Archives de Catégorie: Sécurité

RSE en 10 questions

Le Club des Directeurs de Sécurité des Entreprises (CDSE) publie un intéressant travail intitulé «  Les réseaux sociaux en dix questions « .

Les lecteurs y trouveront la synthèse d’un Groupe de travail qui, issu du CDSE Junior, a durant plusieurs semaines, réfléchi aux enjeux relatifs aux réseaux sociaux afin de permettre aux directions Sûreté, Sécurité, Risques d’utiliser ces réseaux sociaux à bon escient, tout en mesurant les risques inhérents.

Le document comporte six parties de nature à permettre au D&IM de comprendre ce à quoi est confrontée la Direction de la sécurité et à se préoccuper des la politique de diffusion des contenus.

Oser être différent : reste au D&IM d’anticiper la valeur de ces nouveaux outils sociaux pour accélérer la sortie du lot, de son entreprise.

Philippe Blot-Lefevre
Vice Président de la fi-D&IM
Coaching de la Gouvernance

Publicités

Protection des données à caractère personnel

La France est un des premiers pays au monde (en 1978, sous la présidence de Valéry Giscard d’Estaing) à s’être doté d’une législation protégeant les données à caractère personnel.

Dix-sept ans après, en 1995, l’Europe a adopté une directive généralisant les principes de protection de la vie privée des citoyens, et apportant quelques innovations très intéressantes : des formalités administratives allégées au profit d’une recherche plus effective de conformité ; un transfert de charge de travail sur les entreprises, qui purent désigner en leur sein un « Correspondant Informatique & Libertés ». Cette directive fut transposée en droit français… en 2004 et 2005.

image Une nouvelle étape est aujourd’hui franchie par l’Union Européenne, avec l’examen du projet de règlement sur la protection des données personnelles.
Ce projet de règlement, qualifié d’explosif par certains, est l’aboutissement d’une logique engagée en 1995.
Il généralise le rôle du Correspondant Informatique & Libertés (il en existe déjà 10.000 en France). Il renforce les sanctions, qui deviennent réellement dissuasives.
Il se positionne sur toutes les questions d’actualité : failles de sécurité, cloud computing, droit à l’oubli, consentement préalable pour les internautes …

Attention, un règlement européen ne nécessite pas de transposition par les états membres. Il pourrait donc être applicable dès 2014.
Informaticiens, juristes, Document & Information Managers : préparez-vous !

Philippe SICARD
Consultant expert Informatique & Libertés

D&IM et Gestion de crise

image Une crise est une opportunité de management du changement ; dans la douceur parce que – dans la compréhension des hommes – forcée par les circonstances.
La crise est un système explosif, une énergie qui divise les hommes.
Le D&IM transforme cette énergie centrifuge en énergie centripète de rassemblement des hommes sur l’objet commun de l’entreprise.
Les Documents & Informations apparaissent comme les éléments les plus communs de l’entreprise et ce qui souffrira le plus d’une réorganisation tel, par exemple, un déménagement. Inexact !
Ce sont les collaborateurs qui souffrent des dysfonctionnement de processus qui sont nécessaires à l’exécution de leur travail; lesquels processus reposent sur les Documents & Informations (D&I) qu’ils ont à échanger et partager.

Voici la trame méthodologique du D&IM

Objet
– Piloter les D&I (Documents et Informations) dans et entre chaque unité opérationnelle, et suivre les projets.
– Définir une politique
– Faire vivre

Choisir les outils
– Contrôler la mise en œuvre et l’efficacité

Focus 1 Focus 2 Focus 3
Fonctionnel
Patrimonial
Légal
Organisation
Technique
Juridique
Métiers de l’entreprise
Temps
Contexte

Contexte
Intégration au COMEX, donc très opérationnel

Les D&IM auront compris que cette trame doit être déclinée sur trois temps: l’avant-crise et son anticipation, pendant la crise et au retour à la normale.
De nombreuses exceptions d’habilitation sont à prendre en considération au cours de la crise . Ainsi appartient-il au D&IM d’anticiper l’évolution du rapport « rôle individuel – droit d’usage du document » au fur et à mesure du déroulement des trois phases.

Philippe BLOT-LEFEVRE
Risk Manager de l’Information

L’hygiène informatique en entreprise

Hygiène L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publie en ce mois d’octobre un  guide de recommandations ‘d’hygiène’ pour la sécurité des Documents & Informations dans l’entreprise.
A destination des Responsables informatiques, le guide est fondé sur le constat par l’ANSSI qui met en évidence que de nombreuses infractions auraient pu être évitées si des mesures évidentes et simples avaient été mises en œuvre.

Les recommandations sont simples.
Quelques exemples:
– Rédiger des procédures d’arrivée et de départ des utilisateurs (personnel, stagiaires…)
– Interdire la connexion d’équipements personnels au système d’information de l’entreprise.
– Ne pas conserver les mots de passe sur les systèmes informatiques
– Chiffrer les données sensibles, en particulier sur les postes nomades et les supports perdables
– Vérifier qu’aucun équipement du réseau ne comporte d’interface d’administration accessible depuis l’Internet
– Définir des règles en matière de gestion des impressions papier
– Mettre en place une chaîne d’alerte connue de tous les intervenants
-…
et les D&IM doivent les connaître et vérifier leur application au quotidien.

Jean-Pierre BLANGER
Vice-président fi-D&IM
Directeur R&D et des Offres de Services Ricoh

Toujours plus de protection des données

 La Commission européenne s’engage de nouvelles propositions qu’elle soumet au parlement européen visant ainsi la publication et l’application de directives destinées à la protection des données privées.

La présentation de Viviane Reding, commissaire européenne à la Justice, fait apparaître de
nouvelles obligations:

– L’entité nationale de chaque pays de l’union européenne, en charge de la protection des données devra être renforcée et pourra infliger des amendes jusqu’à 1 million d’euros ou 5% du CA de l’entreprise;
– Toute violation grave de données personnelles au sein d’une entreprise/organisation devra être déclarée dans les plus bref délais (< 24h);
– L’accès à ses propres données devra être facilité ainsi que la destruction de celle-ci (droit à l’oubli);
– Les règles de l’union européennes devront être appliquées par tout exploitant des données hors de l’union;

Données et europe Les entreprises vont devoir nommer un responsable de la sûreté des informations qu’elles soient au format numérique ou sur papier.
Si en fonction des organisations, cette responsabilité sera confiée au CIL… au DSI au RSSI…  Certains pourront comprendre que tant l’environnement technologique et organisationnel que le risque encouru pour l’entreprise mérite que cette responsabilité puisse être portée par le D&IM.
D&IM92 Dans tous les cas, nos recommandations sont que le D&IM au sein de chaque organisation:
– s’inquiète rapidement de sensibiliser la Direction Générale à cette responsabilité renforcée;
– se mette en action pour que ces directives européennes puissent être appliquées au plus vite dans son entreprise/organisation. 

Jean-Pierre BLANGER
Directeur R&D et de Offres de Services Ricoh France

Dénoncer ou étouffer la fraude ?

image Dans un article qui porte sur le secret des affaires et la loi que prépare le Député Carayon pour les prochaines semaines, Maître Thibaut du Manoir de Juaye rappelle que “le directeur juridique de Michelin, entendu à l’Assemblée Nationale sur l’abus de confiance dont était victime sa société, a expliqué qu’exposer son affaire devant une juridiction revenait à aggraver son préjudice puisqu’il était contrait d’exposer le contenu du secret de ses affaires pour obtenir une condamnation de l’auteur.”

Le D&IM est averti de ces situations dont le préjudice est tel que bien des gouvernances sont tentées de l’étouffer plutôt que de punir le contrevenant. C’est notamment le cas d’administrateurs systèmes dont les employeurs ont préféré étouffer la fraude plutôt que de l’ébruiter. Faudra-t-il budgéter l’e-réputation ?

Laissons les députés décider de l’utilité et du niveau de finesse de la loi sur le secret des affaires mais en tant que D&IM, restons vigilants sur l’usage des D&I ; en entrée comme en sortie de l’organisation !

La fi-D&IM interviendra notamment sur ces questions, tant par sa présence au Salon DOC & FINANCES (Stand A16bis) qu’au cours d’une matinée de conférences toutes relatives à la fonction D&IM, le  25 janvier 2012 au CNIT La Défense.

Philippe Blot-Lefevre
Coaching et Gestion du droit d’usage des informations

Hadopi dans l’entreprise

La loi ne concerne pas que les ados en quête de musiques gratuites.
Trois photos piquées sur le web par un salarié, suffisent à interdire l’entreprise d’accéder à l’Internet !

Hadopi

HADOPI fait l’obligation à tout titulaire d’un accès à un service de communication en ligne, « de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin ». Au terme de l’article L.331-25 du CPI, trois infractions suffisent à faire encourir l’entreprise la peine de suspension de son accès à l’Internet (L.335-7-1).

Le cas concerne ainsi, précise Maître Christophe Alleaume dans Le Journal du Management Juridique et Réglementaire N°27, P11, le téléchargement illicite d’œuvres, par trois fois répété, par un salarié sur son lieu de travail.

S’il est concevable que la gravité de l’infraction  puisse être mise en balance avec le caractère négligent ou pas, de l’employeur, le D&IM aura bien à l’esprit que l’utilisation abusive d’actifs tels les inventions, les articles de presse, les productions audiovisuelles ou de simples images piquées sur le web, fut-ce pour enjoliver un jeu de diapositives, est de nature à engager gravement et durablement le fonctionnement de l’entreprise.

Philippe BLOT-LEFEVRE
Coaching et Gestion du droit d’usage des informations