5 ways auditors can add more strategic value to their organization

Étiquettes

activitie, advisor, agile, auditor, business leader, communicate, Data, internal audit, internal auditor, management, organization, partner, quick, risks, strategic, team, technology, value

Questioning – Verification – Report

« REDEFINING INTERNAL AUDIT AS A BUSINESS NECESSITY »

Should the Internal or External Auditor simply study the organizational, accounting, functional and managerial processes and ensure the quality of the information on which the Directorate-General supports its decisions?

The selection of internal audit assignments is based on an annual interactive audit mission plan, classified according to estimated priorities, approved by the Audit Committee or the executive.

The Internal Auditor, like the External Auditor, provides an analysis and control of the company’s activity. It summarises, through a report including recommendations, with the management and follows the implementation of recommendations.

For this, the main tasks of the traditional internal auditor are:
1. Develop and adapt analytical tools, indicators, within companies
2. Ensure a watch on sensitive sectors or with an interest in the growth of the company
3. Set up reporting, standards, and processes
4. Measuring Risks and performance
5. Analyze the existing
6. Prepare and transmit Audit reports to the Directorate-General

It allows any manager to increase efficiency in risk management and internal control. The role of the internal auditor is to accompany the company in the improvement of its procedures and results.

Let’s not forget that internal auditing, or periodic control, is only a snapshot at a given time.

This synthetic presentation of the periodic control emphasizes that the exact and actual situation is most often piecemeal, even if it is a transversal audit.

In addition, the Internal Audit does not have the same scope depending on the function to which it is attached (Accounting or Finance or Risk-Management or Governance).

We are also confronted, as an internal auditor, with a role of verification and sometimes of advice, subject to properly framing the scope of intervention and the method used.

We are facilitating, as a first step, the work of the external audit (Office of the Auditors), but, secondly, the latter judges (External Audit), at the same time, our efficiency and efficiency towards the entity concerned.

I ask the question: do we need to evolve progressively or practice a disruptive method?

The PwC 2018 State of the Internal Audit Profession Study revealed what most auditors already know: management and boards are demanding more value from internal audit. Lately, audit leaders have written and spoken of the need for auditors to be trusted advisors and to partner with business management. This is a very desirable thing and, of course, some audit teams have already achieved it. The practical question for those audit teams that are not there yet is: What can they be doing differently to help make it happen?

The following are five ways audit teams can communicate and deliver greater value, while ensuring their activities are strategically aligned with the priorities of business leaders

1. Think like a business leader

…
2. Leverage automation to move beyond traditional audit areas

…
3. Embrace and promote collaborative technology

…
4. Be quick and agile

…
5. Provide insights that no one else can deliver

…

Not your traditional auditor

Lire la suite →

La CNIL ouvre les données de déclarations pour aider la préparation au GDPR

Étiquettes

AFCDP, archive, audit, autorités, études, base de données, CIL, CNIL, conformité, contrôle, CSV, DA, Data, déclaration, démarche, DE, DN, DO, documentation, DPO, DR, DS, DT, entreprise, fichier, fichiers, formalités, GDPR, impact, open data, organisme, procédures, process, processus, protection, protection des données, responsabilisation, responsabilité, retraitement, RGPD, statistiques, tableur, téléchargement, traitement, transparence

Nouvelle démarche open-data, la CNIL publie la liste intégrale des déclarations de traitements effectuées depuis 1979. La première cible, ce sont les entreprises déclarantes devant retrouver les déclarations les concernant pour se préparer au GDPR.

Cette semaine, la CNIL a publié en open-data la liste intégrale des formalités préalables accomplies auprès de la CNIL depuis 1979. Le site de l’autorité administrative indépendante propose en téléchargement une série de fichiers CSV aisés à exploiter dans un tableur ou une base de données, chaque fichier comprenant les déclarations des organismes dont les noms sont classés entre deux lettres de l’alphabet (de A à B, C, de D à F, etc.).

Chaque enregistrement intègre : la raison sociale du responsable du traitement, le nom du déclarant, l’adresse de l’organisme, la date de déclaration, la finalité du traitement, un identifiant et le type de déclaration (déclarations simplifiées (DS), déclarations ordinaires (DO), déclarations normales (DN), demandes d’avis (DA), demandes d’autorisation (DT), demandes d’autorisation recherches médicales (DR), demandes d’autorisation évaluation de pratiques de soins (DE)).
http://www.cio-online.com/actualites/lire-la-cnil-ouvre-les-donnees-de-declarations-pour-aider-la-preparation-au-gdpr-9665.html ou http://www.lemondeinformatique.fr/actualites/lire-la-cnil-aide-les-entreprises-a-se-conformer-a-gdpr-69211.html  Lire la suite →

Retour sur l’évolution du modèle économique du rançongiciel

Étiquettes

AIDS, applications, arnaque, économie, Big Data, cheval de Troie, collaborateurs, contrôle, Data, disquette, expert, fraudeur, Internet, logiciels, modèle, modèle économique, open data, ordinateur, Panama, prévention, rançon, rançongiciel, Risques, sécurité, technologie, utilisateurs, victime, virus

Ce n’est pas une innovation récente, mais, en fin de compte, un « business model » se développant en fonction de l »évolution des technologies de l’information.

Début en 1989, période où l’accès à un ordinateur se faisait encore rare, mis à part dans certains milieux spécialisés (recherche, armée…) et le moyen d’échange courant, si nécessaire, était la disquette. Ce qui imposait une recherche minutieuse de cibles potentielles, d’un temps d’élaboration plus ou moins long afin de confectionner une disquette et d’effectuer des copies de celle-ci, d’une élongation de ce temps en prenant en compte l’envoi postal et de la possibilité d’utilisation effective de ce support « contaminé ».

D’une faible progression de virus nuisibles, nous sommes passés à une vitesse de croisière et nous nous dirigeons, d’après le post cité ci-dessous, mais je le pense aussi, vers une métastase par prolifération ou plutôt par foisonnement à vitesse grand V. Ceci du fait de la mondialisation des marchés et des transactions.

Nous atteignons un stade d’innovation (au sens de créativité) assez poussé dans la mesure où les personnes malfaisantes n’ont pas forcément besoin d’initier un processus de fraude, car elles peuvent acquérir sur certains marchés des applications ou des logiciels malveillants.

Afin de répondre à la contemporanéité économique du moment nécessitant l’utilisation de logiciels complexes et  multidimensionnels, à l »époque de l’Open Data et du Big Data, ainsi qu’à l’avènement de l’ère des objets connectés et de l’intelligence artificielle, nous ne pouvons pratiquer l’économie de la sécurité.

Sans tomber dans la paranoïa, il convient, bien évidemment, de mettre en place un dispositif sécuritaire propre aux outils informatiques (au sens large), mais l’accent doit être mis surtout sur la prévention. Pour ceci, consultez les recommandations / les préconisations figurant à la fin du post cité ci-dessous.

Il va de soi que prévention et sécurité s’inscrivent dans un cadre d’accompagnement de la stratégie, selon le principe d’efficience (rapport entre les résultats obtenus et les moyens mis en oeuvre pour y parvenir), et non la création d’effets paralysant l’évolution de l’organisation et sa capacité d’innovation.

Une tribune de Lionel Goussard, directeur régional France, Suisse et Benelux de SentinelOne, sur le ransomware depuis son apparition il y a près de 30 ans

1989, c’est l’année au cours de laquelle s’est produite la première attaque par  » rançongiciel  » (ransomware) dans le monde. Le cheval de Troie AIDS avait alors surpris le monde entier. Distribué sous la forme de disquettes envoyées par voie postale, il contraignait les utilisateurs victimes à envoyer la somme de 189 $ à une boîte postale située au Panama. Cependant, l’ampleur réelle de l’attaque fut mineure à l’époque, dans la mesure où seul un nombre limité de personnes avait accès à un ordinateur et où Internet était essentiellement confiné entre les mains d’experts scientifiques et technologiques.

Lire la suite →

RGPD, le dossier pour tout comprendre

Étiquettes

action, AFCDP, ajustement, application, applications, audit, audit interne, éditeur, Big Data, calculer, certification, CIL, cloud, CNIL, collecte, conception, concurrence, confidentialité, conformité, correction, Data, définir, délégué, démarche, développeur, dirigeant, données, données personnelles, dormant, DPO, entreprise, Europe, flux, gestion, gouvernance, identification, informaticien, information, informatique, interfaces, inventaire, IT, juridique, loi, mesures, obligations, organisation, parties prenantes, portabilité, Président, privé, projet, protection, protection des données, Public, règlement, règlementation, réforme, régulateur, recommandations, RGPD, risque, sécurité, site, stockage, stratégie, technique, technology, tiers, traitement, transversalité, vie privée, violation, web

I – Propos préliminaires :

La GDPR ou General Data Protection Regulation. Nous sommes en présence d’un sujet d’envergure et d’une réelle complexité que nous ne devons pas prendre à la légère.

C’est une réglementation européenne édictée en 2015 qui doit entrer en vigueur au 25 mai 2018, soit dans moins d’un an.

Toutes les entreprises ou plutôt toutes les organisations (le terme « entreprise » me paraît trop restrictif pour la compréhension de cette réglementation) quelles qu’elles soient (forme juridique, mode d’organisation, secteurs privé et public, type de clientèle, partenaires externes, collaborateurs internes…) y sont assujetties en termes de données personnelles.

Mais qu’est-ce qu’une donnée personnelle me direz-vous ? Il s’agit de toute composante d’information personnelle collectée, traitée et stockée dont l’utilisation peut directement ou indirectement identifier une personne.

Juridiquement, et socialement, chaque citoyen bénéficie d’un droit fondamental et inaliénable à la protection de sa vie privée et de ses données personnelles.

A cela, il convient d’ajouter la notion d’identification indirecte qui a également un intérêt majeur : si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers pourrait potentiellement le faire.

 

« Tout juriste et tout acteur de la conformité bénéficient d’une certaine dose d’humour et ils ne sont pas des êtres « froids » arcbouter sur les règlements (ou policies) :

« Un nouveau règlement européen (GDPR), à destination des entreprises, veut simplifier, harmoniser et renforcer la protection des données personnelles. » »

 

Que de décisions irrationnelles prises en ton nom! Que de catastrophes en cours ou à venir (liste non exhaustive) :

1. Décider sans réfléchir et sans prendre en compte son organisation, devant cette nouvelle complexité, et se mettre immédiatement à la recherche de logiciels de conformité GDPR : il y a de fortes chances de n’arriver qu’à un gaspillage inutile de ressources.
2. Parcourir cette nouvelle réglementation sans en chercher la « substantifique moelle », ainsi que les effets induits, annexes et indirects..
3. Travailler sur ce sujet en petit comité, sans y inclure, à un moment donné, l’ensemble des collaborateurs de l’organisation.
4. Traiter ce thème comme une action de sécurité informatique ou comme une action ne relevant que de l’agencement de bases de données, de référentiels…
5. S’abstenir de patiquer un inventaire exhaustif des bases de données existantes, d’établir un document détaillé de leurs structures, de leurs composantes, de leurs fonctionnements et de leurs interférences. Absence de réalisation de missions d’audit interne en la matière et de recommandations appropriées sur l’existant.
6. Négliger de prendre en compte les éventuels changements organisationnels rendus « nécessaires » par l’application d’un tel texte.
7. Décider que votre organisation ne sera, de toute façon, jamais en totale conformité, et qu’il vaut mieux s’en remettre à une implantation de logiciel de conformité GDPR, éventuellement couplé ou non aux logiciels de conformité déjà présents dans l’organisation, et se reposer sur la compréhension du texte par l »éditeur retenu.
8. Demeurer inactif et évoquer la complexité du texte en cas de contrôle tout en espérant échapper à toute amende.

 

Qu’elle démarche sera la plus appropriée ? Celle du bon sens :

A – Dans un premier temps :

1. Connaître dans le moindre détail son organisation et son fonctionnement en termes de collecte, utilisation et archivage des données personnelles. Il doit être tenu compte également des accès et des flux entre parties prenantes au sein de l’entité comme vis-à-vis de ses partenaires/intervenants externes.
2. S’assurer de la prise en compte réelle de toutes les données personnelles disponibles, y compris les « données dormantes« .
3. En profiter, au passage, pour s’assurer de la bonne conformité de l’organisation actuelle sur ce sujet et relever les corrections éventuelles à pratiquer par la suite.

 

B – Dans un deuxième temps :

1. Décrypter, c’est-à-dire saisir au plus près possible l’essence du texte réglementaire et ses diverses implications (travail à réaliser dans la transversalité). Si vous ne disposez pas d’assez de temps ou de personnel bénéficiant de compétences pointues sur ces sujets, recherchez un organisme de formation spécialisé en la matière (avec comme optique : compréhension [explication de texte théorique], mise en réalité [ateliers ou travaux pratiques concrets], échanges de réalités « terrain » et d’expériences [évoquer ses problématiques et apprendre des animateurs et des participants par rapport à sa propre organisation et ses spécificités éventuelles] et, surtout, retour de « l’appris » par les participants (débriefing) vers les différentes entités de l’organisation).
2. Être en mesure de définir et de calculer les risques liés à la réglementation RGPD.
3. Définir les écarts entre la « réalité » de votre organisation et les obligations réglementaires nouvelles , tout en tenant compte des « irrégularités » constatées (confère point A – Dans un premier temps).
4. Apporter les mesures correctrices là où cela est nécessaire.

 

⇒ Au passage : Cette réglementation représente-t-elle une opportunité pour votre organisation et, de ce fait, un « avantage concurrentiel » ? Il n’y a que vous qui pouvez le déterminer. Celà peut être une possibilité de ne pas appliquer simplement des règles « administratives » et juridiques de plus, mais d’utiliser la mobilisation des différents collaborateurs pour affiner votre stratégie (par exemples dans le numérique,…).

Mais comment pratiquer concrètement ? En intégrant la protection des données dès la conception des projets https://www.lesechos.fr/idees-debats/cercle/cercle-165052-transformer-le-gdpr-en-avantage-concurrentiel-en-integrant-la-protection-des-donnees-des-la-conception-des-projets-2058160.php

C – Dans un troisième temps :

1. Réfléchir et décider de la nécessité d’incorporer un logiciel de conformité RGPD.
2. S’assurer que le logiciel RGPD est « agile« , c’est-à-dire qu’il pourra s’adapter aisément aux évolutions futures :

• juridiques.
• organisationnelles.
• stratégiques.

 

⇒ Opinion : La GDPR, comme les autres éléments de la conformité, sont opérationnels, constants et censés représenter conformément la réglementation en vigueur. Mais compte tenu de la difficulté de « digestion »  et de la « lourdeur » de ce texte, tout comme l’absence de best practices officielles, nous amène à une situation particulière.

A savoir, pouvoir justifier auprès :

• des autorités de contrôle d’avoir pris en considération les éléments principaux de cette nouvelle réglementation et ses déclinaisons, tout en démontrant la mise en place des process d’amélioration continue de façon à s’approcher au plus près de la volonté des législateurs européens et nationaux.
• de nos clients, prospects et partenaires de la sécurité des données confiées et, par delà indirectement, de participer à la protection de leur réputation et de leur image de marque.

Cette partie de la conformité se situe entre le principe d’assurance, principe de base de l’audit interne, et le strict respect de la réglementation imparti à la fonction Conformité. Il faut donc s’approcher le plus possible du principe « d’accountabilty« .

II – Protection des données personnelles : de nouvelles obligations pour l’entreprise :

Première chose à savoir, le RGPD entérine le principe « d’accountability ». Difficilement traduisible, cela signifie concrètement que l’entreprise doit mettre en place des mesures de protection des données appropriées et pouvoir, si la Cnil le lui demande, être en mesure de prouver qu’elle respecte bien le règlement. Les déclarations à la Cnil sont supprimées, tout comme les demandes d’autorisation préalables (pour mettre en place une vidéo surveillance des salariés, par exemples). L’Express : http://google.com/newsstand/s/CBIw9pu4kzU

III – Etat des lieux :

2/3 des entreprises sont encore en phase de décryptage des nouvelles obligations

À moins d’un an de l’application du règlement européen sur la protection des données personnelles, plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR (General Data Protection Regulation). Et pour cause :  deux tiers pensent que le texte manque de clarté, selon une étude menée par le cabinet d’avocats international Bird & Bird.

Le sondage réalisé auprès d’un échantillon de 100 entreprises en mai dernier permet de tirer quelques enseignements sur le niveau de préparation des grandes entreprises (72 % des répondants) et les difficultés qu’elles peuvent rencontrer à mettre en pratique la nouvelle législation.

Plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR et plus inquiétant, pas moins de 53 % des sondés estiment qu’ils ne seront pas en mesure d’appliquer le texte dans son intégralité d’ici l’échéance du 25 mai 2018. Pourquoi ? Deux tiers des sondés pensent que le texte manque de clarté en particulier sur le droit à la limitation du traitement, le droit à la portabilité des données, l’obligation de privacy by design ou encore l’intégration des nouveaux droits des personnes, et que l’application du GDPR nécessitera l’assistance d’un conseil externe. Solutions numériqueshttp://www.solutions-numeriques.com/reglement-europeen-sur-la-protection-des-donnees-23-des-entreprises-sont-encore-en-phase-de-decryptage-des-nouvelles-obligations/?utm_source=Sociallymap&utm_medium=Sociallymap&utm_campaign=Sociallymap

IV – Les principes fondamentaux :

A – Nouveautés et difficultés à déterminer la notion de « risque élevé » :

Une des nouveautés absolues du Règlement général sur la protection des données, qui entre pleinement en vigueur le 25 mai 2018, ce sont les fameuses études d’impact placées sous l’entière responsabilité des responsables des traitements de données personnelles, autrement dit les chefs d’entreprises, présidents d’associations et autres dirigeants de structures publiques. Les Infostratègeshttp://www.les-infostrateges.com/actu/17072402/les-etudes-d-impact-nouveaute-du-reglement-general-sur-la-protection-des-donnees-rgpd

B – Les 16 concepts fondamentaux impactant fortement les stratégies de l’entreprise (selon Joseph Triquell – août 2017 : AroundRisk-IT) :

…

… il impactera fortement toute l’entreprise (chef d’entreprise, responsables de la conformité et de la sécurité, cadres, informaticiens jusqu’au développeur même …) et ses principales stratégies : conformité et sécurité juridique, capital immatériel, gouvernance des données et du système d’information, transformation numérique, gestion des risques et sécurité de l’information, veille stratégique et technologique, droits et devoirs des acteurs face au SI …

Vous pourrez le constater à la lecture des concepts fondamentaux (synthèse in fine) développés par ce règlement. Chefs d’entreprises, informaticiens, juristes, vous pouvez aisément imaginer ce que chacun de ces concepts impose en mesures techniques, organisationnelles, juridiques dans l’entreprise pour une mise en conformité !

Ces acteurs pourront s’appuyer sur un chef d’orchestre (qui sera désigné dans l’entreprise ou en externe): le délégué à la protection des données, un « ancien » CIL (« correspondant à la protection des données ») renforcé. Il semble utile de rappeler que cette exigence exprimée dans le RGPD peut être satisfaite même par des personnes dépourvues de diplôme en droit. Les associations européennes de DPO http://www.afcdp.net/Les-associations-europeennes-de  lancent un appel pour éviter que la profession ne se sclérose sur les seuls profils juridiques ( les actuels CIL sont en majorité des informaticiens en France et Allemagne).

Véritable opportunité également pour l’informaticien de renforcer son évident rôle transverse et stratégique dans l’entreprise.

• 1.       Traitement licite, loyal, transparent (nécessaire, bien argumenté, consenti clairement)
• 2.       Finalités déterminées, fixes, explicites et légitimes
• 3.       Traitement sécurisé (mesures techniques, organisationnelles, juridiques / dispositif d’alerte, de gestion d’incident  et dispositif de notification (dans les 72H) des violations à la CNIL et aux personnes concernées)
• 4.       Traitement particulier (règles) des données des mineurs de 16 ans
• 5.       Données exactes, tenues à jour, adéquates, pertinentes et limitées (minimisation des données)
• 6.       Durée de conservation adaptée aux finalités
• 7.       Respect du droit d’opposition, d’accès, de rectification, d’effacement (« droit à l’oubli ») de la personne concernée
• 8.       Respect du droit à la portabilité des données
• 9.       Co-responsabilité des sous-traitants
• 10.   Accountability (obligation de démontrer la conformité à tout moment), « délégué à la protection des données » (ou DPO (Digital Protection Officer), registre des activités (inventaire, cartographie), documentation interne argumentée et coopération avec la CNIL
• 11.   Privacy by design (argumentaire/documentation sur les projets de traitement) : Garantie que la protection des données personnelles est assurée dès la conception des applications, sites Web et autres systèmes IT
• 12.   Privacy by default : Garantie apportée lorsque les mesures de sécurisation sont intégrées nativement dans le service.
• 13.   Analyse d’impact  sur la vie privée (analyse et gestion des risques préalables à certains traitements de données)
• 14.   Codes de conduite et certification (Accompagnement, labels, référentiels utiles aux entreprises)
• 15.   Transfert des données vers des pays tiers – Privacy shield
• 16.   Sanctions renforcées

AroundRisk-IT RGDP – GDPR : 16 concepts fondamentaux qui impactent fortement toutes les stratégies de l’entreprise …

C – Vous avez besoin d’arguments synthétiques pour convaincre votre COMEX :

Le futur règlement européen sur les données privées est simple dans l’esprit, mais beaucoup plus subtile dans son application. A tel point que beaucoup de Comités de Direction ne sont pas sensibilisés. Voici 10 mots clefs pour y remédier. LeMagIT http://www.lemagit.fr/conseil/Les-103-mots-clefs-pour-expliquer-le-GDPR-a-un-Comex?utm_content=buffer825d0&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

V – L’impact de cette réglementation sur la conception et la sécurisation des applications, sites Web et autres systèmes IT  :

Ce n’est pas surprenant si l’on considère les conséquences financières pour toute organisation qui n’arriverait pas à démontrer sa conformité : une amende pouvant aller jusqu’à 20 M € ou 4% des revenus (le montant le plus élevé sera retenu). Ces conséquences financières ont attiré l’attention de nombreux conseils d’administration à travers le monde. Désormais, les entreprises et leurs sous-traitants se précipitent pour savoir comment minimiser ce risque, en réalisant qu’ils ont tout juste un peu plus d’un an pour le faire, la loi devenant applicable à la fin du mois de mai 2018. La portée de cet effort est énorme, car il recoupe des phases d’inventaire et d’audit, la gouvernance des données et la gestion des risques, l’examen des clauses contractuelles, les pratiques de développement d’applications, les politiques de protection des données et de l’infrastructure, les capacités de détection et de réponse.

Au-delà de la menace financière, le régulateur européen vise à favoriser la prise de conscience collective concernant la confidentialité des données, incitant les organisations à améliorer leurs pratiques en matière de collecte, de traitement, de retrait et de sécurisation des données personnelles des citoyens de l’UE. À l’aube du Big Data et de l’Intelligence Artificielle, la philosophie sous-jacente du RGPD nécessite des ajustements importants dans la façon dont les applications sont conçues, mises en production et sécurisées.

Les développeurs d’applications doivent intégrer un nouvel ensemble d’exigences, couvrant la gestion du consentement, la minimisation et la pseudonymisation des données, et la possibilité pour les personnes concernées d’exercer leurs nouveaux droits : accès, modification, suppression, droit à l’oubli, portabilité, information relative à l’utilisation de leurs données, y compris pour la notation et le profilage, et en cas d’incidents. La capacité de fournir des applications qui sont à la fois sécurisées dès leur conception et qui respectent la confidentialité des données nécessiteront des ajustements liés au processus de développement des applications. Les équipes de développement doivent maintenant documenter tous les traitements relatifs aux données personnelles, recueillir uniquement les données nécessaires à la prestation du service, pouvoir répondre positivement aux demandes des citoyens concernant leurs données, déployer des contrôles de sécurité capables de protéger l’infrastructure applicative et être capable d’alerter les autorités dans les 72 heures en cas de violation de données (ainsi que les personnes concernées dans certains cas).
Tout cela, en étroite collaboration avec le Responsable de la Sécurité des Systèmes d’Information et le Responsable de la Protection des Données, qui aura été nommé conformément à la nouvelle loi européenne. ITR Managerhttp://www.itrmanager.com/articles/169253/impact-rgpd-strategies-conception-securisation-applications-stephane-saint-albin-directeur-marketing-denyall.html

 

VI – Du concept à la pratique :

Protection des données : les choses sérieuses commencent ou, plutôt, continuent.

A – Exemple étranger : la Suisse

Le nouveau règlement européen en matière de protection des données renforce les droits des consommateurs et donne de nouveaux devoirs aux entreprises. Le nouveau cadre concerne aussi les sociétés suisses. Fini le traitement «à la cool» des données des clients : les entreprises vont devoir transformer leur gouvernance.  ICTjournal http://www.ictjournal.ch/articles/2017-06-02/protection-des-donnees-les-choses-serieuses-commencent

B – Kit de démarrage pour accélérer et simplifier la mise en place (sans omettre tous les précédents éléments/commentaires de ce billet) :

L’entrée en vigueur du Règlement général sur la protection des données (GDPR, ou General data protection regulation) en mai prochain modifie en profondeur la gestion et la conservation des données personnelles. A l’heure de la migration massive des données dans le cloud découvrez en détail les nouvelles obligations qui s’imposent aux entreprises, et les meilleures pratiques.

Les 7 étapes proposées :

1. Etes-vous prêts pour le RGPD ? Voici la check-list !
2. RGPD : pourquoi les entreprises sont-elles si réticentes ?
3. La réglementation sur les données personnelles, une histoire mouvementée.
4. Les 3 grands principes du RGPD
5. 5 grandes étapes pour se mettre en conformité au RGPD
6. Protection des données personnelles : Comment anticiper la réglementation GDPR ?
7. Réglementation RGPD: Computacenter et HPE innovent avec une offre de service conjointe

ZDNet http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm

 

Quelques lectures complémentaires :

Les collectivités se préparent au nouveau règlement général sur la protection des données

RAPPORT D’INFORMATION sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française

Data protection officer (DPO) : définition, formation et salaire

La fonction de DPO attise les convoitises et déclenche des luttes de pouvoirs dans les entreprises

Isabelle Falque-Pierrotin : « La période du chèque en blanc sur les données est terminée »

Trop de données « concurrentielles » en libre accès dans les entreprises

Règlement (UE) 2016/679 : la data compliance, un avantage compétitif pour les entreprises ?

Vers une certification européenne en matière de protection des données

Les nouvelles obligations des éditeurs de logiciels SaaS au regard du Règlement UE 2016/679 relatif à la protection des données à caractère personnel. — La cybercriminalité

La réforme des règles de protection des données personnelles : quels changements anticiper au sein de votre entreprise ?

Mise en évidence d’une menace : Attaque par phishing de compagnie aérienne

Étiquettes

aérien, agence de voyage, attaque, aviation, évaluation, billet électronique, compagnie, compagnie aérienne, courriel, courrier, Data, déplacement, documents, DOCX, e-mail, employés, emprunt d'identité, entreprise, fabrication, finance, flux, flux financiers, formation, integration, livraison, logistique, messagerie, multicouche, PDF, phishing, pièce jointe, prévention, protection, réseaux, sandbox, sécurité, sensibilisation, tests

Dans le même odre d’idée que le phishing vis-à-vis de flux financiers d’une entreprise à partir d’e-mail (mon précédent billet du 27/08/2017 ESCROQUERIE FINANCIÈRE PAR PHISHING : L’EXEMPLE D’UN CAS CONCRET DONT TIRER DES LEÇONS), vous trouverez ci-après un cas concret se rapportant à une compagnie d’aviation.

Après l’exécution de l’ Analyseur de menace de messagerie Barracuda sur des centaines de milliers de boîtes aux lettres à travers de nombreux clients, nous avons remarqué certaines attaques très créatifs et (malheureusement) très réussies. Une telle attaque est une nouvelle tournure sur un vieux email phishing. Nous avons vu cette attaque avec plusieurs de nos clients, notamment dans les industries qui s’occupent de fréquente livraison de biens ou de déplacements des employés, comme la logistique, d’expédition et de fabrication.

Lire la suite →

Data protection officer (DPO) : définition, formation et salaire

Étiquettes

administration, CIL, CNIL, conformité, conformité réglementaire, correspondant, Data, data protection officer, DPO, formation, France, informatique et liberté, obligations, qualification, règlementation, requalification, role, salaire

Le data protection officer sera obligatoire en France dans certaines entreprises le 25 mai 2018. Voici ce qu’il faut savoir sur son rôle, sa formation et son salaire.

D’ici le 25 mai 2018, les entreprises et les administrations qui utilisent des données à caractère personnel devront recourir aux services d’un data protection officer (DPO). Quel est son rôle et ses obligations ? Quelles sont les formations pour exercer ce métier ? Quel salaire peut espérer un data protection officer ? Soulignons qu’actuellement, il existe déjà dans certaines entreprises des correspondants informatique et libertés (CIL) qui font le lien entre la CNIL et les entreprises. Ils pourraient se voir requalifiés en data protection officer.

Lire la suite →

Big data, big money : qui profite de l’explosion des données ?

Étiquettes

analyse, architecture, Big Data, cohérence, contrôle, Data, déontologie, données, droit, Ethique, informations, législation, méthode, qualité, respect, système, système d'information

Les maîtres mots : éthique, déontologie, législation, contrôle et respect du droit.

Primordial avant toute initiation de projet : Recenser les données existantes, procéder à leur analyse et, surtout, s’assurer de l’existence d’une architecture cohérente tant en système d’information qu’en techniques informatives.

Nous en sommes certains : la data va révolutionner le monde, mais qui va vraiment en profiter ? En 2011, la société de conseil Gartner indiquait : « Les informations sont le pétrole du XXI^e siècle, et l’analytique en est le moteur à combustion ». Filant cette métaphore, chacun se pose légitimement la question de qui seront demain les tycoons de la donnée… Plus encore, quelles seront les méthodes des géants d’aujourd’hui et de demain : seront-elles, comme les géants du pétrole en leur temps, à la limite de la légalité ? Aura-t-on des marées noires de data ? Il y aura-t-il collusion avec nos politiques ?

Lire la suite →

Incendie dans le datacenter : histoires vraies de PRA(*) qui s’envolent en fumée

Étiquettes

accès, activité, alarme, alimentation, électricité, équipe, budget, catastrophe, clés, climatiseur, collaboration, Data, datacenter, désastre, détecteur, destruction, entreprises, erreurs, feu, finance, fumée, humain, incendie, incident, informatique, infrastructure, IT, onduleur, panne, PCA, personnel, plan de continuité de l'activité, plan de secours informatique, PRA, procédures, secours, services généraix, site de secours, température

(∗) PRA :  procédures de reprise d’activité.

La réponse à incident n’est plus

une option, c’est un impératif!

 

Cela a commencé par une alarme et s’est terminé en catastrophe : un incendie dans le datacenter a failli détruire toute une entreprise. Au bout du compte, la faiblesse de la conception et de mauvais choix budgétaires étaient en cause. http://www.lemagit.fr/etude/Incendie-dans-le-D∗atacenter-histoires-vraies-de-PRA-qui-senvolent-en-fumee

via Incendie dans le datacenter : histoires vraies de PRA qui s’envolent en fumée — La cybercriminalité

Les compétences et le rôle du data analyst, scientist, engineer et architecte data science

Étiquettes

audit interne, auditeur, base de données, conformité, contrôle, contrôle interne, contrôle périodique, contrôle permanent, Data, data analytique, data science, données, effcient, efficace, Gestion des risques, gouvernance, métier, périodique, permanent, processus, professionnel, qualité, risque opérationnel, Risques, statisticien, typologie

Ingénieur Data ou Scientifique Data ?

Il ne s’agit pas que d’un principe terminologique. La question se pose entre la nécessité de faire appel à un ingénieur data ou un scientifique data. Ou mieux encore entre un scientifique data et un statisticien data ?

Voici l’une des principales différences:

• ETL (Extract / Load / Transform) est destiné aux ingénieurs de données, ou parfois des architectes de données ou DBA
• DAD (Discover / Access / Distiller) est pour les scientifiques de données.

Parfois, les ingénieurs de données sont DAD, parfois les scientifiques de données sont ETL, mais c’est assez rare, et quand ils le sont, c’est purement interne (l’ingénieur de données faisant un peu d’analyse statistique pour optimiser certains processus de base de données, le scientifique de données faisant un peu de gestion de base de données pour gérer une petite base locale de données privée d’info résumée (non utilisé en mode habituelle de production, mais il y a des exceptions).

Laissez-moi vous expliquer ce que signifie DAD http://www.datasciencecentral.com/profiles/blogs/difference-between-data-engineers-and-data-scientists

L’extrait ci-dessus provient de mon billet du 30 janvier 2017 intitulé Big Data : nouvelle méthode marketing, nouvel or noir ou nouvelle approche des marchés et des projets ?  Big Data : nouvelle méthode marketing, nouvel or noir ou nouvelle approche des marchés et des projets ?

Pouvoir assurer sa gouvernance de la qualité de ses données, lui apporter la quiétude de l’existence d’une gestion des risques en adéquation avec son appétence aux risques, complétée par un système de contrôle interne efficient et efficace incluant une gestion pertinente de la conformité, impliquent que ces intervenants connaissent les rôles d’une team data et les compétences requises pour exercer ces nouveaux métiers.

Ce commentaire est encore plus fondé en termes de contrôle périodique, à savoir l’audit interne.

 

C’est pour ces motifs que je vous invite à prendre connaissance du billet cité ci-après.

Data scientist et data analyst sont sans doute les métiers les plus emblématiques du champ d’expertise « data ». Pour autant, il n’est pas toujours simple de comprendre les différences entre ces deux professionnels – et ne parler que de ces deux métiers est fortement réducteur. Pour mieux comprendre la typologie des métiers de la […]

via Les compétences et le rôle du data analyst, scientist, engineer et architecte data science — La cybercriminalité

 

Voici l’une des principales différences:

• ETL (Extract / Load / Transform) est destiné aux ingénieurs de données, ou parfois des architectes de données ou DBA
• DAD (Discover / Access / Distiller) est pour les scientifiques de données.

Parfois, les ingénieurs de données sont DAD, parfois les scientifiques de données sont ETL, mais c’est assez rare, et quand ils le sont, c’est purement interne (l’ingénieur de données faisant un peu d’analyse statistique pour optimiser certains processus de base de données, le scientifique de données faisant un peu de gestion de base de données pour gérer une petite base locale de données privée d’info résumée (non utilisé en mode habituelle de production, mais il y a des exceptions).

Laissez-moi vous expliquer ce que signifie DAD http://www.datasciencecentral.com/profiles/blogs/difference-between-data-engineers-and-data-scientists

Le pouvoir des données, bientôt sans contre pouvoir ?

Étiquettes

algorithme, établissements, base de données, CADA, cinfrontation, CNIL, Data, données, enjeux, gestion, gouvernement, identiication, infrastructure, jeu, légal, libéralisation, marchandisation, obligations, open data, ouverture, pouvoir, Public, règlementation, Risques, Sirène, société, technology

Le gouvernement a rendu public un jeu de données qui permet d’accéder aux 9 millions d’entreprises et 10 millions d’établissements actifs du répertoire Sirene de l’Insee. Quel est l’enjeu d’une telle ouverture et quels sont les risques identifiés ? Lire la suite →