Datenschutz-IT-Umgebung.jpg

Protection des données | Visualisez votre environnement IT

07 janvier 2019 / France Santi
Pour le bien de vos données, nous vous invitons à visualiser votre environnement IT. Et nous précisons comment bien choisir vos partenaires IT.

Aujourd’hui, les données sont nombreuses et stockées dans divers endroits.

Par exemple: sur le serveur de votre entreprise, sur les serveurs de votre site internet ou encore sur des services cloud. Elles sont aussi partagées en quelques clics. Vous ne faites sans doute pas exception. Des lors, les questions suivantes se posent:

  • Savez-vous ou sont stockées vos informations (serveurs internes ou externes, services cloud)?
  • Savez-vous comment vous et vos collaborateurs partagez toutes ces informations (mail, laptops de votre entreprise, laptops prives)?

Pour le savoir, nous vous invitons à dresser la carte de votre environnement IT. Cette démarche présente deux avantages. Elle vous permet de:

  • N’oublier aucun endroit ou processus à sécuriser.
  • Discuter de façon plus transparente avec vos prestataires IT.

Répertorier en 3 étapes

Pour répertorier votre environnement IT, nous vous proposons une procédure en 3 étapes.

1. Identifiez et listez tous les composants IT internes et externes. Soit: ordinateurs, laptops, tablettes, mais aussi serveurs internes, serveurs internet, serveurs mails, systèmes de sauvegarde (backup), réseaux, etc. Faites de même avec les prestataires IT et services cloud avec qui vous travaillez. Demandez-vous par exemple:

  • Dans quel(s) serveur(s) sont sauvegardées vos données?
  • Comment vos collaborateurs échangent-ils des données? Notamment avec quels ordinateurs? Utilisent-ils par exemple des ordinateurs portables privés?
  • Vous avez un site internet? Quelles sont les données qui y sont stockées?
  • Vous utilisez un service cloud pour stocker des données (du type Dropbox)? Quelles sont les données qui y sont stockées?

2. Visualisez cet environnement – à l’exemple du schéma ci-dessous. Votre responsable IT peut s’en charger. Si vous n’avez pas de responsable IT interne, le mieux est de trouver un prestataire pour vous aider dans cette tâche. Pour choisir un tel prestataire, suivez nos conseils livrés plus bas, sous: ≪Comment choisir son prestataire IT?≫

3. Interrogez la sécurité de chaque lieu de stockage et de chaque échange de données.

 

Comment choisir ses prestataires IT?


Choisissez vos fournisseurs

Les fournisseurs de services informatiques sont très nombreux sur le marché. Choisissez vos fournisseurs de services avec prudence. Le fournisseur de services doit:

  • Comprendre votre entreprise (culture et organisation).
  • Disposer des ressources humaines et techniques nécessaires.
  • Fournir des preuves de conformité aux exigences réglementaires.

Les rapports d’audit selon ISAE 3402 et/ou ISAE 3000 ainsi que la certification ISO 27001 sont des indications importantes que le prestataire de services informatiques maitrise sa gestion des risques, la gestion des processus et le système de contrôle interne (SCI) de ses clients.


Passez un contrat

Non seulement il existe de nombreux prestataires IT, mais en plus, chacun s’occupe d’un domaine spécifique. Exemples:

  • Le fournisseur de services de logiciels crée pour vous un ou des logiciel(s) sur mesure pour vos processus d’entreprise.
  • Le prestataire de services d’hébergement met à votre disposition un réseau informatique adapte et sécurisé de manière optimale dans lequel vous pouvez installer et exploiter votre propre infrastructure informatique.
  • Le prestataire de sauvegarde (Backup) veille à ce que, par exemple, les données pertinentes soient sauvegardées et stockées sous forme cryptée.
  • Le fournisseur de services d’échange de données et de cloud computing met à votre disposition une plate-forme en ligne pour vos documents. Par exemple une boîte Dropbox ou un serveur FTP.

Avec chacun de ces partenaires, il est important de définir les services fournis dans un contrat. Ce contrat s’appelle un Service-Level-Agreement (SLA).


Misez sur une instance neutre

Si vous n’avez pas de spécialiste interne, le mieux est de faire appel à une instance neutre. C’est-à-dire un prestataire dont la seule tâche est de vérifier que les spécialistes IT, auxquels vous faites appel, remplissent effectivement leurs obligations en matière de protection des données. Ces professionnels s’appellent des «Service-Provider Manager».

Il s’agit d’un métier assez nouveau, ne justement du besoin de gérer un environnement IT toujours plus complexe et plus vulnérable. Un tel prestataire a bien entendu un cout. Pour les petites structures, il est sans doute intéressant de collaborer au niveau IT avec d’autres institutions.

A noter: il existe toujours plus de formations en matière de Service Provider Management. Un bon moyen pour former ou mettre à niveau les personnes responsables de l’IT au sein de votre institution.

 

Texte: avec le soutien d'Ernst Liniger, Bprex.

Photo: iStock/Vertigo3d

Votre commentaire