SlideShare une entreprise Scribd logo

Lpm + rgpd

Télécharger en tant que PPTX, PDF
D
Didier Graf

Au cours de ma formation en Cybersécurité à l'Ecole Aston, il nous a été proposé de réaliser des exposés sur des problématiques touchant le monde de la sécurité informatique. A cette occasion, nous avons formés des groupes, et celui auquel j'appartenais à décidé de s'intéresser à la Loi de Programmation militaire française, et au Règlement Général sur la Protection des Données. Voici le résultat de nos travaux.

Formation
1  sur  16
LPM + GDPR Quels impacts dans une entreprise? Didier, Jeremy, Omar 08 décembre 2017
Sommaire I. LPM: Loi de Programmation Militaire 1. Définition d’Organisme d’Importance Vitale 2. Mise en place 3. Impacts II. RGPD: Règlement Général sur la Protection des Données 1. Principaux points 2. Définition de “donnée personnelle” 3. Mise en place Cartographie du flux des données 4. Impacts III. RGPD+LPM 1. Une étreinte fatale 2. Leurs points communs IV. Conclusion V. Méthodologie de veille SSI
Loi de Programmation Militaire Définition: Cette loi détermine le montant des crédits alloué à la défense, ainsi que les objectifs à accomplir sur plusieurs années. Elle couvre tout le spectre de la défense nationale: - Marine Nationale - Armée de l’Air - Dissuasion Nucléaire - Lutte contre les Cyber-Menaces Les articles 21 à 24 couvrent le sujet des cyber- menaces sur les Opérateurs d'Importance Vitale. Historique: 1958 (ordonnance 58-1371): La notion d’Installation d’Importance Vitales est instaurée, indiquant que les entreprises devraient « coopérer à leurs frais à la protection de leurs établissements contre les tentatives de sabotage ». Ces obligations portant essentiellement sur la sécurité physiques des points d’importance vitale (PIV). 2009: Suite à la prise de conscience en 2008, au plus haut niveau de l’État des impacts nationaux que peuvent provoquer les cyber-menaces actuelles et futures, l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) est créé pour coordonner la prise en compte des risques liés aux cyber-menaces, informer et certifier les outils et prestataires. 2013 (2013-1168 Art. 22): la Loi de Programmation Militaire pour la période 2014-19, que l’Etat ajoute un volet lié à la cybersécurité pour la défense de ces Opérateurs d’Importance Vitale. Future: La future Directive Network and Information Security (NIS), en discussion au niveau européen pour obliger tous les états membres a de telle mesures sur leurs opérateurs.
Qui sont les OIV concernés par la LPM? En 1958, l’Etat fait apparaître le concepte d’Installation d’Importance Vitale, désignant les infrastructures critiques dont l’arrêt diminuerait grandement la force économique, défensive ou simplement humaine de la France. Cette notion évoluera au fil des livres blancs et des versions de la LPM, pour devenir aujourd’hui d’Opérateurs d’Importance Vitale, intégrant les notions complémentaires de Points IV et de Systèmes d’Information IV. La liste des OIV est tenue secrète, bien que l’on puisse aisément deviner les plus gros d’entre eux, nous n’en connaissons que le nombre. Les 249 OIV actuellement recensées sont répartie en 12 secteurs d’activités.
Mises en place dans une entreprise de la LPM La LPM ne s’applique qu’au OIV, mais les grandes pratiques de celle-ci sont gages d’une bonne gestion des risques lié au SI. L’Etat espère que l’entrée en vigueur de la LPM chez les OIV fera tache d’huile pour améliorer la sécurité l’ensemble des entreprises françaises. Les OIV doivent : - désigner un représentant auprès de l’ANSSI - dresser la liste de leurs Système d’Information d’Importance Vitale. Pour cela elles doivent déterminer lesquels de leur SI participent aux missions critiques que l’Etat leur a confié, et lesquels n’assurent que l'intérêt économique de l’entreprise. Cette liste devra être transmise à l’ANSSI. - mettre en œuvre les règles de sécurité LPM prévues par l’arrêté (étant elles aussi en Diffusion Restreinte, leur contenu ne peut donc pas être diffusé largement) dressant les grandes lignes de la gestion des SIIV - informer l’ANSII obligatoirement en cas d’incidents de sécurité affectant les SIIV Suivant les sources (ANSSI, INHESJ, prestataires SI) et les regroupements qu’ils en font, ces règles peuvent être dénombrer de 13 à 20. ● Pilotage de la gouvernance de la cybersécurité > Rôles et responsabilité > PSSI (Politique de sécurité des SI) > Indicateurs > Formation ● Maîtrise des risques > Homologation ● Maîtrise des systèmes d’information > Cartographie > MCS (Maintien en condition de sécurité) ● Gestion des incidents de cybersécurité > Détection > Journalisation > Traitement > Points de contact avec l’ANSSI > Gestion de crise ● Protection des systèmes > Gestion des identités et des accès > Administration > Défense en profondeur
Les impacts de la LPM (dans un OIV) Les impacts organisationnels - Désignation d’un responsable de la sécurité des SIIV, qui sera le principal interlocuteur de l’ANSSI - Définition de la Politique de Sécurité du SI (PSSI) posant les exigences en matière de formation, de sensibilisation et de reporting, et qui détermine des indicateurs pertinents, cohérents et fiables. - Formation et habilitation des employés - Établissement de nouveaux contrat de services avec des prestataires (PDSI, PRSI, PASSI) pour la Détection, la Réponse au Incidents de Sécurité, les Audits de Sécurité. Les impacts techniques - Implémentation ou évolution des mesures de cybersécurité de leurs SIIV - Refonte possible de la sécurité de leurs SIIV, voire de l’ensemble de leur SI (notamment le cloisonnement des réseaux et l’administration des SIIV). Les impacts financiers - Allocation d’un budget pluriannuel pour la mise en conformité, ainsi que pour les contrôles - Augmentation des coûts en termes de moyens humains et techniques. - exposition à des sanctions en cas de non-conformité (jusqu’à 150 000 € pour le dirigeant, et jusqu’à 750 000 € pour les personnes morales)
Règlement Général sur la Protection des Données Définition: Ce texte constitue le nouveau texte de référence européen en matière de protection des données à caractères personnels. Comprenant 99 articles, il renforce et unifie la protection des données pour les individus au sein de l'Union Européenne, afin de redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises. Par ailleurs, une partie du texte de loi s’applique à formaliser les contradictions pouvant exister entre la protection des données des personnes et les intérêts nationaux, notamment dans le cadre des missions policières et judiciaires. Historique: 1971: Allemagne 1973: Suède 1978: France (Commission Nationale Internet et Liberté) 1995 (directive 95/46/CE): relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Remplacé par le RGPD). 25 janvier 2012: la Commission européenne a adopté un projet de règlement européen et de directive réformant le cadre de la protection des données. mars 2012: le Groupe de Travail G29, le groupe des CNIL Européennes, a adopté un avis sur les propositions de réforme présentées par la Commission Européenne. 25 mai 2018: application du Règlement Général sur la Protection des Données dans toutes l’Union Européenne
RGPD: Principaux points cadre harmonisé un seul ensemble de règles communes, directement applicable dans tous les Etats membres de l’Union Européenne création du Comité Européen de la Protection des Données autorité pour l’interprétation du règlement délégué à la protection des données (Data Protection Officer) obligatoire pour les administrations, ou pour les traitement régulier et systématique protection des données dès la conception prise en compte des exigences en matière de sécurité relative au traitement de données à caractère personelle étude d’impact obligatoire étude d’impact sur la vie privée avant la mise en oeuvre de chaque nouvelle activité de traitement de données. sanctions sanctions financières élevées possible en cas de non respect application extra-territoriale s’applique à toute entreprise européenne, et non- européennes si elles collectes des données sur les résidents de l’Union Européenne. notifications en cas de fuite auprès des Autorités Nationales ainsi que des utilisateurs concernés consentement “explicite” et “positif” donner aux citoyens davantage de contrôle sur leurs données privées droit à l’effacement facilité pour effacer ses données auprès des entreprises en faisant l’usage droit à la portabilité droit de recevoir ses données auprès des entreprises en faisant l’usage dans un format consultable facilement Profilage droit de ne pas être discriminé par un traitement automatisé de ses données personnelles
RGPD: Définition de “donnée personnelle” nom et prénom date de naissance adresse postale adresse email numéros d’identification: numéro de sécurité sociale numéro de compte bancaire données biométriques: Empreintes ADN facteurs spécifiques: identité physique physiologique psychique économique culturelle sociale Quid de l’adresse IP? Le règlement indique que ce n’est pas considéré comme une donnée personnelle. Le G29 a déclaré que dans le cas où celles ci sont récoltées pour identifier une personne, les adresses IP sont des données personnelles.
RGPD: Mises en place dans une entreprise Exigences de Confidentialité Passez en revue les politiques et déclarations de confidentialité existantes et documentez leur comparaison avec les exigences du RGPD. Évaluer les droits des personnes concernées à consentir, utiliser, accéder, corriger, supprimer et transférer des données personnelles. Découvrez et classifiez les actifs de données personnelles et les systèmes affectés. Identifier les risques d'accès potentiels. Exigences de Sécurité Évaluer l'état actuel de vos politiques de sécurité, identifier les lacunes, évaluer la maturité et établir des cartes routières de conformité. Identifier les vulnérabilités potentielles, en soutenant la sécurité et la confidentialité par la conception. Découvrez et classifiez les ressources de données personnelles et les systèmes concernés en vue de concevoir des contrôles de sécurité. Toutes les entreprises manipulent des données personnelles que ce soit au niveau des informations sur leurs employés, clients, prospects ou fournisseurs. Toutes sont donc assujetties à un certain degré au RGPD sur la sécurité de ces informations.
RGPD: Cartographie des flux de données Les éléments clés: ● Comprendre le flux d'informations - Identifier sa source à sa destination ● Décrivez le flux d'informations - Parcourir le cycle de vie de l'information permet d’identifier besoins et futures utilisations, les utilisations imprévues ou involontaires. ● Identifiez les éléments clés - Quel type / catégorie est en cours de traitement - Le format dans lesquels sont stocké les données - Les différents moyens utilisés pour collecter et partager en interne comme en externe les données - Les lieux impliqués dans le flux de données - La personne responsable de ces données - Les personnes en nécessitant l’accès Les principaux défis: ● Identifier les données personnelles - Choisir le format et le lieux de stockage ● Identifier les garanties techniques et organisationnelles appropriées - La technologie appropriée - La politique et les procédures - protection et contrôle d’accès de l'information ● Comprendre les obligations légales et réglementaires - Soumission possible à d’autre règlement (normes et certifications) suivant le domaine d’activité
RGPD : Les impacts dans une entreprise Les impacts organisationnels - Désignation d’un délégués à la Protection des Données (DPO) - Avoir une compréhension totale des flux de données - Sécuriser dès la genèse des projets de traitements des données - Former les agents - Créer des procédures de traitement des données Les impacts techniques - Faire une étude de risque, des règles de l’art par technologie utilisée - Surveillance des flux - Surveillance des accès Les impacts financiers - Prévision d’un budget pour y inclure les mesures de sécurité - Sanctions (20M€ ou 4% du CA)
LPM + RGPD: une étreinte fatale ? L’article 20 de la LPM (puis la Loi sur le Renseignement) permet le “recueil, auprès des opérateurs de communication, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques”. Cette notion trop vague semble permettre d’avoir accès aux données de contenu. Cette extension risque d’entraîner une atteinte disproportionnée au respect de la vie privée. La Loi de Programmation Militaire Concerne la protection des intérêts de la Nation A été institué par le Gouvernement Français A une portée nationale. Le Règlement Général sur la Protection des Données Légifère sur la protection des données personnelles. A été institué par l’Union Européenne A une portée internationale, Il est légitime de se demander comment pourraient s’articuler les contradictions entre protection des données et intérêt nationaux.
LPM + RGPD: les points communs En matière: d’obligation en cas de fuite de données de sécurité générale La Loi de Programmation Militaire contraint les OIV à déclarer de façons immédiates les incidents SSI affectant de manière significative leurs SIIV contraint les OIV à élaborer une PSSI (Politique de Sécurité du Système d’Information) selon les critères définis par l’ANSSI Le Règlement Général sur la Protection des Données contraint les entreprises à notifier toute fuite de données auprès de l’organisme de leur État ainsi que leurs utilisateurs. impose aux entreprises de disposer d’un système d’information sécurisé, depuis la conception et par défaut.
LPM + RGPD: Conclusion Ainsi comme a pût le voir, la prise en compte de la LPM et de la RGPD au sein d’une entreprise ou d’une administration ne constitue pas de contradictions flagrantes, et seraient même plutôt complémentaires : renforcer son Système d’Information pour qu’il soit conforme à la RGPD permettrait aussi d’être conforme à la LPM. On peut comprendre dans les règles de mise en place de ces deux textes, que la sécurisation, des flux de données comme des réseaux et systèmes d’informations en général, commence toujours par: - une compréhension parfaite de ceux-ci, - une formation des acteurs impliqués dans ces processus, - une supervision continue, - des procédures en cas d’incident, - une communication avec les autorités concernées en cas d’incident. Les entreprises vont devoir prendre les mesures pour améliorer leur infrastructures et systèmes d’informations. Les principaux bénéficiaires de ces mesures étant les citoyens français et européens.
Méthodologie de veille SSI BrainStorming / MindMapping: carte heuristique sur le sujet et les idées qui en découlent Prospection et filtrage des données - recherche internet (principalement) - réseau sociaux Récupération d’information auprès - de source officiel (ANSSI, SGDSN, Commission Européenne), - de source fiable (Cabinet de conseil) - de sites d’informations réputés Recoupement des informations Elaboration d’un plan comparaison entre les deux textes Corrélation des données recueillies depuis différentes sources

Recommandé

Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Seclab
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Adam Miller
 
ISO 27002-2022.pdf
ISO 27002-2022.pdfISO 27002-2022.pdf
ISO 27002-2022.pdfChristianAquino52
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 

Recommandé

Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Seclab
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Adam Miller
 
ISO 27002-2022.pdf
ISO 27002-2022.pdfISO 27002-2022.pdf
ISO 27002-2022.pdfChristianAquino52
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Security architecture
Security architectureSecurity architecture
Security architectureDuncan Unwin
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
CLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYCLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYMaganathin Veeraragaloo
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Managing Software Entitlements in Software Asset Management Solutions from CA
Managing Software Entitlements in Software Asset Management Solutions from CAManaging Software Entitlements in Software Asset Management Solutions from CA
Managing Software Entitlements in Software Asset Management Solutions from CACA Technologies
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Cobit
CobitCobit
Cobitmoussadiom
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001dlmonline24h
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018Goutama Bachtiar
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAISACA Chapitre de Québec
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesDidier Graf
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 

Contenu connexe

Tendances

Security architecture
Security architectureSecurity architecture
Security architectureDuncan Unwin
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Managing Software Entitlements in Software Asset Management Solutions from CA
Managing Software Entitlements in Software Asset Management Solutions from CAManaging Software Entitlements in Software Asset Management Solutions from CA
Managing Software Entitlements in Software Asset Management Solutions from CACA Technologies
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018Goutama Bachtiar
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 

Tendances (20)

Security architecture
Security architectureSecurity architecture
Security architecture
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
CLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYCLOUD NATIVE SECURITY
CLOUD NATIVE SECURITY
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Managing Software Entitlements in Software Asset Management Solutions from CA
Managing Software Entitlements in Software Asset Management Solutions from CAManaging Software Entitlements in Software Asset Management Solutions from CA
Managing Software Entitlements in Software Asset Management Solutions from CA
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Cobit
CobitCobit
Cobit
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018Information Security Management System with ISO/IEC 27000:2018
Information Security Management System with ISO/IEC 27000:2018
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 

Similaire à Lpm + rgpd

Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesDidier Graf
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEUmanis
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016Market iT
 
Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...Marco Brienza
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUEDavidWalter44
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILStéphanie Roger
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Christophe Boeraeve
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt Jeanny LUCAS
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt Jeanny LUCAS
 

Similaire à Lpm + rgpd (20)

Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016
 
Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUE
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNIL
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 

Dernier

presentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptxpresentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptxMalikaIdseaid1
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertChristianMbip
 
Bolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne FontaineBolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne FontaineTxaruka
 
Approche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptxApproche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptxssusercbaa22
 
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...Faga1939
 
Présentation de cartes d'extension zhr..pptx
Présentation de cartes d'extension zhr..pptxPrésentation de cartes d'extension zhr..pptx
Présentation de cartes d'extension zhr..pptxpopzair
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxTxaruka
 
MaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.pptMaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.pptssusercbaa22
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipM2i Formation
 
Cours-irrigation_et_drainage_cours1.pptx
Cours-irrigation_et_drainage_cours1.pptxCours-irrigation_et_drainage_cours1.pptx
Cours-irrigation_et_drainage_cours1.pptxlamourfrantz
 
Guide Final de rédaction de mémoire de fin d'étude
Guide Final de rédaction de mémoire de fin d'étudeGuide Final de rédaction de mémoire de fin d'étude
Guide Final de rédaction de mémoire de fin d'étudeBenamraneMarwa
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.Franck Apolis
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptxSAID MASHATE
 

Dernier (15)

presentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptxpresentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptx
 
Pâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie PelletierPâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie Pelletier
 
Evaluación Alumnos de Ecole Victor Hugo
Evaluación Alumnos de Ecole Victor HugoEvaluación Alumnos de Ecole Victor Hugo
Evaluación Alumnos de Ecole Victor Hugo
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expert
 
Bolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne FontaineBolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne Fontaine
 
Approche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptxApproche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptx
 
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
 
Présentation de cartes d'extension zhr..pptx
Présentation de cartes d'extension zhr..pptxPrésentation de cartes d'extension zhr..pptx
Présentation de cartes d'extension zhr..pptx
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptx
 
MaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.pptMaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.ppt
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadership
 
Cours-irrigation_et_drainage_cours1.pptx
Cours-irrigation_et_drainage_cours1.pptxCours-irrigation_et_drainage_cours1.pptx
Cours-irrigation_et_drainage_cours1.pptx
 
Guide Final de rédaction de mémoire de fin d'étude
Guide Final de rédaction de mémoire de fin d'étudeGuide Final de rédaction de mémoire de fin d'étude
Guide Final de rédaction de mémoire de fin d'étude
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
 

Lpm + rgpd

  • 1. LPM + GDPR Quels impacts dans une entreprise? Didier, Jeremy, Omar 08 décembre 2017
  • 2. Sommaire I. LPM: Loi de Programmation Militaire 1. Définition d’Organisme d’Importance Vitale 2. Mise en place 3. Impacts II. RGPD: Règlement Général sur la Protection des Données 1. Principaux points 2. Définition de “donnée personnelle” 3. Mise en place Cartographie du flux des données 4. Impacts III. RGPD+LPM 1. Une étreinte fatale 2. Leurs points communs IV. Conclusion V. Méthodologie de veille SSI
  • 3. Loi de Programmation Militaire Définition: Cette loi détermine le montant des crédits alloué à la défense, ainsi que les objectifs à accomplir sur plusieurs années. Elle couvre tout le spectre de la défense nationale: - Marine Nationale - Armée de l’Air - Dissuasion Nucléaire - Lutte contre les Cyber-Menaces Les articles 21 à 24 couvrent le sujet des cyber- menaces sur les Opérateurs d'Importance Vitale. Historique: 1958 (ordonnance 58-1371): La notion d’Installation d’Importance Vitales est instaurée, indiquant que les entreprises devraient « coopérer à leurs frais à la protection de leurs établissements contre les tentatives de sabotage ». Ces obligations portant essentiellement sur la sécurité physiques des points d’importance vitale (PIV). 2009: Suite à la prise de conscience en 2008, au plus haut niveau de l’État des impacts nationaux que peuvent provoquer les cyber-menaces actuelles et futures, l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) est créé pour coordonner la prise en compte des risques liés aux cyber-menaces, informer et certifier les outils et prestataires. 2013 (2013-1168 Art. 22): la Loi de Programmation Militaire pour la période 2014-19, que l’Etat ajoute un volet lié à la cybersécurité pour la défense de ces Opérateurs d’Importance Vitale. Future: La future Directive Network and Information Security (NIS), en discussion au niveau européen pour obliger tous les états membres a de telle mesures sur leurs opérateurs.
  • 4. Qui sont les OIV concernés par la LPM? En 1958, l’Etat fait apparaître le concepte d’Installation d’Importance Vitale, désignant les infrastructures critiques dont l’arrêt diminuerait grandement la force économique, défensive ou simplement humaine de la France. Cette notion évoluera au fil des livres blancs et des versions de la LPM, pour devenir aujourd’hui d’Opérateurs d’Importance Vitale, intégrant les notions complémentaires de Points IV et de Systèmes d’Information IV. La liste des OIV est tenue secrète, bien que l’on puisse aisément deviner les plus gros d’entre eux, nous n’en connaissons que le nombre. Les 249 OIV actuellement recensées sont répartie en 12 secteurs d’activités.
  • 5. Mises en place dans une entreprise de la LPM La LPM ne s’applique qu’au OIV, mais les grandes pratiques de celle-ci sont gages d’une bonne gestion des risques lié au SI. L’Etat espère que l’entrée en vigueur de la LPM chez les OIV fera tache d’huile pour améliorer la sécurité l’ensemble des entreprises françaises. Les OIV doivent : - désigner un représentant auprès de l’ANSSI - dresser la liste de leurs Système d’Information d’Importance Vitale. Pour cela elles doivent déterminer lesquels de leur SI participent aux missions critiques que l’Etat leur a confié, et lesquels n’assurent que l'intérêt économique de l’entreprise. Cette liste devra être transmise à l’ANSSI. - mettre en œuvre les règles de sécurité LPM prévues par l’arrêté (étant elles aussi en Diffusion Restreinte, leur contenu ne peut donc pas être diffusé largement) dressant les grandes lignes de la gestion des SIIV - informer l’ANSII obligatoirement en cas d’incidents de sécurité affectant les SIIV Suivant les sources (ANSSI, INHESJ, prestataires SI) et les regroupements qu’ils en font, ces règles peuvent être dénombrer de 13 à 20. ● Pilotage de la gouvernance de la cybersécurité > Rôles et responsabilité > PSSI (Politique de sécurité des SI) > Indicateurs > Formation ● Maîtrise des risques > Homologation ● Maîtrise des systèmes d’information > Cartographie > MCS (Maintien en condition de sécurité) ● Gestion des incidents de cybersécurité > Détection > Journalisation > Traitement > Points de contact avec l’ANSSI > Gestion de crise ● Protection des systèmes > Gestion des identités et des accès > Administration > Défense en profondeur
  • 6. Les impacts de la LPM (dans un OIV) Les impacts organisationnels - Désignation d’un responsable de la sécurité des SIIV, qui sera le principal interlocuteur de l’ANSSI - Définition de la Politique de Sécurité du SI (PSSI) posant les exigences en matière de formation, de sensibilisation et de reporting, et qui détermine des indicateurs pertinents, cohérents et fiables. - Formation et habilitation des employés - Établissement de nouveaux contrat de services avec des prestataires (PDSI, PRSI, PASSI) pour la Détection, la Réponse au Incidents de Sécurité, les Audits de Sécurité. Les impacts techniques - Implémentation ou évolution des mesures de cybersécurité de leurs SIIV - Refonte possible de la sécurité de leurs SIIV, voire de l’ensemble de leur SI (notamment le cloisonnement des réseaux et l’administration des SIIV). Les impacts financiers - Allocation d’un budget pluriannuel pour la mise en conformité, ainsi que pour les contrôles - Augmentation des coûts en termes de moyens humains et techniques. - exposition à des sanctions en cas de non-conformité (jusqu’à 150 000 € pour le dirigeant, et jusqu’à 750 000 € pour les personnes morales)
  • 7. Règlement Général sur la Protection des Données Définition: Ce texte constitue le nouveau texte de référence européen en matière de protection des données à caractères personnels. Comprenant 99 articles, il renforce et unifie la protection des données pour les individus au sein de l'Union Européenne, afin de redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises. Par ailleurs, une partie du texte de loi s’applique à formaliser les contradictions pouvant exister entre la protection des données des personnes et les intérêts nationaux, notamment dans le cadre des missions policières et judiciaires. Historique: 1971: Allemagne 1973: Suède 1978: France (Commission Nationale Internet et Liberté) 1995 (directive 95/46/CE): relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Remplacé par le RGPD). 25 janvier 2012: la Commission européenne a adopté un projet de règlement européen et de directive réformant le cadre de la protection des données. mars 2012: le Groupe de Travail G29, le groupe des CNIL Européennes, a adopté un avis sur les propositions de réforme présentées par la Commission Européenne. 25 mai 2018: application du Règlement Général sur la Protection des Données dans toutes l’Union Européenne
  • 8. RGPD: Principaux points cadre harmonisé un seul ensemble de règles communes, directement applicable dans tous les Etats membres de l’Union Européenne création du Comité Européen de la Protection des Données autorité pour l’interprétation du règlement délégué à la protection des données (Data Protection Officer) obligatoire pour les administrations, ou pour les traitement régulier et systématique protection des données dès la conception prise en compte des exigences en matière de sécurité relative au traitement de données à caractère personelle étude d’impact obligatoire étude d’impact sur la vie privée avant la mise en oeuvre de chaque nouvelle activité de traitement de données. sanctions sanctions financières élevées possible en cas de non respect application extra-territoriale s’applique à toute entreprise européenne, et non- européennes si elles collectes des données sur les résidents de l’Union Européenne. notifications en cas de fuite auprès des Autorités Nationales ainsi que des utilisateurs concernés consentement “explicite” et “positif” donner aux citoyens davantage de contrôle sur leurs données privées droit à l’effacement facilité pour effacer ses données auprès des entreprises en faisant l’usage droit à la portabilité droit de recevoir ses données auprès des entreprises en faisant l’usage dans un format consultable facilement Profilage droit de ne pas être discriminé par un traitement automatisé de ses données personnelles
  • 9. RGPD: Définition de “donnée personnelle” nom et prénom date de naissance adresse postale adresse email numéros d’identification: numéro de sécurité sociale numéro de compte bancaire données biométriques: Empreintes ADN facteurs spécifiques: identité physique physiologique psychique économique culturelle sociale Quid de l’adresse IP? Le règlement indique que ce n’est pas considéré comme une donnée personnelle. Le G29 a déclaré que dans le cas où celles ci sont récoltées pour identifier une personne, les adresses IP sont des données personnelles.
  • 10. RGPD: Mises en place dans une entreprise Exigences de Confidentialité Passez en revue les politiques et déclarations de confidentialité existantes et documentez leur comparaison avec les exigences du RGPD. Évaluer les droits des personnes concernées à consentir, utiliser, accéder, corriger, supprimer et transférer des données personnelles. Découvrez et classifiez les actifs de données personnelles et les systèmes affectés. Identifier les risques d'accès potentiels. Exigences de Sécurité Évaluer l'état actuel de vos politiques de sécurité, identifier les lacunes, évaluer la maturité et établir des cartes routières de conformité. Identifier les vulnérabilités potentielles, en soutenant la sécurité et la confidentialité par la conception. Découvrez et classifiez les ressources de données personnelles et les systèmes concernés en vue de concevoir des contrôles de sécurité. Toutes les entreprises manipulent des données personnelles que ce soit au niveau des informations sur leurs employés, clients, prospects ou fournisseurs. Toutes sont donc assujetties à un certain degré au RGPD sur la sécurité de ces informations.
  • 11. RGPD: Cartographie des flux de données Les éléments clés: ● Comprendre le flux d'informations - Identifier sa source à sa destination ● Décrivez le flux d'informations - Parcourir le cycle de vie de l'information permet d’identifier besoins et futures utilisations, les utilisations imprévues ou involontaires. ● Identifiez les éléments clés - Quel type / catégorie est en cours de traitement - Le format dans lesquels sont stocké les données - Les différents moyens utilisés pour collecter et partager en interne comme en externe les données - Les lieux impliqués dans le flux de données - La personne responsable de ces données - Les personnes en nécessitant l’accès Les principaux défis: ● Identifier les données personnelles - Choisir le format et le lieux de stockage ● Identifier les garanties techniques et organisationnelles appropriées - La technologie appropriée - La politique et les procédures - protection et contrôle d’accès de l'information ● Comprendre les obligations légales et réglementaires - Soumission possible à d’autre règlement (normes et certifications) suivant le domaine d’activité
  • 12. RGPD : Les impacts dans une entreprise Les impacts organisationnels - Désignation d’un délégués à la Protection des Données (DPO) - Avoir une compréhension totale des flux de données - Sécuriser dès la genèse des projets de traitements des données - Former les agents - Créer des procédures de traitement des données Les impacts techniques - Faire une étude de risque, des règles de l’art par technologie utilisée - Surveillance des flux - Surveillance des accès Les impacts financiers - Prévision d’un budget pour y inclure les mesures de sécurité - Sanctions (20M€ ou 4% du CA)
  • 13. LPM + RGPD: une étreinte fatale ? L’article 20 de la LPM (puis la Loi sur le Renseignement) permet le “recueil, auprès des opérateurs de communication, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques”. Cette notion trop vague semble permettre d’avoir accès aux données de contenu. Cette extension risque d’entraîner une atteinte disproportionnée au respect de la vie privée. La Loi de Programmation Militaire Concerne la protection des intérêts de la Nation A été institué par le Gouvernement Français A une portée nationale. Le Règlement Général sur la Protection des Données Légifère sur la protection des données personnelles. A été institué par l’Union Européenne A une portée internationale, Il est légitime de se demander comment pourraient s’articuler les contradictions entre protection des données et intérêt nationaux.
  • 14. LPM + RGPD: les points communs En matière: d’obligation en cas de fuite de données de sécurité générale La Loi de Programmation Militaire contraint les OIV à déclarer de façons immédiates les incidents SSI affectant de manière significative leurs SIIV contraint les OIV à élaborer une PSSI (Politique de Sécurité du Système d’Information) selon les critères définis par l’ANSSI Le Règlement Général sur la Protection des Données contraint les entreprises à notifier toute fuite de données auprès de l’organisme de leur État ainsi que leurs utilisateurs. impose aux entreprises de disposer d’un système d’information sécurisé, depuis la conception et par défaut.
  • 15. LPM + RGPD: Conclusion Ainsi comme a pût le voir, la prise en compte de la LPM et de la RGPD au sein d’une entreprise ou d’une administration ne constitue pas de contradictions flagrantes, et seraient même plutôt complémentaires : renforcer son Système d’Information pour qu’il soit conforme à la RGPD permettrait aussi d’être conforme à la LPM. On peut comprendre dans les règles de mise en place de ces deux textes, que la sécurisation, des flux de données comme des réseaux et systèmes d’informations en général, commence toujours par: - une compréhension parfaite de ceux-ci, - une formation des acteurs impliqués dans ces processus, - une supervision continue, - des procédures en cas d’incident, - une communication avec les autorités concernées en cas d’incident. Les entreprises vont devoir prendre les mesures pour améliorer leur infrastructures et systèmes d’informations. Les principaux bénéficiaires de ces mesures étant les citoyens français et européens.
  • 16. Méthodologie de veille SSI BrainStorming / MindMapping: carte heuristique sur le sujet et les idées qui en découlent Prospection et filtrage des données - recherche internet (principalement) - réseau sociaux Récupération d’information auprès - de source officiel (ANSSI, SGDSN, Commission Européenne), - de source fiable (Cabinet de conseil) - de sites d’informations réputés Recoupement des informations Elaboration d’un plan comparaison entre les deux textes Corrélation des données recueillies depuis différentes sources