Lexpresse de la Banque Postale - Privacy et Big Data
Protéger ses données: mission impossible?
1. Les Jeudis de l’AFAI
Protégez ses données, mission impossible ?
Marie-Noëlle Gibon/CIL Groupe La Poste
• 7/04/2016
2. Toutes les minutes :
350 000 Tweets
15 millions de SMS
200 millions de mails
250 gigaoctets d’information sont
archivés sur Facebook
1 740 000 gigaoctets (Go) d'informations
sont publiés dans le monde
Tous les jours
Google traite plus de 24 peta-octets de
données soit 24 millions de milliards
d’octets
En 2013, 1,01 Md€ d’objets connectés
En 2020, 100 Milliards d’objets connectés
La data-sphère
Les données au cœur de l’économie
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
2
3. La data-sphère
La donnée a un prix
69,55€
54,87€
33,03€
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
3
51,10€
11,84€
Source :Gemalto
4. PonemonInstitue La data-sphère
La donnée à un coût
Incident : par nature
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
4
Cybercriminalité
Externalisation
Mobilité Numérique
BYOD
Cloud Computing
Réseaux Sociaux
Les risques numériques
majeurs Coût moyen par donnée
compromise : 127€/132€
Coût par attaque malveillante
: 150€/140€
Coût par négligence/erreur
humaine : 117€/117€
Coût des dysfonctionnements
informatiques : 125€/122€
5. Le Groupe La Poste
Données donnez moi…
07/04/2016 MN GIBON - Protégez ses données, mission impossible ? 5
le responsable du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des données et des
risques présentés par le traitement, pour préserver la sécurité
des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y
aient accès ».
Protection des données : une obligation
« Art. 14 : les entreprises assujetties déterminent le niveau de
sécurité informatique jugé souhaitable par rapport aux exigences de
leur métier. Elles veillent au niveau de sécurité retenu et à ce que leurs
systèmes d’information soient adaptés. Le contrôle des systèmes
d’information doit notamment permettre de s’assurer que
a) le niveau de sécurité des systèmes informatiques est
périodiquement apprécié et que(..) les actions correctrices sont
entreprises
b) Des procédures de secours informatiques sont
c) disponibles afin de s’assurer de la continuité de l’exploitation (…)
d) En toutes circonstances, sont préservées l’intégrité et la
confidentialité des informations.
Le contrôle des informations s’étend à la conservation des informations
et à la documentation relative aux analyses, à la programmation et à
l’exécution des traitements
« Art. L133-15 : Le prestataire de services de paiement…doit
s’assurer que les dispositifs de sécurité personnalisés de cet
instrument…ne sont pas accessibles à d’autres personnes
que l’utilisateur autorisé à utiliser cet instrument (…)
« Art. L533-2 : les prestataires de services d’investissement
disposent… de techniques efficaces de contrôle et de
sauvegarde de leurs systèmes informatiques (…)
6. Protéger les données
Mode d’emploi
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
6
7. Protégez ses données, mission impossible ?
Protection
des données
Protection
des données
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
7
Protéger les données
Mode d’emploi
8. 07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
8
Cibler les bons
interlocuteurs
Sensibiliser les Acteurs :
Mieux que « savoir » ,
comprendre
Accompagner les métiers
dès la conception des
services
Les 3 temps
c’est tout le
temps
Protéger les données
Les 3 Temps
9. Les acteurs
internes
Les instances
Les contributions
externes
Comité de la
donnée
Comité
Privacy
Cibler les bons
interlocuteurs
Aide toi, le
ciel t’aidera
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
9
Temps 1
Mobiliser
10. Sensibiliser les Acteurs: Mieux que
« savoir » , comprendre
Sensibilisation Formation Boîte à outils
En
persévérant
on arrive à
tout
Temps 2
Sensibiliser
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
10
11. Sensibiliser les acteurs : Mieux que
« savoir » , comprendre
Boîte à outils
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
11
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Temps 2
Sensibiliser
En
persévérant
on arrive à
tout
https://www.youtube.com/watch?v=xpfCr4By71U
12. 1207/04/2016
7. Les mesures de sécurité appropriées tu prendras
Article 34 « le responsable du traitement est tenu de prendre
toutes précautions utiles, au regard de la nature des données et
des risques présentés par le traitement, pour préserver la données
et, notamment, empêcher qu'elles soient déformées,
endommagées, ou que des tiers non autorisés y aient accès ».
1
2
MN GIBON - Protégez ses données, mission impossible ?
Définir ses propres exigences de sécurité:
Intégrer ses propres exigences de sécurité
dans le cahier des charges
Rédiger les clauses contractuelles
afférentes à la sécurité
Elaborer un Plan d’Assurance Sécurité (PAS)
conjointement avec le Prestataire
3
13. Temps 2
Sensibiliser
Le Big Data dans tous ses
états
Sensibilisation Boîte à outils Boîte à outils
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
13
En
persévérant
on arrive à
tout
14. Accompagner les métiers dès
la conception des services
Celui qui veut
faire quelque
chose trouve
un moyen
Temps 3
Accompagner
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
14
15. Accompagner les métiers dès
la conception des services
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
15
Celui qui veut
faire quelque
chose trouve
un moyen
Temps 3
Accompagner
16. MN GIBON - Protégez ses données, mission impossible ?
Sensibilisation
Sensibiliser les
acteurs : Mieux que
« savoir » ,
comprendre
Accompagner les
métiers dès la
conception des services
Acteurs IT Dir Jur/CFM Métiers Audit RSSI DPO
Activités
Conformité des traitements C I A/R R C I
Documentation des traitements C C A/R I C C
Droit des personnes : carto
process/Organisation/Proc
I I A/R R I C
Droit des personnes : SI R I A C C I
PPDP hors France R C A/R C C I
Gestion cycle de vie data R I A/R I C
Def et Mise en œuvre
nouveaux process
C I A/R C C
Evolutions SI/traçabilité R I A C A
Evolutions SI/droits des pers R I A/R ? C
Syst de gestion Doc
(fonctionnel)
I I A/R C A/R
Syst gestion Doc (Technique) R I I I A
CC Type Test SSI
(fonctionnel)
C I R A/R C
CC Type Test SSI (technique) R I I A C
Sensibilisation et Formation C I I I C A/R
Analyse de l'existant
RoadMap
Temps 3
Accompagner
07/04/2016 16
1 2
3
4 5
7
6
17. Protection des données
Les 3 piliers
07/04/2016 MN GIBON - Protégez ses données, mission impossible ?
17
un consentement libre et
éclairé obtenu du client
une information transparente
tout au long du cycle de vie de
la donnée
des modalités d’opposition
simples et faciles
du VRM et du Vrai
une protection technique
suivie de bout en bout
on sait où sont les données
qui est responsable de quel
traitement
tous les destinataires des
données sont identifiés et
répertoriés; leurs accès sont
contrôlés
Mes
Info
Tes
Info