Aujourd’hui, les données sont nombreuses et stockées dans divers endroits.
Par exemple: sur le serveur de votre entreprise, sur les serveurs de votre site internet ou encore sur des services cloud. Elles sont aussi partagées en quelques clics. Vous ne faites sans doute pas exception. Des lors, les questions suivantes se posent:
Pour le savoir, nous vous invitons à dresser la carte de votre environnement IT. Cette démarche présente deux avantages. Elle vous permet de:
Pour répertorier votre environnement IT, nous vous proposons une procédure en 3 étapes.
1. Identifiez et listez tous les composants IT internes et externes. Soit: ordinateurs, laptops, tablettes, mais aussi serveurs internes, serveurs internet, serveurs mails, systèmes de sauvegarde (backup), réseaux, etc. Faites de même avec les prestataires IT et services cloud avec qui vous travaillez. Demandez-vous par exemple:
2. Visualisez cet environnement – à l’exemple du schéma ci-dessous. Votre responsable IT peut s’en charger. Si vous n’avez pas de responsable IT interne, le mieux est de trouver un prestataire pour vous aider dans cette tâche. Pour choisir un tel prestataire, suivez nos conseils livrés plus bas, sous: ≪Comment choisir son prestataire IT?≫
3. Interrogez la sécurité de chaque lieu de stockage et de chaque échange de données.
Les fournisseurs de services informatiques sont très nombreux sur le marché. Choisissez vos fournisseurs de services avec prudence. Le fournisseur de services doit:
Les rapports d’audit selon ISAE 3402 et/ou ISAE 3000 ainsi que la certification ISO 27001 sont des indications importantes que le prestataire de services informatiques maitrise sa gestion des risques, la gestion des processus et le système de contrôle interne (SCI) de ses clients.
Non seulement il existe de nombreux prestataires IT, mais en plus, chacun s’occupe d’un domaine spécifique. Exemples:
Avec chacun de ces partenaires, il est important de définir les services fournis dans un contrat. Ce contrat s’appelle un Service-Level-Agreement (SLA).
Si vous n’avez pas de spécialiste interne, le mieux est de faire appel à une instance neutre. C’est-à-dire un prestataire dont la seule tâche est de vérifier que les spécialistes IT, auxquels vous faites appel, remplissent effectivement leurs obligations en matière de protection des données. Ces professionnels s’appellent des «Service-Provider Manager».
Il s’agit d’un métier assez nouveau, ne justement du besoin de gérer un environnement IT toujours plus complexe et plus vulnérable. Un tel prestataire a bien entendu un cout. Pour les petites structures, il est sans doute intéressant de collaborer au niveau IT avec d’autres institutions.
A noter: il existe toujours plus de formations en matière de Service Provider Management. Un bon moyen pour former ou mettre à niveau les personnes responsables de l’IT au sein de votre institution.
Texte: avec le soutien d'Ernst Liniger, Bprex.
Photo: iStock/Vertigo3d
Votre commentaire