Publication ageris

/Publication ageris
Publication ageris2019-02-15T13:48:14+00:00
1502, 2019

13ème Université des DPO

Ageris GROUP était présent lors de la 13ème Université des DPO qui a eu lieu à Paris le 16 janvier 2019.

Le mercredi 16 janvier 2019 l’AFCDP organise la 13e Université des DPO l’événement incontournable des professionnels de la conformité à la loi Informatique et Libertés et au RGPD, à la Maison de la Chimie, à Paris.

Cette manifestation a bénéficié du soutien des sociétés Ageris Priv@cy, Squire Patton Boggs, Actecil, Digitemis, Mathias Avocats, DPO Consulting, BRM Avocats, Advens, Editions Législatives, HS2, TNP Consultants, DPM, Œil pour Oeil, ISEP Formation Continue, IQVIA, Matilan, One Trust, SIB

Denis VIROLE – Directeur des services d’Ageris Group, Gérant de Virole Conseil Formation

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement […] Lorsque cela est proportionné au regard des activités de traitement, les mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement ». Devant cette responsabilité nouvelle, les organismes rencontrent souvent de réelles difficultés sur la formalisation de ces politiques. Dans quel cas sont-elles nécessaires ? Quel doit en être le contenu ? Quelles sont les populations cibles ? Le management, les directions métiers, la DSI, les MOA, les sous-traitants, voire les personnes concernées (clients ou usagers) ? Quelle interaction avec les politiques « Sécurité système d’information », avec les chartes, ou le règlement intérieur ? Comment garantir l’opposabilité du référentiel documentaire du DPO, sa conformité aux normes internationales et au RGPD ? Denis Virole, fort d’une riche expérience en conseil et assistance, veillera à être « opérationnel » et pragmatique.

2701, 2019

La prise en compte du facteur humain dans la gestion du risque SSI

Les acteurs DSI et RSSI des entreprises ou administrations ont souvent acquis aujourd’hui des niveaux de maturité techniques très élevés. Pourtant les dommages consécutifs au risque SSI sur ces mêmes organisations restent toujours très importants.

L’objectif de cet atelier est de formaliser dans une approche structurée, l’importance de la composante humaine dans le risque SSI.

Il s’attachera bien sûr à une modélisation de la malveillance menaçant les acteurs de l’entreprise, mais aussi et surtout aux vulnérabilités engendrées par l’absence de prise de conscience des responsabilités à tenir, voire d’acquisition de compétences (rôle de la Direction générale, des directions métiers, des acheteurs des maîtrises d’ouvrage, des maîtrises d’œuvre, des acteurs de la supervision, de la sécurité et des utilisateurs).

Télécharge le livre blanc

2701, 2019

Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation de la sécurité des traitements de données à caractère personnel »

Quelles sont les organismes concernés ? Cette démarche est-elle obligatoire ou simplement conseillée ? Sur quel périmètre de données ? Comment apprécier les risques ? Quels sont les acteurs impliqués dans la démarche et quels rôles pour le Cil et le Rssi ? Comment mettre en œuvre une démarche d’homologation conforme aux recommandations de la Cnil et de l’Anssi ? Cet atelier vise à échanger sur les éléments juridiques, fonctionnels et techniques permettant d’intégrer les exigences du RGS et de la PSSI-E dans les processus opérationnels

Télécharge le livre blanc

2701, 2019

Evaluation d’impact sur la vie privée (EIVP – PIA) – Livre Blanc – basé sur la démarche EIVP de la CNIL

Pourquoi mener une évaluation d’impact sur la vie privée – EIVP ?

Les données à caractère personnel (DCP) peuvent avoir une valeur pour l’organisme qui les traite, mais leur traitement engendre également de facto une importante responsabilité du fait des risques qu’il fait encourir sur la vie privée des personnes concernées.

L’évaluation d’impact sur la vie privée permet d’étudier méthodiquement les traitements de DCP ou les produits, de hiérarchiser les risques et de les traiter de manière proportionnée pour optimiser les coûts et prendre des décisions sur la base d’éléments rendus les plus objectifs possibles.

Elle contribue à démontrer la mise en oeuvre des principes de protection de la vie privée afin que les personnes concernées gardent la maîtrise de leurs DCP.

Télécharge le livre blanc

2012, 2018

Comment appliquer le principe du Privacy By Design – Livre Blanc

TOUT D’ABORD, UN CONSTAT
Force est de constater que la prise en compte de la protection des données à caractère personnel (DCP) dès les phases amont d’un nouveau projet informatique n’est pas encore entrée dans les moeurs, ni des éditeurs de solutions, ni des donneurs d’ordre ou acheteurs.
Les contrôles de conformité de nature juridique réalisés par le CIL ou les audits de sécurité réalisés par le RSSI montrent que des efforts sont encore à consentir dans ce domaine.

Voici quelques exemples de sujets faiblement pris en compte voire totalement oubliés dans les démarches projets :
· L’application informatique déployée récemment ne prévoit pas de purge automatique des données des DCP dont le traitement n’est plus nécessaire.
· Les DCP restent stockées dans la base de données active pour une durée illimitée alors qu’elles devraient basculer dans une base de données intermédiaire, voire dans une base d’archivage en fonction de la finalité du traitement et du cadre légal applicable aux DCP concernées.
· L’application informatique ne prévoit pas de chiffrement des DCP permettant de limiter leur lisibilité aux seuls professionnels habilités à y accéder.
· Les DCP échangées en pièce jointe de courriel ne sont pas chiffrées ou protégées contre une lecture illicite notamment lors de l’usage de la messagerie sur internet.
· Les traces embarquées dans les applications informatiques sont difficilement exploitables (si elles existent) pour identifier l’origine d’une violation1 sur les DCP.
· Les supports amovibles (exemple : clé USB) utilisés par les utilisateurs contiennent des DCP et ne sont pas protégés en cas de perte ou de vol.

Télécharge le livre blanc

2012, 2018

Les Plans de Continuité, les difficultés organisationnelles et méthodologiques à surmonter.

La conception d’un Plan de Continuité d’Activité (noté PCA) n’est pas sans difficultés. Ici, nous nous intéresserons à synthétiser la démarche de conception d’un plan de continuité d’activité, à identifier les écueils à éviter pour chaque étape et à souligner les facteurs clés de succès.

Les enjeux de la continuité d’activité pour les entreprises
Aujourd’hui plus que jamais, les entreprises sont exposées à des risques majeurs d’origines diverses (climatiques, pandémies, accidents, malveillances, conflits sociaux, défaillances techniques, erreurs, terrorisme, …). Ces risques peuvent entrainer de véritables sinistres pouvant avoir des conséquences gravissimes, voire définitives sur leurs activités et leurs missions.

Elles sont donc amenées à gérer des situations imprévues pouvant entraîner des chocs extrêmes ayant pour conséquence une incapacité à redémarrer les activités et de fournir les services attendus par les clients ou usagers. L’impact est alors extrêmement grave, perte financière lourde, perte de confiance des clients, des partenaires, sanction civile ou pénale, …). Selon le Disaster Recovery Institute International, au Canada, 43% des entreprises ferment après un sinistre et 29% de celles qui survivent périclitent dans les deux ans qui suivent.

Afin de faire face à ces statistiques préoccupantes, la réglementation et la normalisation se sont fortement précisées.  Les exemples ci-dessous n’ont pas pour objectif de formaliser une liste exhaustive, mais bien d’illustrer l’avancement des exigences juridiques et l’évolution des outils normatifs.

Lire la suite de l’article

1208, 2015

Quel plan d’actions pour la diffusion, l’explication et la mise en application de la nouvelle PSSI de l’Etat ?

Le 17 juillet 2014, le Gouvernement français publiait la circulaire N° 5725/SG imposant aux différents ministères ou autorités administratives de s’organiser afin de mettre en œuvre la Politique Sécurité Système d’Information de l’Etat (PSSI E), élaborée par l’Agence Nationale pour la Sécurité des Systèmes d’Information, (ANSSI). La PSSI de l’Etat doit s’appliquer aux systèmes d’information traitant les informations non classifiées de défense : Elle doit être mise en œuvre sur tous les systèmes d’information des administrations de l’Etat : ministères, établissements publics sous tutelle d’un ministère, services déconcentrés de l’Etat et autorités administratives indépendantes …

Article de Denis Virole, publié dans MISC-Les Editions Diamond, numéro 77.

Lire la suite en téléchargeant le document

2006, 2015

Protection de l’Information et Sécurité Système d’Information, quelles sont les vertus d’une sensibilisation bien organisée ?

Cette célèbre citation du Député Pierre Labordes, issue de la première recommandation de son rapport sur : « La sécurité des systèmes d’information, un enjeu majeur pour la France », rappelée dans le rapport d’information n° 449 (2007-2008) de M. Roger Romani, fait au nom de la commission des affaires étrangères, déposé le 8 juillet 2008, reste toujours d’actualité en 2015. Les premiers axes de recommandation sont bien de sensibiliser, informer, responsabiliser, former les acteurs du Patrimoine Informationnel, utilisateurs du Système d’Information. Ces recommandations formulées par le biais de règles fonctionnelles sont rappelées dans la nouvelle Politique Sécurité Système d’Information de l’Etat du 17 juillet 2014…

Lire la suite en téléchargeant le document

2006, 2015

Denis Virole anime 2 ateliers au Sisit 2015 à Dakar en partenariat avec Orange Business Services

Cette année, le thème central du SISIT est «Accélérer la performance des organisations par la transformation digitale». Des ateliers seront animés par des experts locaux et internationaux autour de sujets d’actualité comme l’impact du Cloud sur les métiers IT, le Big data, le Mobile-payment, l’IT au service de l’Entrepreneurship.

Denis Virole animera 2 ateliers :

Atelier à l’attention des DSI  : Concevoir et mettre en œuvre une démarche sécurité en adéquation avec les besoins métier

Atelier à l’attention des Directions Générales  : Rôles et responsabilités des Directions générales pour la protection de l’information de l’entreprise

En cliquant le bouton « Accepter », vous acceptez l’utilisation de cookies pour réaliser des mesures d’audiences et vous permettre d’enregistrer vos préférences de navigation. Sans votre acceptation, aucun cookie ne sera enregistré. Accepter