La sécurité de l'information et la protection des données

Toute entreprise ou organisation a besoin de collecter, enregistrer, modifier, consulter et conserver des informations dans son propre système d'informations. L’information, qui constitue un capital nécessaire à tout organisme pour son activité, doit être protégée de manière appropriée, d’autant plus lorsqu’il s’agit de données à caractère personnel !

L’information : un patrimoine à protéger

En dehors des locaux et des appareils informatiques, tout ce qui compose le système d’information d’une organisation est immatériel. L’utilisation de ce patrimoine immatériel est rendu possible grâce à un ensemble d’éléments tels que :

  • les systèmes informatiques : logiciels, pc, serveurs, imprimantes, téléphones ;
  • les organisations : personnes, supports papier ;
  • les locaux : bâtiments, postes de travail, lecteurs de badge.

Or, cet environnement matériel est vulnérable ! Il représente en conséquence un danger potentiel pour l’information: les PC portables se volent, les réseaux se piratent, les personnes emportent des données. Les scénarios sont infinis et en constante évolution. La convergence numérique par la multiplication des points d’entrée (tablette, smartphone, voiture…) accentue encore ce phénomène.

Les impacts potentiels d'une perte ou d'une fuite de données :
  • pertes financières (budget de l’institution concernée) ;
  • actions judiciaires (sanctions internes et condamnation de l’autorité) ;
  • atteinte à la réputation (plaintes, altération grave et perte d’image) ;
  • vol d’identité, harcèlement de personnes ;
  • perturbations de l’ordre public.
Information sécurisée

La sécurité d’une information se traduit à 3 niveaux :

  • disponibilité : l’information doit être accessible au moment voulu ;
  • confidentialité : l’information doit être accessible uniquement par les personnes autorisées à les consulter ;
  • intégrité : l’information ne peut pas être modifiée ou détruite de façon non autorisée.
Le rôle du conseiller en sécurité

Véritable « omnipraticien de la sécurité», le conseiller en sécurité conseille sa direction au sujet de tous les aspects de la sécurité de l’information. Il a pour rôle de promouvoir les règles de sécurité liées à l’activité de son organisme, de contrôler les mesures de sécurité mises en place et d’émettre des avis de manière objective et autonome. Il exerce sa fonction en toute indépendance et ne peut exercer d’activités incompatibles avec sa mission.

Le conseiller en sécurité doit être la première personne sollicitée pour améliorer la sécurité au sens large, signaler un incident ou obtenir de l’information. C’est votre point de contact interne pour la sécurité de l’information.

Que faut-il entendre par « risque » ?

Un risque sur la sécurité de l’information se définit par la combinaison d’une gravité (ampleur du risque lié à la nature des informations et au caractère préjudiciable des impacts potentiels) et d’une vraisemblance (probabilité d’un risque).

Pour qu’il y ait un risque, il faut :

  • une menace, représentée par un humain ou un logiciel, malveillant ou non, interne ou externe ;
  • une vulnérabilité qui sera exploitée par la menace.

La protection des données personnelles, une obligation légale

La sécurité de l’information est encore plus cruciale dans le cadre des services publics et de l’administration numérique. En effet, la protection des données à caractère personnel est un des points clés afin que les usagers aient une pleine confiance dans les services qui leur sont proposés par l’administration.

Cette protection doit notamment assurer aux usagers que :

  • des mesures de sécurité, tant organisationnelles, physiques ou technologiques, sont mises en œuvre afin d’assurer la protection de leurs données personnelles ;
  • leurs données ne seront utilisées que pour des finalités clairement définies au départ ;
  • les personnes qui gèrent leurs données respectent bien les prescrits légaux et disposent de la documentation nécessaire pour prouver que le traitement est licite et loyal ;
  • leurs droits seront assurés et qu’ils pourront connaître l’existence des traitements qui les concerne sur simple demande.

eWBS et la BCED vous accompagnent…

La BCED est un partenaire privilégié de l'administration en matière de sécurité de l'information.

Dans ce cadre, elle offre :

  • une expertise en termes de sécurité de l’information et en protection des données à caractère personnel ;
  • des avis de sécurité, analyses de risque dans le cadre de projets de partage de données (notamment grâce à son outil ARTEMIS) ;
  • du support aux conseillers en sécurité, pour les aspects liés à la sécurisation des échanges de données ou à la mise en place de sources authentiques ;
  • des séances de sensibilisation des agents à la sécurité de l’information dans le cadre du partage de données ;
  • de l'aide à l’évaluation du niveau de sécurité de l’information des administrations dans le contexte du Règlement européen pour la protection des données (RGPD) ;
  • de l'accompagnement dans les procédures d’accès à des données authentiques.

 

La BCED se préoccupe également de la responsabilisation de chaque acteur (organisations, agents, sous-traitants,…) dans le cadre d'échanges de données ou de mise en place de sources authentiques.

Contact : support-bced@ensemblesimplifions.be

Formations

Vidéos