Archives mensuelles : octobre 2010

CIL: de la conférence du CLUSIF au D&IM

image Le 14 Octobre 2010, le Clusif (Club de la Sécurité de l’Information français) pose à nouveau la question du Correspondant Informatique et Liberté en l’abordant sous l’angle de “l’évolution et des bonnes pratiques du CIL” lors de l’une de ces conférences de partage d’information avec ses membres.

Logo CNIL

Après une introduction du président du Clusif, M. MOULIN Chef du service des CIL à la CNIL, rappelle les principales missions du CIL:
– Veiller au respect de la loi Informatique et libertés dans l’organisation;
– Dresser la liste des traitements mis en œuvre;
– Etre consulté avant la mise en œuvre des traitements;
– Recevoir tout requête des personnes concernées par les traitements;
– Répondre aux demandes d’accès de droit, de rectification et d’opposition;
– Mener les actions pédagogiques, les missions d’audits, les études de risque;
– Elaborer le code de conduite et veiller à son application.
M. Moulin rappelle aussi que le CIL est rattaché directement à la direction (il est interne à l’organisation dès que plus de 50 personnes participent au traitement) et qu’il exerce cette fonction en toute indépendance: protégé des sanctions et exerçant un responsabilité de droit commun.

La conférence permet ensuite à Mme CHOISY de la Direction Juridique d’Orange de témoigner sur la fonction du CIL, à M. CONNES d’HSC d’analyser le ROI de la nomination d’un CIL dans une organisation et enfin à Mme LEGRAS d’AREVA de préciser les missions du CIL et surtout son interaction avec les directions de l’organisation: Risk manager, Déontologue, Direction Générale, Direction informatique, Direction des Ressources Humaines, Formation,…

La conférence a parfaitement rappelé les obligations des organisations vis à vis de la fonction CIL. En revanche, elle a laissé ouverte à de nombreuses fonctions existante dans les organisations, le portage de la responsabilité. Or, toute personne avertie de la fonction D&IM conclura très vite que la fonction CIL doit être portée par le D&IM qui couvre la totalité des responsabilités du CIL et qui va plus loin dans la mission par la mise en œuvre d’une approche méthodologique structurée fondée sur les textes de la normalisation.

S’il y a fonction D&IM, il y a obligatoirement portage de la dim-192pfonction CIL conformément aux missions de celui-ci et au-delà, pour le bien des organisations, par les missions attribuées au D&IM (Voir profil D&IM).

Jean-Pierre BLANGER
Membre Aproged
Directeur R&D Ricoh

Publicités

Informatique, Libertés, Identités

Le Président de la FING (Fondation Internet Nouvelle Génération ) Daniel Kaplan nous alerte dans son dernier livre « Informatique, Libertés, Identités » chez Fyp Éditions: Nous avons fort à apprendre de notre propre vie privée à partir des données que possèdent de nous et sur nous, les entreprises. L’inquiétude est justifiée et une fois de plus, la sécurité informatique sera impuissante face à ce nouveau risque (avéré).
Pour éviter une telle atteinte à la liberté et ses conséquence incommensurables à la fois sur la vie privée des individus et sur la responsabilité (civile ou pénale) des gouvernances d’entreprises, le D&IM doit se rendre compte de deux aspects de la question :
1/ On n’arrêtera pas le Cloud Computing car on n’arrête pas le progrès,
2/ Le Cloud Computing va très naturellement et rapidement parvenir à réaliser la syndication, en temps réel, de nos données personnelles éparpillées chez nos fournisseurs.
Seule la gestion du droit d’usage de nos données (DLM = Digital Legal Management) nous évitera, sinon la constitution de telles syndications, l’utilisation des données sources, des données syndiquées et des données calculées.

Philippe BLOT-LEFEVRE
Consultant D&IM
Expert en droit d’usage du numérique
Conseil en Digital Legal Management

CAO

caocfaoWikipédia nous précise «  La conception assistée par ordinateur (CAO), comprend l’ensemble des logiciels et des techniques de modélisation géométrique permettant de concevoir, de tester virtuellement – à l’aide d’un ordinateur et des techniques de simulation numérique – et de réaliser des produits manufacturés et les outils pour les fabriquer ». 

Selon une enquête menée par Project Lightning  auprès de 3800 utilisateurs et publiée le 28 octobre 2010:

  • 32% des utilisateurs se plaignent d’une conception CAO lorsqu’elle émane d’autres utilisateurs. Ce qu’un D&IM interprète comme un manque d’écoute et de prise en compte des besoins utilisateurs, de la part de la maitrise d’ouvrage à l’origine du logiciel.
  • 19% considèrent ne pas pouvoir utiliser les données produite par la CAO. Ce qu’un D&IM interprète comme un manque d’appréciation de l’éditeur quant à l’utilité du logiciel, lequel n’est pas une fin en soi mais un moyen mis à la disposition des utilisateurs finaux : des humains !
  • 14% éprouvent des difficultés à créer/valider plusieurs configurations de grands produit complexes. Ce qu’un D&IM considère comme un manque de professionnalisme du fournisseur, attendu que les utilisateurs ont un besoin impératif de choisir les outils qui les rendent les plus performants; Intérêt in fine du fournisseur.
  • 10% correspondent à des demandes d’autres services qui accaparent votre temps. Ce qu’un D&IM admet, soit comme une insuffisante précision des besoins utilisateurs, soit comme une trop grande imprécision des prestations rendues par le système aux utilisateurs finaux.
  • 9% regrettent que la formation et l’accompagnement des utilisateurs soient assurés par des individus moins expérimentés qu’eux. Ce que le D&IM contribue à anticiper en amont des contrats conclus avec les fournisseurs.

Faut-il rappeler que la valeur de l’information tient de son usage par les individus dans leur fonction ?

Professionnel de la qualité de l’information tant dans son acquisition que dans son utilisation, le D&IM veille au respect des éléments constitutifs d’une confiance qui est aussi indispensable à la performance de l’entreprise que nécessaire à la relation utilisateur-éditeurs : apprécier les réels besoins utilisateurs, permettre de comparer pour arbitrer, ne rien produire qui ne soit utile et réutilisable en vue d’améliorer les processus métiers, accepter de partager les compétences-métiers entre le fournisseur et le client ; car l’apprentissage réciproque est vertueux.

Philippe Blot-Lefèvre
Conseil en Digital Legal Management

LA POSTE au Wine & Business Club Paris

Une soirée pour se poser la question: ‘Peut-on réellement faire confiance à l’Internet ?”
Une table ronde proposant les points de vue d’experts avisés que sont:
imageNicolas Routier, Directeur Général du Courrier et Président de Sofipost, Groupe La Poste

imageDaniel Kaplan, Cofondateur et Délégué Général de la Fondation pour l’Internet Nouvelle Génération

imageJean-Pierre Buthion, Président de la commission identités de l’Acsel

imageThomas Lot, Président The Official Board

Sans faire le compte-rendu détaillé des débats, reprenons quelques propos clés des intervenants.
M. Routier nous fait part du besoin d’un espace privé sur l’internet et de sa certitude de l’existence prochaine ‘d’un continent de l’internet de confiance’. Il laisse ensuite la parole à M. Kaplan. Celui-ci insiste sur l’explosion des usages de la confiance et nous interroge: ‘Qui à un problème de confiance ? Vous !’. Il rappelle en effet que nous sommes au prise à une crise de confiance générale. Politique, Institutions, Scandales de grandes entreprises,… contribuent au quotidien à alimenter cette crise. En revanche il précise qu’entre individus, la confiance est généralement présente et que sur internet, les transactions entre entreprises et les réseaux sociaux d’individus sont le lieu de création de communautés de confiance. Il termine en signalant que l’acronyme VRM (Vendor Relationship Management) est selon son analyse la clé de ce débat. En travaillant le VRM et plus particulièrement en tentant d’accroître de quelques ‘crans de confiance’ la relation, il prédit que les organisations et les communautés gagneront en volume d’activité et de fréquentation.
Ensuite, M. Buthion nous précise que la confiance sur internet est basée sur la sécurité. D’ailleurs, l’ACSEL (Association de l’Economie Numérique) dont il est un membre actif, cherche à construire une ‘Vie numérique responsable’ en mettant en évidence les moyens à mettre en opposition au langage anxiogène qui tend en permanence à mettre en avant les problèmes de piraterie du Net. Il insiste évidemment sur la notion d’identité et insiste sur le fait que la technologie est disponible pour assurer la confiance dans un référentiel identique pour tous en termes d’eCommerce, de Collectivités locales et de relations B2B.
Enfin, M. Lot, grand praticien du Web, met en évidence le fait que l’internet est un terrain de rencontre entre inconnus avec des règles. Il rappelle que les grands succès du Web, repose en outre sur la transparence des règles et sur la modération des relations par les utilisateurs eux-mêmes.

Tous ces éclairages d’une grande clarté et d’une grande précision, sont suivis de questions qui mettent quelques autres aspects en évidence. On entend par par exemple, que la piraterie est finalement négligeable comparativement au volume d’affaires traités par ceux qui en sont les victimes. On est aussi mis face à la question de la mobilité qui impose la simplification des moyens techniques de protection qui ne doivent pas pour autant perdre en efficacité.

En résumé, une conférence très relevée et de qualité à laquelle les D&IM regretteront certainement de n’avoir pu participer.
Un éclairage cher au site du D&IM manque cependant à cette table ronde sur la confiance dans l’internet, il s’agit de celui du DLM (Digital Legal Management). En effet, la confiance a été abordée par les angles de vues de la Sécurité, de l’identité, des règles appliquées, de la communauté et de l’usage, il n’a pas été évoqué la notion du risque de celui qui fraude. Ce risque a été effleuré par l’intervention de M. Lot relatif à la modération par les utilisateurs eux-mêmes. Pourtant, il nous apparaît essentiel dans la confiance de l’internet de rappeler que le risque du pirate est le principal gage de confiance au-delà de l’empilement des sécurités et des règles de gestion des identités. Pour être bref, il est dangereux pour le faussaire partout dans le monde de faire de faux billets, n’est-ce pas ?  Il faut dont pour l’internet de confiance qu’il soit dangereux de faire de la piraterie numérique. Ce n’est pas encore le cas mais il faudra qu’il en soit ainsi pour que le ‘continent de l’internet de la confiance’ attendu prochainement par M. Routier, devienne réalité.

Jean-Pierre BLANGER
Membre Aproged
Directeur R&D Ricoh

Cahiers de la Sécurité

image La commission du Livre blanc sur la Défense et la Sécurité Nationale a posé clairement la question de l’importance du renseignement, précise André-Michel VENTRE, Directeur de l’INHESJ (Cahier de la Sécurité 13).
Et d’ajouter :« Affronter une crise commande, pour la vaincre, être correctement et complètement informé sur tous les protagonistes, sur leurs intentions, sur leurs forces et leurs vulnérabilités. Pour autant cela ne saurait suffire, car il faut connaître le contexte dans lequel la crise naît, se développe et prospère. Enfin, il faut savoir imaginer, pour mieux les anticiper, ses évolutions ».
Coresponsable de la sécurité de l’entreprise ( RSSI, juristes, opérationnels, etc.) dans tous ses rapports internes et extérieurs, le D&IM veille à l’acuité des informations qui circulent entre les différents acteurs. Son but n’est pas de restreindre l’information mais de valider d’une part, son utilité pour telle ou telle fonction à remplir et d’autre part, ce que chaque accédant est susceptible de faire de cette information. A la différence de l’époque du tout-papier, le moindre manquement à ces deux règles de bon sens est absolument irréversible dans le nouveau monde numérique mondialisé.
Ce numéro des Cahiers de la Sécurité nous proposent des méthodes de travail et d’investigation utiles au D&IM : « distinguer les signaux faibles qui veulent vraiment dire quelque chose au regard du renseignement stratégique. Comment le faire au moment opportun, c’est-à-dire quand c’est important [ pour qui, en tant qu’habilité ]? Comment les services spécialisés, privés ou publics, peuvent-ils comprendre l’information lorsqu’elle vient à leur connaissance ? » et j’ajouterai : comment encadrer l’usage de l’information tout au long de la chaîne des utilisateurs potentiels au-delà du premier destinataire ?
La gestion du droit d’usage ( DLM = Digital Legal Management ) dans le temps est fondamentale parce qu’elle fixe les enjeux du renseignement.
Quant à la juste remarque de l’auteur sur les « guerres de services qui provoquent la cécité du décideur »,  je répond « D&IM et enjeu stratégique de gouvernance ».

Philippe BLOT-LEFEVRE
Consultant D&IM
Expert en droit d’usage du numérique
Conseil en Digital Legal Management

Déclaration universelle sur les Archives

ICA Adoptée à Malte en 2009, la Déclaration Universelle des Archives a été votée à l’unanimité des délégués de l’ICA (International Council on Archive) réunis à Oslo, lors de leur assemblée générale du 17 Septembre 2010:

Les archives consignent les décisions, les actions et les mémoires. Les archives constituent un patrimoine unique et irremplaçable transmis de génération en génération. Les documents sont gérés dès leur création pour en préserver la valeur et le sens. Sources d’informations fiables pour une gouvernance responsable et transparente, les archives jouent un rôle essentiel dans le développement des sociétés en contribuant à la constitution et à la sauvegarde de la mémoire individuelle et collective. L’accès le plus large aux archives doit être maintenu et encouragé pour l’accroissement des connaissances, le maintien et l’avancement de la démocratie et des droits de la personne, la qualité de vie des citoyens.

À cette fin, nous reconnaissons:
• le caractère unique des archives, à la fois témoignage authentique des activités administratives, culturelles et intellectuelles et reflet de l’évolution des sociétés ;
• le caractère essentiel des archives pour la conduite efficace, responsable et transparente des affaires, la protection des droits des citoyens, la constitution de la mémoire individuelle et collective, la compréhension du passé, la documentation du présent et la préparation de l’avenir ;
• la diversité des archives permettant de documenter l’ensemble des domaines de l’activité humaine;
• la multiplicité des supports sur lesquels les archives sont créées et conservées, que ce soit le papier, le numérique, l’audiovisuel ou tout autre type ;
• le rôle des archivistes qui, en tant que professionnels bénéficiant d’une formation initiale et continue, servent leurs sociétés respectives en appuyant la création des documents, en procédant à leur sélection, leur préservation et en les rendant accessible pour leur utilisation ;
• la responsabilité de tous, citoyens, décideurs publics, propriétaires ou détenteurs d’archives publiques ou privées, archivistes et spécialistes de l’information, dans la gestion des archives.

Et c’est pourquoi nous nous engageons à travailler de concert, pour que:
• chaque État se dote de politiques et de lois concernant les archives et qu’il les mette en œuvre;
• la gestion des archives soit valorisée et pleinement exercée au sein de tout organisme public ou privé qui crée et utilise des archives dans le cadre de ses activités ;
• les ressources nécessaires, incluant l’embauche de professionnels qualifiés, soient allouées à la gestion adéquate des archives
• les archives soient gérées et conservées dans des conditions qui en assurent l’authenticité, l’intégrité et la plus grande marge d’utilisation;
• les archives soient rendues accessibles à tous, dans le respect des lois en vigueur et des droits des personnes, des créateurs, des propriétaires et des utilisateurs ;
• les archives soient utilisées afin de contribuer à la promotion de citoyens responsables.

Jean-Pierre BLANGER
Membre Aproged
Directeur R&D Ricoh