Publications Ageris

Accueil/Publications Ageris
Publications Ageris2019-10-25T10:54:40+02:00

Concevoir son Référentiel « Protection de la Vie Privée » en cohérence avec le Référentiel SSI

Publication de Denis VIROLE pour MISC

” Le chapitre IV, section 1, article 24 et l’article 32 dans la section 2 du Règlement Général pour la Protection des Données, formalisent les obligations générales du responsable du traitement en matière de sécurité : la mise en œuvre de mesures techniques et organisationnelles appropriées, au regard des risques pour la vie privée des personnes concernées, la définition et l’application de politiques adaptées au contexte et surtout la capacité de démontrer que le traitement est effectué en conformité avec le Règlement. Le responsable du traitement doit mettre en œuvre des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité ainsi que la résilience constante des systèmes et des services de traitement. Nous nous attacherons ici à analyser comment le Délégué à la Protection des Données (DPD) doit concevoir l’ensemble des règles de protection de la vie privée et de sécurité des données à caractère personnel en interaction et en cohérence avec les exigences stratégiques, fonctionnelles, opérationnelles et techniques de la SSI.” Lire la suite

Publié en mai 2019

Maturité d’entreprise et plan d’action pour la mise en conformité du RGPD

Publication de Denis VIROLE pour MISC

“Les organismes et entreprises doivent être conformes aux exigences du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données en mai 2018. A un an de l’échéance, un grand nombre d’organisations n’a pas formalisé de démarche, ni initialisé de plans d’actions.
Nous nous intéressons ici à la formalisation d’un plan d’action juridique, organisationnel et technique adapté en soulignant les difficultés inhérentes à un profil de maturité.[…]
Lire la suite

Publié le 03/05/2017

L’évolution de la fonction de CIL vers la fonction de DPO

Publication de Denis VIROLE pour MISC

“Le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données définit dans la section 4, articles 37, 38 et 39 la désignation du Délégué à la Protection des Données, ses fonctions et ses missions. Le G29 a adopté le 13 décembre 2016 un « Guidelines on Data Protection Officers » afin d’aider les organismes à se mettre en conformité dans la désignation du DPO.

Pourtant un grand nombre d’organismes au sein de l’union se pose un grand nombre de questions dans l’interprétation de ces différents textes. Le DPO est-il simplement le nouveau nom du Correspondant à la Protection des données (CIL) pour la France ou s’agit-il d’une nouvelle fonction ?

Comment intégrer la répartition des fonctions dans la gouvernance pour la sécurité des données à caractère personnel et la protection de la vie privée ? […]” Lire la suite

Publié le 26/01/2017

La prise en compte du facteur humain dans la gestion du risque SSI – Denis VIROLE

Les acteurs DSI et RSSI des entreprises ou administrations ont souvent acquis aujourd’hui des niveaux de maturité techniques très élevés. Pourtant les dommages consécutifs au risque SSI sur ces mêmes organisations restent toujours très importants.

L’objectif de cet atelier est de formaliser dans une approche structurée, l’importance de la composante humaine dans la gestion du risque SSI.

Il s’attachera bien sûr à une modélisation de la malveillance menaçant les acteurs de l’entreprise, mais aussi et surtout aux vulnérabilités engendrées par l’absence de prise de conscience des responsabilités à tenir, voire d’acquisition de compétences. (rôle de la Direction générale, des directions métiers, des acheteurs des maîtrises d’ouvrage, des maîtrises d’œuvre, des acteurs de la supervision, de la sécurité et des utilisateurs).

Télécharger le livre blanc

Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation de la sécurité des traitements de données à caractère personnel »

Quelles sont les organismes concernés ? Cette démarche est-elle obligatoire ou simplement conseillée ? Sur quel périmètre de données ? Comment apprécier les risques ? Quels sont les acteurs impliqués dans la démarche et quels rôles pour le Cil et le Rssi ? Comment mettre en œuvre une démarche d’homologation conforme aux recommandations de la Cnil et de l’Anssi ? Cet atelier vise à échanger sur les éléments juridiques, fonctionnels et techniques permettant d’intégrer les exigences du RGS et de la PSSI-E dans les processus opérationnels

Télécharge le livre blanc

Evaluation d’impact sur la vie privée (EIVP – PIA) – Denis VIROLE – Livre Blanc – basé sur la démarche EIVP de la CNIL

Pourquoi mener une évaluation d’impact sur la vie privée – EIVP ?

Les données à caractère personnel (DCP) peuvent avoir une valeur pour l’organisme qui les traite, mais leur traitement engendre également de facto une importante responsabilité du fait des risques qu’il fait encourir sur la vie privée des personnes concernées.

L’évaluation d’impact sur la vie privée permet d’étudier méthodiquement les traitements de DCP ou les produits, de hiérarchiser les risques et de les traiter de manière proportionnée pour optimiser les coûts et prendre des décisions sur la base d’éléments rendus les plus objectifs possibles.

Elle contribue à démontrer la mise en oeuvre des principes de protection de la vie privée afin que les personnes concernées gardent la maîtrise de leurs DCP.

Télécharge le livre blanc

Comment appliquer le principe du Privacy By Design – Denis VIROLE – Livre Blanc

TOUT D’ABORD, UN CONSTAT
Force est de constater que la prise en compte de la protection des données à caractère personnel (DCP) dès les phases amont d’un nouveau projet informatique n’est pas encore entrée dans les moeurs, ni des éditeurs de solutions, ni des donneurs d’ordre ou acheteurs.
Les contrôles de conformité de nature juridique réalisés par le CIL ou les audits de sécurité réalisés par le RSSI montrent que des efforts sont encore à consentir dans ce domaine.

Voici quelques exemples de sujets faiblement pris en compte voire totalement oubliés dans les démarches projets :
· L’application informatique déployée récemment ne prévoit pas de purge automatique des données des DCP dont le traitement n’est plus nécessaire.
· Les DCP restent stockées dans la base de données active pour une durée illimitée alors qu’elles devraient basculer dans une base de données intermédiaire, voire dans une base d’archivage en fonction de la finalité du traitement et du cadre légal applicable aux DCP concernées.
· L’application informatique ne prévoit pas de chiffrement des DCP permettant de limiter leur lisibilité aux seuls professionnels habilités à y accéder.
· Les DCP échangées en pièce jointe de courriel ne sont pas chiffrées ou protégées contre une lecture illicite notamment lors de l’usage de la messagerie sur internet.
· Les traces embarquées dans les applications informatiques sont difficilement exploitables (si elles existent) pour identifier l’origine d’une violation1 sur les DCP.
· Les supports amovibles (exemple : clé USB) utilisés par les utilisateurs contiennent des DCP et ne sont pas protégés en cas de perte ou de vol.

Télécharge le livre blanc

Les Plans de Continuité, les difficultés organisationnelles et méthodologiques à surmonter – Denis VIROLE

La conception d’un Plan de Continuité d’Activité (noté PCA) n’est pas sans difficultés. Ici, nous nous intéresserons à synthétiser la démarche de conception d’un plan de continuité d’activité, à identifier les écueils à éviter pour chaque étape et à souligner les facteurs clés de succès.

Les enjeux de la continuité d’activité pour les entreprises
Aujourd’hui plus que jamais, les entreprises sont exposées à des risques majeurs d’origines diverses (climatiques, pandémies, accidents, malveillances, conflits sociaux, défaillances techniques, erreurs, terrorisme, …). Ces risques peuvent entrainer de véritables sinistres pouvant avoir des conséquences gravissimes, voire définitives sur leurs activités et leurs missions.

Elles sont donc amenées à gérer des situations imprévues pouvant entraîner des chocs extrêmes ayant pour conséquence une incapacité à redémarrer les activités et de fournir les services attendus par les clients ou usagers. L’impact est alors extrêmement grave, perte financière lourde, perte de confiance des clients, des partenaires, sanction civile ou pénale, …). Selon le Disaster Recovery Institute International, au Canada, 43% des entreprises ferment après un sinistre et 29% de celles qui survivent périclitent dans les deux ans qui suivent.

Afin de faire face à ces statistiques préoccupantes, la réglementation et la normalisation se sont fortement précisées.  Les exemples ci-dessous n’ont pas pour objectif de formaliser une liste exhaustive, mais bien d’illustrer l’avancement des exigences juridiques et l’évolution des outils normatifs.

Lire la suite de l’article

Quel plan d’actions pour la diffusion, l’explication et la mise en application de la nouvelle PSSI de l’Etat ?

Le 17 juillet 2014, le Gouvernement français publiait la circulaire N° 5725/SG imposant aux différents ministères ou autorités administratives de s’organiser afin de mettre en œuvre la Politique Sécurité Système d’Information de l’Etat (PSSI E), élaborée par l’Agence Nationale pour la Sécurité des Systèmes d’Information, (ANSSI). La PSSI de l’Etat doit s’appliquer aux systèmes d’information traitant les informations non classifiées de défense : Elle doit être mise en œuvre sur tous les systèmes d’information des administrations de l’Etat : ministères, établissements publics sous tutelle d’un ministère, services déconcentrés de l’Etat et autorités administratives indépendantes …

Article de Denis Virole, publié dans MISC-Les Editions Diamond, numéro 77.

Lire la suite en téléchargeant le document

Protection de l’Information et Sécurité Système d’Information, quelles sont les vertus d’une sensibilisation bien organisée ?

Cette célèbre citation du Député Pierre Labordes, issue de la première recommandation de son rapport sur : « La sécurité des systèmes d’information, un enjeu majeur pour la France », rappelée dans le rapport d’information n° 449 (2007-2008) de M. Roger Romani, fait au nom de la commission des affaires étrangères, déposé le 8 juillet 2008, reste toujours d’actualité en 2015. Les premiers axes de recommandation sont bien de sensibiliser, informer, responsabiliser, former les acteurs du Patrimoine Informationnel, utilisateurs du Système d’Information. Ces recommandations formulées par le biais de règles fonctionnelles sont rappelées dans la nouvelle Politique Sécurité Système d’Information de l’Etat du 17 juillet 2014…

Lire la suite en téléchargeant le document

Articles récents

Catégories

Pages