L’interview du Journal Economique « Info Eco » …

Le journal Economique du Poitou-Charentes, Info-Eco, a réalisé une interview de Stéphane SEBAN, Directeur d’OCSG Informatique, société spécialisée dans le Management de projets et la Sécurité informatique.

Vous trouverez l’article ci-dessous :

http://www.info-eco.fr/actualite/Comment-bien-se-proteger-en-informatique–1749.html

En 2013, les Entreprises Françaises ne sont pas encore « Full Web-connected »

Article de l’ITExpresso  du 27 Mars 2013 – Auteur : Ph. Guerrier

Ciena, spécialiste réseaux et de la connectivité backbone d’origine américaine, a commandé une étude Vanson Bourne à propos de la qualité des services d’accès à Internet pour les entreprises européennes (y compris françaises).

Globalement, à en croire l’étude Ciena (Etude en Anglais via le lien), près de quatre entreprises interrogées sur dix se déclarent mécontentes de la qualité de service et de la valeur de connectivité de type Wide Area Network (WAN)*.

On y apprend que près d’un tiers (32%) des entreprises françaises se disent mécontentes de leur fournisseur de services de connectivité. Tout comme leurs homologues allemands, elles déplorent la lenteur de la connexion (19 % côté France, 21 % côté Allemagne).

Par pans de secteurs d’activité, plus de quatre entreprises publiques sondées sur dix (44 %) se disent plutôt insatisfaites, suivies par celles des services financiers (43%) et le secteur public (40 %).

Interrogées sur la principale faiblesse des fournisseurs d’accès, près d’un quart (23 %) des entreprises du secteur des services financiers citent « l’absence de contrat de niveau de service sur mesure », les professionnels des médias et divertissements déplorent plutôt « le débit trop bas » (27 %), tandis que les entreprises de services publics se plaignent autant du « débit trop bas » (18 %) que « des normes de sécurité insuffisantes » (18 %).

Pourquoi il est difficile de lever ce type d’obstacle ? 24% des DSI britanniques interrogés considèrent que la planification et l’investissement dans une connexion WAN n’est pas compatible avec la période de disette budgétaire.

Du côté de la France et de l’Allemagne, on évoque surtout des problématiques de sécurité des données transmises (respectivement 38% et 36%).

Ciena aboutit à un classement des critères les plus importants pour la sélection d’un fournisseur d’accès WAN : la sécurité des données transmises (31 %), la capacité de bande passante (22 %) et le prix (16 %).

[*Wan : Réseau au-delà de votre réseau, interne à l’Entreprise. En clair, cela constitue la toile]

La CNIL : Son origine, ses fonctions & ses impacts sur l’Entreprise

La CNIL est souvent citée dans les différents médias, mais quelle est sont rôle et ses impacts dans le monde de l’Entreprise.

C’est ce que nous allons voir tous le long de cet article et essayer de vous éclairer sur les risques encourus.

 

Son origine :

En 1971, profitant de l’informatisation des cartes perforées (vers un système de bandes magnétique), l’INSEE décida de mettre en place le projet SAFARI – Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus – permettant l’interconnexion des fichiers de la Sécurité Sociale, de la Caisse Nationale d’Assurance Vieillesse et de la carte d’Identité (Ministère de l’intérieur).

Le 21 Mars 1974, le journal Le Monde sorti une tribune « SAFARI ou la chasse aux Français » qui provoqua un tollé politique, auquel du faire face le ministre de l’Intérieur de l’époque Jacques Chirac.

Le 2 Avril 1974, le même Jacques Chirac, alors 1er ministre, demande à son ministre de l’intérieur, M. Poniatowski, de créer la Commission de l’informatique et des Libertés qui aboutira le 6 Janvier 1978  à la création de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Ses missions et fonctions :

La CNIL, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions d’information, de conseil, d’expertise et de veille technologique.

La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrôle la mise en oeuvre des fichiers informatiques et peut également procéder à des vérifications sur place.

Son Impact dans le monde de l’Entreprise :

La CNIL est à l’origine basée sur la Loi Informatique et Libertés (LIL) composée de 13 articles juridiques.

Voici les recommandations de la CNIL sur les obligations des employeurs et employés :

     1Gestion des risques :

La gestion des risques permet au responsable de traitement d’identifier quelles sont les précautions utiles à prendre «au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» (article 34 de la Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

(CF Information de la CNIL sur la Sécurité des Données)

Par gestion des risques, on entend la mise en place au sein de l’Entreprise de mesures Techniques (Sécurisation des données, des postes informatiques et des outils mobiles ; Sécurisation du réseau, des serveurs et des applications…)  et Organisationnelles (Définir une politique de contrôle d’accès – Modification régulière de mots de passe, vérification des habilitations, suppression des comptes de connexion de non salariés… –  sensibiliser des salariés à la Sécurité, rédiger une charte informatique annexée au règlement intérieur….)

Pour prévenir de ces différents risques, il faut :

  • Définir les risques potentiels par une phase d’évaluation du niveau de sécurité des données, de l’infrastructure et des personnes.
  • Rédiger l’ensemble des procédures techniques de sécurisation des données & leurs méthodes de contrôles ;
  • Auditer régulièrement ces points de contrôles ;
  • Associer l’ensemble du personnel par la signature d’une charte Informatique et l’acceptation des règles et procédures de sécurité,
  • Mettre à jour régulièrement ces procédures.

     2Les obligations de l’employeur comme des employés :

L’autorisation de la CNIL :

Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l’autorisation de la CNIL.

Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et 300 000€ d’amende.

En quelques clics, vous pouvez vérifier ci-dessous quel fichier doit être déclaré et comment le déclarer :

http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/

La sécurité des fichiers :

Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.

Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende.

La confidentialité des données :

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc).

La communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende.

La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende.

La durée de conservation des informations :

Les données personnelles ont une date de péremption.

Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier.

Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende.

L’information des personnes :

Le responsable d’un fichier doit permettre aux personnes concernées, par des informations qu’il détient, d’exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées.

Le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.

Voici un exemple d’intervention de la CNIL dans le cas du non respect de la réglementation en matière d’information et de conservation des informations.

http://www.cnil.fr/la-cnil/actualite/article/article/cloture-de-la-mise-en-demeure-a-lencontre-de-la-societe-oceatech-equipement

Pour plus d’informations, consultez le site de la Cnil.

Les entreprises négligent trop souvent l’importance de la Sécurité de l’Information (Mars 2011)

Suivant un rapport récent du Cofondateur et Président d’I-Tracing ( Société de Conseil spécialisée dans la manipulation des données sensibles) , les entreprises françaises ne se sentent pas concernées par la sécurisation de leurs systèmes d’Informations sous prétexte que « mettre en place une protection efficace engendre des coûts ».

Mais comme le souligne ce rapport,
« L’altération, le vol et la destruction des informations ont des conséquences financières non négligeables. » Et « lorsqu’un sinistre se produit, l’entreprise s’emploie à le réparer… sans en supprimer les causes … Or, la sécurité est globale ; la sécurité physique bien sûr est indispensable, mais il ne faut pas oublier pour autant la sécurité applicative, la sécurité des bases de données, la sécurité des procédures et du comportement des informaticiens, etc. »

Cependant, la sécurité « n’est pas toujours une affaire d’argent. C’est le plus souvent une question de motivation stratégique et de priorité, au plus haut niveau de l’organisation ! »

Et le rapport conclu de la manière suivante :

Heureusement, l’application des réglementations comme Sarbanes-Oxley, ont rendu obligatoire la mise en œuvre de procédures.

L’objectif est d’identifier et de cartographier les emplacements contenant des données sensibles (bases de données, systèmes CRM, ERP financiers et comptables, données de géolocalisation, données d’usage d’Internet et télécoms, etc.) au sein du système d’information. On vérifie, teste, mesure et analyse le niveau de sécurité et de protection des données et des accès. Il faut en effet collecter, corréler, analyser et paramétrer les données provenant du système d’information et des réseaux pour assurer une meilleure protection des équipements, certes, mais aussi des données et des procédures… en un mot de toute l’entreprise. La sécurisation et la mise en conformité légale sont établies à partir du constat effectué. Le résultat est une meilleure défense de l’entreprise, de ses clients et des utilisateurs. Il faut une protection pensée en amont, avant d’être attaqué ou volé. En un mot, une défense préventive. ».

(Retrouver le rapport complet à l’adresse suivante http://www.mag-securs.com/Communiqués/tabid/65/id/28278/Securite-le-reveil-peut-etre-brutal.aspx)

Formé aux normes Sarbanes Oxley depuis 2001 et responsable de la sécurité de plusieurs PME (Filiales d’OTIS) pendant 7 années, je suis à même de vous apporter mes compétences sur la mise en place de ces normes de sécurité à moindre coût. Retrouver toutes les informations sur mon site à l’adresse suivante : www.stephaneseban.com