Mission Impossible. Missieviering. Missio (B 2009 29ste zondag door het jaar)
Protéger ses données: mission impossible?
-
Upload
antoine-vigneron -
Category
Technology
-
view
403 -
download
1
Transcript of Protéger ses données: mission impossible?
Les Jeudis de l’AFAI
Protégez ses données, mission impossible ?
Marie-Noëlle Gibon/CIL Groupe La Poste
• 7/04/2016
Toutes les minutes :
350 000 Tweets
15 millions de SMS
200 millions de mails
250 gigaoctets d’information sont
archivés sur Facebook
1 740 000 gigaoctets (Go) d'informations
sont publiés dans le monde
Tous les jours
Google traite plus de 24 peta-octets de
données soit 24 millions de milliards
d’octets
En 2013, 1,01 Md€ d’objets connectés
En 2020, 100 Milliards d’objets connectés
La data-sphère Les données au cœur de l’économie
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 2
La data-sphère La donnée a un prix
69,55€
54,87€
33,03€
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 3
51,10€
11,84€
Source :Gemalto
Po
ne
mo
n In
stit
ue
La data-sphère La donnée à un coût
Incident : par nature
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 4
Cybercriminalité
Externalisation
Mobilité Numérique
BYOD
Cloud Computing
Réseaux Sociaux
Les risques numériques
majeurs Coût moyen par donnée compromise : 127€/132€
Coût par attaque malveillante : 150€/140€
Coût par négligence/erreur humaine : 117€/117€
Coût des dysfonctionnements informatiques : 125€/122€
Le Groupe La Poste Données donnez moi…
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 5
le responsable du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des données et des
risques présentés par le traitement, pour préserver la sécurité
des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y
aient accès ».
Protection des données : une obligation
« Art. 14 : les entreprises assujetties déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leur métier. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptés. Le contrôle des systèmes d’information doit notamment permettre de s’assurer que a) le niveau de sécurité des systèmes informatiques est
périodiquement apprécié et que(..) les actions correctrices sont entreprises
b) Des procédures de secours informatiques sont c) disponibles afin de s’assurer de la continuité de l’exploitation (…) d) En toutes circonstances, sont préservées l’intégrité et la
confidentialité des informations. Le contrôle des informations s’étend à la conservation des informations et à la documentation relative aux analyses, à la programmation et à l’exécution des traitements
« Art. L133-15 : Le prestataire de services de paiement…doit
s’assurer que les dispositifs de sécurité personnalisés de cet
instrument…ne sont pas accessibles à d’autres personnes
que l’utilisateur autorisé à utiliser cet instrument (…)
« Art. L533-2 : les prestataires de services d’investissement
disposent… de techniques efficaces de contrôle et de
sauvegarde de leurs systèmes informatiques (…)
Protéger les données Mode d’emploi
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 6
Protégez ses données, mission impossible ?
Protection
des données
Protection
des données
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 7
Protéger les données Mode d’emploi
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 8
Cibler les bons
interlocuteurs
Sensibiliser les Acteurs : Mieux que « savoir » , comprendre
Accompagner les métiers dès la conception des services
Les 3 temps c’est tout le
temps
Protéger les données Les 3 Temps
Les acteurs
internes
Les instances
Les contributions externes
Comité de la donnée
Comité Privacy
Cibler les bons interlocuteurs
Aide toi, le ciel t’aidera
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 9
Temps 1 Mobiliser
Sensibiliser les Acteurs: Mieux que « savoir » , comprendre
Sensibilisation Formation Boîte à outils
En persévérant on arrive à
tout
Temps 2 Sensibiliser
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 10
Sensibiliser les acteurs : Mieux que « savoir » , comprendre
Boîte à outils
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 11
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Temps 2 Sensibiliser
En persévérant on arrive à
tout
https://www.youtube.com/watch?v=xpfCr4By71U
12 07/04/2016
7. Les mesures de sécurité appropriées tu prendras
Article 34 « le responsable du traitement est tenu de prendre
toutes précautions utiles, au regard de la nature des données et
des risques présentés par le traitement, pour préserver la données
et, notamment, empêcher qu'elles soient déformées,
endommagées, ou que des tiers non autorisés y aient accès ».
1
2 MN GIBON - Protégez ses données, mission impossible ?
Définir ses propres exigences de sécurité: Intégrer ses propres exigences de sécurité
dans le cahier des charges
Rédiger les clauses contractuelles afférentes à la sécurité
Elaborer un Plan d’Assurance Sécurité (PAS) conjointement avec le Prestataire
3
Temps 2 Sensibiliser
Le Big Data dans tous ses états
Sensibilisation Boîte à outils Boîte à outils
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 13
En persévérant on arrive à
tout
Accompagner les métiers dès la conception des services
Celui qui veut faire quelque chose trouve
un moyen
Temps 3 Accompagner
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 14
Accompagner les métiers dès la conception des services
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 15
Celui qui veut faire quelque chose trouve
un moyen
Temps 3 Accompagner
MN GIBON - Protégez ses données, mission impossible ?
Sensibilisation
Sensibiliser les acteurs : Mieux que
« savoir » , comprendre
Accompagner les
métiers dès la
conception des services
Acteurs IT Dir Jur/CFM Métiers Audit RSSI DPO
Activités
Conformité des traitements C I A/R R C I
Documentation des traitements C C A/R I C C
Droit des personnes : carto
process/Organisation/ProcI I A/R R I C
Droit des personnes : SI R I A C C I
PPDP hors France R C A/R C C I
Gestion cycle de vie data R I A/R I C
Def et Mise en œuvre
nouveaux processC I A/R C C
Evolutions SI/traçabilité R I A C A
Evolutions SI/droits des pers R I A/R ? C
Syst de gestion Doc
(fonctionnel)I I A/R C A/R
Syst gestion Doc (Technique) R I I I A
CC Type Test SSI
(fonctionnel)C I R A/R C
CC Type Test SSI (technique) R I I A C
Sensibilisation et Formation C I I I C A/R
Analyse de l'existant
RoadMap
Temps 3 Accompagner
07/04/2016 16
1 2
3
4 5
7 6
Protection des données Les 3 piliers
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 17
un consentement libre et
éclairé obtenu du client une information transparente
tout au long du cycle de vie de la donnée
des modalités d’opposition simples et faciles
du VRM et du Vrai
une protection technique
suivie de bout en bout on sait où sont les données qui est responsable de quel
traitement tous les destinataires des
données sont identifiés et répertoriés; leurs accès sont contrôlés
Mes
Info
Tes
Info
CIL DPO
Conclusion
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 18