Audit en sécurité informatique : Liste des risques

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Liste des risques de sécurité informatique | Blog de Philippe Garin

Audit en sécurité informatique : Liste des risques


La liste des risques de sécurité informatique ci-après, bien que non-exhaustive reflète un spectre important de risques, contre lesquels des mesures de sécurité sont à mettre en place.

Risques physiques

  • Incendie ;
  • Dégât des eaux, crue ;
  • Pollution ;
  • Accidents majeurs.

 

 

Risques naturels

  • Phénomène climatique ;
  • Phénomène sismique, volcanique ;
  • Phénomène météorologique.

Perte de services essentiels

  • Défaillance de la climatisation ;
  • Perte d’alimentation énergétique ;
  • Perte des moyens de télécommunication.

 

Rayonnements

  • Rayonnements électromagnétiques ;
  • Rayonnements thermiques.

 

Compromission des informations et des fonctions

  • Interception de signaux parasites compromettants ;
  • Espionnage à distance ;
  • Ecoute passive ;
  • Vol de supports ;
  • Vol de documents ;
  • Vol de matériels ;
  • Divulgation interne ;
  • Divulgation externe ;
  • Piégeage du matériel ;
  • Utilisation illicite du matériel ;
  • Abus de droit ;
  • Usurpation de droit ;
  • Fraude ;
  • Altération du logiciel ;
  • Copie frauduleuse du logiciel ;
  • Utilisation de logiciels contrefaits ou copiés ;
  • Altération des données ;
  • Utilisation de données personnelles dans autorisation ;
  • Traitement de données personnelles nos déclarés
  • Atteinte à la disponibilité du personnel.

Défaillances techniques

  • Panne du matériel ;
  • Dysfonctionnement du matériel ;
  • Saturation du matériel ;
  • Dysfonctionnement logiciel ;
  • Atteinte à la maintenabilité du SI.

Agressions Physiques, Erreurs

  • Destruction des matériels ;
  • Reniement d’actions ;
  • Erreurs de saisie ;
  • Erreur d’utilisation.

 

Quelques articles sélectionnés par notre Expert qui pourraient aussi vous intéresser :
Les 10 conseils pour ne pas se faire «hacker» pendant l’été
Les meilleurs conseils pour choisir vos mots de passe
Victime d'un piratage informatique, quelles sont les bonnes pratiques ?
Victime d’usurpation d’identité sur facebook, tweeter ? Portez plainte mais d’après quel article de loi ?
Attaques informatiques : comment les repérer ?

 

Quel est notre métier ?
Former et accompagner les organismes à se mettre en conformité avec la réglementation numérique (dont le RGPD) et à se protéger des pirates informatiques.

 

Quel sont nos principales activités ?

 

 

 

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadockNotre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

« Mon métier consiste à mettre à votre disposition l'expérience que j'ai acquise pendant des dizaines d'années et les connaissances que je maintiens continuellement à jour par des formations, certification et diplômes permanentes car le savoir c'est comme une mise en conformité, c'est une démarche quotidienne qui permet une amélioration sur le long terme.
Denis JACOPINI
 »

 

 

Besoin d'un Expert ? contactez-nous 




 

 


Source : https://phgarin.wordpress.com/2008/07/27/liste-des-risques-de-securite-informatique




Formation RGPD/DPO : Concrètement, comment se mettre en conformité avec le règlement ?

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Image associée

Formation RGPD/DPO : Concrètement, comment se mettre en conformité avec le règlement ?


Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

 

Comme nous l’avons détaillé sur notre page dédiée (Formation RGPD : Ce n’est pas qu’une affaire de juristes), les 6 étapes recommandées par la CNIL pour vous préparer au RGPD sont :

1- DÉSIGNER UN PILOTE
2- CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
3- PRIORISER LES ACTIONS À MENER
4- GÉRER LES RISQUES
5- ORGANISER LES PROCESSUS INTERNES
6- DOCUMENTER LA CONFORMITÉ

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

 

 

 

 

De nombreuses personnes ayant assisté à des tables rondes, des conférences ou ayant suivi des formations gratuites ou payantes d’une journée sur le RGPD nous ont expliqué avoir assisté à un déballage des principaux considérants (parmi les 173) et les principaux articles (parmi les 99) montrant l’aspect compliqué à mettre en oeuvre ce règlement européen et la nécessité de faire appel à un spécialiste.

D’ailleurs, si vous voulez en avoir plein la vue, vous pouvez toujours les consulter sur le texte officiel du RGPD, celui que mis à disposition par la CNIL : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

Je ne souhaite pas vous faire croire que l’aide d’un spécialiste est inutile, mais elle doit, selon moi, s’adapter à la fois à la taille de la structure qui souhaite faire la démarche, aux ressources dont elle dispose ainsi  qu’à son activité professionnelle.

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock


Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous


Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

Nous animons des Formations sur le RGPD en individuel ou en groupe  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 



 

Source : Denis JACOPINI et Règlement européen : se préparer en 6 étapes




Comprendre et mettre en application le RGPD, objet de nos formations

Image associée

Comprendre et mettre en application le RGPD, objet de nos formations

Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

 

Comme nous l’avons détaillé sur notre page dédiée (Formation RGPD : Ce n’est pas qu’une affaire de juristes), les 6 étapes recommandées par la CNIL pour vous préparer au RGPD sont :

1- DÉSIGNER UN PILOTE
2- CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
3- PRIORISER LES ACTIONS À MENER
4- GÉRER LES RISQUES
5- ORGANISER LES PROCESSUS INTERNES
6- DOCUMENTER LA CONFORMITÉ

 

Consultez la liste de nos formations RGPD et services RGPD

 

 

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 


Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles




 

Réagissez à cet article

Source : Denis JACOPINI et Règlement européen : se préparer en 6 étapes




Formation RGPD/DPO : Concrètement, comment se mettre en conformité avec le règlement ?

Image associée

Formation RGPD/DPO : Concrètement, comment se mettre en conformité avec le règlement ?


Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock


Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous


Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

Nous animons des Formations sur le RGPD en individuel ou en groupe  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 



 

 




Formation RGPD : Ce n’est pas qu’une affaire de juristes

Image associée

Formation RGPD : Ce n’est pas qu’une affaire de juristes


Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

 

Les 6 étapes recommandées par la CNIL pour vous préparer au RGPD sont :

1- DÉSIGNER UN PILOTE

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

 

 

2- CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

 

3- PRIORISER LES ACTIONS À MENER

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

 

4- GÉRER LES RISQUES

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

 

5- ORGANISER LES PROCESSUS INTERNES

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

 

6- DOCUMENTER LA CONFORMITÉ

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

 

 

 

Pour cartographier vos traitements de données personnelles, vous devrez avoir une méthode, des outils, collecter des informations à la fois techniques et organisationnelles.

Pour prioriser les actions à mener vous devrez identifier précisément les traitements à risques, les données sensibles et connaître les solutions techniques applicables.

Pour gérer les risques, vous devrez appliquer une méthode relative à cette obligation. Proche de la méthode EBIOS, l’analyse d’impact relative à la protection des données (DPIA) est le passage obligatoire pour tout organisme (entreprise ou association) disposant de salariés ou détenant des données sensibles appartenant à des tiers.

L’organisation des processus internes nécessite une excellente connaissance des menaces et des risques. Une certification relative à une norme ISO 27001 ou 27005 nous paraît essentielle.

 

Vous pouvez donc constater que pour chacun des points ci-dessus, le chef d’orchestre que doit être le DPO doit à la fois avoir une bonne connaissance du règlement Européen RGPD (ou GDPR en anglais) mais également connaître et maîtriser différents sujets tels que la sécurité informatique, différentes méthodes telles que l’analyse des flux de données et l’analyse de risques.

 

Ainsi, nous considérons qu’il serait inconscient d’aborder la mise en conformité avec le RGPD des établissements sans action conjointe d’un conseil juridique spécialisé en droit des données personnelles et d’une personne ayant une bonne connaissance de la sécurité informatique et de l’analyse de risques autour de des données.

 

Ceci n’est que mon avis, n’hésitez pas à me faire part du votre ou commenter ce post.

 

 


 


Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD
  ?

Contactez-nous


CONTENU DE NOTRE FORMATION RGPD :

Parce que les piratages sont de plus en plus fréquents et dangereux, à tout moment, nos données personnelles médicales, bancaires et confidentielles peuvent se retrouver dans la nature à cause d’un professionnel négligeant ayant manqué à son obligation de sécurité des données vis-à-vis de ses clients, salariés, fournisseurs…

Pour ne pas que vous deveniez ce professionnel négligeant risquant d’être sanctionné pénalement et par une mauvaise réputation, un règlement Européen (le RGPD) entrant en application le 25 mai 2018, clarifie les obligations que tous les professionnels devraient déjà respecter.

Venez découvrir lors de cette journée de formation les points importants de ce règlement Européen et la méthode à suivre pour continuer sereinement votre activité.

 

 

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 


Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles




 

Réagissez à cet article

Source : Denis JACOPINI et Règlement européen : se préparer en 6 étapes




70 % des attaques informatiques partent d’un problème humain. Il est urgent de sensibiliser votre personnel.

Cybersécurité : 70 % des attaques partent d’un problème humain - Courrier cadres

70 % des attaques informatiques partent d’un problème humain. Il est urgent de sensibiliser votre personnel.


En matière de cybersécurité, l’Europe a décidé de légiférer mais des disparités existent. Explications avec Julie Gommes, experte en cybersécurité lors de la SME Assembly 2017 (Assemblée annuelle des PME organisée par la Commission européenne) à Tallinn (Estonie). Pour elle, la première faille de sécurité est entre la chaise et l’ordinateur.

[youtube https://www.youtube.com/watch?v=JC8a4LYoyuQ?feature=oembed&w=610&h=343]

[Article source]


 

LE NET EXPERT:

 

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).


 

Réagissez à cet article

Source : Cybersécurité : 70 % des attaques partent d’un problème humain – Courrier cadres




Comment se préparer au règlement européen sur la Protection des Données Personnelles en 6 étapes ?

Règlement européen : se préparer en 6 étapes | CNIL

Comment se préparer au règlement européen sur la Protection des Données Personnelles en 6 étapes ?


Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

ETAPE 1 DÉSIGNER UN PILOTE

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

> En savoir plus

ETAPE 2 CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

> En savoir plus

ETAPE 3 PRIORISER LES ACTIONS À MENER

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

> En savoir plus

ETAPE 4 GÉRER LES RISQUES

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

> En savoir plus

ETAPE 5 ORGANISER LES PROCESSUS INTERNES

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

> En savoir plus

ETAPE 6 DOCUMENTER LA CONFORMITÉ

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

> En savoir plus

[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Règlement européen : se préparer en 6 étapes | CNIL




Data Protection Officer : Qui seras-tu ?

Data Protection Officer : Qui seras-tu ? - Global Security Mag Online

Data Protection Officer : Qui seras-tu ?


Dès la mi-2018, la nouvelle directive européenne baptisée GDPR est appelée à remplacer les dispositions de la Loi Informatique et Libertés. Celle-ci va rendre obligatoire la nomination d’un DPO (Data Protection Officer) dans de nombreuses organisations pour lesquelles la protection des données représente un enjeu majeur. Selon l’étude « CIO Concern Management » de Janco Associates, la sécurité arrive en tête des préoccupations des DSI à hauteur de 68%. De la même manière, les fuites de données observées chez des majors du Web et largement relayées dans les médias ont participé à construire ce climat anxiogène.

 

 

Pour être efficace, un DPO doit considérer les deux fonctions principales de sa mission que sont la protection des données personnelles et la protection de la confidentialité des données.

La protection des données personnelles fait appel à des exigences en termes de moyens et processus à mettre en œuvre qui peuvent être très variables d’un pays à l’autre. Dans un contexte de développement à l’international, le DPO sera un soutien précieux afin d’appréhender les différents aspects réglementaires.

La protection de la confidentialité des données est quant à elle un peu plus poussée puisqu’il s’agit de garantir que chaque donnée soit protégée à hauteur de ses enjeux pour l’entreprise. Autrement dit, ce n’est plus la loi mais le client qui fixe les règles !

Toutes les données informatiques n’ont pas la même valeur. Une plaquette commerciale où le plan détaillé d’un prototype en cours de conception n’auront pas le même effet s’ils se retrouvent révélés. Le DPO doit donc, avec son client, mesurer le risque de divulgation de chaque donnée et son impact pour l’entreprise. De données « publiques » à « très secrètes », il doit être capable de garantir au client que ses exigences soient remplies en termes de sécurité… et même si l’on met en place assez facilement des méthodes de chiffrements sur les disques, cela ne résout pas tout !

La plus grande faille sécuritaire qu’il puisse exister réside finalement dans l’humain lui-même. Pour être totalement rassuré quant à la confidentialité de ses données, le client doit être certain que même les équipes système de son prestataire ne puisse pas les lire…[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Data Protection Officer : Qui seras-tu ? – Global Security Mag Online




Les collectivités territoriales cibles des Pirates Informatiques

Les collectivités territoriales cibles des Pirates Informatiques


Si elles n’en ont pas toujours conscience, les collectivités territoriales peuvent bel et bien être victimes de cyberattaques. Et ce, pour de multiples raisons. En cas de faute avérée, les sanctions encourues peuvent devenir particulièrement difficiles à assumer.

Par Pierre-Alexandre Conte

 

 

Une République numérique. C’est ainsi qu’a été baptisée la loi portée par l’actuelle secrétaire d’Etat chargée du numérique, Axelle Lemaire, parue le 8 octobre 2016 au « Journal officiel ». Un nom ô combien symbolique et révélateur de la profondeur de la transformation vécue par l’ensemble de la société.
Celle-ci touche naturellement les collectivités territoriales, qui bénéficient des multiples avantages qu’elle génère, mais qui doivent, dans le même temps, composer avec de nouvelles obligations. Parmi elles, figure en tête de liste la sécurisation de leur système d’information.

En préambule de son rapport d’activité annuel paru en 2016, l’Agence nationale de la sécurité des systèmes d’information (Anssi) introduisait le sujet comme suit : « Les technologies numériques procurent des gains de productivité et sont donc source de richesse et de compétitivité pour notre pays, mais elles induisent également des vulnérabilités nouvelles. La cybersécurité est devenue, de ce fait, une condition structurante, non seulement de la sauvegarde de notre patrimoine économique et intellectuel, mais aussi de la protection physique de nos concitoyens. » Des propos signés Louis Gautier, secrétaire général de la défense et de la sécurité nationale.

FOCUS

Dans son rapport d’activité concernant l’année 2015, l’Anssi explique avoir reçu 4 000 signalements, soit 50 % de plus qu’en 2014. L’Agence a aussi dû traiter une vingtaine d’incidents de sécurité majeurs.

Les sites web en première ligne

La première erreur en matière de sécurité informatique consiste à penser qu’une collectivité, quelle que soit sa nature, n’a aucune raison d’être la cible d’une attaque. C’est pourtant un raisonnement fréquemment rencontré au sein des petites et moyennes communes, qui considèrent parfois qu’elles ne détiennent rien qui puisse intéresser d’hypothétiques assaillants. « Comme tout un chacun qui dispose d’une visibilité sur internet, les collectivités territoriales peuvent faire partie des victimes d’une vague d’attaques, précise Guy Flament, référent de l’Anssi au sein de la région Nouvelle Aquitaine.

Leur présence sur internet, notamment par le biais de leurs sites web, offre des surfaces pour les attaquants, qui peuvent leur permettre d’afficher des messages de revendication ou de propagande. Ensuite, les collectivités subissent des attaques par des « rançongiciels » qui prennent en otage leur système d’information et offrent de le libérer contre une rançon. En ce qui concerne les autres menaces informatiques que peuvent être le sabotage ou l’espionnage, elles ne sont pas, pour le moment, particulièrement visées. Mais elles pourraient le devenir, notamment à cause du nombre de données à caractère personnel qu’elles hébergent. »

 

 

Les collectivités territoriales brassent en effet de plus en plus de données, dont certaines s’avèrent particulièrement sensibles. Elles sont au cœur de toutes les préoccupations, comme en témoignent les nombreux articles qui leur sont consacrés au sein de la loi pour une République numérique. Il convient donc de les protéger.
« Les collectivités détiennent notamment l’état civil. Il ne faudrait pas qu’un jour ces fichiers puissent être modifiés par des attaquants. Les comptes de la commune intéressent aussi les gens et tout ce qui touche aux dossiers de consultation publique », lance Guy Flament.

Sanctions pénales

La protection des données du citoyen est garantie par la loi « informatique et libertés ». C’est évidemment la Commission nationale de l’informatique et des libertés (Cnil) qui veille au respect de cette dernière. Ses compétences ont été élargies par la loi pour une République numérique.

Sur le plan financier, les collectivités encourent une amende pouvant s’élever jusqu’à 3 millions d’euros ; ce n’est pas rien ! La Cnil peut aussi ordonner que l’organisme sanctionné informe à ses frais les victimes. La loi prévoit par ailleurs la possibilité de sanctionner pénalement les maires, les présidents de conseils régionaux et de conseils généraux en cas de manquement grave, comme le fait de ne pas prendre les mesures nécessaires pour garantir la confidentialité des informations ou l’utilisation de ces dernières à d’autres fins.

A partir du mois de mai 2018, les collectivités devront appliquer le règlement européen sur le sujet. Concernant ce dernier, selon Pierre Deprez, avocat du cabinet DS avocats dans le département « droit de la propriété intellectuelle, technologies numériques et data », on parle d’un « changement de paradigme ». Cela signifie le passage « d’un régime de déclaration et d’autorisation des traitements à un régime d’accountability, d’autoresponsabilité ».

Les communes devront conserver « une trace des moyens techniques et organisationnels qu’elles auront mis en œuvre pour assurer la sécurité des données », dans le but de montrer patte blanche en cas de contrôle.

Mais les données ne sont pas l’unique préoccupation des collectivités. D’autres domaines requièrent leur attention, à l’image des objets connectés. Ce sont de formidables outils, mais ils peuvent aussi se retourner contre ceux qui les utilisent.

« Les objets connectés, comme les smartphones il y a quelques années, représentent une augmentation de la surface d’attaque puisqu’ils sont, par nature, connectés à internet. Si ces objets ne sont pas correctement configurés et sécurisés, ils offrent une porte d’entrée à d’éventuels attaquants », précise Guy Flament.

Des risques divers

« L’émergence des outils connectés implique de prendre ses précautions, déclare de son côté Olivier Fouqueau, directeur général des services d’Infocom94, syndicat intercommunal informatique du Val-de-Marne. Quand une direction générale des services techniques, voire un élu, décide que c’est super d’équiper toutes les places de parking d’un capteur pour permettre de savoir, à distance, par le biais de son téléphone portable, s’il y a une place pour se garer, mais qu’il n’y a pas de sécurité autour, cela peut très vite devenir difficile à gérer. »

Les rapports affirmant que la cybercriminalité est en constante augmentation sont rendus publics de manière quasi quotidienne. Pour autant, il n’est pas si évident de trouver une collectivité territoriale qui accepte de faire part d’une mauvaise expérience. La raison est simple : elle relève de la peur de voir son image se détériorer. C’est là l’un des principaux risques encourus, notamment par les villes.

« Il ne se passe pas une journée sans qu’il y ait un site internet défiguré dans la région », déplore le référent de l’Anssi en Nouvelle Aquitaine. En cas de pertes de données et de responsabilité avérée, le règlement européen demandera également aux collectivités, en 2018, d’informer le public quant à ses failles de sécurité. Si les communes sont concernées par leur image, elles doivent en plus composer avec l’inaccessibilité de leur site. Ce qui peut altérer de manière plus ou moins grave la mission de service public.

La perte peut aussi être financière, notamment s’il y a demande de rançon, les sommes demandées étant, la plupart du temps, élevées.

« Le sujet de la sécurité est souvent diabolisé, regrette Frank Mosser, expert dans le domaine de la cybersécurité et président de MGDIS, société éditrice de services logiciels de pilotage et de valorisation de l’action publique, basée à Vannes. Quand ça fait trop peur, on a tendance à mettre la tête dans le sac et à faire l’autruche. Il y a quelques années, ce n’était pas si grave que cela. Là, ça le devient un peu plus. »

FOCUS

Le « rançongiciel », fléau international en pleine expansion

Extorsion Tout le monde ou presque a entendu parler de Locky. Ce « ransomware » – « rançongiciel » en français – s’est rendu populaire en faisant de nombreuses victimes au cours de l’année passée. Une fois activé sur l’ordinateur de la personne visée, ce dernier chiffre les données et demande une somme d’argent en échange de leur restitution. S’il reste l’exemple le plus connu, Locky n’est pas un cas unique. Loin de là.

290 millions de dollars – Le FBI estime que durant le premier trimestre de l’année 2016, environ 209 millions de dollars ont été extorqués par le biais de « rançongiciels ». Aux Etats-Unis, le Hollywood Presbyterian Medical Center a fait partie des victimes au mois de février 2016. Paralysé pendant plus d’une semaine, il avait fini par débourser la somme de 17 000 dollars pour reprendre une activité normale. Et ce, après avoir dû envoyer de nombreux patients vers d’autres établissements.

Une mésaventure similaire est arrivée trois mois plus tard au Kansas Heart Hospital. Mais cette fois, après avoir payé la rançon, l’hôpital n’a pas pu récupérer ses fichiers. Pire, une seconde somme d’argent lui a été demandée. Fin janvier, c’est la police de Washington qui s’est aperçue que le réseau de vidéosurveillance de la ville ne fonctionnait plus correctement. Avant de prendre connaissance du problème : depuis le 12 janvier, un « ransomware » avait commencé à faire son œuvre, paralysant 123 des 187 caméras utilisées. En cherchant la source du dysfonctionnement, des enquêteurs sont tombés un peu plus tard sur un message les invitant à payer une somme. Ce qui n’a pas été fait. Le réseau a été réinstallé dans l’urgence.

 

FOCUS

L’expérience traumatisante d’une commune piratée

Chaque jour ou presque, des collectivités découvrent qu’elles ont été victimes d’une attaque informatique. Mais difficile de témoigner à visage découvert. Voici ce qu’une victime raconte, sous couvert d’anonymat : « Nous sommes arrivés un matin et nos postes informatiques étaient bloqués, explique cette directrice générale des services. Impossible de travailler dans ces conditions. Sur les écrans était affiché un message énigmatique et surtout, une demande de rançon. »

Si la police a rapidement été prévenue, la commune a dû se résoudre à trouver une solution au plus vite pour reprendre une activité normale. « Nous ne pouvions pas payer la somme, explique-t-elle. Nous avons appelé notre prestataire informatique qui a fait le déplacement et nous a indiqué qu’une grande partie de nos données, notamment les plus récentes, étaient perdues.

Personne n’avait anticipé le problème. Cela a créé beaucoup de remous au sein de la collectivité, dans la mesure où nous ne savons pas qui est responsable de l’attaque. L’enquête est toujours en cours. Plusieurs pistes ont été évoquées, dont des personnes hostiles à certaines décisions locales. C’est une expérience qui reste encore assez traumatisante pour nous. »

Si le prestataire informatique a fourni une solution d’appoint pour que les données soient plus fréquemment sauvegardées, aucun changement en profondeur, en termes de sécurité, n’a été apporté à ce jour.

 

 


 

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 dessins

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 


Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Cybersécurité : les collectivités territoriales, des cibles potentielles sous surveillance




Administrations et Entreprises : Prévoyez rapidement un délégué à la protection des données !

Devenir délégué à la protection des données | CNIL

Administrations et Entreprises : Prévoyez rapidement un délégué à la protection des données !


Le délégué à la protection des données est au cœur du nouveau règlement européen. Les lignes directrices adoptées le 13 décembre 2016 par le G29, groupe des « CNIL » européennes, clarifient et illustrent d’exemples concrets le nouveau cadre juridique applicable en mai 2018 dans toute l’Europe. 

Le délégué à la protection des données

Le règlement européen sur la protection des données pose les règles applicables à la désignation, à la fonction et aux missions du délégué, sous peine de sanctions.

 

Les lignes directrices du G29 ont pour objectif d’accompagner les responsables de traitement et les sous-traitants dans la mise en place de la fonction de délégué ainsi que d’assister ces délégués dans l’exercice de leurs missions. Elles contiennent des recommandations et des bonnes pratiques  permettant aux professionnels de se préparer et de mettre en œuvre leurs obligations avec flexibilité et pragmatisme.

 

 

A retenir

Le délégué est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné.

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.

 

 

Pour garantir l’effectivité de ses missions, le délégué :

  • doit disposer de qualités professionnelles et de connaissances spécifiques,
  • doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.

La mise en place de la fonction de délégué nécessite d’être anticipée et organisée dès aujourd’hui, afin d’être prêt en mai 2018.

Dans quels cas un organisme doit-il obligatoirement désigner un délégué à la protection des données ?

La désignation d’un délégué est obligatoire pour :

  1. Les autorités ou les organismes publics,
  2. Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
  3. Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations.

En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par les membres du G29. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Les lignes directrices du G29 clarifient les critères posés par le règlement, notamment les notions d’autorité ou d’organisme public, d’activités de base, de grande échelle et de suivi régulier et systématique.

Qui peut être délégué à la protection des données ?

Le délégué est désigné sur la base de ses qualités professionnelles et de sa capacité à accomplir ses missions.

Le délégué doit posséder des connaissances spécialisées de la législation et des pratiques en matière de protection des données. Une connaissance du secteur d’activité et de l’organisme pour lequel il est désigné est également recommandée. Il doit enfin disposer de qualités personnelles, et d’un positionnement lui donnant la capacité d’exercer ses missions en toute indépendance.

Les lignes directrices du G29 précisent le niveau d’expertise, les qualités professionnelles et les capacités du délégué.

Les personnes désignées en tant que correspondant Informatique et Libertés (CIL) ont vocation à devenir délégués à la protection des données en 2018. Toutefois, la qualité de CIL n’ouvrira pas automatiquement droit à celle de délégué à la protection des données. Les organismes ayant désigné un CIL indiqueront à la CNIL en 2018 si leur CIL deviendra délégué à la protection des données, selon des modalités précisées ultérieurement.

Quelles sont les missions du délégué à la protection des données ?

« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Les lignes directrices détaillent le rôle du délégué en matière de contrôle, d’analyse d’impact et de tenue du registre des activités de traitement.

Elles indiquent que le délégué n’est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement.

Quels sont les moyens d’action du délégué à la protection des données ?

Le délégué doit bénéficier du soutien de l’organisme qui le désigne. L’organisme devra en particulier :

  • s’assurer de son implication dans toutes les questions relatives à la protection des données (exemple : communication interne et externe sur sa désignation)
  • lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe)
  • lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions)
  • lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facilité aux autres services de l’organisme)
  • veiller à l’absence de conflit d’intérêts.

 

 

Les lignes directrices fournissent des exemples concrets et opérationnels des ressources nécessaires à adapter selon la taille, la structure et l’activité de l’organisme. S’agissant du conflit d’intérêts, le délégué ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (ne pas être juge et partie). L’existence d’un conflit d’intérêt est appréciée au cas par cas. Les lignes directrices indiquent les fonctions qui, en règle générale, sont susceptibles de conduire à une situation de conflit d’intérêts.

Comment organiser la fonction de délégué à la protection des données ?

En vue de la préparation à la fonction de délégué, il est recommandé de :

  • s’approprier les nouvelles obligations imposées par le règlement européen, en s’appuyant notamment sur les lignes directrices du G29.
  • confier au CIL ou au futur délégué les missions suivantes :
    • réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
    • évaluer ses pratiques et mettre en place des procédures (audits, privacy  by design, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
    • identifier les risques associés aux opérations de traitement ;
    • établir une politique de protection des données personnelles ;
    • sensibiliser les opérationnels et la direction sur les nouvelles obligations.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Original de l’article mis en page : Devenir délégué à la protection des données | CNIL