Les Plans de Continuité, les difficultés organisationnelles et méthodologiques à surmonter

Article de Denis Virole – 2 mai 2016

La conception d’un Plan de Continuité d’Activité (noté PCA) n’est pas sans difficultés. Ici, nous nous intéresserons à synthétiser la démarche de conception d’un plan de continuité d’activité, à identifier les écueils à éviter pour chaque étape et à souligner les facteurs clés de succès.

Les enjeux de la continuité d’activité pour les entreprises

Aujourd’hui plus que jamais, les entreprises sont exposées à des risques majeurs d’origines diverses (climatiques, pandémies, accidents, malveillances, conflits sociaux, défaillances techniques, erreurs, terrorisme, …). Ces risques peuvent entrainer de véritables sinistres pouvant avoir des conséquences gravissimes, voire définitives sur leurs activités et leurs missions.

Elles sont donc amenées à gérer des situations imprévues pouvant entraîner des chocs extrêmes ayant pour conséquence une incapacité à redémarrer les activités et de fournir les services attendus par les clients ou usagers. L’impact est alors extrêmement grave, perte financière lourde, perte de confiance des clients, des partenaires, sanction civile ou pénale, …). Selon le Disaster Recovery Institute International, au Canada, 43% des entreprises ferment après un sinistre et 29% de celles qui survivent périclitent dans les deux ans qui suivent.

Afin de faire face à ces statistiques préoccupantes, la réglementation et la normalisation se sont fortement précisées.  Les exemples ci-dessous n’ont pas pour objectif de formaliser une liste exhaustive, mais bien d’illustrer l’avancement des exigences juridiques et l’évolution des outils normatifs.

Lire la suite de l’article : Article PCA

Comment appliquer le principe du Privacy By Design – Livre Blanc

Article de Thierry Ramard – 1 avril 2016

TOUT D’ABORD, UN CONSTAT
Force est de constater que la prise en compte de la protection des données à caractère personnel (DCP) dès les phases amont d’un nouveau projet informatique n’est pas encore entrée dans les moeurs, ni des éditeurs de solutions, ni des donneurs d’ordre ou acheteurs.
Les contrôles de conformité de nature juridique réalisés par le CIL ou les audits de sécurité réalisés par le RSSI montrent que des efforts sont encore à consentir dans ce domaine.

Voici quelques exemples de sujets faiblement pris en compte voire totalement oubliés dans les démarches projets :
· L’application informatique déployée récemment ne prévoit pas de purge automatique des données des DCP dont le traitement n’est plus nécessaire.
· Les DCP restent stockées dans la base de données active pour une durée illimitée alors qu’elles devraient basculer dans une base de données intermédiaire, voire dans une base d’archivage en fonction de la finalité du traitement et du cadre légal applicable aux DCP concernées.
· L’application informatique ne prévoit pas de chiffrement des DCP permettant de limiter leur lisibilité aux seuls professionnels habilités à y accéder.
· Les DCP échangées en pièce jointe de courriel ne sont pas chiffrées ou protégées contre une lecture illicite notamment lors de l’usage de la messagerie sur internet.
· Les traces embarquées dans les applications informatiques sont difficilement exploitables (si elles existent) pour identifier l’origine d’une violation1 sur les DCP.
· Les supports amovibles (exemple : clé USB) utilisés par les utilisateurs contiennent des DCP et ne sont pas protégés en cas de perte ou de vol.

Télécharge le livre blanc : Livre blanc Privacy By Design

Evaluation d’impact sur la vie privée (EIVP – PIA) – Livre Blanc – basé sur la démarche EIVP de la CNIL

Article de Thierry Ramard – 21 mars 2016

Pourquoi mener une évaluation d’impact sur la vie privée – EIVP ?

Les données à caractère personnel (DCP) peuvent avoir une valeur pour l’organisme qui les traite, mais leur traitement engendre également de facto une importante responsabilité du fait des risques qu’il fait encourir sur la vie privée des personnes concernées.

L’évaluation d’impact sur la vie privée permet d’étudier méthodiquement les traitements de DCP ou les produits, de hiérarchiser les risques et de les traiter de manière proportionnée pour optimiser les coûts et prendre des décisions sur la base d’éléments rendus les plus objectifs possibles.

Elle contribue à démontrer la mise en oeuvre des principes de protection de la vie privée afin que les personnes concernées gardent la maîtrise de leurs DCP.

Télécharge le livre blanc : Evaluation d’impact sur la vie privée (EIVP – PIA)

Après Google, la CNIL déclare la guerre à Facebook

Article de Justine Bertaud du Chazaud – 12 février 2016

Le 26 janvier 2016, la CNIL a publiquement mis en demeure les sociétés Facebook INC et Facebook Irlande de se conformer à la Loi Informatique et Libertés de 1978.

Dans sa décision, la CNIL identifie successivement neuf manquements à la Loi Informatique et Libertés de 78, à savoir : l’obligation de disposer d’une base légale pour les traitements mis en œuvre, de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, de recueillir le consentement des personnes concernées pour le traitement de données sensibles relatives aux opinions politiques ou religieuses et à la vie sexuelle, d’informer les personnes, de procéder à une collecte et à un traitement loyal des données, d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci, de définir et de respecter une durée de conservation proportionnée à la finalité du traitement, d’assurer la sécurité des données, d’accomplir les formalités préalables à la mise en œuvre des traitements de lutte contre la fraude et d’exclusion.

Téléchargez l’article : Article Mise en demeure Facebook 2016 02 12

Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation de la sécurité des traitements de données à caractère personnel »

Quelles sont les organismes concernés ? Cette démarche est-elle obligatoire ou simplement conseillée ? Sur quel périmètre de données ? Comment apprécier les risques ? Quels sont les acteurs impliqués dans la démarche et quels rôles pour le Cil et le Rssi ? Comment mettre en œuvre une démarche d’homologation conforme aux recommandations de la Cnil et de l’Anssi ? Cet atelier vise à échanger sur les éléments juridiques, fonctionnels et techniques permettant d’intégrer les exigences du RGS et de la PSSI-E dans les processus opérationnels

Téléchargez la présentation de cet atelier : HOMOLOGATION DES DCP

Atelier le 04/12/15 à Luxembourg : La prise en compte du facteur humain dans la gestion du risque SSI

Les acteurs DSI et RSSI des entreprises ou administrations ont souvent acquis aujourd’hui des niveaux de maturité techniques très élevés. Pourtant les dommages consécutifs au risque SSI sur ces mêmes organisations restent toujours très importants. L’objectif de cet atelier est de formaliser dans une approche structurée, l’importance de la composante humaine dans le risque SSI.

Il s’attachera bien sûr à une modélisation de la malveillance menaçant les acteurs de l’entreprise, mais aussi et surtout aux vulnérabilités engendrées par l’absence de prise de conscience des responsabilités à tenir, voire d’acquisition de compétences (rôle de la Direction générale, des directions métiers, des acheteurs des maîtrises d’ouvrage, des maitrises d’œuvre, des acteurs de la supervision, de la sécurité et des utilisateurs).

Téléchargez le support de cet atelier : Atelier facteur humain SSI

Denis Virole anime 2 ateliers au Sisit 2015 à Dakar en partenariat avec Orange Business Services

Cette année, le thème central du SISIT est «Accélérer la performance des organisations par la transformation digitale». Des ateliers seront animés par des experts locaux et internationaux autour de sujets d’actualité comme l’impact du Cloud sur les métiers IT, le Big data, le Mobile-payment, l’IT au service de l’Entrepreneurship.

Denis Virole animera 2 ateliers :

Atelier à l’attention des DSI  : Concevoir et mettre en œuvre une démarche sécurité en adéquation avec les besoins métier

Atelier à l’attention des Directions Générales  : Rôles et responsabilités des Directions générales pour la protection de l’information de l’entreprise

Quel plan d’actions pour la diffusion, l’explication et la mise en application de la nouvelle PSSI de l’Etat ?

Le 17 juillet 2014, le Gouvernement français publiait la circulaire N° 5725/SG imposant aux différents ministères ou autorités administratives de s’organiser afin de mettre en œuvre la Politique Sécurité Système d’Information de l’Etat (PSSI E), élaborée par l’Agence Nationale pour la Sécurité des Systèmes d’Information, (ANSSI). La PSSI de l’Etat doit s’appliquer aux systèmes d’information traitant les informations non classifiées de défense : Elle doit être mise en œuvre sur tous les systèmes d’information des administrations de l’Etat : ministères, établissements publics sous tutelle d’un ministère, services déconcentrés de l’Etat et autorités administratives indépendantes …

Article de Denis Virole, publié dans MISC-Les Editions Diamond, numéro 77.

Lire la suite en téléchargeant le document : Misc77 Article VIROLE PSSIE

Protection de l’Information et Sécurité Système d’Information, quelles sont les vertus d’une sensibilisation bien organisée ?

Article de Denis Virole.

Cette célèbre citation du Député Pierre Labordes, issue de la première recommandation de son rapport sur : « La sécurité des systèmes d’information, un enjeu majeur pour la France », rappelée dans le rapport d’information n° 449 (2007-2008) de M. Roger Romani, fait au nom de la commission des affaires étrangères, déposé le 8 juillet 2008, reste toujours d’actualité en 2015. Les premiers axes de recommandation sont bien de sensibiliser, informer, responsabiliser, former les acteurs du Patrimoine Informationnel, utilisateurs du Système d’Information. Ces recommandations formulées par le biais de règles fonctionnelles sont rappelées dans la nouvelle Politique Sécurité Système d’Information de l’Etat du 17 juillet 2014…

 

Lire la suite en téléchargeant le document : Ageris-group-Publication Sensi SI

logo Ageris image logo Ageris image
« Devenir CIL / DPO » « Loi Informatique et Libertés dans le domaine de la santé »

Tous droit réservés © Ageris 2017

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer