ainsi, en Europe, la nouvelle réglementation connue sous le nom de GDPR (Generic Data Protection Regulation), qui entrera en vigueur le 25 mai 2018, impose aux entreprises qui utilisent et traitent des données personnelles de citoyens Européens des exigences très restrictives. Toute violation de cette réglementation sera punie d’une amende allant jusqu’à 4% du chiffre d’affaires mondial annuel de l’Entreprise fautive, avec un minimum de 20 millions d’Euros.

Parmi les contraintes imposées, figure l’obligation de recueillir le consentement explicite des personnes pour utiliser leurs données personnelles à des fins marketing ou commerciales.

Une autre disposition contraignante, ayant des impacts très importants, est la responsabilité du donneur d’ordre sur toute la chaîne de sous-traitance utilisée pour le traitement des renseignements personnels. Ceci signifie que dans le cas où des informations personnelles (nom, prénom, adresse mail ou numéro de téléphone par exemple) seraient volées à un sous-traitant de la Société qui a recueilli ces données, quel que soit l’endroit où ce vol surviendrait (sur un autre continent par exemple), la Société d’origine serait considérée comme totalement responsable du délit et passible de l’amende.

Une méconnaissance des risques

Depuis quelques années on constate une utilisation croissante des téléphones portables pour l’accès à internet. Ceux-ci sont de plus en plus performants et offrent souvent des fonctionnalités et une puissance équivalentes aux ordinateurs. Leur portabilité en fait le terminal privilégié des internautes. Pour autant ils sont beaucoup plus vulnérables que les ordinateurs. Très peu d’entre eux sont équipés d’anti-virus. Les mises à jour de sécurité sont réalisées de façon très aléatoires. Ils sont plus sujets à la perte et au vol que les ordinateurs portables.

Les téléphones mobiles constituent aujourd’hui un maillon faible en matière de protection des renseignements personnels. Chacun enregistre sur son téléphone une grande quantité de données personnelles. Il s’agit bien sûr des numéros de téléphones de ses contacts, mais aussi d’autres informations comme leur nom et leur adresse mail ou même leur adresse physique. Souvent on y retrouvera aussi leur date de naissance, pour penser à fêter leur anniversaire. Ces téléphones portables sont aussi largement utilisés, en Afrique notamment, pour le paiement par mobile ou le transfert d’argent.

Le paiement par mobile

Devant la faiblesse des banques, les opérateurs téléphoniques du continent Africain ont développé des services de paiement et de transfert d’argent extrêmement prisés. Ainsi, au Kenya, M-Pesa, le service de paiement mobile de l’opérateur Safaricom possédait plus de 29,5 millions d’abonnés fin 2016. Sur l’année 2016 plus de 6 milliards de transactions ont été réalisée par M-Pesa, pour un montant global de plus de 30 milliards de dollars US, soit près de 45% du PIB du Kenya tout entier.

Les montants annuels transitant par ces services mobiles sont devenus phénoménaux. De plus leur croissance est évolution constante. Le succès de ces offres repose sur l’ouverture de ce type de services au plus grand nombre. Par contre ni les utilisateurs, ni les vendeurs de ces services ne sont formés sur la sécurité. Le risque lié au paiement mobile en Afrique est donc, en peu de temps, devenu un risque majeur. Ce risque concerne bien sûr l’économie entière des pays concernés, mais aussi chacun des utilisateurs individuellement. Les services de paiement mobile constituent en effet une cible plutôt facile pour des pirates qui y voient une incitation financière importante.

Un comportement immature des utilisateurs

Pour la plupart des utilisateurs, la protection des données ne constitue pas une préoccupation majeure. La plupart d’entre eux considère n’avoir rien à cacher. Ils n’hésiteront pas bien longtemps devant un formulaire leur demandant des informations personnelles. Et surtout s’il y a une incitation à les fournir!

Hier encore je suis tombé sur la page Facebook d’une personne qui publiait publiquement, photos à l’appui, sur ses vacances, pendant 4 semaines à l’étranger. Sur son profil, toujours public, apparaissent diverses informations suffisamment détaillées permettant de l’identifier de façon précise avec la localisation de son domicile. Il s’agit là d’informations personnelles extrêmement faciles à exploiter par n’importe quel cambrioleur qui sait désormais que cette maison est inoccupée et que les propriétaires ne reviendront pas avant une certaine date. De plus, sur la base des informations communiquées sur son profil et des photos partagées prises à l’intérieur de cette maison, il est évident que le butin risque d’être très intéressant. Cette personne s’est elle-même exposée au risque de se faire cambrioler. Elle a donné en ligne, de son plein gré, tous les informations personnelles pouvant inciter au délit. Si, ce qu’évidement nous ne lui souhaitons pas, le cambriolage se produit, l’assurance de ladite personne ne couvrira pas les dommages car la compagnie d’assurance estimera, de façon tout à fait justifiée, que c’est la personne elle-même qui a « provoqué » le cambriolage.

C’est un exemple tout à fait courant, malheureusement, de ce que nous nommerons un comportement immature d’un utilisateur d’internet.

Comment en savoir plus?

Pour en savoir plus sur la protection des données personnelles, nous vous invitons à visionner l’enregistrement video de notre wébinaire du 11 Octobre dernier. La présentation était animée par David Henrard, expert international du domaine et actuel président du Chapitre ISACA de Québec. Vous pourrez ainsi avoir une vision complète de l’état des lieux en la matière à travers les différentes régions du monde.

Nous répondrons également avec plaisir à vos remarques, commentaires et questions sur cet article.

 

Sécurité sur internet : 10 pratiques essentielles

Dans le cadre du mois de la cybersécurité 2017, AB Consulting CI et 2AB & Associates, sponsors officiels depuis plusieurs années, s’associent de nouveau à la campagne de sensibilisation des citoyens sur les bonnes pratiques en matière de sécurité sur internet.

10 pratiques essentielles pour rester en sécurité sur internet

10 pratiques essentielles pour rester en sécurité sur internet

A l’occasion du mois de la cybersécurité 2017, nous publions un livre blanc intitulé 10 pratiques essentielles pour rester en sécurité sur internet. Ce livre blanc sera remis à tous les participants lors de notre wébinaire gratuit du 4 octobre prochain.

Aujourd’hui notre vie est étroitement liée à l’utilisation d’internet. Cela vaut aussi bien pour notre vie professionnelle que pour notre vie privée. L’objectif est de sensibiliser l’ensemble des citoyens sur la nécessité de prendre quelques précautions élémentaires pour se protéger des risques inhérents à l’utilisation de ce mode de communication.

Nous vous proposons donc de nous rejoindre sur notre wébinaire du 25 octobre 2017 pour creuser ensemble ce sujet délicat. Attention, le nombre de places est limité. Inscrivez-vous ici dès maintenant… C’est entièrement gratuit!

Nous faisons tout pour sauvegarder nos biens personnels – en verrouillant nos portes, en surveillant nos sacs et nos portefeuilles. Hélas, souvent, nous ne prenons pas le même soin avec les informations personnelles que nous stockons en ligne, sur les réseaux sociaux et dans nos appareils, qu’il s’agisse d’ordinateurs ou de téléphones. La plupart du temps, c’est simplement parce que nous ne comprenons pas bien les risques et que nous ne savons pas par où commencer.

Alors, avant de participer à notre wébinaire et de lire notre livre blanc, voici quelques règles élémentaires. Il s’agit simplement de 3 conseils de bon sens à respecter scrupuleusement :

Naviguez toujours prudemment sur Internet

Bien sûr, commencez par utiliser un navigateur et une machine à jour des correctifs de sécurité, Mais il convient encore de prendre quelques précautions élémentaires lorsque vous naviguez sur des sites internet.

Sites marchands et sites bancaires

IMPORTANT : Ne donnez jamais d’informations personnelles et confidentielles (vos coordonnées personnelles, vos coordonnées bancaires, etc) sur un site marchand ou un site bancaire, sans avoir vérifié au préalable que le site est sécurisé.

Le site doit utiliser un certificat électronique qui garantit qu’il est authentique. C’est grâce à ce certificat que la confidentialité des informations échangées est bien garantie. Bien sûr, là il s’agit de considérations quelque peu techniques et vous n’êtes pas forcément un(e) technicien(ne). Il existe une façon simple de vous assurer que le site est bien sécurisé. Il y a deux informations affichées par le navigateur qui doivent être vérifiées :

  • l’adresse URL du site web doit commencer par « https:// ». Par ailleurs, le nom du site doit correspondre à ce que vous vous attendez à trouver.
  • un petit cadenas fermé doit figurer à droite de l’adresse du site. Il peut aussi se trouver en bas à droite de la barre d’état selon la version et le type de votre navigateur. Ce cadenas symbolise une connexion sécurisée. En cliquant dessus, on peut afficher le certificat électronique du site, et visualiser le nom de l’organisme.

Attention cependant, il est toujours possible à un agresseur d’intervenir en amont (sur votre machine) ou en aval (sur le site consulté). Il peut aussi essayer de vous aiguiller sur un site frauduleux, au nom très voisin. L’objectif est le plus souvent d’obtenir des informations sensibles. La prudence doit donc être de rigueur.

Pour plus de précisions sur les procédés utilisés par les pirates, nous vous conseillons la lecture de deux articles publiés sur notre blog : Phishing – Mode d’emploi et 10 trucs pour reconnaître un mail d’hameçonnage.

Les forums et les blogs

IMPORTANT : En aucun cas vous ne devez donner d’informations personnelles sur des forums (adresse physique, de messagerie, numéro de téléphone…).

Il est désormais fréquent de communiquer sur des sites communautaires de types forums de discussion ou autres blogs. Il est important de bien garder en mémoire, lorsque l’on veut déposer un message sur ce type de site, que le contenu de vos écrits  pourra être analysé par des robots. Qu’appelle-t-on des robots? Ce sont des programmes capables de récupérer les informations personnelles contenues dans le texte. Il peut s’agir de vos adresses de messageries ou de vos identifiants de messageries instantanées. Ces informations pourront ensuite être utilisées afin de propager du pourriel (spam). Aujourd’hui, il n’est pas rare après avoir déposé son adresse personnelle de messagerie électronique sur un forum de se voir inondé de spams les heures ou jours suivants. Attention, ces informations communiquées sur ces sites resteront publiques et non maîtrisables durant une très longue période.

Le paiement en ligne

IMPORTANT : Soyez prudent sur la nature des données bancaires demandées lors d’un paiement en ligne. Un site ne doit jamais vous demander de saisir votre code secret associé à votre carte bancaire. 

Lorsque que vous décidez de faire des achats sur internet,-vous devez vous assurer du sérieux du site marchand. Il doit offrir toutes les garanties de sécurité lorsque vous payez : chiffrement, possibilité de rétractation….Si vous avez le moindre doute, ne finalisez pas la transaction et signalez le site aux points de contact mentionnés sur contrat de votre carte bancaire.

Pour en savoir plus…

Pour en savoir plus, n’hésitez pas à nous adresser vos commentaires et à partager vos expériences relatives à la sécurité sur internet. Et surtout inscrivez-vous vite à notre wébinaire gratuit du 25 Octobre et recevez le livre blanc 10 pratiques essentielles pour rester en sécurité sur internet.

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 25 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

PRINCE2 2017 : Ce qui change

En Janvier 2017, AXELOS, propriétaire de l’ensemble du portefeuille des meilleures pratiques issues du domaine public Britannique (ITIL, PRINCE2, RESILIA, M_o_R, M_o_V, P3M3, P3O, etc.) annonçait la publication prochaine de PRINCE2 2017. Cette nouvelle version, qui n’en est pas vraiment une, portera le nom de PRINCE2 2017 et non de PRINCE3. Bien sûr, le choix du nom n’est pas anodin. Il veut signifier qu’il s’agit seulement d’une amélioration de la version 2. C’est la première mise à jour publiée depuis 2009. Il s’agit donc d’un évènement important pour les gestionnaires de projets.

PRINCE2 2017 : Ce qui change vraiment

PRINCE2 2017 Ce qui change
Crédits : © Pathdoc

Cette mise à jour n’est pour l’instant disponible qu’en Anglais. AXELOS publiera les versions locales dans 7 des principales langues (dont le Français) courant 2018. L’éditeur attend d’abord d’avoir un retour significatif sur la version Anglaise. La traduction est réalisée avec la participation d’experts du domaine dans les langues concernées. Cela permet une meilleure correspondance linguistique mais aussi une meilleure prise en compte des contextes culturels.

Pourquoi une mise à jour de PRINCE2?

Le succès de PRINCE2 repose sur la pertinence de son contenu. Il s’agit d’une compilation des Meilleures Pratiques en gestion de projet. En fait, la présentation de PRINCE2, sous la forme d’une méthode générique applicable à tout de type de projets est largement responsable de son succès. Grâce à la contribution d’enseignants, de chercheurs, de professionnels et des consultants, la méthode s’est améliorée et enrichie au fil des années. Depuis sa création, il y a 25 ans, plus de 2 millions de personnes ont été certifiées sur PRINCE2. Chaque minute des examens de certifications se déroulent  dans 150 pays à travers le monde. Ce succès renforce la confiance des Organisations sur la valeur ajoutée de PRINCE2.

Le monde des affaires est en évolution permanente et une méthode de gestion de projet éprouvée, telle que PRINCE2, se doit de suivre cette évolution. La mise à jour de PRINCE2 a donc été réalisée sur une base collaborative. Les commentaires d’un grand nombre de praticiens PRINCE2 et de professionnels ont été collectés. Ce sont donc les personnes les mieux placées pour évaluer PRINCE2 dans le monde réel qui ont soumis leurs remarques et leurs attentes. Sur cette base, AXELOS a pu publier une mise à jour de PRINCE2 correspondant aux besoins des Entreprises en 2017.

Les changements importants dans PRINCE2 2017

Manuel PRINCE2 2017La mise à jour de PRINCE2 se traduit par la publication d’une nouvelle édition du manuel PRINCE2, déjà disponible (en Anglais uniquement). Une refonte des examens Foundation et Practitioner a bien sûr été réalisée.  Le matériel de formation est donc nouveau également. PRINCE2 2017 a également conduit à une nouvelle Accréditation des Organismes de Formation. Une ré-accréditation des formateurs sur la base du nouveau contenu s’est aussi avérée nécessaire. Ceci signifie que seuls les Organismes de Formation et les formateurs accrédités sur la version 2017 sont autorisés à délivrer les cours et les examens sur la nouvelle version.

Structure PRINCE2 2017La nouvelle version ne modifie pas les concepts de base de la méthode. La structure globale de PRINCE2 basée sur l’environnement du projet, les 7 principes, les 7 thèmes et les 7 processus reste inchangée. Cependant, l’orientation et les précisions sur ces derniers ont évolué.

Dans les faits, PRINCE2 2017 complète et met davantage l’accent sur les points suivants:

  • adaptation de PRINCE2 aux besoins des organisations et à l’environnement du projet;
  • les principes de base de PRINCE2 sont plus détaillés;
  • une meilleure connexion entre les thèmes et les principes;
  • la réorganisation de la partie relative aux « Thèmes » afin d’insérer des exemples d’adaptation spécifiques;
  • application pratique de la méthode avec de nombreux exemples, conseils et astuces.

Et pour vous, qu’est-ce qui change?

Vous êtes certifié sur la version PRINCE2 2009 en Français

Pour l’instant rien ne change. Les certifications en Français n’évoluent pas dans l’immédiat. Du moins, elles n’évoluent pas tant que le manuel PRINCE2 2017 et les examens ne sont pas traduits. AXELOS annonce que la publication en Français (ainsi que dans six autres langues) devrait intervenir à l’horizon de l’été 2018. Nous vous tiendrons informés de la sortie de la version française de PRINCE2 2017 dès sa disponibilité..

Vous êtes certifié(e) sur la version Anglaise de PRINCE2 2009

Si vous êtes certifié(e) PRINCE2 Foundation sur la version 2009, votre certification reste valide à vie. Rien ne change à ce niveau. La certification PRINCE2 Foundation reste un pré-requis pour passer le Practitioner. Toutefois AXELOS ne pose aucune condition sur la version de votre certificat Foundation. Vous pouvez donc (du moins dans l’immédiat) passer l’examen PRINCE2 2017 Practitioner avec votre certification PRINCE2 2009 Foundation. La langue n’entre pas non plus en ligne de compte.

SI vous êtes certifié(e) PRINCE2 Practitioner sur la version 2009, votre certification reste valide jusqu’à l’expiration de son délai de validé (actuellement de 5 ans). Par conte à l’issue de la période de validité, vous observerez des évolutions substantielles. La certification PRINCE2 2017 Practitioner n’est plus valide que pendant une durée de 3 ans (au lieu de 5 ans précédemment). Vous aurez désormais deux options pour conserver votre certification à l’issue des 3 ans:

  • soit vous repassez et réussissez de nouveau l’examen de certification PRINCE2 2017 Practitioner, (l’examen de re-certification disparaît et c’est un examen complet qui doit être repassé),
  • soit vous adhérez au programme de « membership » d’AXELOS au prix de 50 GBP par an et justifiez chaque année d’au moins 20 CPD. Les CPD correspondent essentiellement à des heures de formation suivies durant l’année et justifiées. Ils vous garantiront un badge digital, lequel sera renouvelé de façon régulière à réception de vos justificatifs de CPD et du paiement de votre cotisation. Cette nouvelle approche tend à transformer PRINCE2 Practitioner en certification professionnelle, à l’image de PMP, ce qui permettra à votre employeur de s’assurer de votre compétence dans le domaine.

En attendant la publication de PRINCE2 2017 en Français, les certifiés francophones se voient encore appliquer les anciennes règles.

Et concernant le contenu des examens?

Les examens PRINCE2 2017 Foundation et PRINCE2 2017 Practitioner ont été largement revus et modifiés.

  • PRINCE2 2017 Foundation
    • L’examen passe de 75 à 60 question et la durée de l’examen reste de 60 minutes.
    • Le taux de bonnes réponses passe de 50% à 55%. Il faut donc désormais 33 bonnes réponses pour réussir l’examen.
    • Le contenu de l’examen a été ré-équilibré entre les 7 thèmes et l’emphase a été mise sur les 7 principes et sur l’adaptation de la méthode.
    • Les questions elles-mêmes changent. avec la suppression des questions sous forme de négations et la diminution des questions basées sur des mots manquants ou sur des listes.
  • PRINCE2 2017 Practitioner
    • Le focus est maintenant mis sur la capacité réelle du candidat à gérer correctement un projet, sur la base d’un scénario.
    • Ainsi, tous les aspects de la méthode son testés, de bout en bout.
    • Les éléments additionnels spécifiques à chaque question ont été largement réduits. Les questions complexes ont été supprimées. Ainsi, les questions basées sur la relation assertion – raison disparaissent.
    • Enfin, le nombre de questions est ramené à 68 (au lieu de 80). La durée reste de 2h30 (dans la langue d’origine du candidat).
    • Le nombre de bonnes réponses pour réussir l’examen est maintenant de 38, soit un peu supérieur à 55%.

Alors ces nouveaux examens? Plus faciles ou plus difficiles?

Ayant fait partie des formateurs accrédités par AXELOS, membres du groupe pilote, j’ai pu personnellement tester ces nouveaux examens et échanger avec mes collègues participant au même groupe. Le verdict est sans appel. Le niveau des examens est beaucoup plus difficile que celui requis pour PRINCE2 2009. Désormais, ce qui est testé n’est plus la capacité à comprendre des questions bizarres. L’objectif est désormais clair. Les examens de certification testent davantage la capacité réelle des candidats à gérer un projet. Voilà qui devrait ravir les entreprises. Elles pourront ainsi avoir une plus grande confiance sur le niveau de compétence de leurs futurs chefs de projet.

Vous souhaitez en savoir plus sur PRINCE2 2017?

Vous avez toujours des questions complémentaires? Quelle certification en gestion de projet serait-il préférable de passer? Devez-vous attendre la sortie de PRINCE2 2017 en Français pour vous certifier? Vous vous demandez s’il faut encore vous former et passer les certifications PRINCE2 2009? N’hésitez pas à nous laisser un commentaire et un de nos experts répondra à vos interrogations. Vous pouvez également lire un de nos précédents articles sur l’utilisation conjointe de PRINCE2 et de PMBOK pour réussir vos projets.

Si vous avez déjà passé la certification PRINCE2 2017, merci de nous donner votre impression sur le contenu et sur les examens.

Enfin, n’hésitez surtout pas à nous donner votre avis sur ces évolutions qui risquent d’avoir un impact important au niveau financier (durée de validité, maintient de la certification avec le badge digital, exigence de CPD annuels, etc.).

CISM vs CISSP : quelle certification choisir?

La technologie constitue une réponse courante aux risques de cybersécurité. Cependant,aujourd’hui, envisager de se protéger des risques de sécurité uniquement grâce à la technologie est un leurre. Selon une enquête publiée par IBM, 95% des cyber-attaques réussies ont ciblé un domaine non informatique. Il est donc vital de renforcer les compétences en sécurité dans les entreprises. Or la pénurie de professionnels qualifiés en sécurité informatique représente aujourd’hui un défi majeur pour les organisations de toutes tailles. Selon (ISC)2, le déficit passera à 1,5 million d’ici 2020. L’écart de compétences est un obstacle majeur pour de nombreuses organisations. Mais c’est aussi une opportunité pour les informaticiens. Les enquêtes auprès des responsables informatiques montrent que les certifications en sécurité sont de plus en plus importantes. Les deux certifications en sécurité les plus recherchées sont CISM et CISSP. A l’heure du choix : CISM vs CISSP quelle certification vous convient le mieux?

CISM vs CISSP
Crédits : © Blacksalmon

CISM vs CISSP : l’heure du choix

Les professionnels des Systèmes d’Information possédant certains types de certifications particulièrement recherchés. Ils peuvent donc espérer une meilleure rémunération. CISM et CISSP sont  certifications professionnelles les plus  reconnues dans le domaine de la sécurité de l’information ainsi que le montre le classement 2017 des certifications qui paient le mieux. CISM (Certified Information Security Manager) est une certification de l’ISACA. CISSP (Certified Information Systems Security Professional) est une certification de la fondation (ISC)2. Les deux nécessitent un investissement important en temps et en coût. Alors, laquelle  correspond le mieux à votre profil et à vos compétences?

La différence majeure entre ces deux certifications réside dans leur contenu et le public qu’elles ciblent. CISM se concentre sur le management et la stratégie, et couvre superficiellement les sujets techniques. Elle est, par conséquent, extrêmement prisée pour des Managers (RSSI, CISO,…). A l’inverse, CISSP se focalise principalement sur les aspects tactiques des opérations de sécurité. CISSP concerne donc d’avantage les ingénieurs et techniciens impliqués dans les opérations.

CISM : la certification des managers

CISM (Certified Information Security Manager) est une certification professionnelle délivrée par l’ISACA et détenue par plus de 32.000 professionnels dans le monde parmi lesquels plus de 7.500 ont des responsabilités de CISO ou de RSSI, tandis que plus de 3.500 occupent un rôle de DSI ou de Directeur Informatique. Elle cible spécifiquement les managers en sécurité de l’information. Elle fait partie en 2017, comme en 2016 des trois certifications les mieux rémunérées.

CISM couvre 4 domaines d’expérience dans les quels vous devrez réussir un examen et, ensuite, faire la preuve de votre expérience :

CISM
Crédits : © ISACA
  1. Gouvernance de la sécurité de l’information (24%)
  2. Gestion des risques informationnels (30%)
  3. Développement et gestion d’un programme de sécurité de l’information (27%)
  4. Gestion des incidents de sécurité de l’information (19%)

L’examen, désormais électronique, se compose de 150 questions multi-choix et dure 4 heures. Le score minimum pour réussir l’examen est de 450 points. Cela semble correspondre plus ou moins à 60-70% des réponses correctes. Il est en effet à noter que toutes les questions n’ont pas le même poids. De plus, environ 25 questions ne sont pas notées et figurent dans l’examen uniquement à des fins d’évaluation.

Le syllabus du CISM s’appuie très largement sur COBIT® 5. Aussi une formation COBIT sera une bonne base pour bien comprendre les aspects de gouvernance et de gestion des risques couvrant la première moitié du contenu.

CISM : une certification professionnelle

CISM, à l’instar de CISSP ou PMP, est une certification professionnelle. Cela signifie que la réussite à l’examen n’est que la première étape. Vous devrez ensuite postuler, auprès de l’ISACA, à l’obtention de la certification CISM. Pour cela vous devrez prouver, de façon très documentée votre expérience en management de la sécurité de l’information sur 5 années. Vous devrez également donner des références pouvant confirmer cette expérience de façon détaillée. Les références seront ensuite interrogées par des membres de l’ISACA aux fins de vérification. Après un délai de l’orde de 4 à 8 semaines, vous recevrez alors votre certificat ou un mail vous indiquant les raisons du rejet de votre demande.


La certification CISM m’a aidée à progresser du niveau de support IT au service desk à celui de vice-président. La connaissance que j’ai acquise est applicable dans le monde entier, dans tous les pays. (L.D. CISM, IT Security Manager, 3M Company) (Source : site web ISACA)


CISM : une revalidation continue exigée

CISM (Certified Information Systems Security Professional) vise à garantir, non seulement des connaissances, mais aussi votre expérience. C’est ce qui explique le succès de cette certification auprès des Entreprises. Elles sont ainsi assurées de la compétence des titulaires. De plus, vous devrez, chaque année, fournir à l’ISACA des preuves de votre engagement dans un processus d’amélioration continue. A défaut votre certification vous sera purement et simplement retirée de façon définitive.

CISSP : une certification plus technique

CISSP (Certified Information Security Professional) est une certification professionnelle délivrée par la fondation (ISC)2. Elle est détenue par plus de 100.000 professionnels de la sécurité de l’information dans le monde, dont 75% aux seuls Etats-Unis. Le deuxième pays comptant le plus de CISSP est le Royaume Uni.

En Afrique de l’Ouest, on compte 1 certifié au Burkina Faso, 1 au Sénégal, 4 en Côte d’Ivoire, contre 29 au Ghana et 153 au Nigéria. Avec 922 certifiés, la France se classe au 13ème rang mondial. Les certifiés CISSP occupent pour la plupart des responsabilités tactiques et opérationnelles en sécurité du SI (RSSI, responsable réseau, Information Security Manager, architectes IT). Le CISSP se positionne à la 4ème place des certifications les mieux rémunérées.

CISSP couvre huit domaines de compétence dans lesquels vous devrez apporter la preuve de votre expérience avant de pouvoir vous présenter à l’examen :

CISSP
Crédits : © (ISC)2
  1. Gestion des risques et de la sécurité (16%)
  2. Sécurité des actifs (10%)
  3. Ingénierie de la sécurité (12%)
  4. Sécurité des communication et du réseau (12%)
  5. Gestion de l’identité et des accès (13%)
  6. Evaluation et tests de sécurité (11%)
  7. Opération de la sécurité (16%)
  8. Sécurité des développements logiciels (10%)

L’examen, au format électronique, se passe uniquement dans des centres d’examen Pearson VUE. Il comporte 250 questions et dure jusqu’à 6 heures. Le score minimum pour réussir l’examen est de 700 points (sur un total de 1000).

CISSP est une certification recherchée mais difficile à réussir. Pour la préparer et la réussir dès le premier essai, nous vous conseillons de bien vous préparer. Pour ce faire, nous vous conseillons de suivre la formation Réussir la certification CISSP® sur 5 jours. AB Consulting propose cette session dans différentes villes dont Paris et Abidjan.

CISSP : une certification professionnelle également

CISSP est également une certification professionnelle mais, à l’inverse du CISM, la preuve de l’expérience préalable dans le domaine doit être fournie en amont de l’examen. Ce n’est que lorsque (ISC)2 aura validé cette expérience d’au moins cinq années à temps complet dans un minimum de deux des 8 domaines de compétence couverts que vous pourrez vous présenter à l’examen. Aucune équivalence n’est admise. Là encore, l’objectif est de s’assurer de la compétence des candidats sur la base de l’expérience.

CISM : comment conserver votre certification

CISSP est une certification qui vise à garantir le maintien de votre compétence dans le temps. Vous devrez donc chaque année fournir à (ISC)2 la preuve que vous avez accumulé des CPEs grâce à des formations ou la participation à certaines conférences. Vous devrez en outre payer un montant annuel de 85$ à (ISC)2 et accumuler un total de 120 CPEs par cycle de 3 ans. A défaut d’apporter la preuve de vos CPEs, votre certification sera annulée. Vous pourrez cependant la récupérer ultérieurement en payant les redevances pour l’intégralité des années de retard et en repassant et  réussissant de nouveau l’examen.

L’intérêt d’une certification

Selon la dernière enquête annuelle réalisée par Certification Magazine les professionnels confirment l’intérêt d’une certification CISM ou CISSP.

Pour beaucoup de professionnels, la valeur de ces certifications réside d’abord dans une meilleure compréhension des concepts clés de leur domaine. Cela semble plus important que l’augmentation espérée de salaire liée à la certification.

Pour les employeurs, elles permettent d’identifier les candidats à fort potentiel dans le domaine de la sécurité du SI. Ces deux certifications démontrent l’expertise approfondie d’un candidat et augmentent la crédibilité et le calibre de son potentiel. C’est une façon de mesurer la qualité d’un candidat. Attention cependant à ne pas trop compter sur les certifications seules au lieu d’évaluer l’adéquation d’une personne à la culture et à la mission de l’entreprise. En soi, une certification ne constitue pas une garantie qu’un praticien réussira dans une organisation particulière.

Alors, CISM vs CISSP? Qu’en pensez-vous?

Si vous hésitez toujours, merci de nous laisser vos remarques et vos questions en commentaire. Nos experts se tiennent à votre disposition pour vous apporter une réponse. Si vous détenez déjà l’une de ces deux certifications, votre commentaire est aussi le bienvenu.

Pour en savoir plus, vous pouvez aussi nous suivre sur les réseaux sociaux et vous abonner sans engagement à notre blog.

Catégories

Archives

Calendrier

juin 2018
L M M J V S D
« Avr    
 123
45678910
11121314151617
18192021222324
252627282930  
%d blogueurs aiment cette page :