Home » Posts tagged 'ISO 27001'

Tag Archives: ISO 27001

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

SMSI certifié ISO 27001 vs conformité RGPD

Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (sytème de management de la sécurité de l’information) certifié ISO 27001 et la conformité au RGPD? Est-ce une solution pour répondre aux obligations réglementaires et légales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et essayons de comprendre en quoi la certification ISO 27001 peut vous aider à améliorer votre conformité.

ISO 27001 : un SMSI certifiés est-il la solution pour la conformité RGPD?
Crédit © Adobe Stock

Le RGPD et la norme ISO 27001 ont beaucoup en commun. Tous deux visent à renforcer la sécurité des données et réduire le risque de failles de sécurité. De même, tous deux exigent des entreprises qu’elles assurent la confidentialité, l’intégrité et la disponibilité des données sensibles. ISO 27001 est une norme très détaillée en la matière. Le RGPD est une réglementation Européenne. Il faut d’ailleurs noter que l’article 24 du RGPD stipule que l’adhésion aux codes de conduite et certifications approuvées – comme ISO 27001 – peut être utilisée pour démontrer la conformité.

D’où la question : « Suis-je conforme au RGPD si j’obtiens la certification ISO 27001 de mon SMSI ? ».

Les similarités entre ISO 27001 et le RGPD

Le RGPD est un cadre beaucoup plus large avec une couverture plus fondamentale de la sécurité et de la confidentialité des données. Toutefois il est nécessaire de bien comprendre les similarités et les différences entre les deux standards pour savoir si un SMSI certifié ISO 27001 peut avoir une utilité pour passer les audits de conformité au RGPD.

Les deux cadres ont beaucoup de points communs.

Confidentialité, intégrité et disponibilité des données

L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De façon similaire, plusieurs mesures de sécurité dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. Elles doivent, selon la clause 4, identifier les facteurs internes et externes susceptibles d’impacter leurs programmes de sécurité. La clause 6 leur impose de déterminer leurs objectifs de sécurité des TI et de créer un programme ad hoc. Enfin, La clause 8 définit les exigences pour la maintenance et l’amélioration continue de leur programme de sécurité . Elle leur impose de documenter ce dernier pour démontrer leur conformité.

Evaluation des risques

RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données personnelles. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque. C’est le cas notamment pour les données sensibles.

ISO 27001 impose également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les  vulnérabilité pouvant affecter les actifs (clause 6.1.2). Elles doivent ensuite mettre en oeuvre les mesures de sécurité appropriées (clause 6.1.3).

Gestion des parties intéressées

La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

Notification des failles de sécurité

En vertu des articles 33 et 34 du RGPD, les entreprises doivent informer l’autorité de contrôle dans les 72 heures suivant la découverte d’une violation de sécurité de données personnelles. Les personnes concernées doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des personnes concernées ».

La mesure de sécurité A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité. Cependant,  elle stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à permettre une action corrective rapide.

Protection des informations par défaut et dès la conception

L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début du projet (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut. Ceci signifie qu’elle doivent s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »). Il s’agit en fait du principe de minimisation des données.

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent. La clause 6 impose qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

Conservation des enregistrements

L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement. Ceci inclut la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité. Elles doivent aussi documenter les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

ISO 27001 et RGPD : est-ce la même chose?

Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il existe des différences importantes entre les deux cadres. Le RGPD est une réglementation européenne à laquelle doit se conformer toute organisation publique ou privée. C’est un cadre global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent protéger les données personnelles. ISO 27001 est une norme et les organisation peuvent, à leur choix, faire certifier leur SMSI ou pas. C’est un ensemble de bonnes pratiques centrées sur la sécurité des informations.

Les différences entre ISO 27001 et le RGPD

La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux liés à la confidentialité des données personnelles (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des personnes concernées ») :

  • Consentement : les responsables du traitement doivent prouver que les personnes concernées ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement compréhensible. De plus, la finalité du traitement des données doit être clairement décrit. Les personnes concernées ont également le droit d’annuler leur consentement à tout moment.
  • Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre responsable de traitement sans entrave à l’utilisation.
  • Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.
  • Le Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.
  • Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).
  • Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantisse pas la conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.

Certifications et compétences qui paient en 2018

Comme chaque année, nous vous proposons un survol des certifications et compétences qui paient le mieux en 2018. Cet article s’appuie sur l’enquête annuelle réalisée par Global Knowledge sur les compétences et les salaires dans le domaine IT.

Les certifications et les compétences les mieux payées en 2018
Crédit © AdobeStock & Gwimages 2018

Notre précédent article sur les 6 certifications qui payaient le mieux en 2017 continue à être l’article plus lu de ce blog. Voici donc la version 2018 avec quelques évolutions notables. On constate un véritable glissement vers de nouvelles certifications et compétences correspondant aux meilleurs salaires. Cependant on peut constater des différences énormes selon les zones géographiques. Elles correspondent totalement à l’économie et aux besoins des entreprises dans chacune des zones. Il reste toutefois clair que les salaires sont dépendants de l’offre de compétences et de la demande régionale.

Vous courrez après les gros salaires? Cet article vous présente les certifications les mieux payées. Cependant il vous indique aussi ce que les employeurs attendent de vous et ce que cela implique. La certification ne suffit pas… C’est, pour un employeur potentiel, une assurance raisonnable quand à vos connaissances dans le cas de certifications courantes et aussi de votre compétence dans le cas des certifications professionnelles. Le recherche trois critères :

  • le savoir (sur la base de vos diplômes académiques et des vos certifications standards),
  • le savoir-faire (sur la base de vos certifications professionnelles et de votre expérience),
  • votre savoir-être sur la base de l’évaluation de votre comportement et de votre attitude (le recruteur ira chercher ces informations sur les réseaux sociaux, auprès de votre entourage professionnel et personnel).

Dans tous les cas, dites-vous que votre futur employeur vérifiera la réalité de ce que vous annoncez dans votre CV. Inutile donc de revendiquer une certification que vous n’avez pas. La vérification auprès de l’organisme émetteur de la certification révèlera immédiatement la supercherie. Cela se retournera contre vous. D’ailleurs, certains organismes de certification n’hésitent pas à porter plainte contre les fraudeurs et réclament des amendes importantes.

Certifications standards vs certifications professionnelles

Lorsqu’on parle de certification, il faut toujours bien faire attention à la signification qu’on donne aux mots. Les certifications standards sont par essence des certifications résultant de la simple réussite à un examen. C’est le cas des certifications ITIL, PRINCE2, VERISM, certaines certifications COBIT, etc. Elles se dénomment souvent Foundation, Practitioner, Intermediate ou encore Advanced. Aucune expérience dans le domaine n’est réclamée et la certification est valide sans limitation de durée.

Dans le cas des certifications professionnelles, à l’inverse, la réussite à l’examen n’est qu’une première étape. Ensuite il est nécessaire de prouver une expérience minimum de 3 à 5 ans dans le domaine concerné. L’organisme de certification effectue donc une vérification auprès des précédents employeurs de du candidat sur la valeur et la durée de son expérience ainsi que sur son attitude et son comportement. Ce n’est que lorsque cette vérification est positive que la certification est délivrée.

En général les certifications professionnelles ont une durée limitée, souvent de 3 ans. Chaque année ou chaque 3 ans, l’organisme exige la preuve que le certifié a bien suivi un nombre minimum d’heures de formation (CPD/CPE/CPU). Le certifié doit également acquitter de nouveau un montant significatif pour le renouvellement de sa certification. L’organisme de certification effectue alors, de façon aléatoire, des contrôles sur l’expérience acquise pendant les 3 ans ainsi que sur le comportement du certifié pendant cette période. A cette occasion la certification peut lui être retirée.

Parmi les certifications professionnelles, on peut citer CISA, CISM, CGEIT, CRISC, PMP, CIA, ISO 27001 Lead Implementer ou ISO 27001 Lead Auditor. Il est bien évident que les certifications professionnelles, plus « sérieuses », sont les plus recherchées par les employeurs. Ce sont donc aussi, logiquement, celles qui correspondent aux meilleurs salaires.

Les compétences les plus recherchées

Les compétences les plus recherchées sont bien naturellement celles qui paient le plus. C’est tout simplement la loi de l’offre et de la demande. Voyons ensemble les 5 domaines de compétences qui suscitent le plus de demandes en 2018. Précisons bien qu’il s’agit là de recherche de professionnels certifiés et pouvant démontrer plusieurs années d’expérience dans le domaine. Donc ce sont des domaines dans lesquels les employeurs recherchent en priorité des détenteurs de certifications professionnelles.

Notons toutefois que parmi ces 5 compétences les plus recherchées, deux certifications sont de niveau Foundation (COBIT 5 Foundation et Six Sigma Green Belt).

La cybersécurité

Comme lors des trois dernières années, les certifications en sécurité tiennent les premières places en matière de rémunération. Lorsque nous élargissons la liste aux 20 premiers, six certifications sont relatives à la sécurité an niveau mondial, y compris les deux premières places: CISSP de (ISC) 2 et CRISC de l’ISACA. Le CISM d’ISACA se classe au sixième rang mondial et au huitième rang en EMEA.

Le CISSP enregistre le salaire global moyen le plus élevé avec 70.177 € en EMEA (100.146 $ aux USA, ce qui représente une différence de plus de 27% entre les deux zones géographiques). Les professionnels de l’informatique possédant des certifications en sécurité ont tendance à avoir des salaires moyens globaux supérieurs de 15% (aux USA) à 63% (dans la région Asie-Pacifique) à la moyenne des autres certifiés.

Pour en savoir plus sur les certifications CISSP et CISM, nous vous invitons à lire notre article CISM vs CISSP : quelle certification choisir?

Le Cloud

Les certifications liées au Cloud, y compris AWS Certified Solutions Architect – Associate, ont des salaires moyens nettement supérieurs à la norme. En Amérique du Nord, le le salaire moyen du personnel informatique certifié AWS est 10% plus élevé que celui des personnels possédant une autre certification dans le Cloud et 29% supérieur au salaire moyen des professionnels IT certifiés dans un autre domaine. Toutefois, l’augmentation du salaire des professionnels certifiés en Cloud computing n’est pas limitée à ceux possédant les certifications AWS.

L’accent mis sur le nuage s’est également étendu à d’autres domaines fonctionnels. Les help-desks et les équipes de support technique recherchent activement des professionnels possédant des certifications dans le cloud computing et les réseaux.

La gestion de projet

Les gestionnaires de projets certifiés en Amérique du Nord ont également des salaires moyens au dessus de la norme. C’est particulièrement vrai pour ceux qui possèdent une certification PMP (103 406 $) par rapport à la moyenne des autres professionnels certifiés en gestion de projet, par exemple PRINCE2  (97 745 $). La tendance est beaucoup moins nette sur la région EMEA. Pour en savoir plus sur ces deux certifications, nous vous invitons à relire notre article PRINCE2 vs PMP : Quelle méthode de gestion de projet choisir?

On voit également émerger cette année une demande croissante pour les chefs de projets certifiés sur une méthode agile. Dans ce contexte c’est la certification Certified ScrumMaster (CSM) avec un salaire moyen de 98 562 $ qui tient la tête.

La gouvernance et le management

L’ISACA est une association indépendante axée sur l’adoption et l’utilisation des meilleures pratiques de gouvernance et de management de l’information et des technologies dans les organisations. L’ISACA possède six certifications dans le top 20 mondial, y compris CGEIT, CISA, CRISC et CISM . Une nette tendance se dégage également avec une demande de plus en plus forte de professionnels certifiés sur COBIT 5. Cela se traduit par un salaire moyen des professionnels certifiés COBIT 5 Foundation qui atteint maintenant 65.000 € dans la région EMEA.

Si vous vous posez des questions sur le CISA, nous vous conseillons trois articles précédemment publiés sur notre blog :

Compétences Six Sigma

La certification Six Sigma Green Belt est parrainée par l’association indépendante IASSC. C’est une certification de base sur un ensemble de techniques et d’outils d’amélioration des processus. Une tendance nette se dégage également en faveur des professionnels possédant une certification Six Sigma Green Belt qui obtiennent un salaire moyen de 99.865 $ en Amérique du Nord et de 69.000 Euros en EMEA soit une différence de 21%, la plus faible du top 20 des certifications.

Le top vingt des salaires par certification en Europe

Les résultats du classement 2018 sont extrêmement intéressants car ils montrent un changement important par rapport à 2017. La grande nouveauté est l’arrivée en force des certifications AWS (Amazon) dans les premières places du classement. A l’inverse les certifications qui monopolisaient les premières places ce dernières années subissent un fort recul (CISA, PMP). On voit également apparaître en 7ème position une certification qui fait sont entrée dans les 10 premières : COBIT 5 Foundation. Il est également à noter que cette année les certifications CISCO disparaissent complètement du classement.

Classement 2018 des 20 certifications et certifications professionnelles correspondant au meilleurs salaires en euros
Classement établi sur les salaires en région EMEA (Europe, Moyen Orient & Afrique). L’ordre est différent en Amérique du Nord.

L’autre enseignement de ce classement est la différence très importante des salaires entre la région EMEA et l’Amérique du Nord. Les salaires en EMEA sont tirés nettement vers le bas par la zone Afrique ainsi que le montre la carte suivante.

Salaires des professions IT par région du monde
Moyenne des salaires IT par région du monde – Crédit © Global Knowledge 2018

Conclusion

Ces éléments peuvent vous aider à choisir parmi les certifications disponibles celles qui vous conviennent le mieux. Bien sûr le salaire est un critère mais n’oubliez pas que la certification ne garantit pas le niveau de salaire. C’est votre compétences et votre adéquation au marché qui feront la différence.

N’hésitez pas à commenter cet article en y apportant vos témoignages sur votre expérience personnelle. Posez-nous également des questions. Nos experts se feront un plaisir de vous répondre. Si cet article vous a paru intéressant, n’hésitez pas à le partager sur les réseaux sociaux et à nous mettre un « like » si vous le souhaitez.

COBIT 2019 – Vos questions, nos réponses

Depuis la publication de notre article présentant, en avant-première, les nouveautés de COBIT 2019, vous nous avez posé de nombreuses questions. Nous vous apportons quelques réponses. Pour l’heure, nous ne pouvons pas encore tout vous dire. Soyez patients. Nous vous donnerons notre avis détaillé sur cette nouvelle version du cadre de référence en Gouvernance de l’Information dès que les deux premières publications seront disponibles sur le site de l’ISACA.

Cadre de gouvernance COBIT 2019 - Questions réponses
Crédit © rawpixel 2018

L’accélération de la transformation numérique a rendu l’information et la technologie (I&T) cruciales pour le soutien, la croissance et la durabilité des entreprises. Les conseils d’administration et les cadres dirigeants ont pu jadis déléguer, ignorer ou éviter les décisions liées à l’I&T. Cependant ils savent maintenant que cette approche est mal avisée. Ce ne sont pas uniquement les entreprises digitales qui dépendent de l’I&T pour leur survie et leur croissance. La création de valeur par les parties prenantes (c’est-à-dire la réalisation des bénéfices à un coût optimal en ressources tout en optimisant les risques) est également souvent obtenue par la digitalisation de nouveaux modèles d’affaires, grâce à des processus efficaces et à des innovations réussies.

L’I&T est maintenant totalement intégrée à la gestion des risques d’entreprise et de la création de valeur. Un accent particulier a donc été mis sur la gouvernance de l’information d’entreprise et de la technologie (GEIT) au cours des deux dernières décennies. COBIT a reflété cet accent mis sur la GEIT dans ses dernières mises à jour, aboutissant à COBIT 5. Toutefois, une nouvelle édition, dont la sortie est prévue en novembre 2018, étendra et facilitera encore cette tendance.

La nouvelle édition s’appelle COBIT 2019. Les mises à jour de COBIT ne seront dorénavant plus identifiées par des numéros de version. Au lieu de cela, elles porteront  la date de la dernière mise à jour. Cela correspond à un environnement I&T dynamique qui génère des changements à un rythme si rapide qu’il est difficile de les suivre. COBIT 2019 prend en compte ces problèmes et les résout en faisant de COBIT un cadre de gouvernance I&T dynamique pouvant être mis à jour plus rapidement, en appliquant les commentaires des utilisateurs pour qu’ils restent pertinents pour la communauté internationale des professionnels de la gouvernance.

Vos questions, nos réponses

Qu’est-ce que COBIT?

Le processus de mise à jour de COBIT a impliqué des efforts considérables pour mettre en perspective ce qu’il est et ce qu’il n’est pas. Cet article décrit chaque côté de l’équation, en commençant par ce qu’il est.

COBIT 2019 peut être décrit comme un cadre pour la gouvernance et la gestion de l’I&T des entreprises, destiné à l’ensemble de l’organisation. L’I&T d’entreprise fait référence à tous les traitements I&T mis en place par l’entreprise pour atteindre ses objectifs, quel que soit le lieu où cela se produit dans l’organisation. En d’autres termes, l’I&T d’entreprise ne se limite pas au service informatique d’une organisation, mais il est certain qu’elle l’inclut. Elle inclut aussi sans aucun doute d’autres départements tout aussi importants comme les ressources humaines.

COBIT 2019 définit les composants permettant de construire et de maintenir un système de gouvernance : politiques, processus et procédures, structures organisationnelles, flux d’informations, compétences, infrastructure, culture et comportements. Celles-ci étaient appelées «facilitateurs» (« enablers » en anglais) dans COBIT 5. Il définit également les facteurs de conception que l’organisation doit prendre en compte pour créer un système de gouvernance parfaitement adapté.

Il aborde les problèmes de gouvernance en regroupant les composants de gouvernance pertinents dans des domaines prioritaires pouvant être gérés aux niveaux de maturité requis.

Qu’est-ce que COBIT n’est pas?

Après avoir décrit ce qu’est COBIT 2019, il est important de définir ce qu’il n’est pas. Cela implique de tordre définitivement le cou à certaines idées fausses au sujet de COBIT, telles que :

  • COBIT 2019 ne décrit pas complètement l’environnement I&T d’une organisation.
  • Ce n’est pas un cadre pour organiser les processus métier.
  • Ce n’est pas un cadre technique (informatique) pour gérer toutes les technologies.
  • Il ne prend ni ne prescrit aucune décision liée à l’informatique. Par exemple, il ne répond pas aux questions telles que: quelle est la meilleure stratégie informatique? Quelle est la meilleure architecture? Combien devrait coûter l’informatique? Au lieu de cela, il définit tous les composants qui décrivent quelles décisions doivent être prises, comment et par qui elles doivent être prises.

Pourquoi le logo a-t-il changé?

COBIT 5 a été publié en 2012, ce qui fait presque 7 ans. Depuis cette époque, d’autres cadres et les normes ont évolué, créant un paysage différent. L’émergence de nouvelles technologies et les tendances business en matière d’utilisation des technologies de l’information (transformation numérique, DevOps, par exemple) n’étaient pas intégrées dans COBIT 5. Un réalignement était donc nécessaire.

Pour rester pertinent, il est impératif que COBIT continue d’évoluer, ce qui nécessitera des mises à jour plus fréquentes et plus fluides. Dans le nouveau logo, la flèche rouge symbolise cette notion d’évolution continue. De plus, pour assurer un contrôle efficace des versions, toutes les mises à jour futures comporteront l’année correspondant à la publication la plus récente.

Quelles sont les publications de COBIT 2019 et quand seront-elles disponibles?

La famille de produits COBIT 2019 est n’est pas limitée aux produits qui seront prochainement publiés. Le développement de nouvelles orientations, formations et ressources pour soutenir la famille de produits COBIT 2019 sera continuellement évaluée en fonction de la demande du marché. Ce développement sera géré en cohérence avec les autres produits de l’ISACA.

Disponibles le 12 novembre 2018

  • Cadre COBIT 2019: Introduction et méthodologie – Introduction aux concepts clés de COBIT 2019.
  • Cadre COBIT 2019: Objectifs de gouvernance et de gestion. Cette publication décrit de manière exhaustive les 40 objectifs fondamentaux en matière de gouvernance et de gestion, les processus qu’ils contiennent, et d’autres composants connexes. Ce guide fait également référence à d’autres normes et référentiels du marché.

Disponibles le 10 décembre 2018

  • Guide de conception COBIT 2019: Conception d’une solution de gouvernance de l’information et de la technologie. Ce guide explore les facteurs de conception pouvant influencer la gouvernance. Il inclut un flux d’activités afin de planifier un système de gouvernance sur mesure pour l’entreprise.
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une solution de gouvernance de l’information et de la technologie. Ce titre représente une évolution du Guide de mise en œuvre de COBIT 5.  Il propose l’élaboration d’une feuille de route pour l’amélioration continue de la gouvernance. Il peut être utilisé en combinaison avec le Guide de conception COBIT 2019.

Les publications COBIT 2019 seront-elles gratuites pour les membres ISACA?

Dans le cadre de l’engagement de l’ISACA d’apporter une valeur optimale à ses membres, le téléchargement au format PDF des quatre publications principales de COBIT 2019 suivantes seront gratuites pour les membres :

  • Cadre COBIT 2019 : Introduction et méthodologie
  • Cadre COBIT 2019 : Objectifs de gouvernance et de gestion
  • Guide de conception COBIT 2019 : Conception d’une solution de gouvernance de l’information et de la technologie
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une Solution de gouvernance de l’information et de la technologie

De plus, les membres de l’ISACA recevront des réductions exclusives sur l’achat de publications imprimées. Pour en savoir plus, consultez le site de ‘ISACA : http://www.isaca.org/COBIT.

COBIT 2019 est-il aligné avec les autres normes et cadres internationaux?

L’un des principes directeurs appliqués tout au long du développement était de maintenir son positionnement de COBIT 2019 en tant que cadre général de gouvernance. Ainsi, il continue de s’aligner sur un certain nombre de normes, cadres et / ou réglementations pertinents. COBIT 2019 comprend des références et s’aligne sur des concepts provenant d’autres sources. Par exemple COBIT 2019 est aligné, entre autres, sur ITIL, ISO 27001, ISO 20000, DEVOPS, PRINCE2, PMBOK, TOGAF, COSO, SFIA, etc..

Dans ce contexte, l’alignement signifie que :

  • COBIT 2019 ne contredit aucune indication des référentiels et normes correspondants,
  • Le cadre COBIT 2019 ne copie pas le contenu de ces référentiels et normes associés,
  • COBIT 2019 fournit des conseils ou références équivalents aux normes et référentiels correspondants.

Une liste complète des normes et guides pratiques utilisés dans le cadre du développement de COBIT 2019 est fournie dans la présentation PPT intitulée  COBIT® 2019 Overview. Celle-ci, en anglais, est disponible dans la boîte à outils COBIT 2019 sur le site de l’ISACA. Cette liste figure également dans la publication Cadre COBIT 2019 : Introduction et méthodologie.

Y aura-t-il un cursus de formation de certification COBIT 2019?

Un nouveau parcours de formation et de certification sera proposé dès le début 2019. COBIT 2019 est un cadre en évolution continue. En conséquence, l’ISACA continuera en permanence à évaluer le marché et à proposer de nouveaux modules de formation. Les premier modules seront disponibles selon le calendrier suivant :

Janvier 2019 : Atelier de transition COBIT 5 vers COBIT 2019 (1 journée)

Ce cours de transition d’une journée présente les concepts, les modèles et les définitions clés du nouveau cadre en mettant l’accent principalement sur les différences majeures entre COBIT 2019 et COBIT 5.

Janvier 2019 : Formation et certification COBIT 2019 Foundation (3 jours)

Développée pour préparer les participants à l’examen de certification COBIT 2019 Foundation, cette formation plongera dans le contexte, les composants, les avantages et les principales raisons pour lesquelles utiliser COBIT en tant cadre de gouvernance de l’information et des technologies en entreprise.

Avril 2019 : Formation et certification COBIT 2019 Conception et mise en oeuvre (3 jours)

Cette formation de 3 jours prépare les participants à l’examen de certification COBIT 2019 Design and Implementation. Les participants apprendront comment concevoir un système de gouvernance parfaitement adapté au contexte de leur entreprise en s’appuyant sur le cadre de gouvernance de l’ISACA.

Où puis-je me former et passer les certifications?

La formation ainsi que les examens de certification seront disponibles à partir de janvier 2019. Vous pourrez y accéder via les canaux suivants:

  • Centres de formation accrédités par ISACA (via APMG ou Peoplecert);
  • Chapitres ISACA;
  • Conférences ISACA et ateliers pré-conférence;
  • Programme de formation sur site d’ISACA.

Pour ce qui nous concerne, 2AB & Associates sera accrédité par l’ISACA dès le lancement des modules de formation. Nous avons d’ores et déjà commencé le développement des trois modules initiaux prévus par ISACA. Les premières sessions COBIT 2019 Bridge et COBIT 2019 Foundation sont déjà à notre calendrier dès janvier 2019. Nous proposons également pour les personnes déjà certifiées COBIT 5 Foundation un atelier d’une journée leur permettant de faire la transition de leur certification actuelle vers la nouvelle version.

Nous organisons également, à la demande, des présentations d’une demi-journée destinées aux dirigeants des entreprises. N’hésitez pas à consulter le site www.2abassociates.fr ou www.2abassociates.ca pour en savoir plus.

Les programmes de formation COBIT 2019 remplaceront-il les formations COBIT 5?

ISACA continuera à soutenir l’accréditation et la délivrance de la formation et du cursus de certification COBIT 5. Ainsi, la formation COBIT 5 continuera à cohabiter avec la formation COBIT 2019. Il ne serait donc par judicieux de remettre votre formation COBIT à plus tard en attendant le nouveau cursus de formation/certification. Tout au contraire, nous vous invitons à profiter de notre offre promotionnelle sous forme de package Formation et certification COBIT 5 Foundation + atelier de transition vers COBIT 2019.

Les publications COBIT 5 resteront-elles disponibles en 2019?

L’ISACA continuera de soutenir les nombreuses organisations gouvernementales et  non gouvernementales qui, depuis 2012, ont mis en oeuvre COBIT 5. Tous les guides COBIT 5 (et produits dérivés) vont donc rester disponibles pour téléchargement ou achat en ligne. De plus, tous les produits, ressources et programmes de formation COBIT 5 resteront disponibles (parallèlement à COBIT 2019).

Quelles sont les différences entre COBIT 2019 et COBIT 5?

COBIT 2019 offre une plus grande flexibilité et une plus grande ouverture pour améliorer la pertinence dans le temps de COBIT.

  • L’introduction de nouveaux concepts tels que les domaines de focalisation et les facteurs de conception permet de proposer des bonnes pratiques pour adapter un système de gouvernance aux besoins de l’entreprise.
  • La mise à jour de l’alignement sur les normes, les cadres et les meilleures pratiques améliore la pertinence de COBIT.
  • Un modèle de type «open source» permettra à la communauté mondiale de la gouvernance de contribuer aux futures mises à jour  en apportant des commentaires, en partageant des applications et en proposant des améliorations au
    cadre et aux produits dérivés en temps réel. De la sorte, de nouvelles évolutions de COBIT pourront être publiées sur une base cyclique.
  • De nouvelles orientations et de nouveaux outils soutiennent l’élaboration d’un système de gouvernance optimal. Cela rend donc COBIT 2019 plus prescriptif.

ISO/IEC 20000-1 : le cru 2018 est arrivé

Fantastique nouvelle pour toutes les personnes impliquées dans la gestion des services informatiques (ITSM), la norme internationale ISO/IEC 20000-1:2018 a été publiée ce 15 septembre 2018. Elle est désormais disponible en Anglais et en Français sur le site de l’ISO

ISO/IEC 20000-1:2018 nouvelle version de la norme de gestion des services (ITSM)
Crédit image © raw pixel.com

En cette saison de vendanges, les nouveaux crus sont très attendus. Et le millésime 2018 de la norme internationale ISO/IEC 20000-1 ne fait pas exception à la règle. Il s’agit là de la 3ème version de cette norme dont la première publication remonte à 2005. A l’origine, il s’agissait essentiellement de traduire les bonnes pratiques ITIL V2 sous forme d’une norme de gestion des services informatiques (ITSM). L’objectif était de permettre aux organisations informatiques de certifier leur système de management des services TI. Les référentiels de bonnes pratiques tels que ITIL ne permettant pas de certifier une organisation, ISO/IEC 20000 était la première norme ITSM.

L’enquête annuelle réalisée par l’ISO (International Standard Organization) montre qu’en 2016 la norme ISO 20000 est classée en 9ème position des normes sur lesquelles les entreprises se certifient le plus, avec 4537 certificats d’entreprises délivrés en 2016. Elle connaît d’ailleurs une croissance très importante de 63%, et spécialement en Asie.

ITSM - ISO 20000 dans le monde. Devant ITIL
Répartition des certifications ISO 20000 délivrées dans le monde en 2015 & 2016 – © ISO 2017

Aujourd’hui, ISO/IEC 20000-1:2018 reste alignée sur les bonnes pratiques ITSM, parmi lesquelles ITIL. Cependant, elle a largement pris son autonomie et son périmètre s’est sensiblement élargi. Nous vous livrons ici quelques unes des nouveautés attendues par tous les acteurs de la gestion des services.

Vue d’ensemble de la version 2018 d’ISO/IEC 20000-1

Les membres du sous-comité SC40 du JTC1 (ISO/IEC) ont fait un travail remarquable. Ils ont pris en compte les tendances et les défis actuels dans l’environnement de gestion des services. L’accent est désormais mis davantage sur la gestion et l’assurance qualité. Il est moins centré sur la formulation des processus et des procédures. Le fait qu’un écosystème de services soit composé d’un environnement multi-fournisseurs empêche souvent les entreprises de normaliser tous les processus dans toutes les organisations impliquées incluant leur chaîne logistique de service.

Les changements les plus importants dans la norme ISO/IEC 20000-1:2018

Les modifications suivantes ont été apportées par rapport à la version précédente de 2011:

  1. Au plus haut niveau, une nouvelle structure hiérarchique conforme aux autres normes relatives au système de management a été introduite. Cela facilite la certification des entreprises pour plusieurs normes, telles qu’ISO 9001 (gestion de la qualité) ou ISO 27001 (gestion de la sécurité de l’information).
  2. La section Termes et définitions a été supprimée. Elle est désormais remplacée par une référence aux termes et définitions de l’ISO / IEC 20000-10.
  3. Toutes les références à la « méthode PDCA » (« Plan-Do-Check-Act ») ont été supprimées.
  4. De nouvelles exigences sur le contexte de l’organisation et sur les activités relatives aux risques et aux opportunités ont été ajoutées.
  5. Une exigence explicite de «créer, mettre en œuvre, maintenir et améliorer continuellement un système de management des services (SMS)» a été ajoutée.
  6. Les exigences en matière d’informations documentées, de ressources, de compétences et de sensibilisation ont été mises à jour.
  7. Des exigences supplémentaires dans les domaines de la planification des services, de la connaissance, de la gestion des actifs, de la gestion de la demande et de la fourniture de services ont été introduites.
  8. Les exigences relatives à la gestion des incidents et à la gestion des demandes de service ont été divisées en deux chapitres distincts.

À première vue, la norme semble être devenue plus vaste et donc plus complexe. Cependant, les exigences concernant les processus sont beaucoup plus simples. De même, les exigences en matière de documentation ont été considérablement réduites. Cela permet aux organisations de définir leurs processus beaucoup plus librement. La norme est maintenant conçue davantage pour l’effet de la gestion des services que pour sa description détaillée.

La nouvelle norme sur l’ITSM en un seul coup d’oeil

Les changements et améliorations de cette nouvelle version de la norme ISO/IEC 20000 se reflètent dans le schéma suivant :

Schéma de la norme ISO/IEC 20000-1:2018. Au delà du périmètre ITIL
Crédit © ISO 2018

Comme on peut le voir, des questions telles que le leadership et l’engagement, la gestion des risques, la planification des services d’évaluation et l’amélioration de performance deviennent centrales.

Il est également clair que le nombre de processus a nettement augmenté par rapport à la version précédente de 2011. Cette nouvelle mouture de la norme voit son périmètre augmenter. Il est désormais aligné sur celui d’ITIL 2011 et prend en considération les nouveaux référentiels ITSM comme VeriSM, SIAM, COBIT, etc..

Un changement dans la cible de la norme

Le terme « service informatique » figurait déjà dans la dernière version de la norme. Mais la norme était principalement réservée aux organisations informatiques pour certifier leur système de management à ISO 20000. Avec la connectivité accrue des fournisseurs de services externes et les exigences moins détaillées pour les processus informatiques tels que la disponibilité et la gestion de la capacité, la norme est désormais également prédestinée à être utilisée en dehors des organisations informatiques. C’est la base de la certification de la gestion professionnelle des services d’entreprise à l’avenir avec la nouvelle norme ISO/IEC 20000-1: 2018. Attendons donc de voir comment cela va évoluer dans les prochains mois.

Quelles suites sont à prévoir dans les prochains mois?

Si votre organisation est déjà certifiée ou si vous commencez à mettre en œuvre ISO20000-1, ne vous inquiétez pas. Il est probable qu’il y aura une période de transition minimale de deux ans après la révision de la première partie. Rien de ce que vous faites actuellement pour l’ISO/IEC 20000-1:2011 actuelle ne sera perdu.

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011, la transition doit être bien préparée. Cependant les changements ne seront pas vraiment importants. Il est toutefois conseillé de convenir de la date de transition avec le certificateur en temps utile. La date limite probable de cette nouvelle certification sera sans doute d’ici 2021 au plus tard.

Pour les entreprises non encore certifiées ISO/IEC 20000-1

Pour les entreprises qui souhaitent obtenir la certification ISO 20000-1 pour la première fois, cette édition est simplifiée. Elle est moins détaillée au niveau des exigences. Elle se concentre sur ce que les entreprises doivent faire pour avoir plus de liberté de mise en œuvre. La mise en oeuvre d’un système de management des services, en vue de la certification, devrait donc être plus facile.

Parmi les points-clés dont vous devez désormais vous préoccuper pour faire certifier votre SMS sur ISO/IEC 20000-1:2018 :

  • Quels sont les résultats attendus de votre système de gestion de services (SMS) et de vos services?
  • Qu’est-ce qui constitue une valeur pour l’organisation et les clients du SMS et des services?
  • Qui a le pouvoir de prendre des décisions clés sur le SMS et les services?
  • Comment les exigences SMS sont-elles intégrées dans les processus métier de l’organisation?
  • Quelles connaissances sont nécessaires pour soutenir le fonctionnement du SMS et des services?

Ce sont là des aspects clés pour l’ITSM et l’alignement sur le business. Aucune surprise donc de les retrouver au coeur de la nouvelle version de la norme. Ce sont également des questions qui matérialisent un peu plus la particularité d’ISO/IEC 20000-1:2018 vis à vis d’ITIL. En effet ITIL 2011 reste essentiellement focalisé sur les processus exclusivement. Ce sont également les questions qui sont au coeur des nouveaux référentiels ITSM tels que SIAM, VeriSM, etc. Il semble que la nouvelle version d’ITIL (ITIL4) annoncée pour le premier trimestre 2019 aille également dans ce sens.

Quid de la formation et des certifications de personnes?

A l’heure actuel, plusieurs organismes de certification de personnes proposent des certifications individuelles sur ISO/IEC 20000. Parmi elles, on peut citer APMG, EXIN ou PECB. Là encore ne vous inquiétez pas. votre certification ISO 20000 (Foundation, auditor, professional, lead implémenter ou lead auditor) demeurera valide. Les organismes de formations vont simplement devoir mettre à jour leurs cursus de formation pour les adapter à la nouvelle version de la norme. La mise à niveau des examens de certification devrait intervenir dans les prochaines semaines.

2AB & Associates (ex AB Consulting), accrédité auprès de l’APMG, d’EXIN et de PECB pour délivrer les formations et les certifications de personnes sur ISO/IEC 20000 est déjà en train de finaliser les nouveaux cours alignés sur la version 2018 de la norme. Nous préparons aussi un cours de transition vers ISO/IEC 20000-1:2018. Ce cours a pour objectif d’aider les personnes en train de conduire une certification de leur organisation sur la version 2011.

 

Cybersécurité : rôle et responsabilités du Conseil d’Administration

Les cyber-menaces sont complexes et en constante évolution. Elles peuvent aussi causer d’importants dommages financiers et de réputation à une Organisation. De plus, il n’y a aucun moyen d’être protégé à 100%. C’est pourquoi la cybersécurité ne relève plus uniquement des services informatiques. Les Conseils d’Administration sont les premiers responsables de la survie de leur organisation et, dans le monde interconnecté d’aujourd’hui, la cyber-résilience fait partie intégrante de cette responsabilité. Cela signifie que le Conseil d’Administration à un rôle actif à jouer et doit assurer ses responsabilités en matière de cybersécurité.

Cybersécurité : rôle et responsabilités du Conseil d'Administration
Crédit © image by rawpixel.com

En charge de la Gouvernance de leur Organisation, les Conseils d’Administration s’assurent de l’optimisation des risques et des ressources. Dans un monde en pleine transformation digitale, ils devraient donc considérer le cyber-risque comme prioritaire. Ceci implique qu’ils devraient jouer un rôle de leader en matière de cybersécurité au sein de leur Entreprise. Dans ce cadre, voici donc quelques responsabilités en matière de sécurité informatique qui leur incombent directement.

Principes de base en matière de cyber sécurité

COBIT, référentiel de bonnes pratiques en gouvernance des Entreprises, définit un certain nombre de principes de base pour gouverner une Organisation. Le Manuel de l’Administrateur sur la surveillance des risques lés au cyber espace, publié aux USA par L’Association Nationale des Administrateurs de Sociétés (NACD) définit également le rôle et les responsabilités du C.A. en matière de cybersécurité. Cinq principes se dégagent. Ces principes de base sont universels. Ils s’appliquent à toute Organisation, publique, privée ou même à but non lucratif, quelles que soient sa taille, son domaine d’activité ou sa localisation. Ils devraient donc être pris en considération par  tous les C.A. afin d’améliorer leur surveillance des cyber-risques.

1 – La cybersécurité est une problématique d’Entreprise et non une problèmatique technologique

Les administrateurs doivent comprendre et aborder les questions de la cybersécurité en tant que sujet de gestion des risques à l’échelle de l’entreprise, et pas uniquement en tant que sujet informatique.

Il est toujours aussi surprenant de constater combien d’entreprises associent encore la sécurité des informations ou la cybersécurité à l’informatique. Certes, la plupart des signalements d’incidents de sécurité proviennent de l’informatique, Mais on ne peut pas s’y limiter car les impacts se font sentir à l’échelle de toute l’organisation. Les compétences requises pour gérer les risques et traiter les problèmes doivent donc se situent au niveau global de l’organisation. Le Conseil d’Administration doit comprendre que tout miser sur la technologie est une grave erreur.  C’est d’ailleurs la cause sous-jacente d’un grand nombre de violations majeures.

2 – Comprendre les implications juridiques et réglementaires des cyber-risques

Les administrateurs doivent comprendre les implications légales et réglementaires des cyber-risques dans la mesure où ceux-ci se rapportent au caractère spécifique de leur Organisation.

Avec la fonction vient la responsabilité. La direction et le conseil d’administration sont considérés comme responsables ultimes des cyber-risques. Ces derniers mois, de nombreux piratages importants se sont produits et, dans de nombreux cas, ils ont perdu leur poste. Gregg Steinhafel, Président du Conseil d’Administration et Directeur Général de Target, a été contraint de démissionner de toutes ses fonctions à la suite de la violation massive des données de l’Entreprise en 2013. Et plus récemment, le Directeur Général d’Equifax, Richard Smith, a du démissionner à la suite de l’important piratage informatique qui a compromis les données d’environ 143 millions d’Américains.

3 –  S’appuyer sur l’expertise adéquate et mettre la cybersécurité à l’orde du jour

Les conseils d’administration devraient avoir un accès adéquat à l’expertise en matière de cyber-risques et de cybersécurité. D’autre part, les discussions sur la gestion des risques informatiques devraient faire l’objet d’une point régulier à l’ordre du jour des réunions du conseil. Il est également très important de pouvoir accorder un temps suffisant aux discussions sur ce sujet important. Il est de plus en plus courant de voir des membres du conseil d’administration qui ont un bagage technologique ou en sécurité. Cette expertise peut vraiment aider à sensibiliser les autres administrateurs. C’est la prise de conscience qui permet de gagner la bataille contre les cybercriminels.

4 – Mettre en oeuvre un cadre de sécurité pour l’Entreprise doté de ressources suffisantes

C’est la responsabilité du Conseil d’Administration de s’assurer de la mise en place d’un cadre de gestion des risques au niveau de l’Entreprise. La Direction doit être en charge de sa mise en oeuvre, de sa surveillance et de son suivi. Il est essentiel que le Conseil d’Administration lui donne les ressources nécessaires pour atteindre cet objectif. Ces ressources devront comprendre le personnel adéquat, les budget et les outils et technologies indispensables.

Pour la définition du cadre de risques, il est toujours plus facile d’appuyer sur des référentiels existants et éprouvés. Ainsi aux USA, il sera pertinent de s’appuyer du le référentiel NIST CSF. Ce cadre a été élaboré par le  National Institute of Standards and Technology . Il a pour but de permettre aux organisations – indépendamment de la taille, du degré de cyber-risque ou de la sophistication de la cybersécurité – d’appliquer les principes et les meilleures pratiques de gestion des risques à l’amélioration de la sécurité et de la résilience des infrastructures critiques. En Europe, NIST CSF est quasi inconnu. On pourra utiliser comme base de travail les normes ISO 27001 (Systèmes de management de la sécurité de l’information) et ISO 27005 (Gestion des risques liés à la sécurité de l’information).

Il existe de nombreuses autres sources également très intéressante pour l’élaboration de votre cadre de risque. Parmi celles-ci, vous  pouvez également  vous appuyer sur la publication COBIT for risk de l’ISACA.

Une chose est sûre : il est inutile de réinventer la roue!!!

5 – Identifier les risques, prioriser, définir l’approche et planifier

La discussion du conseil d’administration sur les cyber-risques devrait inclure l’identification des risques à éviter, à accepter, à atténuer ou à transférer par le biais de l’assurance, ainsi que des plans spécifiques associés à chaque approche.

Une gestion efficace du risque de cybersécurité nécessite une compréhension de l’importance relative des actifs de l’entreprise afin de déterminer la fréquence à laquelle ils devront être examinés pour détecter les expositions au risque. Ce n’est pas une tâche simple. Il faut beaucoup de réflexion et d’efforts, ainsi qu’une grande expertise en cybersécurité.

Exigences légales et réglementaires

Les industries les plus matures ont également des directives et des exigences réglementaires sectorielles en ce qui concerne les responsabilités en matière de cybersécurité du conseil d’administration. C’est par exemple  cas du secteur financier et bancaire. Certaines exigences réglementaires et légales sont aussi à l’étude au niveau des états. Parmi ces réglementations présentant des exigences en matière de sécurité des informations, on peut citer le RGPD.

Le RGPD (ou GDPR en Anglais) est la réglementation européenne sur la protection des données personnelles. Elle s’impose à toute Organisation publique ou privée traitant les données personnelles de citoyens européens. Le RGPD comporte plusieurs exigences précises en matière de cybersécurité des données personnelles. Le non respect de cette réglementation expose l’Organisation contrevenante, quelle que soit sa localisation dans le monde à une amende pouvant atteindre 4% de son chiffre d’affaire mondial avec un minimum de 20 millions d’Euros. La conformité réglementaire et légale est une responsabilité de la Gouvernance. Il s’agit donc d’une responsabilité du Conseil d’Administration. Déjà plusieurs Entreprises ont été sanctionnées en France par la CNIL pour non conformité au RGPD. Et, à chaque fois, il s’agissait de problématiques liées à la sécurisation de données dans leur système informatique.

Responsabilités du Conseil d’Administration

Le Conseil d’Administration assure la responsabilité de Gouvernance de l’Organisation. Gouverner une organisation consiste à s’assurer de la création de bénéfices pour les parties prenantes en optimisant les risques et les ressources. Ceci peut être représenté par le diagramme suivant extrait de COBIT.

Responsabilités de la Gouvernance et du Management - COBIT
Crédit © 2012 ISACA

Le Conseil d’Administration a pour responsabilité d’évaluer les bénéfices attendus, les risques et les ressources nécessaires (Evaluate). Il devra, suite  à cette évaluation, donner l’orientation à suivre (Direct). Il a également la responsabilité de surveiller la performance et les progrès réalisés (Monitor).

Evaluer les besoins, les risques et les ressources

Une évaluation de la posture de la cybersécurité est une première étape utile pour toute organisation qui souhaite identifier sa position actuelle en matière de cybersécurité, ses faiblesses, les risques encourus et ce qu’elle doit entreprendre pour augmenter son niveau de maturité. C’est là une étape importante pour permettre à toute organisation de renforcer ses défenses en matière de cybersécurité. Le Conseil d’Administration pourra dès lors prioriser les risques et fournir une feuille de route concrète à la Direction.

En quoi consiste votre posture de cybersécurité?

Selon le National Institute of Standards and Technology (SP 800-128 de NIST), une posture de cybersécurité se rapporte à «l’état de sécurité des réseaux, informations et systèmes d’une entreprise basé sur des ressources de sécurité de l’information (personnes, matériel, logiciels, stratégies). ) et des capacités en place pour gérer la défense de l’entreprise et réagir à mesure que la situation change ».

En d’autres termes, votre posture de cybersécurité indiquera à quel point votre entreprise est saine et cyber-résiliente. Elle indiquera à quel point l’organisation peut se défendre contre les cyberattaques, les violations et les intrusions. Définir votre posture de cybersécurité est donc important. En effet, cela guidera toute votre stratégie de cybersécurité, déterminera vos projets et influencera vos dépenses en la matière au fil des ans.

Signification des niveaux de maturité

  • Un niveau de maturité faible de la cybersécurité faible signifie généralement des défenses faibles. L’organisation  court donc un risque élevé. Elle nécessite par conséquent des améliorations significatives à plusieurs niveaux pour renforcer sa posture de cybersécurité et protéger ses actifs essentiels contre les violations et les intrusions.
  • Si le niveau de maturité est moyen c’est généralement indicatif de défenses de cybersécurité moyennes. L’organisation a alors pris plusieurs mesures pour sécuriser ses actifs critiques. Elle est cependant toujours en danger et il reste encore beaucoup à faire.
  • Un niveau de maturité élevé indique généralement de solides défenses. Cela signifie que l’organisation a mis en œuvre les stratégies, processus et procédures nécessaires pour optimiser sa posture de cybersécurité. Elle est conscients de ses actifs critiques et est préparée à faire face à des incidents de sécurité en toute confiance.

Donner l’orientation à la haute direction

Le Comité Stratégique IT

Le Conseil d’Administration définit l’orientation concernant l’utilisation de l’informatique par l’Organisation. Le Conseil d’Administration doit approuver le plan stratégique informatique, le programme de sécurité de l’information et les autres politiques liées aux TI. Pour ce faire, le Conseil d’Administration peut créer un  comité stratégique en charge des problématiques IT. Ce Comité Stratégique IT sera présidé par un membre du Conseil et aura notamment les responsabilités suivantes :

  • Examiner et approuver un plan stratégique informatique qui s’aligne sur la stratégie d’entreprise globale;
  • Promouvoir une gouvernance informatique efficace;
  • Superviser les processus d’approbation des fournisseurs tiers de l’organisation;
  • Superviser et recevoir des mises à jour sur les principaux projets informatiques, les budgets informatiques, les priorités informatiques et les performances informatiques globales;
  • Approuver les politiques à appliquer et signaler les incidents de sécurité importants au conseil d’administration;
  • Superviser l’adéquation et l’allocation des ressources informatiques pour le financement et le personnel;
  • Tenir la direction responsable de l’identification, de la mesure et de l’atténuation des risques informatiques;
  • Assurer une couverture d’audit indépendante, complète et efficace des contrôles informatiques.

Le recours à des sous-traitants pour la fournitures de certains services

Le Conseil d’Administration et la haute Direction devraient établir et approuver des politiques fondées sur les risques pour régir le processus d’impartition. Les politiques devraient reconnaître le risque pour l’Organisation d’externaliser les relations. Elles devraient également être adaptées à la taille et à la complexité de l’Organisation. Les facteurs que les Entreprises devraient envisager sont les suivants:

  • S’assurer que chaque relation d’impartition appuie les exigences globales et les plans stratégiques de l’organisation;
  • S’assurer que l’organisation dispose d’une expertise suffisante pour superviser et gérer la relation;
  • Evaluer les prestataires potentiels en fonction de la portée et de la criticité des services externalisés;
  • Adapter le programme de surveillance des prestataires de services à l’échelle de l’entreprise en fonction des évaluations des risques initiales et continues des services externalisés;

Surveiller la performance de l’organisation et les progrès

L’audit

  • Le Conseil dAdministration et la haute direction ont la responsabilité de veiller à ce que le système de contrôle interne de l’établissement fonctionne efficacement;
  • Le Conseil d’Administration devrait s’assurer que des directives écrites pour la conduite des audits informatiques ont été adoptées;
  • Le Comité d’Audit (sous la responsabilité du C.A.) est chargé d’examiner et d’approuver les stratégies d’audit (y compris les politiques et les programmes) et de surveiller l’efficacité de la fonction d’audit.

 

VeriSM: le nouvel ITIL de l’ère digitale?

En proposant une approche nouvelle de la gestion des services, le modèle VeriSM pourrait bien être l’évolution digitale du référentiel ITIL à l’ère du numérique.

VeriSM est-il le nouvel ITIL de l'ère digitale?
Crédit © VeriSM Global

ITIL, le référentiel phare d’AXELOS, commence à sérieusement prendre de l’âge et à perdre de son avance. VeriSM, plus adapté aux contraintes de l’entreprise du futur, pourrait bien être un challenger sérieux dans les prochains mois pour ITIL. AXELOS est bien conscient de la nécessité de faire évoluer son cadre de bonnes pratiques. La Société Britannique a d’ailleurs lancé récemment une initiative qui devrait aboutir Q1/2019 au lancement de ITIL 4. Il n’en reste pas moins que de sérieux concurrents commencent à voir le jour. VeriSM a été conçu dès l’origine pour répondre aux attentes des Entreprises de l’ère digitale. Ce nouveau cadre de bonnes pratiques semble être, assez logiquement, aujourd’hui, en bonne position pour prendre l’avantage.

VeriSM, qu’est-ce que c’est?

VeriSM (de l’anglais Value-driven Evolving Responsive Integrated Service Management) a été développé en 2017 par l’IFDC. Il s’agit d’une gestion des services intégrée, réactive, évolutive et centrée sur la création de valeur.

Cette approche vise à mettre en place des pratiques nouvelles de gestion des services, au niveau de l’ensemble de l’organisation. On ne se focalise plus sur le seul département informatique. Ces nouvelles pratiques sont plus flexibles. Elles sont également plus centrées sur la création de valeur et l’accélération du « Time-to-Market » de produits ou services nouveaux.

ITIL ne suffit pas?

En 2007, le référentiel ITIL a été revu en intégralité dans une version ITIL V3 plus cohérente et ambitieuse, autour de 5 ouvrages. Chacun de ces ouvrages recense les meilleures pratiques pour la gestion des services informatiques (IT Service Management ou ITSM) en suivant les 5 phases du cycle de vie des services. En 2011, le Cabinet Office, alors en charge du portefeuille des bonnes pratiques de l’état Britannique publie une refonte « cosmétique » d’ITIL dénommée ITIL 2011. Malheureusement, ITIL 2011 n’apporte pas de grand changement aux bonnes pratiques d’ITIL V3. ITIL reste ITIL. C’est d’ailleurs le sens de l’appellation ITIL 2011 qui n’est en aucun cas une nouvelle version du référentiel. Il est cependant évident que depuis la parution d’ITIL V3 en 2007 le contexte des Entreprise a largement évolué. La mondialisation des affaires nécessite toujours plus d’agilité des Entreprises pour qu’elles puissent survivre.

Pourquoi un échec relatif d’ITIL à créer de la valeur business?

Dans le même temps, les mises en oeuvre des bonnes pratiques basées sur ITIL ont largement échoué à produire les résultats attendus. La faute n’est pas à ITIL. La faute est à attribuer pour une large part à des consultants incompétents lorsqu’on parle de mise en oeuvre. Les implémentations réalisées ont essentiellement contribué à « rigidifier » les entreprises pour tirer un maximum de bénéfices au niveau de l’informatique. Hélas ces avantages ont été ciblés au détriment de l’agilité du business.

La faute est également à porter à l’étendue du cadre de bonnes pratiques d’AXELOS. Il ne se focalise malheureusement que sur les aspects informatiques. Une entreprise ne devrais utiliser l’informatique que comme un « outil » au service du business. Or les mises en oeuvre de processus basés sur ITIL sont réalisées pour la plupart pour les DSI. De plus, elles se déroulent bien souvent sans la participation du Business. Or c’est bien le business qui crée de la valeur et en aucun cas l’informatique. L’informatique est et doit rester un outil au service du business.

AXELOS s’en est d’ailleurs est bien rendu compte et a publié « ITIL Practitioner » accompagné d’une nouvelle certification. Cette publication, mal positionnée et surtout mal ciblée a été un échec. La plupart des consultants « experts » ont échoué à obtenir la certification ITIL Practitioner.

Qu’apporte VeriSM en plus d’ITIL?

L’évolution du modèle d’affaire des Entreprises entraîne un besoin d’évolution des pratiques. Et c’est cette évolution des pratiques qui explique le besoin des professionnels de l’informatique de disposer d’un nouveau référentiel intégrant les nouveaux enjeux de la DSI et des métiers (et plus seulement ceux de la production) : « time-to-market », « user experience / customer experience (UX/CX) », agile-DevOps, nouvelles pratiques du support, intégration du cloud sous toutes ses formes dans la fourniture des services, positionnement de la production en tant qu’agrégateur de services, etc. Autant d’enjeux déjà embarqués dans le modèle VeriSM. VeriSM pourrait donc bien être une alternative au référentiel ITIL 4 dont la sortie est prévue en 2019. Ce d’autant que le contenu t’ITIL 4 reste encore largement inconnu.

Comment est conçu VeriSM?

Le modèle VeriSM, récemment traduit en français, est décrit dans plusieurs ouvrages, dont un « pocket guide » disponible sur le site de Van Haren Publishing proposant une approche de la gestion des services d’un point de vue organisationnel.

La première publication, structurée en quatre parties, parait finalement assez générique :

  • La première partie, plutôt exploratoire du service management, interroge sur le bien-fondé d’une culture « service », sa structuration et ce qu’elle implique, notamment en matière de gestion des compétences.
  • La seconde partie, plus descriptive, est au cœur de l’ouvrage. A première vue, elle parait très conceptuelle et est pourtant enrichie d’exemples explicites.
  • La troisième partie propose un rappel des concepts, technologies et pratiques liés à l’agilité, à la culture DevOps, au Lean management, au cloud, au big data, à l’IoT, au shift left, à la CX et UX (Consumer et User eXperience), au continuous delivery, à la méthode Kanban, à la Théorie des contraintes ou encore à l’amélioration continue.
  • Enfin, la quatrième partie propose des annexes illustrant par exemple les notions d’asset management, de « security by design » ou encore la structure générique d’une « policy ».

Le modèle VeriSM repose également sur un découpage intéressant – façon SIAM (Service Integration And Management) – et décrivant les activités clés d’un intégrateur de services. VeriSM propose d’aider les métiers à se digitaliser en ne se contentant plus de fournir des services en mode infrastructure. Il faut désormais créer de la valeur, identifier et explorer des technologies de pointe. Cela nécessite des compétences nouvelles dans un écosystème qui se diversifie chaque jour un peu plus.

Le modèle VeriSM
Le modèle VeriSM © IFDC Global

Alors pourquoi adopter VeriSM?

Toute l’originalité de VeriSM réside dans le cœur même de son modèle, le « Management Maillé » sur lequel s’appuient quatre groupes d’activités autour du cycle de vie d’un service : définir, produire, fournir et supporter.

Ce modèle favorise une approche flexible permettant de s’adapter aux besoins d’un produit ou d’un service spécifique.

VeriSM - Le management maillé
Crédit © Van Haren Publishing

L’idée centrale du modèle est de construire un modèle d’opération couvrant ces 4 groupes d’activités en s’appuyant et en mixant intelligemment l’utilisation de pratiques et de facilitateurs issus des 4 pôles du « management maillé » :

  • L’environnements : les éléments « stabilisateurs » (processus, métriques, outillages), les concurrents, la culture, les contraintes légales, etc.
  • Les ressources : équipes, budgets, actifs, connaissance, temps, etc.
  • Les pratiques de management : ITIL / COBIT / CMMI / IT4IT, ISO/CEI 20000, ISO/CEI 27000, DevOps, agilité, lean management, PPM, SIAM, etc.
  • Les technologies émergentes : cloud, containers, IoT, big data, automation, dont certaines ne sont plus forcément émergentes mais désormais intégrées dans la fourniture de services.

Pour chaque produit, ces domaines sont pris en considération et interagissent.

Même si, aujourd’hui, la description du cœur même du référentiel n’est pas encore très détaillée et peut-être un peu trop « stratosphérique », la prochaine version dont la sortie est planifiée pour fin 2018 devrait tenir ses promesses et offrir de nouveaux horizons à la gestion des services. Tous les espoirs sont désormais  permis. Ce modèle est pensé et structuré pour répondre aux nouveaux enjeux de la transformation digitale des entreprises. Il pourrait donc devenir le nouveau référentiel de pratiques pour le management des services.

 

RGPD: Optical Center va payer 250.000 € d’amende! Et vous?

La formation restreinte de la CNIL a prononcé le 7 mai dernier une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER. Celle-ci est accusée avoir insuffisamment sécurisé les données de ses clients effectuant une opération en ligne sur son site internet. Heureusement, à cette date, le RGPD n’était pas encore entré en vigueur. Ceci explique le montant relativement faible de l’amende infligée. Après le 25 mai, la même infraction aurait pu être sanctionnée d’une amende allant jusqu’à 20 millions d’Euros.

Et vous? Où en êtes-vous de votre mise en conformité un mois après l’entrée en vigueur des sanctions? 

RGPD la CNIL sanctionne Optical Center
Crédits © Jürgen Fälchle

C’est la première fois que la CNIL inflige une amende conséquente pour un défaut de sécurité sur un site web. Alors des questions se posent. Pourquoi et comment les données personnelles des clients d’une entreprise peuvent-elles se retrouver accessibles par un simple clic dans un navigateur… par la planète entière ?

La décision de la CNIL (Commission nationale informatique et libertés) a été prise deux semaines seulement avant l’entrée en vigueur du Règlement Général de Protection des Données Personnelles (RGPD). Après le 25 mai, Optical Center aurait pu payer jusqu’à 20 millions d’euros — ou 4% du chiffre d’affaire du groupe — au lieu des 250.000 € exigés. Ce qui est reproché à la société est très grave et nous allons essayer de l’analyser. Pourtant, l’Entreprise a été très réactive. Le défaut de sécurité sur son site web a été corrigé le lendemain de sa découverte. Cependant la CNIL a estimé qu’elle ne pouvait pas laisser une telle infraction à la loi sans sanctions. Il faut souligner que Optical Center avait déjà été condamnée à 25.000 € pour le même type de manquement en 2015.

Il s’agit d’un défaut de sécurité et non d’une faille exploitée

C’est quoi la différence?

Suite à un signalement, la CNIL a effectué un contrôle en ligne. Le site web d’Optical Center permettait l’accès direct par navigateur — sans vérification d’authentification — à 334.000 factures de ses clients. Autrement dit, n’importe qui pouvait télécharger les documents en question. Il suffisait de taper l’adresse web y donnant l’accès. Ces factures contenaient les noms et les prénoms des clients ainsi que leur adresse postale, leurs coordonnées téléphoniques et pour certains, leur numéro de sécurité sociale et des informations médicales (correction ophtalmique). Selon la CNIL, qui a été informée d’une « fuite de données conséquente » en juillet 2017 du site  www.optical-center.fr, « le site n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société ».

Le site web d’Optical Center n’a donc pas été piraté. La fuite de données provenait simplement d’un défaut d’administration du site. C’est très différent d’un piratage exploitant une « faille » du serveur. Dans le cas d’un piratage, des compétences techniques pointues auraient été nécessaires pour contourner la sécurité établie. Il aurait fallu pénétrer par un moyen technique dans le système distant afin d’y copier des fichiers. Dans l’affaire Optical Center, il n’y avait aucun besoin de prouesses techniques pour copier les 334.000 documents. L’accès aux factures des autres clients était direct, comme pour accéder à ses propres factures.

La sanction tient compte des précédents

Cette fois, la CNIL indique que Optical Center a immédiatement averti son prestataire. « Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte [de la CNIL, en charge de l’instruction des sanctions] a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société » précise l’autorité administrative indépendante.

Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334.000), la formation restreinte a décidé de rendre publique sa décision. Donc, ce sont la récidive et la quantité de données accessibles qui expliquent la lourdeur de la sanction.

Les sites internet doivent être mieux sécurisés

Le coup de poing sur la table de la CNIL

L’amende de 250.000 € à l’encontre d’Optical Center est un coup de semonce. Cela devrait faire réfléchir les entreprises sur leurs obligation de sécurisation de leurs sites web. Cette affaire n’est pas sans rappeler celle de la fuite de données sur le site web de Darty. Celle-ci avait conduit la CNIL à infliger à la célèbre marque d’électroménager une amende de 100.000 € pour des raisons similaires.

La mise en place de contrôles d’accès sécurisés, leur vérification par des administrateurs, sont le b.a.ba de la sécurité informatique — dont celle des sites internet. Il est surprenant que des entreprises recueillant des informations sur leurs clients ne soient pas en mesure de faire le minimum à ce niveau là. Ce constat est inquiétant, surtout pour des entreprises aux chiffres d’affaire importants et dont les moyens sont parfaitement suffisants pour s’assurer une « qualité normale » de sécurité de leurs sites internet.

Des entreprises focalisées uniquement sur les coûts

D’ailleurs, c’est bien là que réside la raison de ces défauts de sécurité. Payer des gens compétents est un élément vital en sécurité informatique. Or la culture des entreprises françaises, de ce point de vue là, ne semble pas être encore à la hauteur des enjeux. Les Entreprises Françaises sont malheureusement toujours focalisée sur les coûts au détriment des risques. Souvent, les salaires des techniciens sont faibles, leur nombre est insuffisant. Dans de nombreux cas les Responsables de la Sécurité des Systèmes d’Information (RSSI) sont inexistants. Enfin, plus souvent encore, l’Entreprise n’a pas nommé de CISO (Chief Information Security Officer) à son comité de direction.

De fait, les « économies » des entreprises (et des structures publiques) sont souvent réalisées sur le dos de la sécurité des SI. Par conséquent la France apparait, en matière de protection des données personnelles, comme un très mauvais élève. Un chiffre est éloquent concernant la sécurité des SI. Selon les dernières statistiques de l’ISO, la France compte 209 entreprises certifiées ISO 27001. Ce chiffre est à mettre en relation avec les statistiques de nos voisins. On recense 1338 entreprises certifiées ISO 27001 en Allemagne, 3367 au Royaume Uni, 1220 en Italie et 752 en Espagne. Il y a donc un gros travail à faire pour les Entreprises Françaises pour revenir dans la moyenne européenne.

Enfin, le dernier problème concerne les lanceurs d’alerte en sécurité informatique. Ils sont la plupart du temps attaqués en justice en France, plutôt qu’écoutés. Pas certain que dans ces conditions la sécurité des sites web n’y gagne beaucoup…

Et vous? Avez-vous pris toutes les mesures nécessaires?

Si vous en doutez, n’hésitez pas à poster vos commentaires et vos questions. Nos consultants experts se feront un plaisir de vous répondre.

RGPD/GDPR : appuyez-vous sur COBIT

Dans notre précédent article intitulé RGPD/GDPR ; Les changements au 25 Mai 2018, nous vous avons proposé 10 axes clés pour devenir conforme au RGPD. La mise en conformité est, par définition, un projet transversal relevant de la gouvernance de l’Entreprise. Or, dès lors qu’on parle de Gouvernance, le référentiel susceptible de nous aider est COBIT 5. Dans quelle mesure, COBIT 5 peut-il nous aider à mettre en oeuvre le RGPD (GDPR) via ses 7 facilitateurs, en s’appuyant sur les 5 principes de la Gouvernance?

RGPD : comment COBIT peut vous aider
Crédits : Tatyana – Fotolia.com

Le RGPD (GDPR en Anglais) contient 99 articles définissant les exigences et les droits accordés aux citoyens de l’UE. Le RGPD (/GDPR) décrit également la structure de conformité et pénalités pour non-conformité. Chaque organisation a besoin de bien comprendre le RGPD (/GDPR) et de déterminer ses prochaines actions. Nous allons, pour les principaux sujets de préoccupation, décrire comment l’approche COBIT peut vous aider à y répondre.

Quel rapport en tre RGPD (GDPR) et COBIT?

Le RGPD (GDPR en Anglais) est une Règlementation Européenne destinée à la protection des renseignements et des données personnelles des citoyens de l’Union. Il s’agit donc d’une loi, applicable à toute entreprise ou organisme, public ou privé, dans l’Espace Economique Européen. Cette loi est entrée en vigueur le 4 Mai 2016 (date de publication au journal officiel de l’Union Européenne) . La Commission Européenne a accordé  deux ans de grâce aux Etats et aux organisations pour se mettre en conformité. Ce délai de grâce expire le 25 Mai 2018. Par conséquent, les sanctions prévues par loi vont s’appliquer à compter cette date. De plus, il faut reconnaître que les sanctions prévues sont dissuasives (jusqu’à 4% du chiffre d’affaires mondial annuel pour les grandes entreprises et 20 Millions d’Euros pour les TPE et PME).

Malheureusement, comme d’habitude, les organisations des pays francophones ont attendu le dernier moment pour se préoccuper de leur mise en conformité. Aussi, à un mois de l’échéance, beaucoup d’entre elles commencent seulement à se poser la question. De plus, elles pensent, de façon totalement erronée, qu’il s’agit simplement d’un projet informatique de plus.

La conformité légale et réglementaire est, par essence, un sujet de Gouvernance des Entreprises. Dans le cas précis du RGPD, il s’agit de Gouvernance du Système d’Informations. Or le référentiel de Gouvernance du Système d’Informations, reconnu dans le monde entier, n’est autre que COBIT 5. Il apparaît donc clairement que COBIT 5 peut nous aider efficacement à mettre en oeuvre des exigences du RGPD (GDPR).

Quelques exigences clés du RGPD (GDPR)

Identification des données présentant un risque élevé et analyses d’impact

Les entreprises ont désormais l’obligation effectuer des analyses d’impact sur la protection des données (DPIA) lors de l’utilisation de nouvelles technologies ou lors du lancement de nouveaux projets, pour toute donnée présentant un risque élevé pour les droits et libertés des citoyens de l’UE. Ces analyses d’impact doivent également décrire comment l’entreprise entend aborder le risque grâce à un traitement systématique et étendu ou via des activités de surveillance. Donc, cela s’apparente à une évaluation traditionnelle des risques qui analyse les risques et les mesures en place pour y remédier. Ainsi, il est simple, en nous appuyant sur la cascade d’objectifs, d’identifier les processus primaires de COBIT à considérer:

  • EDM02 Ensure Benefits Delivery ;
  • EDM04 Ensure Risk Optimization ;
  • APO11 Manage Quality ;
  • APO12 Manage Risk ;
  • APO13 Manage Security ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Protection, traitement et stockage des données personnelles

Les données personnelles de chaque personne concernée doivent être traitées de manière transparente, et uniquement pour les finalités spécifiées. L’Entreprise doit garantir un niveau « raisonnable » de protection des données et des renseignements personnels. Les données doivent être traitées en toute sécurité pour se protéger contre tout accès non autorisé, perte ou dommage. Des mesures techniques et organisationnelles appropriées doivent être mises en oeuvre. Le RGPD (GDPR) ne définit pas ce que cela signifie de façon précise. Il est cependant clair que si les données sont perdues ou volées, l’entreprise est manifestement en violation de la conformité. Les principaux processus COBIT à considérer sont donc les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO02 Manage Strategy ;
  • APO03 Manage Enterprise Architecture ;
  • APO10 Manage Suppliers ;
  • BAI01 Manage Programs and Projects ;
  • BAI02 Manage Requirements Definition ;
  • BAI03 Manage Solutions Identification and Build ;
  • BAI04 Manage Availability and Capacity ;
  • BAI06 Manage Changes ;
  • BAI07 Manage Change Acceptance and Transitioning ;
  • BAI08 Manage Knowledge ;
  • BAI09 Manage Assets ;
  • BAI10 Manage Configuration.

Consentement, portabilité, droit d’accès et droit à l’oubli

Les individus doivent donner leur consentement explicite concernant le traitement de leurs données personnelles. Rappelons que le RGPD (GDPR) considère comme traitements la collecte initialel’enregistrementl’organisationla structurationla conservationl’adaptation ou la modificationl’extractionla consultationl’utilisationla communication par transmissionla diffusion ou toute autre forme de mise à dispositionle rapprochement ou l’interconnexionla limitationl’effacement jusqu’à la destruction.

Ces personnes (« les personnes concernées ») ont le droit de savoir, sur demande, quelles données personnelles une entreprise utilise et comment ces données sont utilisées. Un citoyen de l’UE peut également obtenir, sur demande, le transfert de ses données personnelles d’une entreprise à une autre dans un format lisible par machine. De plus, les entreprises ont l’obligation  d’arrêter de traiter et / ou de supprimer des données personnelles sur un citoyen de l’UE sur sa demande. Cette exigence va plus loin: il s’agit de permettre aux citoyens de l’UE le droit d’être oublié en ayant des données personnelles supprimées sur demande. Les principaux processus COBIT à considérer sont les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO08 Manage Relationships ;
  • APO09 Manage Service Agreements ;
  • APO10 Manage Suppliers ;
  • BAI08 Manage Knowledge.

Nomination d’un délégué à la protection des données

Certaines organisations ont obligation de désigner un délégué à la protection des données (DPO). Le rôle du DPO est de superviser la stratégie de sécurité des données de l’entreprise et sa conformité au RGPD (GDPR). Alors, quelles sont les  organisations qui ont l’obligation d’avoir un DPO? L’exigence s’applique à toute organisation qui traite ou stocke de grandes quantités de données sur les citoyens de l’UE. Elle s’applique également aux organisations qui traitent ou stockent des données personnelles, surveillent régulièrement les individus. Enfin elle s’applique à toutes les autorités publiques. Pour répondre à cette exigence, les principaux processus COBIT à considérer sont :

  • EDM01 Ensure Governance Framework Setting and Maintenance ;
  • APO07 Manage Human Resources ;
  • BAI05 Manage Organizational Change Enablement.

Notification des violations de données à caractère personnel

Les entreprises (et plus particulièrement les responsables du traitement) doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une violation de données à caractère personnel. Les sous-traitants sont généralement ceux qui découvrent en premier  une telle violation de données. Par conséquent, la loi les rend responsables d’informer sans délai le responsable du traitement. Beaucoup d’organisations ont déjà mis en place de telles procédures. Cependant,  peu d’entre elles effectuent régulièrement des tests pour s’assurer que les exigences sont bien respectées. Concernant cet axe de travail, les principaux processus COBIT à considérer sont :

  • DSS01 Manage Operations ;
  • DSS02 Manage Service Requests and Incidents ;
  • DSS03 Manage Problems ;
  • DSS04 Manage Continuity ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Assurer la conformité réglementaire

Pour assurer la conformité à la législation, les organisations ont l’obligation de s’évaluer, de surveiller et d’évaluer en permanence leurs contrôles et d’étudier les améliorations continues à mettre en oeuvre en termes de technologies et d’idées. Les organisations doivent également fournir l’assurance qu’elles suivent les obligations énoncées. Pour cette exigence du RGPD (GDPR) les principaux processus COBIT à améliorer sont les suivants :

  • APO04 Manage Innovation ;
  • APO05 Manage Portfolio ;
  • APO06 Manage Budget and Costs ;
  • MEA01 Monitor, Evaluate and Assess Performance and Conformance ;
  • MEA02 Monitor, Evaluate and Assess the System of Internal Control ;
  • MEA03 Monitor, Evaluate and Assess Compliance With External Requirements.

Quelques conseils et astuces pour réussir la mise en œuvre du RGPD

Pour faciliter le travail de mise en conformité, nous vous livrons ici une série de conseils et d’astuces basés sur COBIT 5. De plus, ces conseils et astuces proviennent des observations et recommandations issues de l’expérience d’organisations qui ont déjà entamé, et pour certaines terminé avec succès, leur marche vers la conformité au RGPD (GDPR). Ce qui suit est  donc, de fait, une liste des facteurs clés de succès à prendre en compte dans votre programme de mise en conformité.

1. Créez un sentiment d’urgence et de criticité au niveau du top management

Très logiquement, c’est la toute la première des choses à faire. Obtenir le soutien de niveau exécutif est clé. C’est ce soutien qui déclenchera les attitudes et provoquera les attentes nécessaires permettant d’adopter avec succès les bonnes pratiques de gouvernance. En effet ce sont ces pratiques qui permettront d’appliquer et de se conformer les exigences du RGPD. Pour obtenir ce soutien précieux, vous devez absolument convaincre le Comité de Direction de l’urgence et de la criticité de ce programme.

Astuce : Lisez COBIT 5 Implementation Guide pour plus de conseils et techniques permettant d’obtenir un soutien de niveau exécutif et faire reconnaître le besoin d’agir.

2. Considérez le RGPD comme une opportunité de créer davantage de valeur

Le RGPD n’est pas seulement un contrainte. C’est aussi l’opportunité d’améliorer les pratiques et créer davantage de valeur pour les parties prenantes de l’organisation. Bien que mettre en oeuvre et maintenir la conformité puisse sembler pesant, c’est clairement la bonne approche. Rappelez-vous que la raison d’être de l’entreprise est de créer de la valeur pour les parties prenantes. Et le RGPD  bien appliqué est un important contributeur à la création de valeur ajoutée.

Astuce : La cascade d’objectifs de COBIT 5 identifie les besoins des parties prenantes et les transforme en objectifs d’affaires. Ensuite ceux-ci sont déclinés en objectifs informatiques permettant de soutenir les objectifs métiers. Enfin, les objectifs informatiques permettent d’identifier les processus les plus appropriés sur lesquels se concentrer pour améliorer valeur pour les parties prenantes.

3. Inventoriez les pratiques et les référentiels utilisés actuellement

Identifiez les pratiques et les référentiels utilisés actuellement dans le cadre de la gouvernance et de management de l’entreprise, y compris le plan de protection des données existant. La plupart des entreprises ont déjà mis en place un tel  plan (souvent basé sur ITIL, COBIT ou ISO 27001 par exemple). Cependant elles devront le revoir et le mettre à jour pour s’assurer qu’il s’aligne bien avec les exigences du RGPD.

Astuce : Le RGPD est une préoccupation réglementaire qui peut être satisfaite en s’appuyant sur les meilleures pratiques existantes du marché telles que COBIT, ITIL, TOGAF (le référentiel d’architecture d’entreprise de l’Open Group), le cadre de l’Institut National Américain des normes et de la technologie (NIST), les normes ISO (ISO 27001, ISO 29100 par exemple) et bien d’autres. N’hésitez pas à vous appuyer sur ce qui existe déjà au sein de l’Organisation.

4. Considérez COBIT 5 un intégrateur des autres référentiels de bonnes pratiques

Ne vous arrêtez pas à un seul référentiel. Il s’agit là d’une extension de l’astuce précédente. Bien que COBIT soit le seul cadre d’affaires pour la GEIT (Gouvernance de l’Information d’Entreprise et des Technologies associées), COBIT n’est pas le seul référentiel susceptible de vous aider. Cependant, il est bien adapté pour servir de cadre pour aider à déterminer les composants nécessaires d’autres référentiel et fournir un vrai modèle GEIT.

Astuce : Le site web COBIT Online contient des informations supplémentaires à propos de cette approche https://cobitonline.isaca.org/about.

5. Nommez un DPO dès maintenant

Nommez dès maintenant un DPO et d’éventuels autres rôles pertinents. Même dans entreprises qui ne sont pas concernées par le RGPD, certains rôles sont indispensables. Ils doivent être identifiés et assignés. Ces rôles peuvent être remplis sous des noms différents. L’essentiel est que les responsabilités correspondantes soient bien attribuées sans qu’il n’y ait de conflit d’intérêt.

Astuce : La publication COBIT 5: Enabling Processes identifie les diagrammes RACI pour chacun des 37 processus de COBIT 5. Vous pouvez vous en inspirer pour identifier les rôles et responsabilités nécessaires au bon fonctionnement de votre organisation.

6. Menez une évaluation des risques

Une évaluation des risques d’entreprise permet d’aider à la prise de décision. Il est important de savoir quelles données personnelles l’entreprise stocke et traite sur les citoyens de l’UE, ainsi que le risque associé. Les évaluations des risques permettent d’identifier les risques, de déterminer des mesures pour réduire les risques et développer des plans d’actions pour gérer les risques. Avant chaque traitement important et au début de chaque nouveau projet, le RGPD impose qu’une analyse d’impact sur les données personnelles soit menée et que des actions soient prises en fonction des risques identifiés.

Astuce : COBIT 5 for Risk et ISO 31000 constituent d’excellents cadres de référence pour déterminer le processus approprié d’évaluation des risques et le relier aux exigences du RGPD.

7. Lancez un vaste programme de sensibilisation et de formation

Tout le personnel de l’organisation doit être familier avec les exigences du RGPD ainsi qu’avec leurs applications à chaque rôle spécifique de l’Entreprise. La formation est probablement l’une des actions les plus importantes qu’une entreprise peut lancer pour augmenter la probabilité de réussite d’un programme tel que la mise en conformité à la réglementation.

Astuce : Dans les entreprises qui s’appuient sur COBIT pour leur gouvernance et le suivi de leur conformité, le cours COBIT 5 Foundation constitue une excellente première étape. Dans tous les cas, une sensibilisation au RGPD  d’une journée est un bon point de départ pour l’ensemble des employés traitant des données personnelles.

8. Préparez et répétez les plans de réponse aux incidents

Planifiez les plans de réponse aux incidents. Et surtout n’oubliez pas de les tester, de les répéter et de les revoir régulièrement. La plupart des organisations ont déjà mis en place une forme de processus de gestion incidents. Cependant, le RGPD impose certaines exigences qui n’ont pas toujours été prises en compte dans le plan déjà en place. Notamment, les entreprises doivent signaler toute violation de données personnelles à l’Autorité de Contrôle dans les 72 heures suivant sa découverte. La façon dont les équipes d’intervention réagiront influera directement sur les risque d’amendes pour l’entreprise en cas de non respect des exigences.

Astuce : Améliorez les procédures existantes de gestion des incidents en vous appuyant, le cas échéant, sur les processus COBIT, ITIL ou ISO 27001 applicables et adaptez les pour créer un modèle spécifique intégrant les exigences du RGPD.

9. Focalisez-vous sur l’information

Quand on parle de protection des données personnelles, on fait référence à un type particulier d’information.. Rappelez-vous que l’information est un actif, une ressource qui, si elle n’est pas protégée peut devenir un passif. Comprendre les attributs, l’emplacement et le cycle de vie des données permet d’améliorer la capacité de l’entreprise à fournir les protections requises par le RGPD.

Astuce : COBIT 5: Enabling Information peut aider à la compréhension du cycle de vie et des attributs de l’information.

10. Effectuez des évaluations et des audits continus

Le maintien de la conformité nécessite un suivi et une amélioration continue. Il est important pour l’entreprise de ne pas laisser ses efforts s’estomper en passant à la prochaine initiative. Dans ce cas,  des surprises désagréables peuvent survenir. Poursuivez l’élan sans relâcher les efforts.

Astuce : Utilisez le modèle de mise en œuvre de COBIT (COBIT Implementation) ou l’approche d’amélioration continue des services d’ITIL (CSI) et veillez à ce les fonctions d’audit et d’audit interne soient pleinement impliquées dans la démarche.

Les apports de COBIT dans votre mise en conformité avec le RGPD

Les organisations qui se concentrent uniquement sur la conformité sont généralement celles qui n’ont pas mis en oeuvre de cadre de gouvernance. La conformité au RGPD n’est qu’une conformité supplémentaire à respecter. C’est une composante d’une initiative plus vaste basée sur un ratio risque / bénéfice. L’objectif doit être d’équilibrer cette conformité avec les performances de l’entreprise. Le référentiel COBIT 5 est complet dans la couverture de la gouvernance d’entreprise. Cependant il ne répond pas à tous les besoins de conformité d’une entreprise. Toutefois, il peut certainement fournir le cadre de gouvernance et de gestion permettant de déterminer l’approche la plus appropriée visant à créer de la valeur et de la confiance pour les parties prenantes. Dans ce cas, il permet de donner l’assurance que les données personnelles bénéficieront de bien de la confidentialité, de l’intégrité et de la disponibilité sur la base du RGPD (GDPR).

Une remarque? Un commentaire? Une question? N’hésitez pas à lancer la discussion. Nos experts sont à votre disposition pour vous répondre. Alors merci de nous laisser un commentaire sur ce blog.

Sécurité sur internet : 10 pratiques essentielles

Dans le cadre du mois de la cybersécurité 2017, AB Consulting CI et 2AB & Associates, sponsors officiels depuis plusieurs années, s’associent de nouveau à la campagne de sensibilisation des citoyens sur les bonnes pratiques en matière de sécurité sur internet.

10 pratiques essentielles pour rester en sécurité sur internet

10 pratiques essentielles pour rester en sécurité sur internet

A l’occasion du mois de la cybersécurité 2017, nous publions un livre blanc intitulé 10 pratiques essentielles pour rester en sécurité sur internet. Ce livre blanc sera remis à tous les participants lors de notre wébinaire gratuit du 4 octobre prochain.

Aujourd’hui notre vie est étroitement liée à l’utilisation d’internet. Cela vaut aussi bien pour notre vie professionnelle que pour notre vie privée. L’objectif est de sensibiliser l’ensemble des citoyens sur la nécessité de prendre quelques précautions élémentaires pour se protéger des risques inhérents à l’utilisation de ce mode de communication.

Nous vous proposons donc de nous rejoindre sur notre wébinaire du 25 octobre 2017 pour creuser ensemble ce sujet délicat. Attention, le nombre de places est limité. Inscrivez-vous ici dès maintenant… C’est entièrement gratuit!

Nous faisons tout pour sauvegarder nos biens personnels – en verrouillant nos portes, en surveillant nos sacs et nos portefeuilles. Hélas, souvent, nous ne prenons pas le même soin avec les informations personnelles que nous stockons en ligne, sur les réseaux sociaux et dans nos appareils, qu’il s’agisse d’ordinateurs ou de téléphones. La plupart du temps, c’est simplement parce que nous ne comprenons pas bien les risques et que nous ne savons pas par où commencer.

Alors, avant de participer à notre wébinaire et de lire notre livre blanc, voici quelques règles élémentaires. Il s’agit simplement de 3 conseils de bon sens à respecter scrupuleusement :

Naviguez toujours prudemment sur Internet

Bien sûr, commencez par utiliser un navigateur et une machine à jour des correctifs de sécurité, Mais il convient encore de prendre quelques précautions élémentaires lorsque vous naviguez sur des sites internet.

Sites marchands et sites bancaires

IMPORTANT : Ne donnez jamais d’informations personnelles et confidentielles (vos coordonnées personnelles, vos coordonnées bancaires, etc) sur un site marchand ou un site bancaire, sans avoir vérifié au préalable que le site est sécurisé.

Le site doit utiliser un certificat électronique qui garantit qu’il est authentique. C’est grâce à ce certificat que la confidentialité des informations échangées est bien garantie. Bien sûr, là il s’agit de considérations quelque peu techniques et vous n’êtes pas forcément un(e) technicien(ne). Il existe une façon simple de vous assurer que le site est bien sécurisé. Il y a deux informations affichées par le navigateur qui doivent être vérifiées :

  • l’adresse URL du site web doit commencer par « https:// ». Par ailleurs, le nom du site doit correspondre à ce que vous vous attendez à trouver.
  • un petit cadenas fermé doit figurer à droite de l’adresse du site. Il peut aussi se trouver en bas à droite de la barre d’état selon la version et le type de votre navigateur. Ce cadenas symbolise une connexion sécurisée. En cliquant dessus, on peut afficher le certificat électronique du site, et visualiser le nom de l’organisme.

Attention cependant, il est toujours possible à un agresseur d’intervenir en amont (sur votre machine) ou en aval (sur le site consulté). Il peut aussi essayer de vous aiguiller sur un site frauduleux, au nom très voisin. L’objectif est le plus souvent d’obtenir des informations sensibles. La prudence doit donc être de rigueur.

Pour plus de précisions sur les procédés utilisés par les pirates, nous vous conseillons la lecture de deux articles publiés sur notre blog : Phishing – Mode d’emploi et 10 trucs pour reconnaître un mail d’hameçonnage.

Les forums et les blogs

IMPORTANT : En aucun cas vous ne devez donner d’informations personnelles sur des forums (adresse physique, de messagerie, numéro de téléphone…).

Il est désormais fréquent de communiquer sur des sites communautaires de types forums de discussion ou autres blogs. Il est important de bien garder en mémoire, lorsque l’on veut déposer un message sur ce type de site, que le contenu de vos écrits  pourra être analysé par des robots. Qu’appelle-t-on des robots? Ce sont des programmes capables de récupérer les informations personnelles contenues dans le texte. Il peut s’agir de vos adresses de messageries ou de vos identifiants de messageries instantanées. Ces informations pourront ensuite être utilisées afin de propager du pourriel (spam). Aujourd’hui, il n’est pas rare après avoir déposé son adresse personnelle de messagerie électronique sur un forum de se voir inondé de spams les heures ou jours suivants. Attention, ces informations communiquées sur ces sites resteront publiques et non maîtrisables durant une très longue période.

Le paiement en ligne

IMPORTANT : Soyez prudent sur la nature des données bancaires demandées lors d’un paiement en ligne. Un site ne doit jamais vous demander de saisir votre code secret associé à votre carte bancaire. 

Lorsque que vous décidez de faire des achats sur internet,-vous devez vous assurer du sérieux du site marchand. Il doit offrir toutes les garanties de sécurité lorsque vous payez : chiffrement, possibilité de rétractation….Si vous avez le moindre doute, ne finalisez pas la transaction et signalez le site aux points de contact mentionnés sur contrat de votre carte bancaire.

Pour en savoir plus…

Pour en savoir plus, n’hésitez pas à nous adresser vos commentaires et à partager vos expériences relatives à la sécurité sur internet. Et surtout inscrivez-vous vite à notre wébinaire gratuit du 25 Octobre et recevez le livre blanc 10 pratiques essentielles pour rester en sécurité sur internet.

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 25 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

Catégories

Archives

Calendrier

décembre 2018
L M M J V S D
« Nov    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
%d blogueurs aiment cette page :