Bonjour à toutes et à tous
Nous poursuivons notre étude de la norme ISO 27002 de 2013 par l’élément le plus fondamental pour la protection des biens informationnels, qui rassemblent les informations et les processus qui les utilisent et les produisent.
L’objectif est d’Identifier les actifs de l’organisation et de définir les responsabilités appropriées en matière de gestion et de protection.
En effet, comment protéger quelque chose dont on ignore l’existence ? Quelque chose dont on ne sait même pas où elle se trouve, en combien d’exemplaires, sous quel format et support, entre les mains de qui ?
Inventaire des actifs
On le fait bien pour tout ce qui est matériel : les systèmes informatiques et l’infrastructure physique où se déroulent les activités. La Méthode EBIOS* les appelle les biens support et y inclut également le personnel impliqué dans les activités.
Nos entreprises font même l’inventaire du mobilier et de ce que l’on appelle ‘les consommables’, demandez au comptable : le papier, l’encre et tous les accessoires qui s’épuisent avec l’usage.
Mais cela n’est pas fait pour les informations ou les processus. Sans aucun doute parce qu’ils sont immatériels, intangibles et virtuels. Pourtant, les informations sont le sang de toute activité humaine. Rien de cohérent ou d’important ne peut être fait si l’on n’a pas confiance dans l’information.
Le Règlement Général européen de Protection des Données à caractère personnel (RGPD), qui entrera en vigueur en mai 2018, impose cet inventaire des traitements de l’information et des données personnelles qu’elles exploitent – données du personnel, des clients, des fournisseurs et des visiteurs. Il est même recommandé de réaliser une cartographie des traitements, un schéma qui relie les processus et les informations personnelles entre eux.
Il est essentiel que cet inventaire soit tenu à jour, comme on le fait pour tout le reste du ‘matériel’. Cela comporte d’en connaître en permanence le nombre de copies, les systèmes informatiques et les supports sur lesquels les informations se trouvent et, surtout entre les mains de qui.
Mais, bien sûr, il n’est pas question d’apposer l’affiche ‘Fermé pour inventaire’.
Le RGPD est ‘une chance’ parce que les entreprises, quelle que soit leur taille, se rendront compte que ce n’est pas plus compliqué que pour les autres biens tant en termes de gestion que de protection. Quand les informations à caractère personnel seront gérées de façon adéquate, les autres informations de l’entreprise suivront et nous aurons alors la maitrise suffisante pour nous assurer que nous atteindrons nos objectifs de protection de façon effective, efficace et efficiente (c’est-à-dire rentable).
Propriété des actifs
Le second contrôle proposé est de déterminer ce que la norme appelle ‘le propriétaire’ des biens informationnels. C’est lui qui en a la responsabilité ultime et peut décider des règles d’emploi et des investissements de sécurité à faire.
L’entreprise n’a-t-elle pas désigné une personne qui possède cette autorité sur les biens matériels ? N’a-t-elle pas également désigné celui ou ceux qui sont responsables de la gestion quotidienne ?
Il serait opportun de désigner ce propriétaire et ce gestionnaire, d’abord pour permettre la réalisation et la tenue à jour de l’inventaire, et aussi assurer la gestion et la protection adéquates des ‘biens informationnels’.
Nous verrons cela dans l’article suivant.
Cet inventaire est-il mis en place dans votre entreprise ? Le ‘propriétaire’ est-il désigné ?
Si vous êtres désigné comme responsable des biens informationnels, disposez-vous de directives suffisantes pour guider votre travail ? Sinon, écrivez-moi, je complèterai vos instructions.
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Google+