Protéger ses données: mission impossible?

Les Jeudis de l’AFAI

Protégez ses données, mission impossible ?

Marie-Noëlle Gibon/CIL Groupe La Poste

• 7/04/2016

Toutes les minutes :

350 000 Tweets

15 millions de SMS

200 millions de mails

250 gigaoctets d’information sont

archivés sur Facebook

1 740 000 gigaoctets (Go) d'informations

sont publiés dans le monde

Tous les jours

Google traite plus de 24 peta-octets de

données soit 24 millions de milliards

d’octets

En 2013, 1,01 Md€ d’objets connectés

En 2020, 100 Milliards d’objets connectés

La data-sphère Les données au cœur de l’économie

07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 2

La data-sphère La donnée a un prix

69,55€

54,87€

33,03€


51,10€

11,84€

Source :Gemalto

Po

ne

mo

n In

stit

ue

La data-sphère La donnée à un coût

Incident : par nature


Cybercriminalité

Externalisation

Mobilité Numérique

BYOD

Cloud Computing

Réseaux Sociaux

Les risques numériques

majeurs Coût moyen par donnée compromise : 127€/132€

Coût par attaque malveillante : 150€/140€

Coût par négligence/erreur humaine : 117€/117€

Coût des dysfonctionnements informatiques : 125€/122€

Le Groupe La Poste Données donnez moi…


le responsable du traitement est tenu de prendre toutes

précautions utiles, au regard de la nature des données et des

risques présentés par le traitement, pour préserver la sécurité

des données et, notamment, empêcher qu'elles soient

déformées, endommagées, ou que des tiers non autorisés y

aient accès ».

Protection des données : une obligation

« Art. 14 : les entreprises assujetties déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leur métier. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptés. Le contrôle des systèmes d’information doit notamment permettre de s’assurer que a) le niveau de sécurité des systèmes informatiques est

périodiquement apprécié et que(..) les actions correctrices sont entreprises

b) Des procédures de secours informatiques sont c) disponibles afin de s’assurer de la continuité de l’exploitation (…) d) En toutes circonstances, sont préservées l’intégrité et la

confidentialité des informations. Le contrôle des informations s’étend à la conservation des informations et à la documentation relative aux analyses, à la programmation et à l’exécution des traitements

« Art. L133-15 : Le prestataire de services de paiement…doit

s’assurer que les dispositifs de sécurité personnalisés de cet

instrument…ne sont pas accessibles à d’autres personnes

que l’utilisateur autorisé à utiliser cet instrument (…)

« Art. L533-2 : les prestataires de services d’investissement

disposent… de techniques efficaces de contrôle et de

sauvegarde de leurs systèmes informatiques (…)

Protéger les données Mode d’emploi


Protégez ses données, mission impossible ?

Protection

des données

Protection

des données


Protéger les données Mode d’emploi


Cibler les bons

interlocuteurs

Sensibiliser les Acteurs : Mieux que « savoir » , comprendre

Accompagner les métiers dès la conception des services

Les 3 temps c’est tout le

temps

Protéger les données Les 3 Temps

Les acteurs

internes

Les instances

Les contributions externes

Comité de la donnée

Comité Privacy

Cibler les bons interlocuteurs

Aide toi, le ciel t’aidera


Temps 1 Mobiliser

Sensibiliser les Acteurs: Mieux que « savoir » , comprendre

Sensibilisation Formation Boîte à outils

En persévérant on arrive à

tout

Temps 2 Sensibiliser


Sensibiliser les acteurs : Mieux que « savoir » , comprendre

Boîte à outils


http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/



tout

https://www.youtube.com/watch?v=xpfCr4By71U












12 07/04/2016

7. Les mesures de sécurité appropriées tu prendras

Article 34 « le responsable du traitement est tenu de prendre

toutes précautions utiles, au regard de la nature des données et

des risques présentés par le traitement, pour préserver la données

et, notamment, empêcher qu'elles soient déformées,

endommagées, ou que des tiers non autorisés y aient accès ».

1

2 MN GIBON - Protégez ses données, mission impossible ?

Définir ses propres exigences de sécurité: Intégrer ses propres exigences de sécurité

dans le cahier des charges

Rédiger les clauses contractuelles afférentes à la sécurité

Elaborer un Plan d’Assurance Sécurité (PAS) conjointement avec le Prestataire

3


Le Big Data dans tous ses états

Sensibilisation Boîte à outils Boîte à outils



tout


Celui qui veut faire quelque chose trouve

un moyen

Temps 3 Accompagner


MN GIBON - Protégez ses données, mission impossible ?

Sensibilisation

Sensibiliser les acteurs : Mieux que

« savoir » , comprendre

Accompagner les

métiers dès la

conception des services

Acteurs IT Dir Jur/CFM Métiers Audit RSSI DPO

Activités

Conformité des traitements C I A/R R C I

Documentation des traitements C C A/R I C C

Droit des personnes : carto

process/Organisation/ProcI I A/R R I C

Droit des personnes : SI R I A C C I

PPDP hors France R C A/R C C I

Gestion cycle de vie data R I A/R I C

Def et Mise en œuvre

nouveaux processC I A/R C C

Evolutions SI/traçabilité R I A C A

Evolutions SI/droits des pers R I A/R ? C

Syst de gestion Doc

(fonctionnel)I I A/R C A/R

Syst gestion Doc (Technique) R I I I A

CC Type Test SSI

(fonctionnel)C I R A/R C

CC Type Test SSI (technique) R I I A C

Sensibilisation et Formation C I I I C A/R

Analyse de l'existant

RoadMap

Temps 3 Accompagner

07/04/2016 16

1 2

3

4 5

7 6

Protection des données Les 3 piliers


un consentement libre et

éclairé obtenu du client une information transparente

tout au long du cycle de vie de la donnée

des modalités d’opposition simples et faciles

du VRM et du Vrai

une protection technique

suivie de bout en bout on sait où sont les données qui est responsable de quel

traitement tous les destinataires des

données sont identifiés et répertoriés; leurs accès sont contrôlés

Mes

Info

Tes

Info

CIL DPO

Conclusion


Protéger ses données: mission impossible?

Technology

Transcript of Protéger ses données: mission impossible?