La sécurité de l'information et la protection des données

Toute entreprise ou organisation a besoin de collecter, enregistrer, modifier, consulter et conserver des informations dans son propre système d'informatique. L’information, qui constitue un capital nécessaire à tout organisme pour son activité, doit être protégée de manière appropriée, d’autant plus lorsqu’il s’agit de données à caractère personnel !

L’information : un patrimoine à protéger

En dehors des locaux et des appareils informatiques, tout ce qui compose le système d’information d’une organisation est immatériel. L’utilisation de ce patrimoine immatériel est rendu possible grâce à un ensemble d’éléments tels que :

  • les systèmes informatiques : logiciels, pc, serveurs, imprimantes, téléphones ;
  • les organisations : personnes, supports papier ;
  • les locaux : bâtiments, postes de travail, lecteurs de badge.

Or, cet environnement matériel est vulnérable ! Il représente en conséquence un danger potentiel pour l’information: les PC portables se volent, les réseaux se piratent, les personnes emportent des données. Les scénarios sont infinis et en constante évolution. La convergence numérique accentue encore ce phénomène (multiplication des points d’entrée: tablette, smartphone, voiture…).

Voici les impacts potentiels d'une perte ou d'une fuite de données :

  • pertes financières (budget de l’institution concernée) ;
  • actions judiciaires (sanctions internes et condamnation de l’autorité) ;
  • atteinte à la réputation (plaintes, altération grave et perte d’image) ;
  • vol d’identité, harcèlement de personnes ;
  • perturbations de l’ordre public.

Information sécurisée

La sécurité d’une information se traduit à 3 niveaux :

  • disponibilité : l’information doit être accessible au moment voulu ;
  • confidentialité : l’information doit être accessible uniquement par les personnes autorisées à les consulter ;
  • intégrité : l’information ne peut pas être modifiée ou détruite de façon non autorisée.

Que faut-il entendre par « risque » ?

Un risque sur la sécurité de l’information se définit par la combinaison d’une gravité (ampleur du risque lié à la nature des informations et au caractère préjudiciable des impacts potentiels) et d’une vraisemblance (probabilité d’un risque).

Pour qu’il y ait un risque, il faut :

  • une menace, représentée par un humain ou un logiciel, malveillant ou non, interne ou externe ;
  • une vulnérabilité qui sera exploitée par la menace.

La protection des données personnelles, une obligation légale

La sécurité de l’information est encore plus cruciale dans le cadre des services publics et de l’administration numérique. En effet, la protection des données à caractère personnel est un des points clés afin que les usagers aient une pleine confiance dans les services qui leur sont proposés par l’administration.

Cette protection doit notamment assurer aux usagers que :

  • des mesures de sécurité, tant organisationnelles, physiques que technologiques, sont mises en œuvre afin d’assurer la protection de leurs données personnelles ;
  • leurs données ne seront utilisées que pour des finalités clairement définies au départ ;
  • les personnes qui gèrent leurs données respectent bien les prescrits légaux et disposent de la documentation nécessaire pour prouver que le traitement est licite et loyal ;
  • leurs droits seront assurés et qu’ils pourront connaître l’existence des traitements qui les concernent, sur simple demande.

La loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel encadre le traitement de ces données notamment en exigeant la publication des protocoles de traitement

eWBS et la BCED vous accompagnent…

La BCED est un partenaire privilégié de l'administration en matière de sécurité de l'information relative au partage de données.

Dans ce cadre, elle vous accompagne dans :

  • l'analyse de risques portant sur la sécurité de l’information, incluant la confidentialité, l'intégrité et la disponibilité des informations traitées ;
  • la rédaction d'avis de sécurité dans le cadre du partage de données, reprenant les résultats des analyses et la formalisation de recommandations d'amélioration, assortis d'un plan d'actrions de mise en oeuvre ;
  • le support et le coaching éventuel de l'officier de sécurité en charge (CSI ou DPD) pour le suivi des exigences et des mesures de sécurité en place, pour les parties Plan et Check du cercle vertueux ISO27001, dans le cadre du partage de données;  
  • la réalisation de séances de sensibilisation des agents à la sécurité de l’information dans le cadre du partage de données ;

Procédures

Introduisez votre demande d’avis juridique via l’adresse mail support-bced@ensemblesimplifions.be.
Vous recevrez une notification de la bonne prise en charge de votre dossier dans les 5 jours.

Formations

Vidéos