Résilience du Controle Interne

~ « Venir ensemble est un commencement; rester ensemble est un progrès; travailler ensemble est un succès. (Henry Ford) »

Résilience du Controle Interne

Archives de Tag: violation

Les hôtels Marriott touchés par un piratage massif, 500 millions de clients concernés

04 mardi Déc 2018

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Conformité, Contrôle Interne, Cyberactivité, Gestion des risques, Points de vue et Perspectives, Protection des données, R&D, Repère

≈ 1 Commentaire

Étiquettes

banque, carte bancaire, CB, cryptologie, données personnelles, données sensibles, fusion-acquisition, groupe, hotel, informations, informatique, logiciels, Marriott, piratage, pirates informatiques, réservation, RGPD, sécurité, violation

Présentation de plusieurs points de vue, à titre de sensibilisation, démontrant que rien n’est simple en matière de protection des données.

Vous participez à une opération de fusion-acquisition ? Assurez-vous que les systèmes et outils informatiques que vous conserverez, que vous utiliserez de manière indépendante ou que vous interfacerez avec vos propres systèmes , n’auront pas, d’une part, fait l’objet de violations et, d’autre part, qu’il est mis en oeuvre toutes les sécurités nécessaires tant vis-à-vis de l’interne que de l’externe. 

The full scope of the failure was not immediately clear. Marriott was trying to determine if the records included duplicates, such as a single person staying multiple times.
The affected hotel brands were operated by Starwood before it was acquired by Marriott in 2016. They include W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Le Méridien and Four Points. Starwood-branded timeshare properties were also affected. None of the Marriott-branded chains were threatened.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Cyber : l’émergence des offres pour les PME et ETI

17 mardi Avr 2018

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Conformité, Cyberactivité, Formation (KM), Gestion des risques, Protection des données, Protection données

≈ Poster un commentaire

Étiquettes

AFCDP, assurance, assureur, audit, CNIL, conformité, contrainte, courtier, cybersécurité, déclaration, données, DPO, ETI, européen, ex-CIL, formation, gestion, gestion de crise, identification, notification, piratage, PME, prévention, protection, protection des données, règlementation, RGPD, sécurisation, scénarios, sensibilisation, TPE, violation, vol, vulnérabilité

cyber-security-1914950_1280

 

Contraintes par le durcissement de la réglementation sur la protection des données et par des tentatives de piratage de plus en plus fréquentes, les petites entreprises sont en demande d’un accompagnement global. Des offres spécifiques qui intègrent un volet prévention et gestion de crise voient le jour.
Piratages, vols de données, défaillances informatiques, 80% des PME ont fait objet d’une tentative de cyberattaque en 2016, selon le rapport de Symantec Internet Security. Par ailleurs, le Règlement européen sur la protection des données (RGPD) qui entrera en vigueur le 25 mai oblige les entreprises de toutes tailles à renforcer la protection des données personnelles. Les entreprises victimes d’une attaque auront l’obligation de notifier toute violation de données à caractère personnel auprès de la CNIL dans un délai de 72 heures et cela conduira les entreprises sinistrées à souscrire une couverture cyber.
Surfant sur la vague de RGPD et de la cybercriminalité, des offres cyber spécifiquement conçues pour les TPE-PME émergent. Assureurs et courtiers s’associent avec des sociétés spécialisées pour proposer des services de gestion de crise et de mise en conformité.

https://www.bing.com/cr?IG=E6F50A94CA544BD9ACBD5EE25B74404C&CID=03BF7B5963946E770843708962556F60&rd=1&h=eoqhbATbohDPw4Uddt_-Gae2XOGQWQtseTo3cyT8Xf0&v=1&r=https%3a%2f%2fwww.newsassurancespro.com%2fcyber-lemergence-offres-pme-eti%2f0169511281&p=DevEx,5031.1

 

A consulter également :

Les données personnelles en entreprise : Le délégué à la protection des données comme garant de leur sécurité

Cybersécurité : gare à l’illusion de sécurité !

« Il ne faut pas voir le RGPD comme un couperet en 2018 », Isabelle Falque-Pierrotin

Protection des données – Des règles plus adaptées pour les petites entreprises

Les atteintes aux données ne sont pas nécessairement dues aux cybercriminels

RGPD, le dossier pour tout comprendre

 

 

 

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Cloud : cinq conseils pour réussir un projet de gouvernance des identités

14 dimanche Jan 2018

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Conformité, Contrôle Interne, Cyberactivité, Gestion des risques, Points de vue et Perspectives, Protection des données, R&D, Repère

≈ 3 Commentaires

Étiquettes

accès, autorisation, évaluation, base, cloud, configuration, décision, données, droits, entreprise, gestion, gouvernance, identification, identité, information, organisation, prévention, projet, protection, salarié, sécurité, SI, solution, système, système d'information, TCO, technologie, utilisateurs, violation

grid-1511498_1280

A l’heure ou 3 entreprises sur 5 s’attendent à subir une violation des données dans les mois à venir, la sécurité des données en entreprise est devenue plus qu’une priorité.

Dans un objectif d’une meilleure gouvernance des entreprises, l’accent est mis sur la traçabilité des décisions prises par les salariés de l’entreprise et donc, par extension, sur les droits et autorisations donnés aux utilisateurs du Système d’Information (SI). Dans ce contexte, la gestion des identités et des accès (IAM, Identity and Access Management) est un élément clé de sécurisation du SI. Si votre entreprise envisage de transférer des technologies critiques telles que la gestion des identités dans le cloud, certains facteurs sont à prendre en considération, comme l’évaluation et la sélection de la solution optimale de gouvernance pour votre organisation.

Etape n° 1 : identifier vos besoins en IAM d’un point de vue global

…

Etape n° 2 : préparer les bases du projet de gouvernance

…

Etape n° 3 : des solutions ouvertes et extensibles

…

Etape n° 4 : configurer plutôt que personnaliser

…

Etape n° 5 : s’assurer que la solution réduira vraiment le TCO

…

…

http://www.economiematin.fr/news-cloud-cinq-conseils-pour-reussir-un-projet-de-gouvernance-des-identites via News Suite bit.ly/newssuiteapp

 

A consulter également :

Les entreprises françaises peinent à se conformer aux dernières règlementations en matière de protection des données

Les DSI écartelés entre technologies et métier – Le Monde Informatique

Le Big Data dans un grand groupe : des chantiers gigantesques et interminables

Sécurité : 10 technologies à surveiller de près

Les organisations sont toujours plus nombreuses à adopter une architecture reposant sur le cloud, et les mesures de sécurité traditionnelles ne suffisent plus.

SECNUMCLOUD – LA NOUVELLE RÉFÉRENCE POUR LES PRESTATAIRES D’INFORMATIQUE EN NUAGE DE CONFIANCE

35 Technology Terms Every Entrepreneur Should Know

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Les entreprises françaises peinent à se conformer aux dernières règlementations en matière de protection des données

14 jeudi Déc 2017

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Conformité, Cyberactivité, Gestion des risques, Points de vue et Perspectives, Protection des données, Repère

≈ 2 Commentaires

Étiquettes

chiffrage, chiffrement, cloud, confidentialité, conformité, cryptage, cyberarmes, cybersécurité, datacenter, données, données sensibles, enquête, entreprise, faille, informatique, menaces, migration, normes, notification, protection, Public, règlementation, RGPD, RSSI, sauvegarde, sécurité, système, UE, violation

security-2168234_1280

Les RSSI craignent les failles de sécurité dans le cloud public, mais seule une entreprise sur six chiffre toutes ses données. Selon une récente étude de Bitdefender neuf professionnels de l’informatique sur dix se disent inquiets de la sécurité dans le cloud public, et près de 20 % d’entre eux n’ont pas déployé de système de sécurité pour les données sensibles stockées hors de l’infrastructure de l’entreprise. La moitié des personnes interrogées admet que la migration vers le cloud a significativement élargi le nombre de points qu’ils ont à défendre, tandis que seule une sur six chiffre les données déjà migrées.

Source : Global Security Mag Online http://www.globalsecuritymag.fr/Les-entreprises-francaises-peinent,20170928,74010.html via
News Suite bit.ly/newssuiteapp

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

RGPD, le dossier pour tout comprendre

30 mercredi Août 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Audit Interne, Conformité, Contrôle Interne, Formation (KM), Gestion des risques, Les référentiels, Protection des données, Protection données, R&D, Repère

≈ 12 Commentaires

Étiquettes

action, AFCDP, ajustement, application, applications, audit, audit interne, éditeur, Big Data, calculer, certification, CIL, cloud, CNIL, collecte, conception, concurrence, confidentialité, conformité, correction, Data, définir, délégué, démarche, développeur, dirigeant, données, données personnelles, dormant, DPO, entreprise, Europe, flux, gestion, gouvernance, identification, informaticien, information, informatique, interfaces, inventaire, IT, juridique, loi, mesures, obligations, organisation, parties prenantes, portabilité, Président, privé, projet, protection, protection des données, Public, règlement, règlementation, réforme, régulateur, recommandations, RGPD, risque, sécurité, site, stockage, stratégie, technique, technology, tiers, traitement, transversalité, vie privée, violation, web

database-1954920_1280

I – Propos préliminaires :

La GDPR ou General Data Protection Regulation. Nous sommes en présence d’un sujet d’envergure et d’une réelle complexité que nous ne devons pas prendre à la légère.

C’est une réglementation européenne édictée en 2015 qui doit entrer en vigueur au 25 mai 2018, soit dans moins d’un an.

Toutes les entreprises ou plutôt toutes les organisations (le terme « entreprise » me paraît trop restrictif pour la compréhension de cette réglementation) quelles qu’elles soient (forme juridique, mode d’organisation, secteurs privé et public, type de clientèle, partenaires externes, collaborateurs internes…) y sont assujetties en termes de données personnelles.

Mais qu’est-ce qu’une donnée personnelle me direz-vous ? Il s’agit de toute composante d’information personnelle collectée, traitée et stockée dont l’utilisation peut directement ou indirectement identifier une personne.

Juridiquement, et socialement, chaque citoyen bénéficie d’un droit fondamental et inaliénable à la protection de sa vie privée et de ses données personnelles.

A cela, il convient d’ajouter la notion d’identification indirecte qui a également un intérêt majeur : si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers pourrait potentiellement le faire.

 

« Tout juriste et tout acteur de la conformité bénéficient d’une certaine dose d’humour et ils ne sont pas des êtres « froids » arcbouter sur les règlements (ou policies) :

« Un nouveau règlement européen (GDPR), à destination des entreprises, veut simplifier, harmoniser et renforcer la protection des données personnelles. » »

 

Que de décisions irrationnelles prises en ton nom! Que de catastrophes en cours ou à venir (liste non exhaustive) :

  1. Décider sans réfléchir et sans prendre en compte son organisation, devant cette nouvelle complexité, et se mettre immédiatement à la recherche de logiciels de conformité GDPR : il y a de fortes chances de n’arriver qu’à un gaspillage inutile de ressources.
  2. Parcourir cette nouvelle réglementation sans en chercher la « substantifique moelle », ainsi que les effets induits, annexes et indirects..
  3. Travailler sur ce sujet en petit comité, sans y inclure, à un moment donné, l’ensemble des collaborateurs de l’organisation.
  4. Traiter ce thème comme une action de sécurité informatique ou comme une action ne relevant que de l’agencement de bases de données, de référentiels…
  5. S’abstenir de patiquer un inventaire exhaustif des bases de données existantes, d’établir un document détaillé de leurs structures, de leurs composantes, de leurs fonctionnements et de leurs interférences. Absence de réalisation de missions d’audit interne en la matière et de recommandations appropriées sur l’existant.
  6. Négliger de prendre en compte les éventuels changements organisationnels rendus « nécessaires » par l’application d’un tel texte.
  7. Décider que votre organisation ne sera, de toute façon, jamais en totale conformité, et qu’il vaut mieux s’en remettre à une implantation de logiciel de conformité GDPR, éventuellement couplé ou non aux logiciels de conformité déjà présents dans l’organisation, et se reposer sur la compréhension du texte par l »éditeur retenu.
  8. Demeurer inactif et évoquer la complexité du texte en cas de contrôle tout en espérant échapper à toute amende.

 

Qu’elle démarche sera la plus appropriée ? Celle du bon sens :

A – Dans un premier temps :

  1. Connaître dans le moindre détail son organisation et son fonctionnement en termes de collecte, utilisation et archivage des données personnelles. Il doit être tenu compte également des accès et des flux entre parties prenantes au sein de l’entité comme vis-à-vis de ses partenaires/intervenants externes.
  2. S’assurer de la prise en compte réelle de toutes les données personnelles disponibles, y compris les « données dormantes« .
  3. En profiter, au passage, pour s’assurer de la bonne conformité de l’organisation actuelle sur ce sujet et relever les corrections éventuelles à pratiquer par la suite.

 

B – Dans un deuxième temps :

  1. Décrypter, c’est-à-dire saisir au plus près possible l’essence du texte réglementaire et ses diverses implications (travail à réaliser dans la transversalité). Si vous ne disposez pas d’assez de temps ou de personnel bénéficiant de compétences pointues sur ces sujets, recherchez un organisme de formation spécialisé en la matière (avec comme optique : compréhension [explication de texte théorique], mise en réalité [ateliers ou travaux pratiques concrets], échanges de réalités « terrain » et d’expériences [évoquer ses problématiques et apprendre des animateurs et des participants par rapport à sa propre organisation et ses spécificités éventuelles] et, surtout, retour de « l’appris » par les participants (débriefing) vers les différentes entités de l’organisation).
  2. Être en mesure de définir et de calculer les risques liés à la réglementation RGPD.
  3. Définir les écarts entre la « réalité » de votre organisation et les obligations réglementaires nouvelles , tout en tenant compte des « irrégularités » constatées (confère point A – Dans un premier temps).
  4. Apporter les mesures correctrices là où cela est nécessaire.

 

⇒ Au passage : Cette réglementation représente-t-elle une opportunité pour votre organisation et, de ce fait, un « avantage concurrentiel » ? Il n’y a que vous qui pouvez le déterminer. Celà peut être une possibilité de ne pas appliquer simplement des règles « administratives » et juridiques de plus, mais d’utiliser la mobilisation des différents collaborateurs pour affiner votre stratégie (par exemples dans le numérique,…).

Mais comment pratiquer concrètement ? En intégrant la protection des données dès la conception des projets https://www.lesechos.fr/idees-debats/cercle/cercle-165052-transformer-le-gdpr-en-avantage-concurrentiel-en-integrant-la-protection-des-donnees-des-la-conception-des-projets-2058160.php

C – Dans un troisième temps :

  1. Réfléchir et décider de la nécessité d’incorporer un logiciel de conformité RGPD.
  2. S’assurer que le logiciel RGPD est « agile« , c’est-à-dire qu’il pourra s’adapter aisément aux évolutions futures :
  • juridiques.
  • organisationnelles.
  • stratégiques.

 

⇒ Opinion : La GDPR, comme les autres éléments de la conformité, sont opérationnels, constants et censés représenter conformément la réglementation en vigueur. Mais compte tenu de la difficulté de « digestion »  et de la « lourdeur » de ce texte, tout comme l’absence de best practices officielles, nous amène à une situation particulière.

A savoir, pouvoir justifier auprès :

  • des autorités de contrôle d’avoir pris en considération les éléments principaux de cette nouvelle réglementation et ses déclinaisons, tout en démontrant la mise en place des process d’amélioration continue de façon à s’approcher au plus près de la volonté des législateurs européens et nationaux.
  • de nos clients, prospects et partenaires de la sécurité des données confiées et, par delà indirectement, de participer à la protection de leur réputation et de leur image de marque.

Cette partie de la conformité se situe entre le principe d’assurance, principe de base de l’audit interne, et le strict respect de la réglementation imparti à la fonction Conformité. Il faut donc s’approcher le plus possible du principe « d’accountabilty« .

II – Protection des données personnelles : de nouvelles obligations pour l’entreprise :

Première chose à savoir, le RGPD entérine le principe « d’accountability ». Difficilement traduisible, cela signifie concrètement que l’entreprise doit mettre en place des mesures de protection des données appropriées et pouvoir, si la Cnil le lui demande, être en mesure de prouver qu’elle respecte bien le règlement. Les déclarations à la Cnil sont supprimées, tout comme les demandes d’autorisation préalables (pour mettre en place une vidéo surveillance des salariés, par exemples). L’Express : http://google.com/newsstand/s/CBIw9pu4kzU

III – Etat des lieux :

2/3 des entreprises sont encore en phase de décryptage des nouvelles obligations

À moins d’un an de l’application du règlement européen sur la protection des données personnelles, plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR (General Data Protection Regulation). Et pour cause :  deux tiers pensent que le texte manque de clarté, selon une étude menée par le cabinet d’avocats international Bird & Bird.

Le sondage réalisé auprès d’un échantillon de 100 entreprises en mai dernier permet de tirer quelques enseignements sur le niveau de préparation des grandes entreprises (72 % des répondants) et les difficultés qu’elles peuvent rencontrer à mettre en pratique la nouvelle législation.

Plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR et plus inquiétant, pas moins de 53 % des sondés estiment qu’ils ne seront pas en mesure d’appliquer le texte dans son intégralité d’ici l’échéance du 25 mai 2018. Pourquoi ? Deux tiers des sondés pensent que le texte manque de clarté en particulier sur le droit à la limitation du traitement, le droit à la portabilité des données, l’obligation de privacy by design ou encore l’intégration des nouveaux droits des personnes, et que l’application du GDPR nécessitera l’assistance d’un conseil externe. Solutions numériqueshttp://www.solutions-numeriques.com/reglement-europeen-sur-la-protection-des-donnees-23-des-entreprises-sont-encore-en-phase-de-decryptage-des-nouvelles-obligations/?utm_source=Sociallymap&utm_medium=Sociallymap&utm_campaign=Sociallymap

IV – Les principes fondamentaux :

A – Nouveautés et difficultés à déterminer la notion de « risque élevé » :

Une des nouveautés absolues du Règlement général sur la protection des données, qui entre pleinement en vigueur le 25 mai 2018, ce sont les fameuses études d’impact placées sous l’entière responsabilité des responsables des traitements de données personnelles, autrement dit les chefs d’entreprises, présidents d’associations et autres dirigeants de structures publiques. Les Infostratègeshttp://www.les-infostrateges.com/actu/17072402/les-etudes-d-impact-nouveaute-du-reglement-general-sur-la-protection-des-donnees-rgpd

B – Les 16 concepts fondamentaux impactant fortement les stratégies de l’entreprise (selon Joseph Triquell – août 2017 : AroundRisk-IT) :

…

… il impactera fortement toute l’entreprise (chef d’entreprise, responsables de la conformité et de la sécurité, cadres, informaticiens jusqu’au développeur même …) et ses principales stratégies : conformité et sécurité juridique, capital immatériel, gouvernance des données et du système d’information, transformation numérique, gestion des risques et sécurité de l’information, veille stratégique et technologique, droits et devoirs des acteurs face au SI …

Vous pourrez le constater à la lecture des concepts fondamentaux (synthèse in fine) développés par ce règlement. Chefs d’entreprises, informaticiens, juristes, vous pouvez aisément imaginer ce que chacun de ces concepts impose en mesures techniques, organisationnelles, juridiques dans l’entreprise pour une mise en conformité !

Ces acteurs pourront s’appuyer sur un chef d’orchestre (qui sera désigné dans l’entreprise ou en externe): le délégué à la protection des données, un « ancien » CIL (« correspondant à la protection des données ») renforcé. Il semble utile de rappeler que cette exigence exprimée dans le RGPD peut être satisfaite même par des personnes dépourvues de diplôme en droit. Les associations européennes de DPO http://www.afcdp.net/Les-associations-europeennes-de  lancent un appel pour éviter que la profession ne se sclérose sur les seuls profils juridiques ( les actuels CIL sont en majorité des informaticiens en France et Allemagne).

Véritable opportunité également pour l’informaticien de renforcer son évident rôle transverse et stratégique dans l’entreprise.

  • 1.       Traitement licite, loyal, transparent (nécessaire, bien argumenté, consenti clairement)
  • 2.       Finalités déterminées, fixes, explicites et légitimes
  • 3.       Traitement sécurisé (mesures techniques, organisationnelles, juridiques / dispositif d’alerte, de gestion d’incident  et dispositif de notification (dans les 72H) des violations à la CNIL et aux personnes concernées)
  • 4.       Traitement particulier (règles) des données des mineurs de 16 ans
  • 5.       Données exactes, tenues à jour, adéquates, pertinentes et limitées (minimisation des données)
  • 6.       Durée de conservation adaptée aux finalités
  • 7.       Respect du droit d’opposition, d’accès, de rectification, d’effacement (« droit à l’oubli ») de la personne concernée
  • 8.       Respect du droit à la portabilité des données
  • 9.       Co-responsabilité des sous-traitants
  • 10.   Accountability (obligation de démontrer la conformité à tout moment), « délégué à la protection des données » (ou DPO (Digital Protection Officer), registre des activités (inventaire, cartographie), documentation interne argumentée et coopération avec la CNIL
  • 11.   Privacy by design (argumentaire/documentation sur les projets de traitement) : Garantie que la protection des données personnelles est assurée dès la conception des applications, sites Web et autres systèmes IT
  • 12.   Privacy by default : Garantie apportée lorsque les mesures de sécurisation sont intégrées nativement dans le service.
  • 13.   Analyse d’impact  sur la vie privée (analyse et gestion des risques préalables à certains traitements de données)
  • 14.   Codes de conduite et certification (Accompagnement, labels, référentiels utiles aux entreprises)
  • 15.   Transfert des données vers des pays tiers – Privacy shield
  • 16.   Sanctions renforcées

AroundRisk-IT RGDP – GDPR : 16 concepts fondamentaux qui impactent fortement toutes les stratégies de l’entreprise …

C – Vous avez besoin d’arguments synthétiques pour convaincre votre COMEX :

Le futur règlement européen sur les données privées est simple dans l’esprit, mais beaucoup plus subtile dans son application. A tel point que beaucoup de Comités de Direction ne sont pas sensibilisés. Voici 10 mots clefs pour y remédier. LeMagIT http://www.lemagit.fr/conseil/Les-103-mots-clefs-pour-expliquer-le-GDPR-a-un-Comex?utm_content=buffer825d0&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

V – L’impact de cette réglementation sur la conception et la sécurisation des applications, sites Web et autres systèmes IT  :

Ce n’est pas surprenant si l’on considère les conséquences financières pour toute organisation qui n’arriverait pas à démontrer sa conformité : une amende pouvant aller jusqu’à 20 M € ou 4% des revenus (le montant le plus élevé sera retenu). Ces conséquences financières ont attiré l’attention de nombreux conseils d’administration à travers le monde. Désormais, les entreprises et leurs sous-traitants se précipitent pour savoir comment minimiser ce risque, en réalisant qu’ils ont tout juste un peu plus d’un an pour le faire, la loi devenant applicable à la fin du mois de mai 2018. La portée de cet effort est énorme, car il recoupe des phases d’inventaire et d’audit, la gouvernance des données et la gestion des risques, l’examen des clauses contractuelles, les pratiques de développement d’applications, les politiques de protection des données et de l’infrastructure, les capacités de détection et de réponse.

Au-delà de la menace financière, le régulateur européen vise à favoriser la prise de conscience collective concernant la confidentialité des données, incitant les organisations à améliorer leurs pratiques en matière de collecte, de traitement, de retrait et de sécurisation des données personnelles des citoyens de l’UE. À l’aube du Big Data et de l’Intelligence Artificielle, la philosophie sous-jacente du RGPD nécessite des ajustements importants dans la façon dont les applications sont conçues, mises en production et sécurisées.

Les développeurs d’applications doivent intégrer un nouvel ensemble d’exigences, couvrant la gestion du consentement, la minimisation et la pseudonymisation des données, et la possibilité pour les personnes concernées d’exercer leurs nouveaux droits : accès, modification, suppression, droit à l’oubli, portabilité, information relative à l’utilisation de leurs données, y compris pour la notation et le profilage, et en cas d’incidents. La capacité de fournir des applications qui sont à la fois sécurisées dès leur conception et qui respectent la confidentialité des données nécessiteront des ajustements liés au processus de développement des applications. Les équipes de développement doivent maintenant documenter tous les traitements relatifs aux données personnelles, recueillir uniquement les données nécessaires à la prestation du service, pouvoir répondre positivement aux demandes des citoyens concernant leurs données, déployer des contrôles de sécurité capables de protéger l’infrastructure applicative et être capable d’alerter les autorités dans les 72 heures en cas de violation de données (ainsi que les personnes concernées dans certains cas).
Tout cela, en étroite collaboration avec le Responsable de la Sécurité des Systèmes d’Information et le Responsable de la Protection des Données, qui aura été nommé conformément à la nouvelle loi européenne. ITR Managerhttp://www.itrmanager.com/articles/169253/impact-rgpd-strategies-conception-securisation-applications-stephane-saint-albin-directeur-marketing-denyall.html

 

VI – Du concept à la pratique :

Protection des données : les choses sérieuses commencent ou, plutôt, continuent.

A – Exemple étranger : la Suisse

Le nouveau règlement européen en matière de protection des données renforce les droits des consommateurs et donne de nouveaux devoirs aux entreprises. Le nouveau cadre concerne aussi les sociétés suisses. Fini le traitement «à la cool» des données des clients : les entreprises vont devoir transformer leur gouvernance.  ICTjournal http://www.ictjournal.ch/articles/2017-06-02/protection-des-donnees-les-choses-serieuses-commencent

B – Kit de démarrage pour accélérer et simplifier la mise en place (sans omettre tous les précédents éléments/commentaires de ce billet) :

L’entrée en vigueur du Règlement général sur la protection des données (GDPR, ou General data protection regulation) en mai prochain modifie en profondeur la gestion et la conservation des données personnelles. A l’heure de la migration massive des données dans le cloud découvrez en détail les nouvelles obligations qui s’imposent aux entreprises, et les meilleures pratiques.

Les 7 étapes proposées :

  1. Etes-vous prêts pour le RGPD ? Voici la check-list !
  2. RGPD : pourquoi les entreprises sont-elles si réticentes ?
  3. La réglementation sur les données personnelles, une histoire mouvementée.
  4. Les 3 grands principes du RGPD
  5. 5 grandes étapes pour se mettre en conformité au RGPD
  6. Protection des données personnelles : Comment anticiper la réglementation GDPR ?
  7. Réglementation RGPD: Computacenter et HPE innovent avec une offre de service conjointe

ZDNet http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm

 

Quelques lectures complémentaires :

Les collectivités se préparent au nouveau règlement général sur la protection des données

RAPPORT D’INFORMATION sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française

Data protection officer (DPO) : définition, formation et salaire

La fonction de DPO attise les convoitises et déclenche des luttes de pouvoirs dans les entreprises

Isabelle Falque-Pierrotin : « La période du chèque en blanc sur les données est terminée »

Trop de données « concurrentielles » en libre accès dans les entreprises

Règlement (UE) 2016/679 : la data compliance, un avantage compétitif pour les entreprises ?

Vers une certification européenne en matière de protection des données

Les nouvelles obligations des éditeurs de logiciels SaaS au regard du Règlement UE 2016/679 relatif à la protection des données à caractère personnel. — La cybercriminalité

La réforme des règles de protection des données personnelles : quels changements anticiper au sein de votre entreprise ?

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Compliance officers key to future of European companies’ success, new research says

12 vendredi Mai 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Points de vue et Perspectives, R&D

≈ 3 Commentaires

Étiquettes

business, company, compliance, compliance officer, corporate, country, embargo, HEC, officer, trading, transaction, US, violation

center-2064940_1280

Corporate compliance officers are crucial in helping European companies avoid the huge fines they are racking up by trading in US sanctioned countries, says Matteo Winkler, assistant professor of law at HEC Paris business school.

Because most bank transactions must be processed through clearing houses based in the US, payments from and to sanctioned countries are considered as made through the US market, and therefore in full violation of US embargo measures. Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Conflict of Interest Issues – A Significant Risk

12 vendredi Mai 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Contrôle Interne, Ethique, Gestion des risques, Points de vue et Perspectives, R&D, R&D

≈ 1 Commentaire

Étiquettes

allocation, AML, antitrust, business, CCO, compliance, conflict, control, export, fraud, intrest, key, legal risks, mitigation, priority, program, resources, risk, sanction, strategy, transparency, violation

deciding-1364439_1280

In the risk mitigation business, we often focus on legal risks, such as anti-corruption, sanctions, export controls, antitrust and AML. As compliance programs mature, and the CCOs focus on proactive strategies, one key issue is conflict of interest.

My experience with conflict of interest issues has confirmed that such conflicts often mask more serious compliance issues relating to fraud and even legal violations. As such, every CCO should consider making conflict of interest issues a higher priority in the scope of risk ranking and allocation of resources. Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Les entreprises craignent de plus en plus les cyber-risques, selon le baromètre Allianz

19 jeudi Jan 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Continuité de l'activité (PCA), Contrôle Interne, Cyberactivité, Gestion des risques, Plan de Continuité de l'Activité (PCA), Points de vue et Perspectives, R&D

≈ 2 Commentaires

Étiquettes

actualités, Allianz, attaque, baromètre, chaîne logistique, clients, contrôle, contrôle interne, cyber-attaque, cyber-risques, cybernétique, dispositif, données, entreprises, faille, gestion, Gestion des risques, image, incendiie, incidents, interconnexion, international, logistique, marchés, numérique, outils, piratage, produits, protection, réputation, Risques, sécurité, sécurité informatique, violation, volatilité

globalization-1082651_1280

Les cyber-risques font la une de toute l’actualité et le monde des affaires se focalise dessus en raison de l’apparition et de l’utilisation de nouvelles technologies numériques et par suite de la survenance d’importants incidents. Ces derniers portent sur l’e-réputation, l’image de marque, la protection des données, les violations d’accès, les piratages, les malversations frauduleuses…

Ces nouvelles menaces sont une des conséquences de la mondialisation des affaires. Cette même mondialisation, à laquelle s’ajoute une volatilité et une instabilité des marchés (voire des turbulences mineures ou majeures) de plus en plus accrues, ont nettement accentuée l’existence d’anciens risques pouvant être garantis par la Coface : pays, politique, économique, approche de nouveaux marchés et coûts de prospection…

Mais avant toute chose, c’est le risque d’interruption de l’activité qui prévaut. Cette dernière, ayant un fort impact sur le chiffre d’affaires, peut découler d’un seul facteur ou d’un faisceau d’une multitude de causes.

Nous sommes tous sûrs que notre dispositif de gestion des risques est parfait et qu’il a été éprouvé par l’expérience, tout comme nos processus de conformité (prévention et contrôle) et ceux de notre dispositif de contrôle interne.

Mais comme nous pratiquons des revues de direction dans tout système de la qualité, dont un des objectifs est l’amélioration continue,  nous ne pouvons, dans un tel contexte, nous contenter d’une simple révision et adaptation de nos dispositifs de protection.

Nous devons nous projeter plus loin et envisager une refonte des outils de gestion des risques et de contrôle .

Ce résultat est d’une actualité brûlante : plus que le risque d’incendie, d’atteinte à la réputation ou à l’image de marque ou encore de rappel de produits défectueux, les entreprises redoutent surtout les risques de cyber-attaques. Le «cyber-risque » (faille de sécurité informatique, piratage informatique, violation de données etc.) compte ainsi parmi les 5 facteurs de risques majeurs pour les entreprises basées en France et dans le monde. C’est ce que révèle le  Baromètre des risques 2017 d’Allianz, publié le 11 janvier.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Voici les tendances de la cybersécurité que les PDG devraient connaître en 2017

13 vendredi Jan 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Contrôle Interne, Cyberactivité, Gestion des risques, Points de vue et Perspectives, Protection des données, R&D, R&D

≈ 1 Commentaire

Étiquettes

accès, analyse, attaque, barrière, coûts, connaissance, crise, cyber-attaque, cybermenaces, cybersécurité, Data, DDoS, données, données mobiles, données sensibles, e-mailling, entreprise, fuite, gestion, gestion de crise, gouvernance, informatique, logiciels, malveillance, malware, mobilité, mot de passe, PDG, pishing, porte d'entrée, précaution, prévention, ransomware, réseaux, Risques, sandboxing, sécurité, sécurité informatique, sensibilisation, site, smartphone, spam, téléchargement, tendance, violation, web

chaos-485499_1280

Même si vous pensez disposer de toutes les connaissances et compétences en matière de cyber-sécurité, je vous recommande de consacrer quelques minutes de votre temps précieux à la lecture de l’article cité à la fin de ce post.

J’attire également votre attention sur trois points précis qui me semblent devoir constituer toute base de processus de prévention :

  1. Le problème est souvent le manque de connaissance ouverte et de sensibilisation des utilisateurs, indispensable pour éviter que les cybercriminels entre de cette façon (réseaux).

  2. Il n’est pas dans la pratique française, en général, d’exercer un débriefing détaillé des attaques subies et, de ce fait, de s’assurer de la prise en compte de la moindre petite faille.
  3.   Par mesure de sécurité, mais aussi par crainte d’une utilisation frauduleuse par les employés, il est rare que les managers et les formateurs internes puissent utiliser les  résultats de débriefing comme cas pratiques lors des sessions internes de sensibilisation ou de formation.

Chaque violation de la sécurité peut coûter une entreprise d’environ quatre millions de dollars, et dans 26% des cas, une fuite peut éliminer plus de 10.000 dossiers. Voici quelques-uns des coûts de données d’une violation de données, selon une enquête Cost of a Breach Data qui a analysé les pratiques de sécurité de 383 entreprises […]

via Voici les tendances de la cybersécurité que les PDG devraient connaître en 2017 — La cybercriminalité

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Renaud Laplanche, Lending Club CEO Resigns For Sales Violations — TIME

09 lundi Mai 2016

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Conformité, Ethique

≈ Poster un commentaire

Étiquettes

instructions, internal review, investor, loan, loan company, pricing, review, sales practices, violation

Renaud Laplanche, the chief executive and chairman on Lending Club, resigned after an internal review found violations in sales practices. According to the LA Times, $22 million in near-prime loans to an investor in March and April violated the investor’s instructions “as to a non-credit and non-pricing element,” the peer-to-peer loan company said in a…

via Renaud Laplanche, Lending Club CEO Resigns For Sales Violations — TIME

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Souscrire

  • Articles (RSS)
  • Commentaires (RSS)

Archives

  • août 2019
  • juillet 2019
  • juin 2019
  • mai 2019
  • avril 2019
  • mars 2019
  • février 2019
  • janvier 2019
  • décembre 2018
  • novembre 2018
  • octobre 2018
  • septembre 2018
  • août 2018
  • juillet 2018
  • juin 2018
  • avril 2018
  • mars 2018
  • février 2018
  • janvier 2018
  • décembre 2017
  • octobre 2017
  • septembre 2017
  • août 2017
  • juillet 2017
  • juin 2017
  • mai 2017
  • avril 2017
  • mars 2017
  • janvier 2017
  • décembre 2016
  • novembre 2016
  • octobre 2016
  • septembre 2016
  • août 2016
  • juillet 2016
  • juin 2016
  • mai 2016
  • avril 2016
  • mars 2016
  • février 2016
  • janvier 2016
  • décembre 2015
  • novembre 2015
  • octobre 2015

Catégories

  • A propos
  • Audit Interne
    • Actualités
    • Ethique
    • Référentiels de risques
    • Repère
    • Secteur Public
  • Confidentiel…qui ne l'est plus
  • Conformité
    • Actualités
    • Ethique
      • Best Practices
    • Fraude
    • Lutte contre le blanchiment des capitaux et le financement du terrorisme
    • Plan de Continuité de l'Activité (PCA)
    • Protection des données
    • R&D
  • Contrôle Interne
    • Actualités
    • R&D
    • Secteur public
  • Formation (KM)
    • Actualités
    • Conférences intéressantes
    • Contrôle Interne
    • Gestion des risques
    • Protection données
    • R&D
    • Sécurité
    • Terminologie
  • Gestion des risques
    • Actualités
    • Continuité de l'activité (PCA)
    • Cyberactivité
    • Public
    • R&D
    • Risques Opérationnels
  • Intelligence artificielle
  • Les référentiels
    • Audit Interne
    • Conformité
    • Contrôle Interne
    • ISO
    • Réglementations
    • Risques
  • Mes communications
  • Mes curations
    • Mes magazines professionnels personnels
  • Non classé
  • Points de vue et Perspectives

Méta

  • Inscription
  • Connexion

L’auteur

Belin Olivier Consultant (B.O.C.)

Belin Olivier Consultant (B.O.C.)

COSO, COSO II et COSO III, Contrôle Interne, AMF 2007-2008, Fraude, PCA, Conformité, AFCDP, Intelligence Economique, KM, Ingénierie de formation, Web2.0 http://www.belin-olivier.branded.me http://fr.linkedin.com/in/olivierbelin Paris Vous souhaitez échanger sur des sujets de ce blog, ou me rencontrer, n’hésitez pas à me contacter.

Liens Personnels

  • Mon Portfolio professionnel

Services Vérifiés

Afficher le Profil Complet →

Entrez votre adresse mail pour suivre ce blog et être notifié(e) par email des nouvelles publications.

Rejoignez 2 023 autres abonnés

Mots-clés

analyse ANSSI assurance attaque audit audit interne banque banques blanchiment de capitaux CIL CNIL compliance conformité conformité réglementaire contrôle contrôle interne contrôle permanent corruption cyber-attaque cyberattaque cybersécurité Data dispositif données données personnelles DPO DSI entreprise entreprises Ethique ETI Europe finance formation France fraude gestion Gestion des risques gouvernance hacker information informations informatique Internet juridique loi management normes numérique organisation outils PME processus procédures protection protection des données protection des informations prévention Public ransomware RGPD risk-management risque Risques règlementation règles sensibilisation stratégie système système d'information sécurité sécurité informatique technologie technology transparence
Follow Résilience du Controle Interne on WordPress.com

Créez un site Web ou un blog gratuitement sur WordPress.com.

Annuler
loading Annuler
L'article n'a pas été envoyé - Vérifiez vos adresses email !
La vérification e-mail a échoué, veuillez réessayer
Impossible de partager les articles de votre blog par email.
Confidentialité & Cookies : Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez leur utilisation.
Pour en savoir davantage, y compris comment contrôler les cookies, voir : Politique relative aux cookies
%d blogueurs aiment cette page :