SlideShare une entreprise Scribd logo
LPM + GDPR
Quels impacts dans une entreprise?
Didier, Jeremy, Omar 08 décembre 2017
Sommaire
I. LPM: Loi de Programmation Militaire
1. Définition d’Organisme d’Importance Vitale
2. Mise en place
3. Impacts
II. RGPD: Règlement Général sur la Protection des Données
1. Principaux points
2. Définition de “donnée personnelle”
3. Mise en place
Cartographie du flux des données
4. Impacts
III. RGPD+LPM
1. Une étreinte fatale
2. Leurs points communs
IV. Conclusion
V. Méthodologie de veille SSI
Loi de Programmation Militaire
Définition:
Cette loi détermine le montant des crédits alloué à
la défense, ainsi que les objectifs à accomplir sur
plusieurs années. Elle couvre tout le spectre de la
défense nationale:
- Marine Nationale
- Armée de l’Air
- Dissuasion Nucléaire
- Lutte contre les Cyber-Menaces
Les articles 21 à 24 couvrent le sujet des cyber-
menaces sur les Opérateurs d'Importance Vitale.
Historique:
1958 (ordonnance 58-1371):
La notion d’Installation d’Importance Vitales est instaurée, indiquant
que les entreprises devraient « coopérer à leurs frais à la protection de
leurs établissements contre les tentatives de sabotage ». Ces
obligations portant essentiellement sur la sécurité physiques des points
d’importance vitale (PIV).
2009:
Suite à la prise de conscience en 2008, au plus haut niveau de l’État des
impacts nationaux que peuvent provoquer les cyber-menaces actuelles
et futures, l’Agence Nationale de la Sécurité des Systèmes d'Information
(ANSSI) est créé pour coordonner la prise en compte des risques liés
aux cyber-menaces, informer et certifier les outils et prestataires.
2013 (2013-1168 Art. 22): la Loi de Programmation Militaire
pour la période 2014-19, que l’Etat ajoute un volet lié à la cybersécurité
pour la défense de ces Opérateurs d’Importance Vitale.
Future: La future Directive Network and Information Security (NIS), en
discussion au niveau européen pour obliger tous les états membres a
de telle mesures sur leurs opérateurs.
Qui sont les OIV concernés par la LPM?
En 1958, l’Etat fait apparaître le concepte d’Installation
d’Importance Vitale, désignant les infrastructures critiques
dont l’arrêt diminuerait grandement la force économique,
défensive ou simplement humaine de la France.
Cette notion évoluera au fil des livres blancs et des versions
de la LPM, pour devenir aujourd’hui d’Opérateurs
d’Importance Vitale, intégrant les notions complémentaires
de Points IV et de Systèmes d’Information IV.
La liste des OIV est tenue secrète, bien que l’on puisse
aisément deviner les plus gros d’entre eux, nous n’en
connaissons que le nombre.
Les 249 OIV actuellement recensées sont répartie en
12 secteurs d’activités.
Mises en place dans une entreprise de la LPM
La LPM ne s’applique qu’au OIV, mais les grandes
pratiques de celle-ci sont gages d’une bonne gestion des
risques lié au SI. L’Etat espère que l’entrée en vigueur de la
LPM chez les OIV fera tache d’huile pour améliorer la
sécurité l’ensemble des entreprises françaises.
Les OIV doivent :
- désigner un représentant auprès de l’ANSSI
- dresser la liste de leurs Système d’Information
d’Importance Vitale. Pour cela elles doivent déterminer
lesquels de leur SI participent aux missions critiques que
l’Etat leur a confié, et lesquels n’assurent que l'intérêt
économique de l’entreprise. Cette liste devra être transmise
à l’ANSSI.
- mettre en œuvre les règles de sécurité LPM prévues par
l’arrêté (étant elles aussi en Diffusion Restreinte, leur
contenu ne peut donc pas être diffusé largement) dressant
les grandes lignes de la gestion des SIIV
- informer l’ANSII obligatoirement en cas d’incidents de
sécurité affectant les SIIV
Suivant les sources (ANSSI, INHESJ, prestataires SI) et les regroupements
qu’ils en font, ces règles peuvent être dénombrer de 13 à 20.
● Pilotage de la gouvernance de la cybersécurité
> Rôles et responsabilité
> PSSI (Politique de sécurité des SI)
> Indicateurs
> Formation
● Maîtrise des risques
> Homologation
● Maîtrise des systèmes d’information
> Cartographie
> MCS (Maintien en condition de sécurité)
● Gestion des incidents de cybersécurité
> Détection
> Journalisation
> Traitement
> Points de contact avec l’ANSSI
> Gestion de crise
● Protection des systèmes
> Gestion des identités et des accès
> Administration
> Défense en profondeur
Les impacts de la LPM (dans un OIV)
Les impacts organisationnels
- Désignation d’un responsable de la sécurité des SIIV, qui sera le principal interlocuteur de l’ANSSI
- Définition de la Politique de Sécurité du SI (PSSI) posant les exigences en matière de formation, de
sensibilisation et de reporting, et qui détermine des indicateurs pertinents, cohérents et fiables.
- Formation et habilitation des employés
- Établissement de nouveaux contrat de services avec des prestataires (PDSI, PRSI, PASSI)
pour la Détection, la Réponse au Incidents de Sécurité, les Audits de Sécurité.
Les impacts techniques
- Implémentation ou évolution des mesures de cybersécurité de leurs SIIV
- Refonte possible de la sécurité de leurs SIIV, voire de l’ensemble de leur SI
(notamment le cloisonnement des réseaux et l’administration des SIIV).
Les impacts financiers
- Allocation d’un budget pluriannuel pour la mise en conformité, ainsi que pour les contrôles
- Augmentation des coûts en termes de moyens humains et techniques.
- exposition à des sanctions en cas de non-conformité
(jusqu’à 150 000 € pour le dirigeant, et jusqu’à 750 000 € pour les personnes morales)
Règlement Général sur la Protection des Données
Définition:
Ce texte constitue le nouveau texte de référence
européen en matière de protection des données à
caractères personnels.
Comprenant 99 articles, il renforce et unifie la
protection des données pour les individus au sein
de l'Union Européenne, afin de redonner aux
citoyens le contrôle de leurs données personnelles,
tout en simplifiant l’environnement réglementaire
des entreprises.
Par ailleurs, une partie du texte de loi s’applique à
formaliser les contradictions pouvant exister entre
la protection des données des personnes et les
intérêts nationaux, notamment dans le cadre des
missions policières et judiciaires.
Historique:
1971: Allemagne
1973: Suède
1978: France (Commission Nationale Internet et Liberté)
1995 (directive 95/46/CE): relative à la protection des
personnes physiques à l'égard du traitement des données
à caractère personnel et à la libre circulation de ces
données (Remplacé par le RGPD).
25 janvier 2012: la Commission européenne a adopté un
projet de règlement européen et de directive réformant le
cadre de la protection des données.
mars 2012: le Groupe de Travail G29, le groupe des CNIL
Européennes, a adopté un avis sur les propositions de
réforme présentées par la Commission Européenne.
25 mai 2018: application du Règlement Général sur la
Protection des Données dans toutes l’Union Européenne
RGPD: Principaux points
cadre harmonisé
un seul ensemble de règles communes, directement
applicable dans tous les Etats membres de l’Union
Européenne
création du Comité Européen de la
Protection des Données
autorité pour l’interprétation du règlement
délégué à la protection des données
(Data Protection Officer)
obligatoire pour les administrations, ou pour les
traitement régulier et systématique
protection des données dès la conception
prise en compte des exigences en matière de sécurité
relative au traitement de données à caractère personelle
étude d’impact obligatoire
étude d’impact sur la vie privée avant la mise en oeuvre
de chaque nouvelle activité de traitement de données.
sanctions
sanctions financières élevées possible en cas de non
respect
application extra-territoriale
s’applique à toute entreprise européenne, et non-
européennes si elles collectes des données sur les
résidents de l’Union Européenne.
notifications en cas de fuite
auprès des Autorités Nationales ainsi que des
utilisateurs concernés
consentement “explicite” et “positif”
donner aux citoyens davantage de
contrôle sur leurs données privées
droit à l’effacement
facilité pour effacer ses données auprès des
entreprises en faisant l’usage
droit à la portabilité
droit de recevoir ses données auprès des
entreprises en faisant l’usage dans un format
consultable facilement
Profilage
droit de ne pas être discriminé par un traitement
automatisé de ses données personnelles
RGPD: Définition de “donnée personnelle”
nom et prénom
date de naissance
adresse postale
adresse email
numéros d’identification:
numéro de sécurité sociale
numéro de compte bancaire
données biométriques:
Empreintes
ADN
facteurs spécifiques:
identité physique
physiologique
psychique
économique
culturelle
sociale
Quid de l’adresse IP?
Le règlement indique que ce
n’est pas considéré comme
une donnée personnelle.
Le G29 a déclaré que dans le
cas où celles ci sont récoltées
pour identifier une personne,
les adresses IP sont des
données personnelles.
RGPD: Mises en place dans une entreprise
Exigences de Confidentialité
Passez en revue les politiques et déclarations de
confidentialité existantes et documentez leur
comparaison avec les exigences du RGPD.
Évaluer les droits des personnes concernées à
consentir, utiliser, accéder, corriger, supprimer et
transférer des données personnelles.
Découvrez et classifiez les actifs de données
personnelles et les systèmes affectés.
Identifier les risques d'accès potentiels.
Exigences de Sécurité
Évaluer l'état actuel de vos politiques de sécurité,
identifier les lacunes, évaluer la maturité et établir
des cartes routières de conformité.
Identifier les vulnérabilités potentielles, en
soutenant la sécurité et la confidentialité par la
conception.
Découvrez et classifiez les ressources de
données personnelles et les systèmes concernés
en vue de concevoir des contrôles de sécurité.
Toutes les entreprises manipulent des données personnelles que ce soit au niveau des informations sur leurs
employés, clients, prospects ou fournisseurs. Toutes sont donc assujetties à un certain degré au RGPD sur la
sécurité de ces informations.
RGPD: Cartographie des flux de données
Les éléments clés:
● Comprendre le flux d'informations
- Identifier sa source à sa destination
● Décrivez le flux d'informations
- Parcourir le cycle de vie de l'information permet
d’identifier besoins et futures utilisations, les utilisations
imprévues ou involontaires.
● Identifiez les éléments clés
- Quel type / catégorie est en cours de traitement
- Le format dans lesquels sont stocké les données
- Les différents moyens utilisés pour collecter et
partager en interne comme en externe les données
- Les lieux impliqués dans le flux de données
- La personne responsable de ces données
- Les personnes en nécessitant l’accès
Les principaux défis:
● Identifier les données personnelles
- Choisir le format et le lieux de stockage
● Identifier les garanties techniques et
organisationnelles appropriées
- La technologie appropriée
- La politique et les procédures
- protection et contrôle d’accès de l'information
● Comprendre les obligations légales et
réglementaires
- Soumission possible à d’autre règlement (normes et
certifications) suivant le domaine d’activité
RGPD : Les impacts dans une entreprise
Les impacts organisationnels
- Désignation d’un délégués à la Protection des Données (DPO)
- Avoir une compréhension totale des flux de données
- Sécuriser dès la genèse des projets de traitements des données
- Former les agents
- Créer des procédures de traitement des données
Les impacts techniques
- Faire une étude de risque, des règles de l’art par technologie utilisée
- Surveillance des flux
- Surveillance des accès
Les impacts financiers
- Prévision d’un budget pour y inclure les mesures de sécurité
- Sanctions (20M€ ou 4% du CA)
LPM + RGPD: une étreinte fatale ?
L’article 20 de la LPM (puis la Loi
sur le Renseignement)
permet le “recueil, auprès des
opérateurs de communication, des
informations ou documents traités
ou conservés par leurs réseaux ou
services de communications
électroniques”.
Cette notion trop vague semble
permettre d’avoir accès aux données
de contenu.
Cette extension risque d’entraîner
une atteinte disproportionnée au
respect de la vie privée.
La Loi de Programmation
Militaire
Concerne la protection des
intérêts de la Nation
A été institué par le
Gouvernement Français
A une portée nationale.
Le Règlement Général sur la
Protection des Données
Légifère sur la protection des
données personnelles.
A été institué par
l’Union Européenne
A une portée internationale,
Il est légitime de se demander comment pourraient s’articuler les contradictions entre
protection des données et intérêt nationaux.
LPM + RGPD: les points communs
En matière:
d’obligation en cas de
fuite de données
de sécurité générale
La Loi de Programmation
Militaire
contraint les OIV à déclarer de
façons immédiates les incidents
SSI affectant de manière
significative leurs SIIV
contraint les OIV à élaborer une
PSSI (Politique de Sécurité du
Système d’Information) selon les
critères définis par l’ANSSI
Le Règlement Général sur la
Protection des Données
contraint les entreprises à
notifier toute fuite de données
auprès de l’organisme de leur
État ainsi que leurs utilisateurs.
impose aux entreprises de
disposer d’un système
d’information sécurisé, depuis la
conception et par défaut.
LPM + RGPD: Conclusion
Ainsi comme a pût le voir, la prise en compte de la LPM et de la RGPD au sein d’une
entreprise ou d’une administration ne constitue pas de contradictions flagrantes, et
seraient même plutôt complémentaires : renforcer son Système d’Information pour
qu’il soit conforme à la RGPD permettrait aussi d’être conforme à la LPM.
On peut comprendre dans les règles de mise en place de ces deux textes, que la
sécurisation, des flux de données comme des réseaux et systèmes d’informations en
général, commence toujours par:
- une compréhension parfaite de ceux-ci,
- une formation des acteurs impliqués dans ces processus,
- une supervision continue,
- des procédures en cas d’incident,
- une communication avec les autorités concernées en cas d’incident.
Les entreprises vont devoir prendre les mesures pour améliorer leur infrastructures et
systèmes d’informations. Les principaux bénéficiaires de ces mesures étant les
citoyens français et européens.
Méthodologie de veille SSI
BrainStorming / MindMapping:
carte heuristique sur le sujet et les idées qui en découlent
Prospection et filtrage des données
- recherche internet (principalement)
- réseau sociaux
Récupération d’information auprès
- de source officiel (ANSSI, SGDSN, Commission Européenne),
- de source fiable (Cabinet de conseil)
- de sites d’informations réputés
Recoupement des informations
Elaboration d’un plan
comparaison entre les deux textes
Corrélation des données recueillies depuis différentes sources

Contenu connexe

Tendances

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
Harold NGUEGANG
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
Mehari 2010-diagnostic
Mehari 2010-diagnosticMehari 2010-diagnostic
Mehari 2010-diagnostic
idman007
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
ISO 27001
ISO 27001ISO 27001
Mehari
MehariMehari
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
AmorFranois
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
ssuser586df7
 
Alphorm.com Formation PRTG Network Monitor : installation et configuration
Alphorm.com Formation PRTG Network Monitor : installation et configurationAlphorm.com Formation PRTG Network Monitor : installation et configuration
Alphorm.com Formation PRTG Network Monitor : installation et configuration
Alphorm
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
PECB
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
Pierre MASSOT
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
Ammar Sassi
 
27001.pptx
27001.pptx27001.pptx
27001.pptx
AvniJain836319
 

Tendances (20)

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Mehari 2010-diagnostic
Mehari 2010-diagnosticMehari 2010-diagnostic
Mehari 2010-diagnostic
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Mehari
MehariMehari
Mehari
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
 
Alphorm.com Formation PRTG Network Monitor : installation et configuration
Alphorm.com Formation PRTG Network Monitor : installation et configurationAlphorm.com Formation PRTG Network Monitor : installation et configuration
Alphorm.com Formation PRTG Network Monitor : installation et configuration
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
27001.pptx
27001.pptx27001.pptx
27001.pptx
 

Similaire à Lpm + rgpd

Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd  études conjointe des deux grands textesLpm + rgpd  études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
Didier Graf
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
polenumerique33
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
Umanis
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
Jean-Michel Tyszka
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
Market iT
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
Antoine Vigneron
 
Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016
Market iT
 
Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...
Marco Brienza
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
_unknowns
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
Philippe Mignen
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUE
DavidWalter44
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
Boris Clément
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
ASIP Santé
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNIL
Stéphanie Roger
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
Jean-Michel Tyszka
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
Christophe Boeraeve
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
Jeanny LUCAS
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
Jeanny LUCAS
 

Similaire à Lpm + rgpd (20)

Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd  études conjointe des deux grands textesLpm + rgpd  études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016
 
Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUE
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNIL
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 

Dernier

MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
lebaobabbleu
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
lebaobabbleu
 
A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
lebaobabbleu
 
Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
Txaruka
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
NadineHG
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
Txaruka
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
NadineHG
 
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
DjibrilToure5
 

Dernier (8)

MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
 
A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
 
Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
 
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
 

Lpm + rgpd

  • 1. LPM + GDPR Quels impacts dans une entreprise? Didier, Jeremy, Omar 08 décembre 2017
  • 2. Sommaire I. LPM: Loi de Programmation Militaire 1. Définition d’Organisme d’Importance Vitale 2. Mise en place 3. Impacts II. RGPD: Règlement Général sur la Protection des Données 1. Principaux points 2. Définition de “donnée personnelle” 3. Mise en place Cartographie du flux des données 4. Impacts III. RGPD+LPM 1. Une étreinte fatale 2. Leurs points communs IV. Conclusion V. Méthodologie de veille SSI
  • 3. Loi de Programmation Militaire Définition: Cette loi détermine le montant des crédits alloué à la défense, ainsi que les objectifs à accomplir sur plusieurs années. Elle couvre tout le spectre de la défense nationale: - Marine Nationale - Armée de l’Air - Dissuasion Nucléaire - Lutte contre les Cyber-Menaces Les articles 21 à 24 couvrent le sujet des cyber- menaces sur les Opérateurs d'Importance Vitale. Historique: 1958 (ordonnance 58-1371): La notion d’Installation d’Importance Vitales est instaurée, indiquant que les entreprises devraient « coopérer à leurs frais à la protection de leurs établissements contre les tentatives de sabotage ». Ces obligations portant essentiellement sur la sécurité physiques des points d’importance vitale (PIV). 2009: Suite à la prise de conscience en 2008, au plus haut niveau de l’État des impacts nationaux que peuvent provoquer les cyber-menaces actuelles et futures, l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) est créé pour coordonner la prise en compte des risques liés aux cyber-menaces, informer et certifier les outils et prestataires. 2013 (2013-1168 Art. 22): la Loi de Programmation Militaire pour la période 2014-19, que l’Etat ajoute un volet lié à la cybersécurité pour la défense de ces Opérateurs d’Importance Vitale. Future: La future Directive Network and Information Security (NIS), en discussion au niveau européen pour obliger tous les états membres a de telle mesures sur leurs opérateurs.
  • 4. Qui sont les OIV concernés par la LPM? En 1958, l’Etat fait apparaître le concepte d’Installation d’Importance Vitale, désignant les infrastructures critiques dont l’arrêt diminuerait grandement la force économique, défensive ou simplement humaine de la France. Cette notion évoluera au fil des livres blancs et des versions de la LPM, pour devenir aujourd’hui d’Opérateurs d’Importance Vitale, intégrant les notions complémentaires de Points IV et de Systèmes d’Information IV. La liste des OIV est tenue secrète, bien que l’on puisse aisément deviner les plus gros d’entre eux, nous n’en connaissons que le nombre. Les 249 OIV actuellement recensées sont répartie en 12 secteurs d’activités.
  • 5. Mises en place dans une entreprise de la LPM La LPM ne s’applique qu’au OIV, mais les grandes pratiques de celle-ci sont gages d’une bonne gestion des risques lié au SI. L’Etat espère que l’entrée en vigueur de la LPM chez les OIV fera tache d’huile pour améliorer la sécurité l’ensemble des entreprises françaises. Les OIV doivent : - désigner un représentant auprès de l’ANSSI - dresser la liste de leurs Système d’Information d’Importance Vitale. Pour cela elles doivent déterminer lesquels de leur SI participent aux missions critiques que l’Etat leur a confié, et lesquels n’assurent que l'intérêt économique de l’entreprise. Cette liste devra être transmise à l’ANSSI. - mettre en œuvre les règles de sécurité LPM prévues par l’arrêté (étant elles aussi en Diffusion Restreinte, leur contenu ne peut donc pas être diffusé largement) dressant les grandes lignes de la gestion des SIIV - informer l’ANSII obligatoirement en cas d’incidents de sécurité affectant les SIIV Suivant les sources (ANSSI, INHESJ, prestataires SI) et les regroupements qu’ils en font, ces règles peuvent être dénombrer de 13 à 20. ● Pilotage de la gouvernance de la cybersécurité > Rôles et responsabilité > PSSI (Politique de sécurité des SI) > Indicateurs > Formation ● Maîtrise des risques > Homologation ● Maîtrise des systèmes d’information > Cartographie > MCS (Maintien en condition de sécurité) ● Gestion des incidents de cybersécurité > Détection > Journalisation > Traitement > Points de contact avec l’ANSSI > Gestion de crise ● Protection des systèmes > Gestion des identités et des accès > Administration > Défense en profondeur
  • 6. Les impacts de la LPM (dans un OIV) Les impacts organisationnels - Désignation d’un responsable de la sécurité des SIIV, qui sera le principal interlocuteur de l’ANSSI - Définition de la Politique de Sécurité du SI (PSSI) posant les exigences en matière de formation, de sensibilisation et de reporting, et qui détermine des indicateurs pertinents, cohérents et fiables. - Formation et habilitation des employés - Établissement de nouveaux contrat de services avec des prestataires (PDSI, PRSI, PASSI) pour la Détection, la Réponse au Incidents de Sécurité, les Audits de Sécurité. Les impacts techniques - Implémentation ou évolution des mesures de cybersécurité de leurs SIIV - Refonte possible de la sécurité de leurs SIIV, voire de l’ensemble de leur SI (notamment le cloisonnement des réseaux et l’administration des SIIV). Les impacts financiers - Allocation d’un budget pluriannuel pour la mise en conformité, ainsi que pour les contrôles - Augmentation des coûts en termes de moyens humains et techniques. - exposition à des sanctions en cas de non-conformité (jusqu’à 150 000 € pour le dirigeant, et jusqu’à 750 000 € pour les personnes morales)
  • 7. Règlement Général sur la Protection des Données Définition: Ce texte constitue le nouveau texte de référence européen en matière de protection des données à caractères personnels. Comprenant 99 articles, il renforce et unifie la protection des données pour les individus au sein de l'Union Européenne, afin de redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises. Par ailleurs, une partie du texte de loi s’applique à formaliser les contradictions pouvant exister entre la protection des données des personnes et les intérêts nationaux, notamment dans le cadre des missions policières et judiciaires. Historique: 1971: Allemagne 1973: Suède 1978: France (Commission Nationale Internet et Liberté) 1995 (directive 95/46/CE): relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Remplacé par le RGPD). 25 janvier 2012: la Commission européenne a adopté un projet de règlement européen et de directive réformant le cadre de la protection des données. mars 2012: le Groupe de Travail G29, le groupe des CNIL Européennes, a adopté un avis sur les propositions de réforme présentées par la Commission Européenne. 25 mai 2018: application du Règlement Général sur la Protection des Données dans toutes l’Union Européenne
  • 8. RGPD: Principaux points cadre harmonisé un seul ensemble de règles communes, directement applicable dans tous les Etats membres de l’Union Européenne création du Comité Européen de la Protection des Données autorité pour l’interprétation du règlement délégué à la protection des données (Data Protection Officer) obligatoire pour les administrations, ou pour les traitement régulier et systématique protection des données dès la conception prise en compte des exigences en matière de sécurité relative au traitement de données à caractère personelle étude d’impact obligatoire étude d’impact sur la vie privée avant la mise en oeuvre de chaque nouvelle activité de traitement de données. sanctions sanctions financières élevées possible en cas de non respect application extra-territoriale s’applique à toute entreprise européenne, et non- européennes si elles collectes des données sur les résidents de l’Union Européenne. notifications en cas de fuite auprès des Autorités Nationales ainsi que des utilisateurs concernés consentement “explicite” et “positif” donner aux citoyens davantage de contrôle sur leurs données privées droit à l’effacement facilité pour effacer ses données auprès des entreprises en faisant l’usage droit à la portabilité droit de recevoir ses données auprès des entreprises en faisant l’usage dans un format consultable facilement Profilage droit de ne pas être discriminé par un traitement automatisé de ses données personnelles
  • 9. RGPD: Définition de “donnée personnelle” nom et prénom date de naissance adresse postale adresse email numéros d’identification: numéro de sécurité sociale numéro de compte bancaire données biométriques: Empreintes ADN facteurs spécifiques: identité physique physiologique psychique économique culturelle sociale Quid de l’adresse IP? Le règlement indique que ce n’est pas considéré comme une donnée personnelle. Le G29 a déclaré que dans le cas où celles ci sont récoltées pour identifier une personne, les adresses IP sont des données personnelles.
  • 10. RGPD: Mises en place dans une entreprise Exigences de Confidentialité Passez en revue les politiques et déclarations de confidentialité existantes et documentez leur comparaison avec les exigences du RGPD. Évaluer les droits des personnes concernées à consentir, utiliser, accéder, corriger, supprimer et transférer des données personnelles. Découvrez et classifiez les actifs de données personnelles et les systèmes affectés. Identifier les risques d'accès potentiels. Exigences de Sécurité Évaluer l'état actuel de vos politiques de sécurité, identifier les lacunes, évaluer la maturité et établir des cartes routières de conformité. Identifier les vulnérabilités potentielles, en soutenant la sécurité et la confidentialité par la conception. Découvrez et classifiez les ressources de données personnelles et les systèmes concernés en vue de concevoir des contrôles de sécurité. Toutes les entreprises manipulent des données personnelles que ce soit au niveau des informations sur leurs employés, clients, prospects ou fournisseurs. Toutes sont donc assujetties à un certain degré au RGPD sur la sécurité de ces informations.
  • 11. RGPD: Cartographie des flux de données Les éléments clés: ● Comprendre le flux d'informations - Identifier sa source à sa destination ● Décrivez le flux d'informations - Parcourir le cycle de vie de l'information permet d’identifier besoins et futures utilisations, les utilisations imprévues ou involontaires. ● Identifiez les éléments clés - Quel type / catégorie est en cours de traitement - Le format dans lesquels sont stocké les données - Les différents moyens utilisés pour collecter et partager en interne comme en externe les données - Les lieux impliqués dans le flux de données - La personne responsable de ces données - Les personnes en nécessitant l’accès Les principaux défis: ● Identifier les données personnelles - Choisir le format et le lieux de stockage ● Identifier les garanties techniques et organisationnelles appropriées - La technologie appropriée - La politique et les procédures - protection et contrôle d’accès de l'information ● Comprendre les obligations légales et réglementaires - Soumission possible à d’autre règlement (normes et certifications) suivant le domaine d’activité
  • 12. RGPD : Les impacts dans une entreprise Les impacts organisationnels - Désignation d’un délégués à la Protection des Données (DPO) - Avoir une compréhension totale des flux de données - Sécuriser dès la genèse des projets de traitements des données - Former les agents - Créer des procédures de traitement des données Les impacts techniques - Faire une étude de risque, des règles de l’art par technologie utilisée - Surveillance des flux - Surveillance des accès Les impacts financiers - Prévision d’un budget pour y inclure les mesures de sécurité - Sanctions (20M€ ou 4% du CA)
  • 13. LPM + RGPD: une étreinte fatale ? L’article 20 de la LPM (puis la Loi sur le Renseignement) permet le “recueil, auprès des opérateurs de communication, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques”. Cette notion trop vague semble permettre d’avoir accès aux données de contenu. Cette extension risque d’entraîner une atteinte disproportionnée au respect de la vie privée. La Loi de Programmation Militaire Concerne la protection des intérêts de la Nation A été institué par le Gouvernement Français A une portée nationale. Le Règlement Général sur la Protection des Données Légifère sur la protection des données personnelles. A été institué par l’Union Européenne A une portée internationale, Il est légitime de se demander comment pourraient s’articuler les contradictions entre protection des données et intérêt nationaux.
  • 14. LPM + RGPD: les points communs En matière: d’obligation en cas de fuite de données de sécurité générale La Loi de Programmation Militaire contraint les OIV à déclarer de façons immédiates les incidents SSI affectant de manière significative leurs SIIV contraint les OIV à élaborer une PSSI (Politique de Sécurité du Système d’Information) selon les critères définis par l’ANSSI Le Règlement Général sur la Protection des Données contraint les entreprises à notifier toute fuite de données auprès de l’organisme de leur État ainsi que leurs utilisateurs. impose aux entreprises de disposer d’un système d’information sécurisé, depuis la conception et par défaut.
  • 15. LPM + RGPD: Conclusion Ainsi comme a pût le voir, la prise en compte de la LPM et de la RGPD au sein d’une entreprise ou d’une administration ne constitue pas de contradictions flagrantes, et seraient même plutôt complémentaires : renforcer son Système d’Information pour qu’il soit conforme à la RGPD permettrait aussi d’être conforme à la LPM. On peut comprendre dans les règles de mise en place de ces deux textes, que la sécurisation, des flux de données comme des réseaux et systèmes d’informations en général, commence toujours par: - une compréhension parfaite de ceux-ci, - une formation des acteurs impliqués dans ces processus, - une supervision continue, - des procédures en cas d’incident, - une communication avec les autorités concernées en cas d’incident. Les entreprises vont devoir prendre les mesures pour améliorer leur infrastructures et systèmes d’informations. Les principaux bénéficiaires de ces mesures étant les citoyens français et européens.
  • 16. Méthodologie de veille SSI BrainStorming / MindMapping: carte heuristique sur le sujet et les idées qui en découlent Prospection et filtrage des données - recherche internet (principalement) - réseau sociaux Récupération d’information auprès - de source officiel (ANSSI, SGDSN, Commission Européenne), - de source fiable (Cabinet de conseil) - de sites d’informations réputés Recoupement des informations Elaboration d’un plan comparaison entre les deux textes Corrélation des données recueillies depuis différentes sources