Actualité

La sécurité au cœur de votre organisation

C’est le thème de la rentrée ; le RGPD n’est que la partie visible de l’iceberg… La sécurité de l’information est le sujet de fond. Plus de 80% des actes de malveillance viennent de l’intérieur de votre organisation et ils peuvent revêtir plusieurs formes. Cela va de l’information confidentielle lâchée dans une conversation lors d’un repas de famille arrosé (ou pas) à l’acte de malveillance délibéré ayant pour but assumé de nuire à l’organisation.

Lorsque votre organisation est sécurisée, elle vous sensibilise aux bonnes pratiques tant au niveau de la confidentialité que de la sécurité de l’information, parce que la divulgation d’une simple information peut mettre en péril votre organisation.

La culture de la sécurité et de la confidentialité est souvent absente des entreprises et organisations hexagonales. Elle est pourtant essentielle à leur développement. C’est pourquoi nous intervenons afin de sensibiliser vos employés à la culture du secret, aux bonnes pratiques à adopter, aux chartes et procédures à mettre en place. Nos interventions sont adaptées à votre contexte et à votre environnement parce que nous considérons que chaque entreprise est unique.

Notre entreprise est référencée au Data-Dock et les formations sur mesure que nous vous proposons peuvent être financées par des OPCA. L’avantage de ces formations, outre le fait de vous aider à acquérir les bonnes pratiques, vous permet de toucher du doigt les lacunes liées à votre système d’information car vous vous rendrez vite compte que ni un bon firewall ni un proxy ne sont des éléments suffisants pour vous prémunir des actes de malveillance.

La protection de vos informations, de votre savoir faire, passe par la sensibilisation de votre personnel et de vos employés. C’est une étape nécessaire qui vous protégera plus encore que vous ne pouvez le penser.

Parlons en !

hacking-identity

Outsourcing et sécurité de l’information

L’outsourcing est la capacité à confier à d’autres entreprises des tâches qui ne font pas partie du cœur de métier de la nôtre. Ainsi, on peut délocaliser des activités secondaires, souvent liées à l’administratif ou au système d’information de l’entreprise. La notion de délocalisation et d’outsourcing apporte cependant une notion supplémentaire, celle de confier ces activités à une entreprise qui serait située dans un autre pays – aux coûts plus avantageux – voire dans un autre continent.

Des sociétés spécialisées dans l’offshore ou l’outsourcing se sont ainsi implantées en France, offrant des services aux coûts souvent attrayants. Ces sociétés viennent d’Afrique du Nord, de l’Ile Maurice, d’Inde voire de Chine… Elles se définissent elles-mêmes comme “pur players” ce qui signifie qu’elles mettent en avant leur capacité à externaliser les activités des entreprises ; bref, c’est leur cœur de métier.

Plusieurs sociétés françaises et européennes, des groupes, se sont ainsi intéressés à ces capacités de délocalisation qui leurs permettent également de s’implanter dans des pays qui ont une croissance plus importante qu’en Europe. Les récentes lois de protection des données européennes ont rendu difficiles et contraignantes les transfert de données personnelles hors Europe (Cf articles 44 à 49 du RGPD).

Choisir un prestataire offshore ou outsourcing se fait avec beaucoup de précautions. La sécurisation des systèmes d’information est une priorité surtout si les données que vous devrez lui confier peuvent être sensibles pour votre entreprise. Qu’il s’agisse de données financières ou des données de production, toute faille dans la sécurité des traitements de vos informations pourrait constituer un avantage ou une opportunité pour vos compétiteurs.

De par notre expérience dans l’offshore (12+ années avec l’Inde) nous pouvons vous accompagner dans le choix minutieux d’un partenaire délocalisé (offshore, outsourcing…). Nous vous proposons des missions d’expertises en nous rendant dans les pays et sur les lieux où sont traitées les informations sensibles et en nous assurant qu’elles seront protégées selon les normes affichées ou contractuelles. Nos consultants sont certifiés ISO/IEC 27001 ce qui signifie qu’ils ont l’expérience de la sécurité de l’information. En n’appartenant ni à votre société ni à l’une des sociétés expertisées, nous vous garantissons l’impartialité de nos expertises.

N’hésitez pas à nous contacter sur notre page contact

Outsourcing Laurent Jaunaux sas

Avoir un retour sur investissement avec le RGPD

Qui l’aurait cru ? Le Règlement Général pour la Protection des Données peut booster votre croissance !

La mise en place de la conformité RGPD vous oblige à passer d’une méthode de travail parfois hasardeuse à une méthode de travail structurée, organisée puisque toutes les procédures liées aux données personnelles doivent être documentées. Concrètement, cela signifie que vos procédures et façons de travailler deviennent pérennes puisqu’elles sont documentées ; votre savoir faire ne repose plus exclusivement sur des personnes. Ainsi lorsque vous accueillez un nouveau collaborateur, vous pouvez facilement le former à votre façon de travailler grâce à la documentation que vous mettrez à sa disposition.

Certaines entreprises demandent à leurs fournisseurs leur conformité RGPD ; c’est à dire la prise en compte des droits fondamentaux et le respect des libertés des personnes dont vous détenez des données privées sensibles ou pas. Ainsi, la mise en conformité rapide vous donne un avantage concurrentiel certain. Pourquoi vous choisir plutôt qu’une autre entreprise ? Parce que vous respectez les personnes et qu’à ce titre vous vous êtes mis en conformité. Vous montrez ainsi que l’éthique fait partie de vos valeurs.

Enfin, rappelons que la mise en conformité est surtout une question de bon sens, parce que les actes malveillants viennent dans plus de 80% des cas de l’intérieur de l’entreprise.

Laurent Jaunaux sas vous accompagne simplement dans votre mise en conformité, afin que tout se passe au mieux, en harmonie avec vos procédures existantes, votre façon de travailler et surtout votre savoir faire.

RGPD LAURENT JAUNAUX

Une formation concrète sur le RGPD

C’est assurément le sujet du moment et nous constatons la perplexité des entreprises et principalement les PME et TPE face à lui. Que n’entendons nous pas ! C’est pour les grandes entreprises, nous ne sommes pas concernés, ça ne sert à rien etc…

Nous revenons encore et encore pour vous dire que dès l’instant où vous avez des employés, vous êtes concernés ; il n’est pas nécessairement besoin de manipuler de la donnée cliente pour se sentir concerné, une simple fiche de paye suffit. Et avec le prélèvement à la source qui sera prochainement mis en place, les entreprises vont manipuler de la donnée personnelle en masse ; nombres d’enfants dans le foyer, salaires, revenus annexes… bref, tout ce qui rentre dans le calcul des impôts pourra être confié à l’employeur qui grâce au RGPD aura l’obligation de sécuriser.

A côté de cela, la conformité RGPD a quelque chose de rassurant pour les clients car elle oblige l’entreprise à entrer dans une démarche qualité ; il est toujours plus facile de suivre une entreprise qui est certifiée, c’est au moins une garantie.

Les PME et TPE n’ont pas nécessairement les moyens de payer un cabinet de Conseil en Cybersécurité tel le nôtre pour mettre en place sinon coordonner la conformité RGPD. C’est pourquoi nous organisons le 17 mai prochain à Montpellier une journée de formation consacrée au RGPD. Plusieurs aspects tant théoriques que concrets seront abordés :

  • Les aspects légaux
  • L’identification des données personnelles
  • Le rôle du Data Protection Officer
  • Faire une analyse de ses risques
  • Mettre en place des moyens pour les résoudre, sinon les réduire
  • Faire un registre des traitements
  • Réaliser une étude d’impact sur la vie privée
  • Utiliser les outils disponibles…

LAURENT JAUNAUX sas est aussi un organisme de formation inscrit au Data-Dock. Notre formateur est un spécialiste des systèmes de management de la sécurité de l’information, certifié ISO 27001.

Alors pour plus d’informations et vous inscrire, cliquez sur l’image ci-dessous !

Formation RGPD le 17 mai 2018 à Montpellier

Le RGPD, c’est le moment d’y passer !

C’est le sujet qui concerne 99% des entreprises en 2018 ; il s’agit du Règlement Général sur la Protection des Données. Cet article a pour but de vulgariser la compréhension du RGPD afin d’expliquer simplement ce que c’est et de ne pas craindre.

Concrètement de quoi s’agit-il ?

Il s’agit d’une directive européenne qui donne un cadre légal aux données à caractère personnel, qu’elles soient directes (nom, adresse, etc…) ou indirectes (qui permettent d’en déduire des opinions politiques, religion etc…).

Dans les faits, il s’agit d’une version étendue et de l’application concrète des lois informatiques et libertés qui existent en France depuis 1978. La protection des données personnelles n’est ainsi pas une nouveauté en France. En revanche, à partir de mai 2018, toutes les entreprises qui traitent et manipulent des données personnelles seront tenues d’encadrer leurs traitements et d’évaluer les risques qui leurs sont liés.

99% des entreprises sont tenues d’avoir mis en place leur conformité au 25 mai 2018. Soyons réalistes, la plupart des entreprises viennent de découvrir cette exigence légale (bien que décidée en avril 2016 par le parlement Européen). Toutes les entreprises qui traitent de la donnée personnelle sont concernées. Par données personnelles, nous entendons les données des employés de la société, également les données des clients ou des fournisseurs si elles ont un caractère personnel. Le champ des données concernées est donc vaste.

La directive européenne apporte une nouveauté ; les sous-traitants sont également concernés par le RGPD (exemple, la sous-traitance de la paye…) ; leurs obligations doivent clairement être établies dans leurs contrats.

Le Data Protection Officer

Selon la taille de l’entreprise ou de l’organisme (les collectivités et les grosses associations sont également concernées), un Data Protection Officer devra être nommé. Celui-ci pourra être interne à l’entreprise dans le cadre de grosses entreprises ou bien partagé si les entreprises concernées sont plus modestes. Le DPO a pour rôle de s’assurer que son entreprise ou les entreprises pour lesquelles il travaille respectent la législation concernant la protection des données. Ainsi, il possède une fonction transversale qui l’oblige à travailler avec les départements RH, commerciaux, achats et les systèmes d’informations.

Et dans la réalité, en quoi consiste la mise en conformité ?

L’approche est structurante pour les entreprises… Outre la désignation du DPO, il s’agit d’identifier les traitements liés aux données personnelles et de les associer à une gestion des risques. 2 documents essentiels doivent être produits :

Le registre des traitements ; il est obligatoire et permet de recenser les données personnelles traitées dans l’entreprise et les traitements associés. Cela permet également à l’entreprise de s’interroger sur la pertinence et la finalité des données traitées.

L’étude d’impacts sur la vie privée ; appelée également PIA (pour Privacy Impact Assessment dans la langue de Shakespeare). Il s’agit d’une analyse de risques liée aux données privées ainsi que les moyens mis en place afin de les supprimer, les minimiser ou de réduire leur vraisemblance. Remarquons que la PIA n’est pas utile si les risques ne présentent aucun impact en termes de droits et de liberté pour la vie privée des personnes concernées. Remarquons aussi que cette étude peut concerner un ou plusieurs traitements de données personnelles, selon l’entreprise concernée.

La mise en place du RGPD va nécessiter un changement des comportements des organisations et des entreprises envers les données privées. La CNIL demande la démarche suivante :

  1. la tenue d’un registre des traitements mis en œuvre
  2. la notification de failles de sécurité (aux autorités et personnes concernées)
  3. la certification de traitements
  4. l’adhésion à des codes de conduites
  5. le DPO (délégué à la protection des données)
  6. les études d’impact sur la vie privée (EIVP ou PIA)

La mise en conformité demande donc l’assistance d’un cabinet spécialisé en sécurité des systèmes d’informations. Ces cabinets interviennent à vos côtés tant en termes de sécurisation et de gestion des risques liés aux systèmes (serveurs, postes etc…), également au niveau de vos locaux et de vos procédures… Elle peut se dérouler sur plusieurs mois avec une présence sur site de quelques jours par mois car nous savons que le RGPD n’est pas une priorité liée aux métiers et savoir-faire des entreprises.

Et si on ne le fait pas ?

Les sanctions sont dissuasives… Elles sont administratives et pénales. Les montants sont très élevés, suffisamment pour que la société qui n’aurait pas commencé sa mise en conformité puisse déposer son bilan.

Les sanctions financières sont les suivantes :

  • Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial en cas de manquements RGPD en général
  • Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes
  • le montant le plus élevé est celui pris en compte.

Les sanctions administratives et pénales sont liées aux articles suivants :

  • Art.1240 du Code Civil : « Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. »
  • Art.226-16/17/21/22 du Code Pénal « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques »
  • Art.R625-10/11 du Code Pénal « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques »

L’intérêt pour toute entreprise est de se mettre en conformité rapidement, au moins de commencer cette mise en conformité.

Pourquoi Laurent Jaunaux sas ?

Parce que nous travaillons avec des consultants qui sont tous des spécialistes de la sécurité des Systèmes d’Information ; les consultants sont tous certifiés ISO/IEC 27001, Lead Auditors Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences. Ces consultants ont tous une grande expérience des systèmes de management des systèmes d’information et des politiques de sécurité.

Ensuite parce que nous appartenons au réseau Smart Horizon 360 qui regroupe des spécialistes de la sécurité des systèmes d’information.

Enfin parce que le RGPD possède un aspect légal très important, nous travaillons aussi avec des cabinets d’avocats spécialisés (dont un renommé à Paris) dans les systèmes d’information.

Cette combinaison vous garantie et vous permet de de vous conformer aux exigences européennes RGPD et d’anticiper les contraintes réglementaires à venir.

En plus, nous vous aidons à transformer la mise en conformité en valeur ajouté pour votre entreprise…

Conclusion

Le RGPD peut être l’occasion de faire évoluer votre entreprise, l’opportunité de documenter vos procédures et vos traitements, d’identifier vos risques et de les supprimer ou de les contenir. Vous passez ainsi d’une société artisanale à une société engagée dans une démarche réellement qualitative qui rassurera vos clients et vos fournisseurs. Vous aurez compris que le RGPD concerne la plupart des fonctions de l’entreprise, que cela dépasse son simple cadre « informatique ». Pour cela nous vous recommandons très fortement de vous faire accompagner par un cabinet sérieux ayant des consultants spécialisés en sécurités des systèmes d’information (ISO/IEC 27001) qui sauront vous guider et vous permettront une mise en place sereine de la conformité. Exigez la norme ISO 27001 des consultants qui travaillent pour vous, c’est un gage de sérieux.

Contactez nous !

 

rgpd

La confidentialité au cœur des entreprises et des collectivités

Votre entreprise ou votre collectivité est exposée aux cyberattaques ; la question n’est pas de savoir si vous êtes bien protégé mais plutôt de savoir quand vous serez attaqué. La sécurité à 100% des systèmes d’information n’existe pas.

Les piratages et autres cyberattaques sont d’abord dus aux indiscrétions. Ces indiscrétions ont lieu sur le lieu de travail, dans les transports, dans le cercle familial ou amical et évidemment sur internet. Elles sont majoritairement involontaires mais leurs conséquences peuvent être désastreuses ; dans le cadre d’une entreprise c’est un secret de fabrication qui peut être communiqué, dans le cadre d’une collectivité cela peut être votre opposition qui a ainsi vent de vos projets…

L’impact est important, il concerne votre savoir faire, vos projets, votre réputation et crédibilité… La plupart des actes malveillants pourraient être limités voire évités par des comportements adéquats. C’est pourquoi nous avons conçu des sessions de formations liées à la confidentialité. Comme les entreprises et les collectivités ont des besoins similaires mais pas identiques, nous avons créé un module dédié aux entreprises et un autre aux collectivités territoriales.

Les formations se composent de parties théoriques en insistant sur les aspects économiques, légaux et pénaux. Une partie pratique composée de différents ateliers doit vous permettre d’identifier au sein de votre entreprise ou collectivité les comportements à risques et de mettre en place des mesures correctrices. Elles ont lieu dans nos locaux, en centre ville de Béziers, dans son centre historique.

L’accent est mis le comportement et sur son rôle prédominant dans l’origine des actes de malveillance. Le but est de sensibiliser les participants aux comportements responsables qu’ils doivent adopter au sein de leur entreprise/collectivité.

Notre calendrier de formations est accessible ici : Nos formations

A côté de cela, nous pouvons intervenir directement en entreprise ou en collectivité afin de réaliser les formations sur site, en tenant compte de la problématique spécifique de votre collectivité ou de votre entreprise.

Pour toute information, contactez-nous !

cyber-security Laurent Jaunaux sas

Pin It on Pinterest