Archives de Catégorie: Sécurité

RSE en 10 questions

Le Club des Directeurs de Sécurité des Entreprises (CDSE) publie un intéressant travail intitulé «  Les réseaux sociaux en dix questions « .

Les lecteurs y trouveront la synthèse d’un Groupe de travail qui, issu du CDSE Junior, a durant plusieurs semaines, réfléchi aux enjeux relatifs aux réseaux sociaux afin de permettre aux directions Sûreté, Sécurité, Risques d’utiliser ces réseaux sociaux à bon escient, tout en mesurant les risques inhérents.

Le document comporte six parties de nature à permettre au D&IM de comprendre ce à quoi est confrontée la Direction de la sécurité et à se préoccuper des la politique de diffusion des contenus.

Oser être différent : reste au D&IM d’anticiper la valeur de ces nouveaux outils sociaux pour accélérer la sortie du lot, de son entreprise.

Philippe Blot-Lefevre
Vice Président de la fi-D&IM
Coaching de la Gouvernance

Protection des données à caractère personnel

La France est un des premiers pays au monde (en 1978, sous la présidence de Valéry Giscard d’Estaing) à s’être doté d’une législation protégeant les données à caractère personnel.

Dix-sept ans après, en 1995, l’Europe a adopté une directive généralisant les principes de protection de la vie privée des citoyens, et apportant quelques innovations très intéressantes : des formalités administratives allégées au profit d’une recherche plus effective de conformité ; un transfert de charge de travail sur les entreprises, qui purent désigner en leur sein un « Correspondant Informatique & Libertés ». Cette directive fut transposée en droit français… en 2004 et 2005.

image Une nouvelle étape est aujourd’hui franchie par l’Union Européenne, avec l’examen du projet de règlement sur la protection des données personnelles.
Ce projet de règlement, qualifié d’explosif par certains, est l’aboutissement d’une logique engagée en 1995.
Il généralise le rôle du Correspondant Informatique & Libertés (il en existe déjà 10.000 en France). Il renforce les sanctions, qui deviennent réellement dissuasives.
Il se positionne sur toutes les questions d’actualité : failles de sécurité, cloud computing, droit à l’oubli, consentement préalable pour les internautes …

Attention, un règlement européen ne nécessite pas de transposition par les états membres. Il pourrait donc être applicable dès 2014.
Informaticiens, juristes, Document & Information Managers : préparez-vous !

Philippe SICARD
Consultant expert Informatique & Libertés

D&IM et Gestion de crise

image Une crise est une opportunité de management du changement ; dans la douceur parce que – dans la compréhension des hommes – forcée par les circonstances.
La crise est un système explosif, une énergie qui divise les hommes.
Le D&IM transforme cette énergie centrifuge en énergie centripète de rassemblement des hommes sur l’objet commun de l’entreprise.
Les Documents & Informations apparaissent comme les éléments les plus communs de l’entreprise et ce qui souffrira le plus d’une réorganisation tel, par exemple, un déménagement. Inexact !
Ce sont les collaborateurs qui souffrent des dysfonctionnement de processus qui sont nécessaires à l’exécution de leur travail; lesquels processus reposent sur les Documents & Informations (D&I) qu’ils ont à échanger et partager.

Voici la trame méthodologique du D&IM

Objet
– Piloter les D&I (Documents et Informations) dans et entre chaque unité opérationnelle, et suivre les projets.
– Définir une politique
– Faire vivre

Choisir les outils
– Contrôler la mise en œuvre et l’efficacité

Focus 1 Focus 2 Focus 3
Fonctionnel
Patrimonial
Légal
Organisation
Technique
Juridique
Métiers de l’entreprise
Temps
Contexte

Contexte
Intégration au COMEX, donc très opérationnel

Les D&IM auront compris que cette trame doit être déclinée sur trois temps: l’avant-crise et son anticipation, pendant la crise et au retour à la normale.
De nombreuses exceptions d’habilitation sont à prendre en considération au cours de la crise . Ainsi appartient-il au D&IM d’anticiper l’évolution du rapport « rôle individuel – droit d’usage du document » au fur et à mesure du déroulement des trois phases.

Philippe BLOT-LEFEVRE
Risk Manager de l’Information

L’hygiène informatique en entreprise

Hygiène L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publie en ce mois d’octobre un  guide de recommandations ‘d’hygiène’ pour la sécurité des Documents & Informations dans l’entreprise.
A destination des Responsables informatiques, le guide est fondé sur le constat par l’ANSSI qui met en évidence que de nombreuses infractions auraient pu être évitées si des mesures évidentes et simples avaient été mises en œuvre.

Les recommandations sont simples.
Quelques exemples:
– Rédiger des procédures d’arrivée et de départ des utilisateurs (personnel, stagiaires…)
– Interdire la connexion d’équipements personnels au système d’information de l’entreprise.
– Ne pas conserver les mots de passe sur les systèmes informatiques
– Chiffrer les données sensibles, en particulier sur les postes nomades et les supports perdables
– Vérifier qu’aucun équipement du réseau ne comporte d’interface d’administration accessible depuis l’Internet
– Définir des règles en matière de gestion des impressions papier
– Mettre en place une chaîne d’alerte connue de tous les intervenants
-…
et les D&IM doivent les connaître et vérifier leur application au quotidien.

Jean-Pierre BLANGER
Vice-président fi-D&IM
Directeur R&D et des Offres de Services Ricoh

Toujours plus de protection des données

 La Commission européenne s’engage de nouvelles propositions qu’elle soumet au parlement européen visant ainsi la publication et l’application de directives destinées à la protection des données privées.

La présentation de Viviane Reding, commissaire européenne à la Justice, fait apparaître de
nouvelles obligations:

– L’entité nationale de chaque pays de l’union européenne, en charge de la protection des données devra être renforcée et pourra infliger des amendes jusqu’à 1 million d’euros ou 5% du CA de l’entreprise;
– Toute violation grave de données personnelles au sein d’une entreprise/organisation devra être déclarée dans les plus bref délais (< 24h);
– L’accès à ses propres données devra être facilité ainsi que la destruction de celle-ci (droit à l’oubli);
– Les règles de l’union européennes devront être appliquées par tout exploitant des données hors de l’union;

Données et europe Les entreprises vont devoir nommer un responsable de la sûreté des informations qu’elles soient au format numérique ou sur papier.
Si en fonction des organisations, cette responsabilité sera confiée au CIL… au DSI au RSSI…  Certains pourront comprendre que tant l’environnement technologique et organisationnel que le risque encouru pour l’entreprise mérite que cette responsabilité puisse être portée par le D&IM.
D&IM92 Dans tous les cas, nos recommandations sont que le D&IM au sein de chaque organisation:
– s’inquiète rapidement de sensibiliser la Direction Générale à cette responsabilité renforcée;
– se mette en action pour que ces directives européennes puissent être appliquées au plus vite dans son entreprise/organisation. 

Jean-Pierre BLANGER
Directeur R&D et de Offres de Services Ricoh France

Dénoncer ou étouffer la fraude ?

image Dans un article qui porte sur le secret des affaires et la loi que prépare le Député Carayon pour les prochaines semaines, Maître Thibaut du Manoir de Juaye rappelle que “le directeur juridique de Michelin, entendu à l’Assemblée Nationale sur l’abus de confiance dont était victime sa société, a expliqué qu’exposer son affaire devant une juridiction revenait à aggraver son préjudice puisqu’il était contrait d’exposer le contenu du secret de ses affaires pour obtenir une condamnation de l’auteur.”

Le D&IM est averti de ces situations dont le préjudice est tel que bien des gouvernances sont tentées de l’étouffer plutôt que de punir le contrevenant. C’est notamment le cas d’administrateurs systèmes dont les employeurs ont préféré étouffer la fraude plutôt que de l’ébruiter. Faudra-t-il budgéter l’e-réputation ?

Laissons les députés décider de l’utilité et du niveau de finesse de la loi sur le secret des affaires mais en tant que D&IM, restons vigilants sur l’usage des D&I ; en entrée comme en sortie de l’organisation !

La fi-D&IM interviendra notamment sur ces questions, tant par sa présence au Salon DOC & FINANCES (Stand A16bis) qu’au cours d’une matinée de conférences toutes relatives à la fonction D&IM, le  25 janvier 2012 au CNIT La Défense.

Philippe Blot-Lefevre
Coaching et Gestion du droit d’usage des informations

Hadopi dans l’entreprise

La loi ne concerne pas que les ados en quête de musiques gratuites.
Trois photos piquées sur le web par un salarié, suffisent à interdire l’entreprise d’accéder à l’Internet !

Hadopi

HADOPI fait l’obligation à tout titulaire d’un accès à un service de communication en ligne, « de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin ». Au terme de l’article L.331-25 du CPI, trois infractions suffisent à faire encourir l’entreprise la peine de suspension de son accès à l’Internet (L.335-7-1).

Le cas concerne ainsi, précise Maître Christophe Alleaume dans Le Journal du Management Juridique et Réglementaire N°27, P11, le téléchargement illicite d’œuvres, par trois fois répété, par un salarié sur son lieu de travail.

S’il est concevable que la gravité de l’infraction  puisse être mise en balance avec le caractère négligent ou pas, de l’employeur, le D&IM aura bien à l’esprit que l’utilisation abusive d’actifs tels les inventions, les articles de presse, les productions audiovisuelles ou de simples images piquées sur le web, fut-ce pour enjoliver un jeu de diapositives, est de nature à engager gravement et durablement le fonctionnement de l’entreprise.

Philippe BLOT-LEFEVRE
Coaching et Gestion du droit d’usage des informations

La protection des documents et des utilisateurs, remise en jeu par une Jurisprudence Européenne

L’organisation Belge de protection de la propriété Intellectuelle et artistique, SABAM équivalente de notre SACEM demandait dans une procédure de justice ad hoc, que les FAI (Fournisseurs d’accès à Internet, filtrent les piratages de propriété intellectuelle et artistique (musique, vidéo, etc..).
image
La Cour de Justice de l’Union Européenne (CJUE) estime (Je cite Le Figaro) « que La lutte contre le piratage ne peut pas donner lieu, aux frais des FAI, à une surveillance active de l’ensemble des données de chacun de ses clients afin de prévenir toute atteinte future à des droits de propriété intellectuelle».


Protéger la propriété intellectuelle, c’est protéger une valeur qui vous importe. Qui accepterait de se ruiner pour protéger le seul intérêt d’autrui ; fut-il client ? On trouve le juste prix d’une protection intellectuelle à l’instant où ses utilisateurs s’en désintéressent parce que cela leur coute trop cher ; notamment en perdant leur job.  

imageCette clarification de la CJUE, soulignée par Madame Neelie Kroes, commissaire européenne aux nouvelles technologies, ramène le D&IM à la question du tout-technique, démesurément onéreux en enjeux et en sous-traitance, et du techno-juridique (DLM) qui tient précisément compte du risque  économique individuel et donc, de la rationalisation des applications et coûts technologiques. C’est manifestement dans ce sens que les Etats vont également devoir revoir leurs copies ; HADOPI etc..

Quand au D&IM, conscient qu’une parfaite maîtrise des flux documentaires s’acquière via celle des processus opérationnels et de leur herméticité, le voilà doté d’une jurisprudence européenne déterminante. Il peut désormais budgéter et défendre devant la gouvernance, avec la DRH, la DJ, la DSI et les Services utilisateurs, la mise en œuvre d’un annuaire d’habilitations (LDAP, …) qui, s’appuyant sur le rôle des acteurs pour garantir l’exécution des processus métiers, responsabilise les individus à hauteur de leur besoin d’appointements.

Philippe BLOT-LEFEVRE
HUB2B
Coaching stratégique et DLM (Digital Legal Management)
Membre de l’Académie de l’Intelligence Economique

Vie privée et consentement : prononcez-vous !

Les-EchosDe bonnes raisons pour que le D&IM de votre organisation se préoccupe notamment des données de vos clients !

A lire sur le Blog des Echos.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D et des Offres de Services Ricoh

Données sous clé numérique

image

Dans cet article du nouvel Economiste, la question de la capacité des entreprises à conserver leurs documents numériques sur le long terme selon les règles de l’art est posée. Clairement la réponse apportée par les tiers archiveurs externes à l’entreprise présente aujourd’hui de meilleures garanties.

image

Il n’est pas fait mention de la chaîne de confiance nécessairement mise en place entre l’entreprise et le tiers archiveur pour un archivage à force probante. Pourtant, attention à ce point critique souvent négligé, qui permet aux ‘pirates’ de s’intercaler entre l’outil de capture ou de dépôt, et de subtiliser voire, de substituer des documents.

Au D&IM de se faire une idée de la complexité de l’archivage probant et de choisir la meilleure approche pour son organisation.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D et des Offres de Services Ricoh

Archivage électronique et ISO 27000

FEDISA Jeudi 26 Mai, l’association FEDISA fait le point sur l’intérêt de l’application des normes ISO 27000 dans le cadre de l’archivage électronique, interne au entreprises ou externalisé chez un tiers de confiance. Elle va même au-delà en affirmant que cette série des normes relative à la sécurité constitue un pré-requis à l’archivage électronique. Sur ce point les D&IM ne peuvent que partager le point de vue de l’a FEDISA et rappeler l’obligation des organisation à s’aligner sur l’état de l’art pour offrir les meilleures garanties.

Après avoir rappelé que les critères d’appréciation sont souvent différents entre les experts techniques et les experts juridiques, quelques normes sont mentionnées et repositionnées:
TRAC – Trustworthy Repositories Audit and Certification (NARA)
ISO 30301 – Information et documentation – Système de management des informations et des documents – Exigences
ETSI TS 101 456 – Policy requirements for certification Authorities issuing qualified certificates
ISO/IEC 27000:2009 Information technology – Security techniques – Information security management systems – Overview and vocabulary
ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management
ISO/IEC 27003:2010 Information technology – Security techniques – Information Security Management Systems Implementation Guidelines
ISO/IEC 27004:2009 Information technology – Security techniques – Information Security Measurements and Metrics
ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management
ISO/IEC 27006:2007 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Il est intéressant ensuite de comprendre, sur la base d’explication détaillée sur le processus de certification, comment l’on peut certifier l’application de ces normes en bonne et due forme.

Mais le plus intéressant reste à venir…

image La FEDISA publie un exemple d’analyse de certification d’un tiers de confiance imaginaire: ARP et met en évidence le besoin d’aller au-delà des normes pour garantir les archives électroniques selon les critères de: Disponibilité, Intégrité, Confidentialité et Traçabilité. C’est ainsi que l’a FEDISA définit un sur-ensemble des normes 27002 et 27005 pour traiter plus précisément de l’archivage électronique et propose une méthodologie d’appréciation du risque extrêmement pertinente.

Alors que nombreux sont ceux qui parlent d’archivage électronique à force probante en oubliant souvent de décrire comment la conservation est réalisée et protégée… l’approche relatée dans ces  quelques lignes est la bienvenue.
Il est aussi très clair que les travaux menés et restitués avec une telle qualité ne peuvent et ne doivent pas être ignorés par les D&IM (ni par les Documestre) qui vont dorénavant s’appliquer à faire prendre en compte la certification ISMS (Information Security Management System) au sein de leur organisation, sans omettre un petit passage par l’extension ‘ARP’ de la FEDISA.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D Ricoh

Microsoft, Renault, et les autres ?

Microsoft Microsoft accuse un de ses anciens dirigeants, Matt Miszewski, d’avoir volé 600 Mo (25 000 pages) d’informations confidentielles au moment de rejoindre son nouvel employeur Salesforce.com. Cette information que publiait Anne Confolant sur ITespresso.fr  le 14 février 2011, nous ramène à la question, non plus au blocage d’accès aux données, mais au traçage de leur usage par la chaîne des accédants.

S’il est en effet normal que le cadre ait eu accès aux données confidentielles dont il avait besoin pour l’exercice de sa fonction, les règles d’accès et d’usage des données auraient dû être associées aux métadonnées utiles à rendre infiniment plus dangereuse leur exploitation dans des conditions non autorisées. Ce fléau pèsera sur les entreprises tant que ne sera pas géré, sans doute sous l’impulsion du D&IM, le droit d’usage des informations.

« Pour éviter la révélation des informations volées, ajoute la journaliste, la justice américaine a octroyé à Microsoft une injonction temporaire, bloquant ainsi l’embauche de l’ancien responsable de l’éditeur chez Salesforce.com, en raison d’une « violation des clauses de confidentialité et de non-concurrence » inscrites dans son contrat »; preuve que le droit intervient de manière utile dans ce type de circonstance. Ce type d’intervention « pompier » coûtera 1 à 2 millions de $ à l’éditeur de Redmond ; sans compter les dommages et intérêts (en dizaines de millions de $) que vont réclamer ses clients. De plus en plus, les assureurs refusent de prendre en charge ce type de risque. Pourquoi ? – Parce que non gérés en amont par une éducation des personnels, et sans traçabilité contextuelle, la notion de « risque » disparaît au profit d’une certitude de dommage à date incertaine. L’investissement dans une stratégie D&IM apparaît alors bien dérisoire ; sinon obligatoire.

Logo RenaultRécemment victime , dit-on, d’un vol de données secrètes, Renault n’avait pas encore recruté son D&IM. Cela viendra. Chez Microsoft, l’affaire est plus délicate puisque la firme a opté pour la stratégie sécuritaire de vase clos. En d’autres termes, l’éditeur intègre (par croissance externe notamment) tous types de logiciels-métiers de manière à les rendre interopérables et étanches aux attaques externes. Dans ces circonstances, faut-il un D&IM ? – Pour commencer : aucun D&IM sérieux n’accepterait de mettre ainsi tous ses œufs dans le même panier. Quant au client Microsoft qui se croit protégé par une telle intégration, il aura tôt fait de remarquer qu’il ne s’agit ici que de technique de sécurité ; aucunement de mise en jeu opposable de la responsabilité, donc du droit, des individus.

Philippe Blot-Lefevre
Consultant DLM (Digital Legal Management) 
HUB2B

Vous avez dit BYOT ?

business_man_with_laptop_-_ Le monde de l’entreprise nous apporte un nouvel acronyme
BYOT : B
ring Your Own Technology (Tools)

que l’éminent Louis Naugès propose de traduire par
AVOP : Apportez Vos Outils Personnels.

Devant les difficultés de conservation des données et des matériels informatiques confiés au personnel, l’AVOP consiste à doter chaque collaborateur d’une allocation de l’ordre de 50€/mois (=1.800€ sur 3 ans à comparer à l’investissement-entreprise de l’ordre de 3 à 4.000€) pour qu’il acquière le matériel qui convient le mieux à sa fonction.

Selon Unisys , 32% des I-Workers interrogés sont OK pour financer totalement leur matériel, 21% acceptent de prendre la moitié des frais et autant acceptent de financer le 1/3 de la dépense.

Le D&IM aura tôt fait de rapprocher la stratégie BYOT-AVOP de celle des voitures dont on sait que, personnelles, elles sont incomparablement mieux entretenues que lorsque les véhicules de fonction, lesquels restent sur les bras de l’entreprise lorsque le collaborateur la quitte. Faites les comptes…

GSM, androïde, PC, Mac, Tablette, Ipad, SaaS, l’accès partout n’importe quand est au choix du collaborateur qui peut l’utiliser indifféremment à des fins personnelles et professionnelles. Dans la rubrique avantages-inconvénients, le D&IM dressera une liste des + et des – en tenant compte des facteurs sécurité, de droit d’usage des informations en matières de stockage et de partage, de la souplesse des horaires pour aller dans le sens du nomadisme et du travail tantôt à domicile, tantôt connecté aux SI des partenaires, etc.

Une organisation associant la confiance et la sécurité, le matériel professionnel et des outils personnels est-elle moins onéreuse et plus vertueuse pour l’entreprise ?
Oui, j’en suis convaincu pour peu que la fonction D&IM soit pleinement reconnue, respecter et active ; ce qui rejoint les 12 recommandations d’Unisys: Surveiller les employés, gérer le droit d’usage des informations en indiquant ce qui peut sortir et ce qui ne doit pas sortir, comprendre et gérer les rôles des utilisateurs, inventorier les technologies courantes, prévoir les besoins de maintenance, proposer un portail d’accès unique, intégrer la fonction e-commerce pour le règlement de certains services et produits, instituer une politique de droit d’usage des matériels et une autre pour les D&I, ainsi que des moyens de leur gestion ; mettre en place un système de consentement interindividuel,  lancer une opération pilote, simplifier et rendre le programme facile à utiliser.

Autoproclamé « Leader mondial des technologies d’information, Unisys » oublie un point crucial qui n’échappe pas à un D&IM habitué à prendre de la hauteur de vue : l’ensemble du dispositif doit être juridiquement opposable et non-répudiable par les utilisateurs. C’est l’objet du DLM dont nous parlons souvent dans les colonnes de ce blog.

Philippe BLOT-LEFEVRE
Consultant DLM (Digital Legal Management)
HUB2B

KPMG justifie le DLM par une étude

image Une statistique réalisée par KPMG, publiée par le Journal du Net, révèle que  30% des pertes critiques d’informations de l’entreprise sont imputables à la négligence (terme élégant pour parler d’irresponsabilité) des collaborateurs de l’entreprise.

Considérant que la gestion du droit d’usage (DLM) organise le consentement de l’utilisation des informations par les collaborateurs, c’est un tiers de ces pertes que le Digital Legal Management éradique.

La tendance est à l’aggravation : KPMG précise qu’au cours du premier semestre 2010, la malveillance interne a augmenté de 21% ; plus que le vol d’ordinateurs (15%), le piratage (12%) ou le vol de supports amovibles (10%) (Source: Le Journal du Net) .

Considérant que les systèmes de sécurité n’agissent pas sur l’attention et la responsabilité individuelle sans entraver gravement les performances individuelles, les D&IM (Document & Information Managers) doivent entamer sans tarder la démarche d’une classification et du marquage du droit d’usage des documents et informations qui circulent en interne et avec les partenaires.

Philippe BLOT-LEFEVRE
Consultant DLM (Digital Legal Management)
HUB2B DLM SARL

Loppsi II

Selon Wikipedia, “une société d’intelligence économique (SIE) est une société de conseil et de services aux entreprises. Sa mission consiste à étudier et comprendre l’environnement économique dans lequel son client a choisi de se développer”.

Les-Echos Dans un article paru sur le blog des Echos sous le titre “Intelligence économique et Loppsi II[i] : le texte doit être amélioré”, Maître Thibault du Manoir de Juaye[ii] pose la question du périmètre des professionnels visés par la loi ; tout à fait critique pour les D&IM : “La loi entend réglementer toutes les activités d’IE et elle ne fait aucune distinction entre les prestataires et les activités exercées au sein des entreprises pour leur propre compte. Il faut cependant nuancer cette affirmation puisque les procédures d’agrément et d’autorisation mises en place ne concernent que les sociétés d’IE”. L’avocat propose également de réfléchir à ce texte dans le cadre du lobbying.

La loi LOPPSI II revient devant le Sénat le 18 janvier 2011. Les D&IM peuvent utiliser le blog D&IM (qui transmettra) pour faire part de leurs remarques, attendu que “ce texte qui constitue déjà un réel progrès par rapport aux textes antérieurs”.

Philippe BLOT-LEFEVRE
Consultant DLM (Digital Legal Management)
HUB2B DLM SARL


[i] LOPPSI : Texte transmis au Sénat accessible ici

[ii] Maître Thibault du Manoir de Juaye, Avocat à la Cour, a commencé à travailler en cabinet d’avocats en 1987. Il a fait de l’Intelligence Economique et de la Propriété Intellectuelle, ses spécialités. En Savoir plus ici