Résilience du Controle Interne

~ « Venir ensemble est un commencement; rester ensemble est un progrès; travailler ensemble est un succès. (Henry Ford) »

Résilience du Controle Interne

Archives de Tag: démarche

En passant

L’idée de labélisation et de certification fait son chemin en Europe

24 dimanche Déc 2017

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Conformité, Contrôle Interne, Cyberactivité, Gestion des risques, Points de vue et Perspectives, Protection des données, R&D, Référentiels de risques

≈ 2 Commentaires

Étiquettes

Allemagne, BSI, certification, cybersécurité, démarche, Europe, France, informatique, IT, labélisation, marché unique, marché unique du numérique, numérique, PME, sécurité, sécurité informatique, solutions, stratégie

office-875693_1280

Il s’agit non seulement de fournir un label de confiance cohérent d’un bout à l’autre de l’Union Européenne pour les solutions de sécurité informatique, mais aussi d’imposer certaines bases de sécurité aux produits connectés grand public.

La stratégie de cybersécurité européenne doit être revue en septembre. C’est dans ce cadre, ainsi que dans celui du marché unique du numérique, que Bruxelles apparaît avancer vers une approche duale de labélisation et de certification. Andrus Ansip, vice-président de la Commission européenne, a eu l’occasion de l’évoquer à plusieurs reprises. https://t.co/tT2Y1tUR7z

via ILEX sur Twitter : « #Cybersécurité @ValeryMarchive @LeMagIT » https://mobile.twitter.com/ILEX_COM/status/907885319743262720

 

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

La CNIL ouvre les données de déclarations pour aider la préparation au GDPR

08 vendredi Sep 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Audit Interne, Conformité, Conformité, Cyberactivité, Formation (KM), Gestion des risques, Les référentiels, Protection données, Repère

≈ 2 Commentaires

Étiquettes

AFCDP, archive, audit, autorités, études, base de données, CIL, CNIL, conformité, contrôle, CSV, DA, Data, déclaration, démarche, DE, DN, DO, documentation, DPO, DR, DS, DT, entreprise, fichier, fichiers, formalités, GDPR, impact, open data, organisme, procédures, process, processus, protection, protection des données, responsabilisation, responsabilité, retraitement, RGPD, statistiques, tableur, téléchargement, traitement, transparence

database-1954920_1280

Nouvelle démarche open-data, la CNIL publie la liste intégrale des déclarations de traitements effectuées depuis 1979. La première cible, ce sont les entreprises déclarantes devant retrouver les déclarations les concernant pour se préparer au GDPR.

Cette semaine, la CNIL a publié en open-data la liste intégrale des formalités préalables accomplies auprès de la CNIL depuis 1979. Le site de l’autorité administrative indépendante propose en téléchargement une série de fichiers CSV aisés à exploiter dans un tableur ou une base de données, chaque fichier comprenant les déclarations des organismes dont les noms sont classés entre deux lettres de l’alphabet (de A à B, C, de D à F, etc.).

Chaque enregistrement intègre : la raison sociale du responsable du traitement, le nom du déclarant, l’adresse de l’organisme, la date de déclaration, la finalité du traitement, un identifiant et le type de déclaration (déclarations simplifiées (DS), déclarations ordinaires (DO), déclarations normales (DN), demandes d’avis (DA), demandes d’autorisation (DT), demandes d’autorisation recherches médicales (DR), demandes d’autorisation évaluation de pratiques de soins (DE)).
http://www.cio-online.com/actualites/lire-la-cnil-ouvre-les-donnees-de-declarations-pour-aider-la-preparation-au-gdpr-9665.html ou http://www.lemondeinformatique.fr/actualites/lire-la-cnil-aide-les-entreprises-a-se-conformer-a-gdpr-69211.html  Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

RGPD, le dossier pour tout comprendre

30 mercredi Août 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Audit Interne, Conformité, Contrôle Interne, Formation (KM), Gestion des risques, Les référentiels, Protection des données, Protection données, R&D, Repère

≈ 12 Commentaires

Étiquettes

action, AFCDP, ajustement, application, applications, audit, audit interne, éditeur, Big Data, calculer, certification, CIL, cloud, CNIL, collecte, conception, concurrence, confidentialité, conformité, correction, Data, définir, délégué, démarche, développeur, dirigeant, données, données personnelles, dormant, DPO, entreprise, Europe, flux, gestion, gouvernance, identification, informaticien, information, informatique, interfaces, inventaire, IT, juridique, loi, mesures, obligations, organisation, parties prenantes, portabilité, Président, privé, projet, protection, protection des données, Public, règlement, règlementation, réforme, régulateur, recommandations, RGPD, risque, sécurité, site, stockage, stratégie, technique, technology, tiers, traitement, transversalité, vie privée, violation, web

database-1954920_1280

I – Propos préliminaires :

La GDPR ou General Data Protection Regulation. Nous sommes en présence d’un sujet d’envergure et d’une réelle complexité que nous ne devons pas prendre à la légère.

C’est une réglementation européenne édictée en 2015 qui doit entrer en vigueur au 25 mai 2018, soit dans moins d’un an.

Toutes les entreprises ou plutôt toutes les organisations (le terme « entreprise » me paraît trop restrictif pour la compréhension de cette réglementation) quelles qu’elles soient (forme juridique, mode d’organisation, secteurs privé et public, type de clientèle, partenaires externes, collaborateurs internes…) y sont assujetties en termes de données personnelles.

Mais qu’est-ce qu’une donnée personnelle me direz-vous ? Il s’agit de toute composante d’information personnelle collectée, traitée et stockée dont l’utilisation peut directement ou indirectement identifier une personne.

Juridiquement, et socialement, chaque citoyen bénéficie d’un droit fondamental et inaliénable à la protection de sa vie privée et de ses données personnelles.

A cela, il convient d’ajouter la notion d’identification indirecte qui a également un intérêt majeur : si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers pourrait potentiellement le faire.

 

« Tout juriste et tout acteur de la conformité bénéficient d’une certaine dose d’humour et ils ne sont pas des êtres « froids » arcbouter sur les règlements (ou policies) :

« Un nouveau règlement européen (GDPR), à destination des entreprises, veut simplifier, harmoniser et renforcer la protection des données personnelles. » »

 

Que de décisions irrationnelles prises en ton nom! Que de catastrophes en cours ou à venir (liste non exhaustive) :

  1. Décider sans réfléchir et sans prendre en compte son organisation, devant cette nouvelle complexité, et se mettre immédiatement à la recherche de logiciels de conformité GDPR : il y a de fortes chances de n’arriver qu’à un gaspillage inutile de ressources.
  2. Parcourir cette nouvelle réglementation sans en chercher la « substantifique moelle », ainsi que les effets induits, annexes et indirects..
  3. Travailler sur ce sujet en petit comité, sans y inclure, à un moment donné, l’ensemble des collaborateurs de l’organisation.
  4. Traiter ce thème comme une action de sécurité informatique ou comme une action ne relevant que de l’agencement de bases de données, de référentiels…
  5. S’abstenir de patiquer un inventaire exhaustif des bases de données existantes, d’établir un document détaillé de leurs structures, de leurs composantes, de leurs fonctionnements et de leurs interférences. Absence de réalisation de missions d’audit interne en la matière et de recommandations appropriées sur l’existant.
  6. Négliger de prendre en compte les éventuels changements organisationnels rendus « nécessaires » par l’application d’un tel texte.
  7. Décider que votre organisation ne sera, de toute façon, jamais en totale conformité, et qu’il vaut mieux s’en remettre à une implantation de logiciel de conformité GDPR, éventuellement couplé ou non aux logiciels de conformité déjà présents dans l’organisation, et se reposer sur la compréhension du texte par l »éditeur retenu.
  8. Demeurer inactif et évoquer la complexité du texte en cas de contrôle tout en espérant échapper à toute amende.

 

Qu’elle démarche sera la plus appropriée ? Celle du bon sens :

A – Dans un premier temps :

  1. Connaître dans le moindre détail son organisation et son fonctionnement en termes de collecte, utilisation et archivage des données personnelles. Il doit être tenu compte également des accès et des flux entre parties prenantes au sein de l’entité comme vis-à-vis de ses partenaires/intervenants externes.
  2. S’assurer de la prise en compte réelle de toutes les données personnelles disponibles, y compris les « données dormantes« .
  3. En profiter, au passage, pour s’assurer de la bonne conformité de l’organisation actuelle sur ce sujet et relever les corrections éventuelles à pratiquer par la suite.

 

B – Dans un deuxième temps :

  1. Décrypter, c’est-à-dire saisir au plus près possible l’essence du texte réglementaire et ses diverses implications (travail à réaliser dans la transversalité). Si vous ne disposez pas d’assez de temps ou de personnel bénéficiant de compétences pointues sur ces sujets, recherchez un organisme de formation spécialisé en la matière (avec comme optique : compréhension [explication de texte théorique], mise en réalité [ateliers ou travaux pratiques concrets], échanges de réalités « terrain » et d’expériences [évoquer ses problématiques et apprendre des animateurs et des participants par rapport à sa propre organisation et ses spécificités éventuelles] et, surtout, retour de « l’appris » par les participants (débriefing) vers les différentes entités de l’organisation).
  2. Être en mesure de définir et de calculer les risques liés à la réglementation RGPD.
  3. Définir les écarts entre la « réalité » de votre organisation et les obligations réglementaires nouvelles , tout en tenant compte des « irrégularités » constatées (confère point A – Dans un premier temps).
  4. Apporter les mesures correctrices là où cela est nécessaire.

 

⇒ Au passage : Cette réglementation représente-t-elle une opportunité pour votre organisation et, de ce fait, un « avantage concurrentiel » ? Il n’y a que vous qui pouvez le déterminer. Celà peut être une possibilité de ne pas appliquer simplement des règles « administratives » et juridiques de plus, mais d’utiliser la mobilisation des différents collaborateurs pour affiner votre stratégie (par exemples dans le numérique,…).

Mais comment pratiquer concrètement ? En intégrant la protection des données dès la conception des projets https://www.lesechos.fr/idees-debats/cercle/cercle-165052-transformer-le-gdpr-en-avantage-concurrentiel-en-integrant-la-protection-des-donnees-des-la-conception-des-projets-2058160.php

C – Dans un troisième temps :

  1. Réfléchir et décider de la nécessité d’incorporer un logiciel de conformité RGPD.
  2. S’assurer que le logiciel RGPD est « agile« , c’est-à-dire qu’il pourra s’adapter aisément aux évolutions futures :
  • juridiques.
  • organisationnelles.
  • stratégiques.

 

⇒ Opinion : La GDPR, comme les autres éléments de la conformité, sont opérationnels, constants et censés représenter conformément la réglementation en vigueur. Mais compte tenu de la difficulté de « digestion »  et de la « lourdeur » de ce texte, tout comme l’absence de best practices officielles, nous amène à une situation particulière.

A savoir, pouvoir justifier auprès :

  • des autorités de contrôle d’avoir pris en considération les éléments principaux de cette nouvelle réglementation et ses déclinaisons, tout en démontrant la mise en place des process d’amélioration continue de façon à s’approcher au plus près de la volonté des législateurs européens et nationaux.
  • de nos clients, prospects et partenaires de la sécurité des données confiées et, par delà indirectement, de participer à la protection de leur réputation et de leur image de marque.

Cette partie de la conformité se situe entre le principe d’assurance, principe de base de l’audit interne, et le strict respect de la réglementation imparti à la fonction Conformité. Il faut donc s’approcher le plus possible du principe « d’accountabilty« .

II – Protection des données personnelles : de nouvelles obligations pour l’entreprise :

Première chose à savoir, le RGPD entérine le principe « d’accountability ». Difficilement traduisible, cela signifie concrètement que l’entreprise doit mettre en place des mesures de protection des données appropriées et pouvoir, si la Cnil le lui demande, être en mesure de prouver qu’elle respecte bien le règlement. Les déclarations à la Cnil sont supprimées, tout comme les demandes d’autorisation préalables (pour mettre en place une vidéo surveillance des salariés, par exemples). L’Express : http://google.com/newsstand/s/CBIw9pu4kzU

III – Etat des lieux :

2/3 des entreprises sont encore en phase de décryptage des nouvelles obligations

À moins d’un an de l’application du règlement européen sur la protection des données personnelles, plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR (General Data Protection Regulation). Et pour cause :  deux tiers pensent que le texte manque de clarté, selon une étude menée par le cabinet d’avocats international Bird & Bird.

Le sondage réalisé auprès d’un échantillon de 100 entreprises en mai dernier permet de tirer quelques enseignements sur le niveau de préparation des grandes entreprises (72 % des répondants) et les difficultés qu’elles peuvent rencontrer à mettre en pratique la nouvelle législation.

Plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR et plus inquiétant, pas moins de 53 % des sondés estiment qu’ils ne seront pas en mesure d’appliquer le texte dans son intégralité d’ici l’échéance du 25 mai 2018. Pourquoi ? Deux tiers des sondés pensent que le texte manque de clarté en particulier sur le droit à la limitation du traitement, le droit à la portabilité des données, l’obligation de privacy by design ou encore l’intégration des nouveaux droits des personnes, et que l’application du GDPR nécessitera l’assistance d’un conseil externe. Solutions numériqueshttp://www.solutions-numeriques.com/reglement-europeen-sur-la-protection-des-donnees-23-des-entreprises-sont-encore-en-phase-de-decryptage-des-nouvelles-obligations/?utm_source=Sociallymap&utm_medium=Sociallymap&utm_campaign=Sociallymap

IV – Les principes fondamentaux :

A – Nouveautés et difficultés à déterminer la notion de « risque élevé » :

Une des nouveautés absolues du Règlement général sur la protection des données, qui entre pleinement en vigueur le 25 mai 2018, ce sont les fameuses études d’impact placées sous l’entière responsabilité des responsables des traitements de données personnelles, autrement dit les chefs d’entreprises, présidents d’associations et autres dirigeants de structures publiques. Les Infostratègeshttp://www.les-infostrateges.com/actu/17072402/les-etudes-d-impact-nouveaute-du-reglement-general-sur-la-protection-des-donnees-rgpd

B – Les 16 concepts fondamentaux impactant fortement les stratégies de l’entreprise (selon Joseph Triquell – août 2017 : AroundRisk-IT) :

…

… il impactera fortement toute l’entreprise (chef d’entreprise, responsables de la conformité et de la sécurité, cadres, informaticiens jusqu’au développeur même …) et ses principales stratégies : conformité et sécurité juridique, capital immatériel, gouvernance des données et du système d’information, transformation numérique, gestion des risques et sécurité de l’information, veille stratégique et technologique, droits et devoirs des acteurs face au SI …

Vous pourrez le constater à la lecture des concepts fondamentaux (synthèse in fine) développés par ce règlement. Chefs d’entreprises, informaticiens, juristes, vous pouvez aisément imaginer ce que chacun de ces concepts impose en mesures techniques, organisationnelles, juridiques dans l’entreprise pour une mise en conformité !

Ces acteurs pourront s’appuyer sur un chef d’orchestre (qui sera désigné dans l’entreprise ou en externe): le délégué à la protection des données, un « ancien » CIL (« correspondant à la protection des données ») renforcé. Il semble utile de rappeler que cette exigence exprimée dans le RGPD peut être satisfaite même par des personnes dépourvues de diplôme en droit. Les associations européennes de DPO http://www.afcdp.net/Les-associations-europeennes-de  lancent un appel pour éviter que la profession ne se sclérose sur les seuls profils juridiques ( les actuels CIL sont en majorité des informaticiens en France et Allemagne).

Véritable opportunité également pour l’informaticien de renforcer son évident rôle transverse et stratégique dans l’entreprise.

  • 1.       Traitement licite, loyal, transparent (nécessaire, bien argumenté, consenti clairement)
  • 2.       Finalités déterminées, fixes, explicites et légitimes
  • 3.       Traitement sécurisé (mesures techniques, organisationnelles, juridiques / dispositif d’alerte, de gestion d’incident  et dispositif de notification (dans les 72H) des violations à la CNIL et aux personnes concernées)
  • 4.       Traitement particulier (règles) des données des mineurs de 16 ans
  • 5.       Données exactes, tenues à jour, adéquates, pertinentes et limitées (minimisation des données)
  • 6.       Durée de conservation adaptée aux finalités
  • 7.       Respect du droit d’opposition, d’accès, de rectification, d’effacement (« droit à l’oubli ») de la personne concernée
  • 8.       Respect du droit à la portabilité des données
  • 9.       Co-responsabilité des sous-traitants
  • 10.   Accountability (obligation de démontrer la conformité à tout moment), « délégué à la protection des données » (ou DPO (Digital Protection Officer), registre des activités (inventaire, cartographie), documentation interne argumentée et coopération avec la CNIL
  • 11.   Privacy by design (argumentaire/documentation sur les projets de traitement) : Garantie que la protection des données personnelles est assurée dès la conception des applications, sites Web et autres systèmes IT
  • 12.   Privacy by default : Garantie apportée lorsque les mesures de sécurisation sont intégrées nativement dans le service.
  • 13.   Analyse d’impact  sur la vie privée (analyse et gestion des risques préalables à certains traitements de données)
  • 14.   Codes de conduite et certification (Accompagnement, labels, référentiels utiles aux entreprises)
  • 15.   Transfert des données vers des pays tiers – Privacy shield
  • 16.   Sanctions renforcées

AroundRisk-IT RGDP – GDPR : 16 concepts fondamentaux qui impactent fortement toutes les stratégies de l’entreprise …

C – Vous avez besoin d’arguments synthétiques pour convaincre votre COMEX :

Le futur règlement européen sur les données privées est simple dans l’esprit, mais beaucoup plus subtile dans son application. A tel point que beaucoup de Comités de Direction ne sont pas sensibilisés. Voici 10 mots clefs pour y remédier. LeMagIT http://www.lemagit.fr/conseil/Les-103-mots-clefs-pour-expliquer-le-GDPR-a-un-Comex?utm_content=buffer825d0&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

V – L’impact de cette réglementation sur la conception et la sécurisation des applications, sites Web et autres systèmes IT  :

Ce n’est pas surprenant si l’on considère les conséquences financières pour toute organisation qui n’arriverait pas à démontrer sa conformité : une amende pouvant aller jusqu’à 20 M € ou 4% des revenus (le montant le plus élevé sera retenu). Ces conséquences financières ont attiré l’attention de nombreux conseils d’administration à travers le monde. Désormais, les entreprises et leurs sous-traitants se précipitent pour savoir comment minimiser ce risque, en réalisant qu’ils ont tout juste un peu plus d’un an pour le faire, la loi devenant applicable à la fin du mois de mai 2018. La portée de cet effort est énorme, car il recoupe des phases d’inventaire et d’audit, la gouvernance des données et la gestion des risques, l’examen des clauses contractuelles, les pratiques de développement d’applications, les politiques de protection des données et de l’infrastructure, les capacités de détection et de réponse.

Au-delà de la menace financière, le régulateur européen vise à favoriser la prise de conscience collective concernant la confidentialité des données, incitant les organisations à améliorer leurs pratiques en matière de collecte, de traitement, de retrait et de sécurisation des données personnelles des citoyens de l’UE. À l’aube du Big Data et de l’Intelligence Artificielle, la philosophie sous-jacente du RGPD nécessite des ajustements importants dans la façon dont les applications sont conçues, mises en production et sécurisées.

Les développeurs d’applications doivent intégrer un nouvel ensemble d’exigences, couvrant la gestion du consentement, la minimisation et la pseudonymisation des données, et la possibilité pour les personnes concernées d’exercer leurs nouveaux droits : accès, modification, suppression, droit à l’oubli, portabilité, information relative à l’utilisation de leurs données, y compris pour la notation et le profilage, et en cas d’incidents. La capacité de fournir des applications qui sont à la fois sécurisées dès leur conception et qui respectent la confidentialité des données nécessiteront des ajustements liés au processus de développement des applications. Les équipes de développement doivent maintenant documenter tous les traitements relatifs aux données personnelles, recueillir uniquement les données nécessaires à la prestation du service, pouvoir répondre positivement aux demandes des citoyens concernant leurs données, déployer des contrôles de sécurité capables de protéger l’infrastructure applicative et être capable d’alerter les autorités dans les 72 heures en cas de violation de données (ainsi que les personnes concernées dans certains cas).
Tout cela, en étroite collaboration avec le Responsable de la Sécurité des Systèmes d’Information et le Responsable de la Protection des Données, qui aura été nommé conformément à la nouvelle loi européenne. ITR Managerhttp://www.itrmanager.com/articles/169253/impact-rgpd-strategies-conception-securisation-applications-stephane-saint-albin-directeur-marketing-denyall.html

 

VI – Du concept à la pratique :

Protection des données : les choses sérieuses commencent ou, plutôt, continuent.

A – Exemple étranger : la Suisse

Le nouveau règlement européen en matière de protection des données renforce les droits des consommateurs et donne de nouveaux devoirs aux entreprises. Le nouveau cadre concerne aussi les sociétés suisses. Fini le traitement «à la cool» des données des clients : les entreprises vont devoir transformer leur gouvernance.  ICTjournal http://www.ictjournal.ch/articles/2017-06-02/protection-des-donnees-les-choses-serieuses-commencent

B – Kit de démarrage pour accélérer et simplifier la mise en place (sans omettre tous les précédents éléments/commentaires de ce billet) :

L’entrée en vigueur du Règlement général sur la protection des données (GDPR, ou General data protection regulation) en mai prochain modifie en profondeur la gestion et la conservation des données personnelles. A l’heure de la migration massive des données dans le cloud découvrez en détail les nouvelles obligations qui s’imposent aux entreprises, et les meilleures pratiques.

Les 7 étapes proposées :

  1. Etes-vous prêts pour le RGPD ? Voici la check-list !
  2. RGPD : pourquoi les entreprises sont-elles si réticentes ?
  3. La réglementation sur les données personnelles, une histoire mouvementée.
  4. Les 3 grands principes du RGPD
  5. 5 grandes étapes pour se mettre en conformité au RGPD
  6. Protection des données personnelles : Comment anticiper la réglementation GDPR ?
  7. Réglementation RGPD: Computacenter et HPE innovent avec une offre de service conjointe

ZDNet http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm

 

Quelques lectures complémentaires :

Les collectivités se préparent au nouveau règlement général sur la protection des données

RAPPORT D’INFORMATION sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française

Data protection officer (DPO) : définition, formation et salaire

La fonction de DPO attise les convoitises et déclenche des luttes de pouvoirs dans les entreprises

Isabelle Falque-Pierrotin : « La période du chèque en blanc sur les données est terminée »

Trop de données « concurrentielles » en libre accès dans les entreprises

Règlement (UE) 2016/679 : la data compliance, un avantage compétitif pour les entreprises ?

Vers une certification européenne en matière de protection des données

Les nouvelles obligations des éditeurs de logiciels SaaS au regard du Règlement UE 2016/679 relatif à la protection des données à caractère personnel. — La cybercriminalité

La réforme des règles de protection des données personnelles : quels changements anticiper au sein de votre entreprise ?

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Les 5 piliers de la gouvernance de l’information

04 vendredi Août 2017

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Conformité, Contrôle Interne, Contrôle Interne, Formation (KM), Gestion des risques, Points de vue et Perspectives, Protection des données, R&D, Repère, Risques Opérationnels

≈ 2 Commentaires

Étiquettes

approche, atout, audit interne, collecte, composante, confidentialité, conformité, connexion, contrôle, contrôle interne, contrôle périodique, contrôle permanent, cybersécurité, décisionnel, délégation, démarche, dérivé, diffusion, disponibilité, données, efficacité, ERM, fax, finance, flux, flux informationnels, format, gestion, Gestion des risques, gestion intégrée, globalisation, gouvernance, humain, identification, IE, immatériel, impact, indépendance, information, intégrité, intelligence économique, levier d'efficacité, maîtrise, management, métiers, messagerie, mobilité, moyens, objectifs, opérationnel, outils, papier, parties prenantes, périodique, PCA, permanent, personnalisation, pilier, pilotage, PRA, prix, projet, propriété intellectuelle, protection, protection des données, protection des informations, PSI, règlementation, réduction, redondance, Risques, sauvegarde, sécurité, spécificités, stratégie, système, système d'information, systémique, technology, transmission, transversalité, valeur, vecteur, veille

crash-62281_1280

Le système d’information et ses « dérivés » (y compris les éléments accompagnant la mobilité), les messageries, le fax, le smartphone et assimilé, le papier, l’être humain sont des vecteurs des flux informationnels. La sécurité et le contrôle se focalisent sur ces éléments, tout comme la réglementation. A l’évidence, ils doivent être pris en compte, mais nous oublions souvent qu’il ne s’agit pas d’un risque premier. En effet, à ce stade nous parlons « d’outils » ou de « moyens ». Et ce, même lorsque nous intervenons en termes de cybersécurité.

La « matière première » de toute entité (privée et publique), outre les éléments participants à la conception de produits, est l’information au sens large, se décomposant en flux d’informations lors de sa transmission.

Si vous prenez le temps de consulter attentivement la figure représentative des cinq piliers de la gouvernance de l’information accompagnant le billet cité ci-après, vous constaterez qu’un de ces piliers est dénommé « Risque ». Ce dernier est défini comme suit: « Elle couvre les données comme les documents. Elle s’affranchit des formats en se concentrant sur l’information que les métiers utilisent ».

Ces constats démontrent la nécessité de la mise en place d’une gestion transversale des risques au sein de toute entité, tout en tenant compte des spécificités informationnelles attachées à certains métiers et à certaines fonctions demandant des actions personnalisées, au lieu de se focaliser uniquement, ou de manière plus importante, sur les accès au sens large.

L’intérêt d’une démarche globale est de distinguer les interactions d’un risque à l’autre au sein d’une entité comme en-dehors de celle-ci.

La maîtrise de l’information se réalise grâce à cinq actions :

  1. L’identification des besoins.
  2. La veille informationnelle.
  3. La collecte des informations.
  4. La protection et la sauvegarde.
  5. La diffusion de l’information.

La maîtrise de l’information est le préalable incontournable de la gestion des risques.

Ce dernier commentaire s’applique de la même manière à l’intelligence économique (IE), bien que la vision de l’entreprise en soit différente. Il a d’ailleurs été constaté une redondance dans les travaux pratiqués par les fonctions dédiées à l’intelligence économique et au risk-management en termes de gestion de l’information.

Le contrôle interne intervient pour partie dans la réduction d’exposition aux risques retenus.  Une confusion peut provenir du fait que certains risk-managers se voient confier la responsabilité du contrôle interne, des assurances et, parfois, de l’audit interne. Ceci est un autre débat en termes d’indépendance et de délégation.

Nous venons de parler de la réduction du risque, mais quels sont les véritables connexions entre le management de l’information et le contrôle interne?

Les informations numériques et les documents (informatisés ou non) traitant :

  1. de la stratégie,
  2. de la propriété intellectuelle,
  3. des finances,
  4. des projets transversaux incluant des parties prenantes,

sont principalement concernés.

 

“Les connexions, ou plutôt les interactions, se situent principalement au niveau du trio permanent

Risques – Conformité – Contrôle Interne

auquel il faut joindre la touche périodique complémentaire, à  savoir

l’Audit Interne”

 

La 1ère connexion est à la fois réglementaire et organisationnelle : les principaux acteurs en sont la Conformité, le management et les opérationnels. Il s’agit de :

  • Confidentialité : respect des règles de protection de la clientèle (Loi informatique et libertés, CNIL…) : la collecte d’informations personnelles nécessite l’accord de la personne ou de la structure intéressée
  • Structuration des données et continuité d’activité (PCA/PRA) afin d’éviter :
  1.  Une forte augmentation du volume d’informations, mais une baisse de la qualité des données
  2. Un tri nécessaire et une  identification des données sensibles, impliquant des changements organisationnels.
  • Protection des données (les données sont les composantes des informations et, par delà, des flux d’informations) .

 

La 2ème connexion est le management des risques (selon le principe  ERM), interdépendant du contrôle interne. Les principaux acteurs en sont le gestionnaire des risques et le management. Nous devons nous interroger à ce sujet si nous avons intérêt à nous diriger vers une gestion intégrée de tous les risques dans un système unique ? Prenons-nous en compte et utilisons-nous suffisamment le  principe du « retour d’expérience » ? Une réalité est à retenir : un impact dommageable = un objectif compromis. 

 

 La 3ème connexion est l‘incorporation des éléments de contrôle interne (contrôle permanent) dans les processus et les procédures internes à l’entité, y compris ceux liés à l’information. A ce sujet, ne devrions-nous pas évoluer de l’individuel au collectif (cette notion ou ce concept sera l’objet d’un billet spécifique) ? Les principaux acteurs en sont le management et les opérationnels. Le contrôle interne n’est pas une simple contrainte ou « posture » réglementaire, voire une « modeste » assurance que « tout est sous contrôle », il doit être considéré comme un levier d’efficacité. En osant extrapoler, le contrôle interne peut se transformer en un des atouts stratégiques offert à la gouvernance au travers du pilotage de l’entité. Ce qui implique d’évoluer d’une démarche interne vers une approche systémique.

 

La 4ème connexion est le contrôle périodique, l’audit interne, qui ne doit pas seulement se focaliser sur la protection physique (cybersécurité…).

 

“Disponibilité – Intégrité – Confidentialité” 

 

En définitive, qu’apporte ce billet en dehors de ce qui est déjà énoncé précédemment ?

La combinaison et la coordination des trois axes suivants :

  1. Disponibilité.
  2. Intégrité.
  3. Confidentialité.

sont le fondement d’un système de protection de l’information.

Outre son utilité en termes de stratégie et de décisionnel, l’information n’a pas qu’une valeur immatérielle, mais également un « prix » intrinsèque.

 

Depuis quelques années la notion de flux Information est de plus en plus considérée comme étant un domaine à regarder attentivement.

Seulement voilà, l’information, ce n’est pas simple à appréhender, elle a un cycle de vie et porte des caractéristiques souvent très changeantes. Des fois sensible, des fois engageante, des fois futile, des fois personnelle, … .

Alors lorsque que l’on commence à parler de mieux maîtriser cette information, cela devient vite comme certaines frites, on en parle beaucoup, et on en mange beaucoup moins. Non pas que je veuille pousser à la consommation de pommes de terre, mais c’est important de plonger sérieusement dans ce qui donnera demain, à nos entreprises des moyens d’évoluer plus vite que d’autres.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Appel à commentaires : Intégrer la sécurité numérique dans une démarche Agile | Agence nationale de la sécurité des systèmes d’information

29 samedi Juil 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Contrôle Interne, Cyberactivité, Gestion des risques, Les référentiels, Protection des données, R&D, R&D, Risques

≈ 3 Commentaires

Étiquettes

agile, ANSSI, attaque, étape, built, certification, chef de projet, concepteur, conception, démarche, dématérialisation, développement, développeur, environnement, exploitant, guide, incrémentation, interconnexion, itération, maîtrise d'oeuvre, maîtrise d'ouvrage, management, numérique, outil, privé, producteur, production, projet, Public, réalisation, RSSI, run, sécurité, SI, sprint, système d'information, vulnérabilité

students-36511_1280

Les modes d’attaques évoluent et exploitent des vulnérabilités présentes nativement ou structurellement dans les systèmes ou au sein de leurs environnements. Des risques encore accrus par la dématérialisation mais aussi par l’interconnexion de l’information et des usages. Pour répondre à ces enjeux, le management des risques lors de la gestion de projet doit évoluer.

Dans le cycle de vie d’un système d’information, c’est dès le stade du projet, souvent développés selon une démarche Agile, que la sécurité se joue. L’approche Agile est une méthode de pilotage et de réalisation de projets qui se caractérise par un mode de développement :

  • à la fois itératif, incrémental et adaptatif, où le système se construit dans le temps au travers d’étapes de développements successives (« sprints ») ;
  • intégré, la conception (« built ») et la mise en production (« run ») étant regroupées à chaque « sprint ».

Les enjeux de management des risques numériques et d’homologation de sécurité doivent s’intégrer dans ce schéma, sans concession, au même titre que pour les systèmes développés selon un cycle en V.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Comment SoLocal fait face à la loi Sapin II

14 vendredi Juil 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Contrôle Interne, Fraude, R&D

≈ Poster un commentaire

Étiquettes

applications, conformité, corruption, démarche, fraude, groupe, loi, loi Sapin2, Sapin, travaux

lawyer-28782_1280

L’ex-PagesJaunes a choisi d’intégrer ses travaux pour la loi Sapin II à une démarche globale sur la fraude en général. La raison ? Le groupe est bien davantage confronté à un risquede conformité que de corruption.

Le 1 er  juin, date de l’entrée en application de la loi Sapin II, est derrière nous. Pourtant, chez SoLocal comme dans de nombreux groupes, la donne en matière de lutte contre la corruption…

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Pour une nouvelle gouvernance d’entreprise

21 vendredi Avr 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Conformité, Points de vue et Perspectives, R&D

≈ 1 Commentaire

Étiquettes

anticorruption, compliance, contrôle interne, corruption, démarche, defense, dialogue, entreprise, gouvernance, juridique, juriste, loi Sapin2, mesures, opérationnels, prévention, problématique, Sapin II

comic-characters-2025788_1280

 

Le juriste d’entreprise, acteur incontournable dans la démarche de compliance  Arnaud Dumourier | Pulse | LinkedIn

Sa connaissance de l’organisation et des acteurs, sa capacité à parler le même langage que le contrôle interne et à dialoguer avec les opérationnels font du juriste d’entreprise un acteur au cœur de la démarche de prévention et de défense des intérêts de l’entreprise.

La plénière de Campus 2016 qui s’est déroulée vendredi 25 novembre 2016 était consacrée à la gouvernance d’entreprise et le rôle du juriste d’entreprise dans la nouvelle gouvernance d’entreprise à l’aune de la loi Sapin 2.

> Une gouvernance d’entreprise plus éthique.

> Quelles relations entre gouvernance et compliance ?

> Le juriste d’entreprise est au cœur de la démarche de prévention et de défense des intérêts de l’entreprise.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Pas à pas, les entreprises françaises adoptent le rapport intégré

09 dimanche Avr 2017

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Conformité, Formation (KM), Les référentiels, R&D

≈ 2 Commentaires

Étiquettes

analystes, audit interne, démarche, entreprise, information, investisseurs, rapport, rapport intégré, société

group-1962592_1280

Après un temps d’observation, une vingtaine de sociétés hexagonales se sont lancées dans une démarche d’intégration. Mais les investisseurs et analystes réclament quelques ajustements pour être pleinement convaincus.

En 2013, aucune entreprise française n’avait jugé bon de publier un rapport intégré (voir définition ci-dessous). Cinq en 2015, une seule – Engie –… Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Le contrôle interne comptable et financier à l’hôpital

30 jeudi Mar 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Contrôle Interne, Secteur public

≈ 2 Commentaires

Étiquettes

amélioration, certification, comptabilité, comptes, contrainte, contrôle, contrôle interne, démarche, déploiement, finance, financement, gestion, gestionnaire, gouvernance, hôpital, levier, métier, obligation, optimisation, process, processus, processus Métier, sécurisation

health-1628372_1280

Le contrôle interne se développe désormais à l’Hôpital. Les différentes réformes de gouvernance et de financement qu’a connu le secteur hospitalier, les tensions financières récurrentes qu’il vit au quotidien et la certification des comptes, constituent aujourd’hui un terreau favorable à son développement. Dans ce contexte, il s’agit de faire adopter le contrôle interne par les gestionnaires de l’Hôpital, comme un levier d’amélioration, de sécurisation et d’optimisation de leurs processus de gestion, et non comme une contrainte ou une obligation. Il vient compléter les démarches existantes en matière de gestion des risques, pour parachever le déploiement d’un système de management global des risques couvrant aussi bien les processus  » métier « , que de gestion.

Claude-Anne Doussot-Laynaud et Nicolas Gasnier-Duparc – Presses de l’EHESP – Décembre 2016 http://www.finances-hospitalieres.fr/controle-interne-comptable-financier-hopital_679D56873F7CBD.html

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

L’UQTR mène des travaux novateurs sur la gestion des risques dans les PME

28 mercredi Déc 2016

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Contrôle Interne, Gestion des risques, Points de vue et Perspectives, R&D, R&D, Risques Opérationnels

≈ 1 Commentaire

Étiquettes

assurance, chercheur, collaboration, démarche, efficacité, efficience, entreprise, ETI, exportation, gestion, Gestion des risques, identification, interactivité, maîtrise, maîtrise des risques, organisme, organisme de recherche, partenariat, PME, recherche, risk-management, risque, sécurité, sécurité informatique, université

american-football-1453372_1280

En France, la gestion des risques en TPE et PME est traitée par l’AFNOR, en termes de norme « Maîtrise des risques dans les PME », par les DAF (confère Daf-Mag) ou par les compagnies d’assurance (confère argus de l’assurance).

Ces deux derniers considèrent malgré tout qu’il reste encore beaucoup de chemin à parcourir et qu’il s’agit d’un chantier considérable. C’est aussi le cas des entreprises à taille intermédiaire (ETI).

TPE et PME sont des acteurs méconnus de la recherche en France.

Le Canada et, plus particulièrement l’INRPME et l’UQTR, ne seraient-ils pas un exemple à suivre?

Ne serait-ce pas plus efficace et efficient pour la France de créer et d’alimenter une collaboration interactive chercheurs-professeurs d’université-acteurs de TPE/PME?

En collaboration avec les entreprises

Des membres de l’Institut de recherche sur les PME (INRPME) de l’Université du Québec à Trois-Rivières (UQTR) mènent actuellement des travaux en collaboration avec de petites et moyennes entreprises, pour améliorer les connaissances – encore insuffisantes – sur le processus de gestion des risques dans les PME.

Évoluant dans un environnement d’affaires de plus en plus complexe et incertain, les dirigeants de PME sont plus exposés à différents risques stratégiques et opérationnels, ainsi qu’au stress pouvant affecter leur état de santé et la qualité de leurs décisions. Peu de recherches ayant été menées sur cette thématique, il importe d’en explorer les différents aspects afin de mieux outiller les gestionnaires et favoriser la performance et la croissance des petites et moyennes entreprises.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…
← Articles Précédents

Souscrire

  • Articles (RSS)
  • Commentaires (RSS)

Archives

  • août 2019
  • juillet 2019
  • juin 2019
  • mai 2019
  • avril 2019
  • mars 2019
  • février 2019
  • janvier 2019
  • décembre 2018
  • novembre 2018
  • octobre 2018
  • septembre 2018
  • août 2018
  • juillet 2018
  • juin 2018
  • avril 2018
  • mars 2018
  • février 2018
  • janvier 2018
  • décembre 2017
  • octobre 2017
  • septembre 2017
  • août 2017
  • juillet 2017
  • juin 2017
  • mai 2017
  • avril 2017
  • mars 2017
  • janvier 2017
  • décembre 2016
  • novembre 2016
  • octobre 2016
  • septembre 2016
  • août 2016
  • juillet 2016
  • juin 2016
  • mai 2016
  • avril 2016
  • mars 2016
  • février 2016
  • janvier 2016
  • décembre 2015
  • novembre 2015
  • octobre 2015

Catégories

  • A propos
  • Audit Interne
    • Actualités
    • Ethique
    • Référentiels de risques
    • Repère
    • Secteur Public
  • Confidentiel…qui ne l'est plus
  • Conformité
    • Actualités
    • Ethique
      • Best Practices
    • Fraude
    • Lutte contre le blanchiment des capitaux et le financement du terrorisme
    • Plan de Continuité de l'Activité (PCA)
    • Protection des données
    • R&D
  • Contrôle Interne
    • Actualités
    • R&D
    • Secteur public
  • Formation (KM)
    • Actualités
    • Conférences intéressantes
    • Contrôle Interne
    • Gestion des risques
    • Protection données
    • R&D
    • Sécurité
    • Terminologie
  • Gestion des risques
    • Actualités
    • Continuité de l'activité (PCA)
    • Cyberactivité
    • Public
    • R&D
    • Risques Opérationnels
  • Intelligence artificielle
  • Les référentiels
    • Audit Interne
    • Conformité
    • Contrôle Interne
    • ISO
    • Réglementations
    • Risques
  • Mes communications
  • Mes curations
    • Mes magazines professionnels personnels
  • Non classé
  • Points de vue et Perspectives

Méta

  • Inscription
  • Connexion

L’auteur

Belin Olivier Consultant (B.O.C.)

Belin Olivier Consultant (B.O.C.)

COSO, COSO II et COSO III, Contrôle Interne, AMF 2007-2008, Fraude, PCA, Conformité, AFCDP, Intelligence Economique, KM, Ingénierie de formation, Web2.0 http://www.belin-olivier.branded.me http://fr.linkedin.com/in/olivierbelin Paris Vous souhaitez échanger sur des sujets de ce blog, ou me rencontrer, n’hésitez pas à me contacter.

Liens Personnels

  • Mon Portfolio professionnel

Services Vérifiés

Afficher le Profil Complet →

Entrez votre adresse mail pour suivre ce blog et être notifié(e) par email des nouvelles publications.

Rejoignez 2 023 autres abonnés

Mots-clés

analyse ANSSI assurance attaque audit audit interne banque banques blanchiment de capitaux CIL CNIL compliance conformité conformité réglementaire contrôle contrôle interne contrôle permanent corruption cyber-attaque cyberattaque cybersécurité Data dispositif données données personnelles DPO DSI entreprise entreprises Ethique ETI Europe finance formation France fraude gestion Gestion des risques gouvernance hacker information informations informatique Internet juridique loi management normes numérique organisation outils PME processus procédures protection protection des données protection des informations prévention Public ransomware RGPD risk-management risque Risques règlementation règles sensibilisation stratégie système système d'information sécurité sécurité informatique technologie technology transparence
Follow Résilience du Controle Interne on WordPress.com

Créez un site Web ou un blog gratuitement sur WordPress.com.

Annuler
loading Annuler
L'article n'a pas été envoyé - Vérifiez vos adresses email !
La vérification e-mail a échoué, veuillez réessayer
Impossible de partager les articles de votre blog par email.
Confidentialité & Cookies : Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez leur utilisation.
Pour en savoir davantage, y compris comment contrôler les cookies, voir : Politique relative aux cookies
%d blogueurs aiment cette page :