Disclose Gros plan sur la sécurité de l information Décembre 2013 L actualité sur la présentation des comptes et l audit

Dimension: px
Commencer à balayer dès la page:

Download "www.pwc.ch/disclose Disclose Gros plan sur la sécurité de l information Décembre 2013 L actualité sur la présentation des comptes et l audit"

Transcription

1 Disclose Gros plan sur la sécurité de l information Décembre 2013 L actualité sur la présentation des comptes et l audit

2 Éditeur: PricewaterhouseCoopers SA, division Audit, Birchstrasse 160, 8050 Zurich Concept, rédaction et mise en page: PricewaterhouseCoopers SA, Zurich Rédaction: Graf Moll & Partner, Corporate Publishing GmbH, Zurich Impression: Stämpfli Publikationen AG Disclose L actualité sur la présentation des comptes et l audit (www.pwc.ch/disclose) paraît deux fois par an en français et en allemand. Tirage: exemplaires Commandes d abonnements gratuits et changements d adresse: 2013 PwC. All rights reserved. «PwC» refers to PricewaterhouseCoopers AG, which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

3 Peter Ochsner Responsable Audit Suisse «Les entreprises doivent protéger leurs données et informations de manière ciblée. «Les technologies modernes de l information se sont immiscées dans notre quotidien de manière presque imperceptible. Nous utilisons les s, moteurs de recherche et plateformes sociales tout aussi naturellement que diverses formes de stockage numérique. Mais cet état de fait va de pair avec une certaine insouciance. Il aura fallu attendre les révélations d Edward Snowden pour que la plupart d entre nous prennent soudainement conscience des dangers d une telle inconséquence, et du lourd prix à payer pour la vitesse de la communication, la mobilité et la présence: la perte au moins partielle de la sphère privée. L argument facile du «moi je n ai rien à cacher» constitue un affront envers tous ceux qui ont lutté pour défendre ce bien précieux qu est la sphère privée. De plus, chacun a des données privées sensibles, en tant que patient ou client d un avocat ou d une banque par exemple. Ceci vaut d autant plus pour les entreprises qui vivent de la propriété intellectuelle, des relations de confiance avec les partenaires de la chaîne de valeur et de l intégrité des données financières. Depuis plusieurs années, PwC interroge les cadres dirigeants du monde entier sur le niveau de sécurité de leurs informations et données. Cette étude intitulée «Global State of Information Security Survey» montre régulièrement que beaucoup d entre eux se sentent plus en sécurité qu ils ne le sont en réalité (cf. l article de la page 10). On peut espérer que les choses vont évoluer, car les pratiques d écoute douteuses des services secrets américains, mais aussi britanniques et canadiens, laissent supposer qu il ne s agit pas seulement de guerre contre le terrorisme, mais aussi d espionnage économique. Ainsi, il semblerait par exemple que toutes les communications du Ministère brésilien du pétrole et des mines aient fait l objet d écoutes. Rien d étonnant donc à ce que la présidente Dilma Rousseff exige que les services Internet soient assurés par des fournisseurs nationaux. Une demande qui se fait aussi de plus en plus audible en Europe. Mais les Européens portent aussi leur part de responsabilité. Les lois sur la protection des données de l UE et de la Suisse datent des années 90. Il a fallu attendre jusqu à maintenant pour qu elles soient ajustées aux évolutions de ces dernières années (cf. l article de la page 18). Reste à savoir si la législation parviendra à suivre le rythme effréné des mutations technologiques. Dans son entretien, la professeure lausannoise Solange Ghernaouti plaide pour un droit international du cyberespace (cf. l article de la page 24). Une chose est sûre: les entreprises doivent protéger leurs données et informations de manière ciblée. Les cyberattaques sont menées par différentes personnes et organisations. Yaron Blachman, le responsable du «Cyber Security Centre of Excellence» de PwC, résume l essentiel: «Toute personne qui vole des informations, qui se procure un accès sans autorisation, est un méchant» (cf. l article de la page 14). Je vous souhaite une lecture stimulante. Décembre 2013 Disclose 3

4 Gros plan sur la sécurité de l information Sommaire Stratégie et gouvernance pour la sécurité de l information des entreprises par Jürgen Müller et Thomas Koch 5 Termes-clés 9 La confiance dans la sécurité des données est-elle justifiée? par Robert Metcalf 10 «Les cyberattaques sont menées par des groupes, le crime organisé et des États.» Entretien avec Yaron Blachman, Forensic Technology et chef de PwC 14 La protection des données est l affaire de tous par Rauno Hoffmann Les clients ont confiance dans la sécurité de leurs données par Christian Westermann et Umberto Annino «L année 2000 fut une année charnière.» Entretien avec Solange Ghernaouti, professeure de sécurité de l information à la Faculté des HEC de l Université de Lausanne La responsabilité du conseil d administration en matière de sécurité de l information par Fabien Mooser et Marco Schurtenberger Update Service lecteurs Dans la rubrique Update, «Disclose» traite du nouveau droit comptable, des coûts de la compliance, de la nouvelle norme sur la location de l International Accounting Standards Board et de la mise en œuvre de l initiative Minder Disclose Décembre 2013

5 Stratégie et gouvernance pour la sécurité de l information des entreprises Les technologies de l information connaissent une évolution fulgurante qui entraîne une augmentation des risques de sécurité. La plupart des entreprises ont conscience du danger auquel sont exposés leurs systèmes et informations. Pourtant, il n est pas sûr que les stratégies de sécurité appliquées actuellement permettent de faire face aux menaces. Un des trois scénarios qui préoccupent le plus les dirigeants d entreprise du monde sont les cyberattaques ou de graves perturbations sur Internet. C est ce qui ressort de l étude «CEO Survey» de 2013 réalisée par PwC. Cette inquiétude est justifiée car ce scénario compromettrait directement les activités de l entreprise. Et la menace est réaliste: l étude «Global State of Information Security Survey 2014» (GSISS), qui vient de paraître et a été menée par PwC auprès de plus de 9600 cadres dirigeants, montre que le nombre d incidents de sécurité découverts au cours d une année a augmenté de 25%; les coûts en résultant ont grimpé de 18% (cf. l article de la page 10). Pour les entreprises et autres organisations, la sécurité de leurs données constitue une priorité dont l objectif est de protéger les informations de toute nature et de toute provenance. Les informations peuvent être enregistrées aussi bien sur papier, dans des systèmes informatiques ou dans la tête des utilisateurs. Les valeurs fondamentales classiques de la sécurité de l information sont la confidentialité, l intégrité et la disponibilité. De nombreux utilisateurs incluent d autres valeurs dans leur réflexion telles que l authenticité, le caractère contraignant, la fiabilité et la non-répudiation. En principe, on distingue trois catégories de données et d informations sensibles: les informations à caractère personnel, c est-à-dire principalement les données relatives aux clients et au personnel les données concernant l entreprise, comme la propriété intellectuelle et enfin les données touchant au domaine réglementé dont font partie par exemple les informations sur la présentation des comptes Les données à protéger en priorité, pour ainsi dire les «joyaux de la couronne» parmi les informations, varient selon les branches et les entreprises. Les prescriptions légales la loi sur la protection des données et la réglementation de la FINMA pour les banques, en particulier la circulaire révisée sur les risques opérationnels (cf. circ. 2008/21) concernent avant tout les données des clients. L entreprise a un intérêt fondamental, y compris en termes de compétitivité, à protéger des attaques certaines informations internes comme les résultats de recherche ou les projets stratégiques. Et ceci ne vaut pas seulement pour les grandes entreprises. En effet, les enquêtes menées par différents observateurs de la situation en matière de protection des données montrent que les entreprises de taille moyenne ne sont pas non plus à l abri des attaques. Une analyse de l Unité de pilotage informatique de la Confédération UPIC indique une nette augmentation des attaques commises contre les entreprises de 11 à 100 collaborateurs au cours de ces trois dernières années. Cette hausse marquée s explique par deux raisons: les PME disposent d un capital intellectuel extrêmement précieux, et les barrières de sécurité y sont du moins aujourd hui encore plus facilement contournables que chez les grandes entreprises. Décembre 2013 Disclose 5

6 Nouvelles tendances, nouvelles menaces La sécurité des données n est pas un sujet nouveau en soi. Les organisations se sont toujours efforcées de préserver leurs données afin d empêcher l accès de personnes non autorisées. Par le passé, il s agissait de documents écrits. Depuis que tous les processus de travail sont traités avec des données numériques, de nouvelles méthodes font leur apparition afin de protéger durablement les documents électroniques. Comme auparavant, les piliers de la sécurité de l information doivent être pris en compte: «Confidentiality, Integrity, Availability» (CIA), à savoir confidentialité, intégrité et disponibilité. Mais l élément nouveau de nos jours, c est la vitesse fulgurante et la dynamique des mutations technologiques. Les menaces qui en résultent s appuient pour l essentiel sur quatre tendances: 1 Les technologies de l information utilisées actuellement sont plus vulnérables aux attaques, et la palette d assaillants potentiels s élargit. Les mots-clés dans ce domaine sont: cloud, BYOD (bring your own device, en français: apportez votre propre appareil), médias sociaux. 2 Il ne s agit plus seulement de sécuriser les données stockées dans les systèmes informatiques, mais de protéger les informations dans toute l entreprise. 3 Les menaces émanant d Internet s amplifient, et les assaillants ont le plus souvent une longueur d avance sur leurs objets cibles. Parallèlement, il devient plus difficile d identifier la provenance d une menace directe. Si les entreprises pensaient auparavant qu elles devaient surtout se protéger des attaques simples venant de l extérieur, elles se sont aperçues, il y a quelques années, qu elles doivent aussi mieux se prémunir contre les menaces créées en interne et les attaques provenant des réseaux de partenaires, fournisseurs et clients. Aujourd hui, les entreprises semblent accorder la même importance aux dangers indépendamment de leur provenance. Il n est d ailleurs pas toujours possible d identifier clairement la cause de la menace. Lorsque, par exemple, une entreprise partenaire est attaquée, les informations de l entreprise elle-même sont également menacées. Dans ce cas, ce ne sont toutefois pas les collaborateurs de l entreprise partenaire qui ont causé l attaque: l entreprise est victime d une attaque commise sur toute la chaîne de valeur, après que le maillon le plus faible a cédé. Il est important pour une entreprise non seulement d établir si elle a déjà été manipulée ou attaquée et si oui par qui, quelles sont les données concernées et quelle est l étendue du dommage, mais surtout depuis combien de temps les systèmes sont corrompus. Car plus un assaillant est parvenu à se dissimuler sur une longue période, plus il a eu d occasions d espionner et de détourner des données sensibles. 4 Les collaborateurs ont parfois accès, en quelques clics seulement, à une mine d informations sur l entreprise, qui peuvent être utilisées de manière abusive. Plus grande vulnérabilité, éventail élargi d agresseurs Compte tenu de la quantité d informations, il serait irréaliste de vouloir protéger l ensemble des données d un accès non autorisé. C est pourquoi, lors de la conception d une stratégie de sécurité, les entreprises doivent analyser et catégoriser les données; il leur faut définir les informations particulièrement sensibles nécessitant un niveau de protection élevé. Mais la quantité des données n est pas la seule pierre d achoppement: la mise en réseau des technologies pose également problème. Le cloud computing, les smartphones et tablettes, les médias sociaux et les appareils privés utilisés par les collaborateurs sont étroitement imbriqués. Ils exigent des approches innovantes et des dispositifs de sécurité d une qualité nouvelle. Chacune de ces utilisations numériques actuelles ouvre un nouvel angle d attaque, et ce d autant plus lorsqu elle est en réseau. Jürgen Müller Associé, Audit 6 Disclose Décembre 2013

7 Protection d informations, concepts de sécurité individuels Le dommage financier causé par une perte de données peut être considérable. D après l étude GSISS, le nombre de sondés ayant subi en 2012 une perte de plus de dix millions d USD a augmenté de 51% par rapport à l année précédente. À cela viennent s ajouter les préjudices difficilement chiffrables en termes de réputation. Malgré tout, les mesures de protection des données ne représentent encore qu une petite partie de la gestion globale des risques. Pendant longtemps, les entreprises se préoccupaient surtout de la disponibilité et de la fiabilité de leurs systèmes. Ces dix dernières années, beaucoup ont intégré dans leur réflexion sur la sécurité des dispositifs visant à protéger leurs données et informations des accès non autorisés et qui sont constamment complétés et développés. Il existe actuellement des programmes de surveillance intelligents qui donnent l alerte en cas d activités suspectes, par exemple lors de tentatives répétées d entrer un mot de passe erroné, et qui identifient et analysent les anomalies des flux de données internes et externes en les comparant aux modèles de processus usuels. Ces analyses permettent de mettre en corrélation toutes les données existantes et leur interprétation, et de générer ainsi de nouvelles informations qui alertent en temps utile en cas d attaque des «joyaux de la couronne». extraire des données sensibles. Les «Advanced Persistent Threats» ou «menaces avancées persistantes» désignent les attaques particulièrement élaborées et perfides qui ne menacent pas seulement les technologies de l information de l entreprise mais l ensemble de ses activités. Les dispositifs de sécurité traditionnels de l entreprise s avèrent insuffisants pour prévenir les cyberattaques. Pour y faire face, les dangers susceptibles de représenter une menace pour l entreprise via le réseau mondial doivent être identifiés. L objectif est d anticiper les possibilités d attaque existantes ou nouvelles émanant d Internet. À partir des résultats obtenus, les domaines de contrôle de l entreprise peuvent être examinés et améliorés en continu. Malgré ces risques allant de pair avec la rapidité des évolutions technologiques et la transformation numérique, la plupart des entreprises ont toujours le sentiment d être suffisamment protégées. Beaucoup ne prennent des mesures de protection étendues qu après avoir subi un dommage. Cette prévention insuffisante s explique, entre autres, par le fait que chaque concept de sécurité nécessite une approche individuelle, et c est justement là que le bât blesse pour bon nombre d entreprises. Cyberattaques, cloud computing Ceci vaut d autant plus que les dangers deviennent abstraits. Alors que chacun pouvait encore imaginer le risque lié aux copies de données sur CD et au vol de supports de données, les dangers posés par Internet ne sont guère compréhensibles pour les non-initiés. Les cyberattaques ont connu une envolée ces quatre dernières années. Les pirates disposent de ressources, sont parfaitement organisés et réagissent rapidement à chaque évolution technique; ils ont presque toujours une longueur d avance sur leurs objets cibles. Lorsqu ils parviennent à pénétrer au cœur d une entreprise à son insu, ils peuvent, en toute tranquillité, espionner et Thomas Koch Director, Advisory Décembre 2013 Disclose 7

8 Un risque majeur est lié au prestataire du service de cloud computing: dans quel espace juridique est-il domicilié et comment protège-t-il les données de ses clients? Internet renforce aussi la flexibilité et la mobilité du monde de l entreprise. Le cloud computing est, par exemple, une tendance sur laquelle misent de plus en plus d entreprises. Elles se procurent des ressources informatiques, de la mémoire de stockage et des logiciels via Internet, et ne paient ainsi que les capacités qu elles utilisent. Les utilisateurs d un «nuage virtuel» peuvent ajuster rapidement et facilement leur système informatique, et ce à des coûts relativement faibles. Le stockage de grandes quantités de données dans un «nuage» par exemple est assez bon marché, permet un accès permanent, même à partir d appareils mobiles, et n engage que peu de ressources internes. Mais le cloud computing comporte également de nouveaux risques pour la sécurité de l information, la protection des données ou la compliance. Il est souvent trop tard lorsque les entreprises se demandent si le stockage extérieur des informations peut compromettre la protection de leurs données et si l utilisation de clouds entraîne des infractions envers le droit en vigueur. Un risque majeur est lié au prestataire du service de cloud computing: dans quel espace juridique est-il domicilié et comment protège-t-il les données de ses clients? Le siège du prestataire peut, par exemple, restreindre l externalisation des données. Ainsi, la FINMA prescrit la possibilité d un audit externe. Le prestataire doit donc permettre la consultation des données, or ce n est pas toujours le cas de ceux sis à l étranger. Autre danger: il n est pas indispensable d impliquer le service informatique lorsque des données sont transférées dans des clouds. Ceci peut conduire à l utilisation en parallèle de plusieurs services de cloud computing au sein d une même entreprise. Les grandes entreprises en particulier ont donc tout intérêt à réglementer l utilisation des clouds et à les soumettre à des règles de gouvernance rigoureuses. Les entreprises devraient également réglementer l utilisation des médias sociaux et des appareils mobiles. Car bien que très utiles pour la communication de l entreprise, ils offrent aussi de nombreux angles d attaque. Une politique judicieuse serait de n utiliser qu à des fins professionnelles les smartphones et tablettes de l entreprise, et de ne pas suivre la tendance du «bring your own device». Les risques de communication sur des plateformes sociales peuvent être circonscrits par des règles d utilisation claires et simples. Par mesure de sécurité, les médias sociaux pertinents devraient systématiquement être vérifiés à l aide de mots-clés définis, afin d empêcher les abus ou, du moins, de les détecter. Conclusion Comme pour tous les domaines importants de l entreprise, certains principes s appliquent aussi à la sécurité de l information: l entreprise doit façonner une stratégie qui est intégrée et ancrée dans sa stratégie globale. Cette stratégie de sécurité ne doit pas se limiter à des mesures techniques, mais également englober certains aspects du droit, de la compliance et de la communication; elle doit imprégner le personnel et la culture d entreprise. Car celle-ci et la prise de conscience des collaborateurs contribuent pour environ un tiers à la sécurité de l information. Enfin, il est essentiel que la sécurité de l information ne soit pas seulement le cheval de bataille du service informatique, mais aussi une priorité du conseil d administration et de la direction. 8 Disclose Décembre 2013

9 Termes-clés Sécurité de l information On entend par sécurité de l information la protection d informations de toute nature et provenance. Les informations peuvent aussi bien être enregistrées sur papier, dans des systèmes informatiques ou dans la tête des utilisateurs. Les valeurs fondamentales classiques de la sécurité de l information sont la confidentialité, l intégrité et la disponibilité. De nombreux utilisateurs incluent d autres valeurs dans leur réflexion telles que l authenticité, le caractère contraignant, la fiabilité et la non-répudiation. Protection des données Ce terme tire son origine de la législation. La loi sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l objet d un traitement de données (art. 1, loi fédérale sur la protection des données [LPD]). Sécurité informatique / IT Security Pour atteindre un niveau de sécurité informatique suffisant, il est nécessaire d intégrer dans l entreprise une gestion de la sécurité efficace. La simple acquisition de logiciels antivirus, de pare-feu ou de systèmes de sauvegarde des données ne suffit pas. Data Loss Prevention / Data Leakage Prevention (DLP) Ces deux termes généralement synonymes désignent aussi bien les mesures organisationnelles que techniques contre la perte et la fuite non autorisée de données. Cybersécurité / cyberattaques Ce terme se rapporte généralement aux attaques lancées depuis Internet, une tendance qui s est renforcée ces quatre dernières années. Alors que la sécurité informatique est d abord une affaire technique, les attaques provenant du réseau mondial (cyberattaques) ne peuvent être déjouées que par une stratégie intégrée car elles menacent l ensemble des activités de l entreprise. On assiste à une évolution du côté des pirates qui disposent de davantage de ressources, réagissent plus rapidement et sont mieux organisés. Advanced Persistent Threat (APT) Une «menace avancée persistante» est une cyberattaque de très haut niveau. Elle désigne une intrusion ciblée et élaborée dans l infrastructure et les données d une organisation, qui est généralement attribuée aux services secrets ou aux gouvernements. Les pirates restent longtemps non détectés, ce qui leur permet d accéder à des informations sensibles. Cloud computing Ce terme désigne l utilisation de «nuages virtuels» proposés par des prestataires spécialisés (cloud services). La tendance actuelle consiste à se procurer des ressources informatiques, de la mémoire de stockage et des logiciels via Internet. Le cloud computing donne davantage de souplesse à l entreprise et lui permet de réduire ses coûts, mais comporte néanmoins certains risques dans les domaines de la sécurité de l information, la protection des données et la compliance. Décembre 2013 Disclose 9

10 La confiance dans la sécurité des données est-elle justifiée? Robert Metcalf Senior Manager, Audit En septembre dernier, PwC a publié son étude annuelle «Global State of Information Security Survey» (GSISS). Comme dans les précédents rapports, il est surprenant de constater cette année encore que près des trois quarts des cadres dirigeants ont confiance dans l efficacité des systèmes de sécurité de l information de leur entreprise. Les CEO sont les plus confiants avec 84%, tandis que les CFO enregistrent, avec 76%, et c est peut-être révélateur le pourcentage le plus faible. La confiance des entreprises quant à l efficacité de leurs mesures de sécurisation des données se reflète également dans leurs réponses à d autres questions de l enquête, à propos de l adéquation du budget et de la stratégie en matière de sécurité de l information. La plupart des plus de 9600 personnes interrogées ont indiqué que le budget et la stratégie pour la sécurité de l information étaient adaptés aux besoins de leur entreprise. Ces résultats traduisent peut-être une tendance naturelle à la confiance en soi, mais l expérience montre que la confiance n a pas toujours lieu d être. En témoignent les nombreux incidents de sécurité mentionnés lors d enquêtes, ainsi que les contrôles indépendants sur la sécurité de l information effectués par des experts externes, comme ceux de PwC. L étude GSISS fournit aussi d autres informations sur cette confiance illégitime. Ainsi, à la question sur les principaux obstacles qui empêchent d améliorer l efficacité stratégique de la fonction Sécurité de l information de l entreprise, les responsables SI ont cité principalement deux raisons: «La dotation en capital ne suffit pas» (24%); «Il manque une vision réalisable ou la compréhension de la manière dont les futurs besoins de l entreprise impactent la sécurité de l information» (24%). On relève là une certaine contradiction que d anciennes études de PwC avaient déjà révélée. La confiance dans sa propre sécurité peut être trompeuse. Le nombre total des incidents signalés a augmenté de 25% en un an. Parallèlement, le nombre de sondés qui ignoraient combien d incidents se sont produits dans leur domaine a continuellement grimpé, passant de 9% en 2011 et 14% en 2012 à 18% cette année. Il semblerait que la hausse des incidents signalés s explique en partie par une augmentation des attaques, mais aussi par un meilleur taux de détection. Ou, autrement dit: ces derniers temps, on a découvert davantage d incidents qu auparavant. L augmentation du nombre d incidents décelés résulte d un intérêt accru des médias et d une prise de conscience grandissante des nombreux points vulnérables des technologies. Même si davantage d attaques ont été détectées, il n en demeure pas moins que la période s écoulant entre l incident et le moment de sa découverte reste longue. Deux études récentes la chiffrent à 180 et 210 jours. Autre résultat intéressant: 50% des sondés se considèrent comme des «front-runners» (acteurs de pointe). Ils partent du principe qu ils disposent d une stratégie de sécurité efficace et qu ils la mettent en œuvre. Cette perception déformée qu ils ont de leur entreprise ressort clairement lorsque le leadership en matière de sécurité de l information est mesuré selon les critères définis par PwC: 1 Une stratégie globale existe pour la sécurité de l information; 2 L entreprise emploie un Chief Information Security Officer (CISO) qui rend directement des comptes au CEO, CFO, COO, Chief Risk Officer ou au responsable du service juridique; 3 L efficacité de la sécurité a été mesurée et vérifiée au cours de l année précédente; 4 L entreprise connaît les différents types d incidents de sécurité qui se sont produits l année précédente. 10 Disclose Décembre 2013

11 Mesurées à ces critères, seules 17% des entreprises ayant pris part à l étude peuvent être identifiées comme réels «leader». Alors qu un grand nombre des participants à l enquête remplissent les deux premiers critères, ils ne sont que 17% à se qualifier pour les deux derniers. De manière générale, un nombre significatif d entreprises surestiment leur capacité à se protéger. Cela vient peut-être du fait qu elles n ont pas encore suffisamment d expérience avec des incidents d une certaine ampleur. Une autre raison pourrait être les résultats obtenus par les tests de diagnostic actuels. Les résultats des scans antivirus, par exemple, peuvent induire en erreur. Ce n est pas parce le contrôle antivirus considère comme «sains» les systèmes de l entreprise qu ils ne sont pas infectés par des virus ou des programmes malveillants («malware»). Cela signifie seulement que rien n a été découvert, ce qui suscite un faux sentiment de sécurité et une confiance n ayant pas lieu d être. Menace perfide Les attaques commises sur les entreprises sont de plus en plus raffinées et ont des objectifs beaucoup plus élaborés. Avant de lancer leurs attaques, les pirates «font leurs devoirs» en analysant soigneusement les angles de vulnérabilité de l entreprise visée. Ils se renseignent pour savoir par exemple quels collaborateurs disposent des autorisations d accès qu ils aimeraient s approprier, afin de pirater de manière ciblée les systèmes critiques. Ce type de menace a énormément augmenté ces derniers temps. Si les responsables de la sécurité de l information en ont parfaitement conscience, ils doivent déployer d importants efforts pour sensibiliser aussi leurs collègues et, en particulier, les managers et directeurs expérimentés qui ont accès aux informations confidentielles de l entreprise ou à l infrastructure informatique. PwC consacre une part toujours plus importante de son travail à l accompagnement de cette prise de conscience chez ses clients, en leur montrant par exemple à quel point le système de l entreprise peut s avérer vulnérable. Ou bien elle emploie des programmes intelligents permettant de montrer l image que l entreprise renvoie aux pirates et à quelle menace elle doit se préparer. Collaboration La collaboration s intensifie entre les spécialistes de la sécurité de l information. En Suisse, ils sont soutenus depuis 2004 par la Centrale d enregistrement et d analyse pour la sûreté de l information (MELANI) de la Confédération. La collaboration sectorielle est très utile car les attaques sont souvent lancées plus ou moins simultanément contre plusieurs sociétés d un même secteur économique. Lorsqu une entreprise sait qu une attaque a déjà été commise contre une autre société, elle peut mieux s y préparer. Si les milieux d affaires suisses montrent encore une certaine réserve face à de telles initiatives, elles sont pourtant mieux acceptées qu il y a encore quelques années car les avantages d une collaboration prévalent largement sur ses inconvénients. Le moteur de la collaboration est davantage la technologie que l appartenance à la branche. Il est donc tout à fait utile que des entreprises de différents secteurs travaillent ensemble, dès lors qu elles utilisent les mêmes technologies et présentent par conséquent des points de vulnérabilité identiques. Et comme c est toujours l usage en Suisse, la collaboration se fait plutôt au niveau régional que national, pour des raisons linguistiques. Importance de la stratégie sur la sécurité de l information Les entreprises sont toujours plus nombreuses à ouvrir leurs plateformes informatiques à des tiers. Elles peuvent ainsi profiter des gains d efficacité qu offre la mise en réseau, surtout pour l externalisation de certains processus. Le cloud computing donne une nouvelle dimension à cette tendance. Les changements relativement rapides des dernières années ont conduit à ce que les risques ne soient pas classifiés ni traités correctement. La stratégie sur la sécurité de l information doit tenir compte de tels risques et, du fait de leur dynamique, l entreprise n a d autre choix que de réexaminer entièrement sa stratégie au moins une fois par an. D une manière générale, il convient de coordonner entre elles la stratégie d entreprise, la stratégie informatique et la stratégie sur la sécurité de l information. Une stratégie d entreprise est conçue généralement pour un cycle de trois à cinq ans. La stratégie informatique qui l accompagne devrait être valable sur une période similaire. Dès que ces deux stratégies sont définies, une stratégie sur la sécurité de l information adaptée doit être mise au point en en tenant compte, mais comme mentionné plus haut elle doit être revue chaque année. Dans ce cadre, le système de l entreprise doit subir un test rigoureux afin d évaluer sa vulnérabilité. La collaboration sectorielle est très utile car les attaques sont souvent lancées plus ou moins simultanément contre plusieurs sociétés d un même secteur économique. Décembre 2013 Disclose 11

12 Les principaux obstacles à l amélioration de l efficacité stratégique de la fonction Sécurité de l information dans l entreprise La dotation en capital ne suffit pas. Il manque une vision réalisable ou la compréhension de la manière dont les futurs besoins de l entreprise impactent la sécurité de l information. Le plus haut niveau de management (p. ex. CEO, conseil d administration) ne s engage pas assez dans ce domaine Il manque une stratégie efficace sur la sécurité de l information. 22 Les dépenses d exploitation ne suffisent pas. L entreprise ne disponse pas de l expertise technique nécessaire Les systèmes d information et de TI sont mal intégrés ou trop complexes. Les responsables de la sécurité (p. ex. Chief Information Security Officer, Chief Security Officer) ne s engagent pas assez dans ce domaine La direction technique (p. ex. Chief Information Officer) ne s engage pas assez dans ce domaine. 16 0% 5% 10% 15% 20% 25% Investissements dans la stratégie sur la sécurité de l information Il n existe aucune règle stipulant quelle part de ses dépenses informatiques une entreprise doit consacrer à la sécurité de l information. Il est beaucoup plus important que l argent dépensé soit utilisé là où il est vraiment nécessaire. Les investissements dans la sécurité de l information sont en concurrence avec d autres besoins, lorsqu il s agit d améliorer les processus internes, d employer d autres technologies ou des technologies améliorées, ou encore de sensibiliser les collaborateurs aux risques. L une des manières permettant de déterminer dans quels domaines investir consiste à analyser et à classifier les données de l entreprise. Les données à protéger seront ensuite définies. Une évaluation complète des menaces pesant sur les données critiques les joyaux de la couronne de l entreprise doit être réalisée, notamment par une évaluation externe des menaces et par des contrôles internes. De nombreuses entreprises dépensent des sommes d argent considérables afin de protéger les mauvaises données. On peut certes comprendre que les responsables de la sécurité de l information aimeraient disposer de plus de moyens financiers, mais dans ce domaine, il importe tout particulièrement d optimiser l utilisation des ressources disponibles. En pratique, il est apparu que parfois moins de 5% des données de l entreprise nécessitent réellement d être protégées. 95% des données peuvent être classifiées comme publiques ou internes, et leur protection nécessite beaucoup moins de ressources. Le véritable défi consiste donc à identifier les joyaux de la couronne, à reconnaître leurs risques et à élaborer les bonnes mesures de protection. 12 Disclose Décembre 2013

13 Quintessence: face aux risques de sécurité du monde des affaires actuel, les entreprises doivent intégrer les menaces liées à la sécurité de l information dans la gestion des risques à l échelle de l entreprise. Car ces menaces peuvent sérieusement compromettre les objectifs de l entreprise. Il n est plus possible de donner une protection maximale à toutes les données. L Europe et la Suisse à la traîne L étude GSISS montre aussi que l Europe est la lanterne rouge derrière les autres régions du monde pour ce qui est de la sécurité des données et l efficacité des mesures de surveillance locales. Ceci est d abord une conséquence de la réalité économique. Les dépenses des entreprises européennes sont soumises à une forte pression; les fonds se font rares pour tous les types d investissement, y compris la sécurité de l information. Ne serait-ce que pour cette raison, il est d autant plus important pour les sociétés européennes de classifier intelligemment leurs données et d analyser précisément les menaces. Pour un responsable de la sécurité, c est là le meilleur moyen d obtenir le budget dont il a besoin. Les résultats de l étude pour la Suisse montrent que le budget moyen consacré à la sécurité des données est, avec 2,5 millions USD, inférieur à celui des États-Unis qui se chiffre à 4,3 millions USD. Cette différence traduit en partie le fait que les menaces sont perçues en Suisse comme moins importantes qu ailleurs. En vérité, elles sont certainement tout aussi élevées que dans le reste du monde, en raison de la mise en réseau internationale. Les cyber-risques n y sont en soi pas plus faibles que dans d autres pays. En Suisse, la menace qui pèse sur la sécurité des places financières que sont Zurich et Genève est probablement plus élevée que dans d autres parties du pays. En outre, son statut de siège d organisations internationales fait de Genève une cible privilégiée pour les cyberattaques. Les révélations sur les activités de la «National Security Agency» (NSA) américaine jouent certainement un rôle pour savoir de quoi l avenir sera fait. Elles ont des conséquences sur la confidentialité des données stockées dans un nuage (cloud). Car il faut s attendre à ce que les entreprises fassent preuve à court terme de plus de prudence dans l utilisation des nuages, d autant plus que les grands prestataires sont des entreprises américaines soumises à l «US Patriot Act». Ces fournisseurs sont non seulement tenus de transmettre des données aux autorités américaines à la demande de celles-ci, mais il leur est aussi interdit d informer leurs clients des renseignements donnés. Compte tenu des grands potentiels d économies qu offrent les nuages, la réserve des entreprises ne sera que de courte durée. Cependant, elles devraient décider quelles données peuvent être stockées sans problème dans un nuage et lesquelles ne s y prêtent pas. Toutes les informations sensibles telles que les données des clients, les calculs de prix, les documents sur le savoir-faire et la propriété intellectuelle ne devraient pas être stockées dans un nuage. D un autre côté, cette situation ouvre de nouvelles opportunités commerciales à la Suisse, qui pourrait mettre à disposition des possibilités de stockage hautement sécurisées et cryptées pour les données des entreprises. La demande serait forte à l échelle internationale puisque ce type de stockage ne subirait aucune ingérence de la part des autorités. On observe d ailleurs que de nouveaux services de cloud computing sont déjà en cours de développement pour exploiter ce créneau. La position internationale de la Suisse ainsi que sa loi sur la protection des données favorisent une telle évolution. L étude «Defending yesterday, Key findings from The Global State of Information Security Survey 2014» peut être téléchargée dans son intégralité (en anglais) sur: Décembre 2013 Disclose 13

14 Yaron Blachman, technology and forensic leader de PwC, sur la criminalité organisée dans Internet, les possibilités du «dark Internet», la prise de conscience grandissante du risque par les entreprises et de nouvelles formes de lutte contre les cyberattaques «Les cyberattaques sont menées par des groupes, le crime organisé et des États.» Monsieur Blachman, quelle est la différence entre la sécurité de l information et la cybersécurité? La sécurité de l information n est pas nouvelle en soi. Elle est généralement considérée comme une affaire technique, une tâche du service informatique, qui a pour objectif de protéger l entreprise d un accès non autorisé à ses ordinateurs et données. La cybersécurité est un terme plus large. Les cyberattaques peuvent porter atteinte à l entreprise de diverses manières. Prenons le secteur pharmaceutique: le bien le plus précieux d une entreprise pharmaceutique est sa propriété intellectuelle, qui représente des années de recherches. Si ce bien est dérobé, elle perd d importantes sommes d argent. De nos jours, les membres de conseils d administration, les CEO et les CFO s intéressent aussi aux cyberattaques. Même s ils ne saisissent pas pleinement la portée du problème, ils ont conscience que c est important pour leur entreprise. Cela a-t-il permis d améliorer la sécurité des données? Ces quatre dernières années, le type de menace a fortement évolué. Bien sûr, il y a toujours eu des personnes qui voulaient nuire à une entreprise en lui dérobant de l argent, des informations ou des éléments de propriété intellectuelle, ou en lui portant atteinte d une autre manière. Mais depuis peu, ces personnes sont devenues plus compétentes sur le plan technique et plus rapides, et surtout elles se sont mieux organisées. Les systèmes d information étaient déjà menacés auparavant, cependant cette menace émanait généralement de personnes isolées et non pas de grands groupes organisés et financièrement puissants. Actuellement, les cyberattaques sont menées par des groupes, le crime organisé et des États. Les systèmes d information étant primordiaux pour la plupart des entreprises, leur menace est devenue une menace pour l entreprise elle-même. Elle représente un problème stratégique. La étude «Global State of Information Security Survey 2014» de PwC montre que le nombre d entreprises ayant subi un dommage de plus de 10 millions de dollars a augmenté de plus de la moitié l an passé. Ce n est pas rien. Oui, les attaques sont en hausse. En plus du vol de données, il y a aussi leur manipulation: par exemple, un pirate parvient à accéder au grand livre d une banque, et le solde d un compte ou le montant d un crédit sont modifiés, ou encore des comptes fictifs sont créés avec de gros montants qui sont ensuite retirés. L objectif d une cyberattaque peut être aussi de nuire à l entreprise en paralysant ses systèmes, et donc sa production, pendant quelques heures, voire des jours. Comment voyez-vous l avenir? Les conséquences des cyberattaques ne changeront vraisemblablement pas; mais comme la technologie évolue rapidement, les techniques d attaque vont continuer de se perfectionner. Il est difficile de prévoir tous les scénarios, mais il y aura probablement des méthodes encore plus élaborées. Par ailleurs, les smartphones deviennent l une des principales cibles des cyberattaques. Ils sont vulnérables car la sécurité n était pas la priorité première lors de leur conception. Dans un avenir plus lointain, les smartcards (avec des données biométriques telles que des empreintes digitales) seront visées par les attaques. Ces cartes sensées résoudre les problèmes de sécurité en créent aussi de nouveaux. Fabriquer une fausse smartcard permet de voler une identité. Et l identité devient alors un problème majeur pour l individu. Mais pour les entreprises, le vol et les pertes de données restent le problème principal. L ampleur de la menace évolue elle aussi. L étude «Global State of Information Security Survey 2014» que vous avez mentionnée montre que les incidents de sécurité survenus dans les banques entre 2012 et 2013 ont augmenté de 170%. Cette branche réunit davantage de données susceptibles d être volées, et les attaques sont de plus en plus raffinées. 14 Disclose Décembre 2013

15 Existe-t-il des différences entre les grandes et les petites entreprises, ou entre les branches? Certaines branches sont-elles moins attrayantes pour les pirates? Les ordinateurs offrent d innombrables possibilités aux pirates. Surtout parce que tout est automatisé, même les outils que les pirates utilisent. Les petites entreprises sont aujourd hui plus attrayantes pour eux, car ils supposent que les grandes entreprises ont des standards de sécurité plus élevés. Le dommage causé par chacune de ces attaques est certes moins important, mais les attaques sont plus nombreuses. De plus, les petites entreprises manquent souvent de moyens pour se protéger aussi efficacement que les grandes. l élimination des lacunes se fait à la hâte. L autre problème est la sphère privée. Pour respecter les lois et réglementations relatives à la protection des données, l entreprise doit savoir d abord précisément où les données sont stockées dans son système. Puis elle doit évaluer si, et sous quelles conditions, elles peuvent être enregistrées dans un nuage. Mais la plupart des entreprises ne savent même pas de quelles données elles disposent, ni où elles sont stockées. Certes, elles savent qu elles possèdent des données dont l accès est restreint, mais elles ignorent parfois où elles se trouvent. C est pourquoi beaucoup de nos clients revoient leur protection des données sous un angle stratégique: ils classifient les données en fonction de leur caractère sensible et les enregistrent de manière adéquate. Les entreprises ont-elles généralement conscience du problème? La prise de conscience est en nette augmentation, mais des différences existent: certaines entreprises s aperçoivent, grâce à leur monitoring, qu elles sont attaquées; d autres sont attaquées mais ne disposent pas des mesures de sécurité leur permettant de détecter l attaque et se croient même en sécurité. Il devient plus complexe, et donc plus coûteux pour les entreprises, de mettre en place une protection adéquate. Cela ne vaut d ailleurs pas que pour les PME, mais aussi pour les grandes entreprises. Ces difficultés ont donné naissance à une nouvelle tendance: de très grandes entreprises ont commencé à collaborer pour traiter les questions des cybermenaces. Pour la toute première fois, des banques ont même échangé des informations sur des techniques d attaque et des incidents de sécurité réels. La plupart des grandes banques suisses le font aujourd hui. De tels échanges auraient été impensables auparavant, pourtant ils sont utiles. Car lorsqu un pirate parvient à attaquer une banque, la prochaine est déjà sur sa liste. Par des échanges d informations, les banques peuvent rendre plus compliquée la répétition d une attaque. Il ressort de notre nouvelle étude que 55% de nos clients du secteur financier échangent entre eux des données à l échelle mondiale. Il y a encore quelques années, ce pourcentage était proche du zéro. Quelle sécurité offre le cloud computing? Quels sont les défis juridiques? Depuis les débuts du cloud computing, de nouveaux procédés sont créés tous les mois pour ce type de stockage des données. Le plus souvent, l accent est mis sur la réduction des coûts et la souplesse opérationnelle, mais pas sur la sécurité. C est là l un des problèmes: Cela nécessite certainement de l expertise dans de nombreux domaines. Et une bonne connaissance de l entreprise. Tout à fait, et c est extrêmement difficile. PwC s est depuis toujours intéressée aux questions de protection des données. Plus récemment, elle continue à le faire de manière encore plus concentrée dans le Cyber Security Centre of Excellence (cf. l encadré de la page 16). Yaron Blachman est responsable de la technologie et l investigation chez PwC Israël et dirige le Cyber Security Centre of Excellence de PwC à Tel-Aviv. Il a étudié l informatique et les sciences de l ingénierie. Avant de rejoindre PwC, il y a 13 ans, il travaillait pour un cabinet de consultants en tant que responsable des questions de sécurité gouvernementale. Il avait passé auparavant six ans dans l armée de l air israélienne, en tant qu officier chargé d activités de renseignement. Depuis son embauche chez PwC, Yaron Blachman a passé la majorité de son temps en Israël, mais il a aussi travaillé pendant trois ans dans la Silicon Valley. Décembre 2013 Disclose 15

16 Vous avez aussi accès à ce que l on appelle le «dark Internet» (le monde parallèle ou la face cachée du Net): comment parvenez-vous à découvrir ce que savent les «méchants»? Le «dark Internet» contient les sites qu aucun moteur de recherche ne peut trouver. Il faut savoir précisément où l on doit chercher. Certains l utilisent pour des raisons de protection des données et n ont aucun dessein criminel; mais la plupart s en servent pour vendre des services illégaux, des informations dérobées, des outils de piratage ou des accès illégaux à des serveurs. Il existe également des prestataires qui surveillent ce que les «méchants» savent sur certaines cibles. Découvrir quels sont les prestataires dignes de confiance exige un travail de longue haleine. Nous observons nous aussi les «méchants». En complétant notre activité de prévention par des informations que nous achetons auprès de sources fiables, nous sommes en mesure de nous faire une image très précise du savoir dont les malfaiteurs disposent sur un client. Ce savoir surprend bien souvent les grandes entreprises persuadées d être bien protégées et de pouvoir détecter chaque attaque qui passerait au travers des mailles de leur défense. Les grandes entreprises sont souvent vulnérables parce qu elles ne se composent pas d une seule unité. Il y a des acquisitions, des projets d intégration, des cultures différentes et des niveaux de sécurité différents. Lorsqu on regarde une telle structure de l extérieur, il n est pas rare de trouver un accès. De plus, le piratage n est souvent même pas nécessaire pour y pénétrer, car il arrive fréquemment que des identifiants et mots de passe d utilisateurs soient en vente sur le «dark Internet». Cela laisse sans voix certains dirigeants, mais lorsque nous leur montrons notre rapport, ils prennent rapidement conscience de la nécessité d initier des mesures. Ne faut-il pas d abord qu un incident ait lieu? Aucune entreprise pensant être en sécurité ne vous mandatera pour effectuer un audit? Jusqu à il y a un an et demi, les entreprises venaient habituellement nous consulter après un incident. Maintenant, elles veulent de plus en plus un contrôle général de leur cybersécurité. Un exemple illustre bien cette tendance: en Grande-Bretagne, PwC organise tous les mois des rencontres pour les cadres non membres de l exécutif, afin de discuter de la cybersécurité. Il y a deux ans, cinq ou six personnes y participaient. Cette année, elles sont 200 en moyenne. Bien sûr, le sujet est aussi très présent dans les médias. À cause de ce battage médiatique, certains clients réagissent de manière exagérée, tandis que d autres continuent de sous-esti- mer les risques. Selon moi, les clients doivent simplement considérer la cybersécurité comme un risque d entreprise qui doit être traité en tant que tel. En évaluant correctement le risque et en investissant dans des mesures appropriées de réduction des risques, l entreprise peut le maintenir à un niveau acceptable. Qui sont les «méchants»? Des personnes très différentes. On doit aussi inclure les États les préférés des médias. La NSA, les Chinois Concernant la NSA, les avis divergent... Mon avis sur ce point est très clair: toute personne qui vole des informations, qui se procure un accès sans autorisation, est un «méchant», même s il s agit d un État. Les États sont très actifs, disposent de nombreuses ressources et ils réussissent. Mais les malfaiteurs les plus actifs sont à chercher du côté du crime organisé. L argent est-il leur motivation? Oui, mais cela peut aussi signifier que quelqu un se fait payer pour pénétrer dans les systèmes d une entreprise. Les cas d entreprises qui font cela à leurs concurrents ont augmenté l année passée. Le Cyber Security Centre of Excellence de PwC, à Tel-Aviv, est dirigé par Yaron Blachman et existe depuis près de trois ans. Environ 20 collaborateurs de longue date de PwC, experts en sécurité de l information, cyberintelligence, analyse des données et droit privé y travaillent. Le centre effectue des recherches sur de nouveaux outils et méthodologies, et sur leur évolution. PwC les applique ensuite à l échelle mondiale. Les prestations pour une clientèle internationale représentent 75% de l activité globale. Elles nécessitent de connaître la stratégie d entreprise des clients, d analyser et de comprendre les données ainsi que leur utilisation, transmission et stockage. De plus, des connaissances approfondies des réglementations pertinentes sont indispensables. Le centre est établi en Israël car ce pays dispose d une expertise internationalement reconnue en matière de sécurité de l information, qui a été obtenue en grande partie en collaboration avec l armée israélienne. Le secteur israélien des logiciels sur la sécurité de l information est à la pointe de la technologie. 16 Disclose Décembre 2013

17 Vous faites référence à la Chine, n est-ce pas? Pas seulement. Des cas existent aussi en Suisse et en Europe. Le piratage permet d espionner facilement une entreprise, de voir par exemple tous ses documents marketing avant leur publication. Tout dépend de la branche, mais ces cas se multiplient. Il est également courant que les terroristes aient recours à des cyberméthodes pour lever des fonds et collecter des informations sur les entreprises qu ils visent. Puis il y a la «famille des hackers»: il s agit d individus hautement qualifiés ou d équipes de deux ou trois personnes qui dérobent de l argent partout où l opportunité se présente généralement de petites sommes pour les entreprises concernées, mais considérables pour eux. Il existe par ailleurs le vol d informations qui se fait par la diffusion de programmes malveillants. Aucune cible spécifique n est alors visée, mais dès qu un malware infecte un ordinateur, toutes ses opérations et informations sont enregistrées sur les serveurs des pirates. Les données enregistrées peuvent être vendues. Une personne souhaite peut-être acheter aux pirates les identifiants ou les mots de passe utilisateurs d une banque en particulier. En Russie, un site a été créé récemment sur le «dark Internet», qui liste environ 300 des entreprises du classement Fortune 500. Pour quelques dollars par jour, on peut accéder aux ordinateurs de cette organisation en réseau. Voilà les «méchants», auxquels les entreprises sont confrontées, et leur motivation est généralement d ordre financier. Travaillez-vous principalement pour des entreprises? Nos clients viennent de tous les secteurs, mais la plupart sont des entreprises privées ou publiques qui ont beaucoup à perdre et veulent vraiment se protéger. Nous travaillons également pour les autorités, les autorités militaires, les ONG en fait, presque pour tout le monde. Quelques gouvernements font aussi appel à nous. Mais presque toujours pour un domaine très limité, dans lequel nous possédons l expertise dont ils ont besoin. Les gouvernements essaient de régler eux-mêmes tout ce qui est très sensible. Suisse, nous les associons à une prestation de «cyberintelligence» qui nous permet de trouver quelles informations sur le client circulent dans le «dark Internet». La plupart de nos prestations de pointe ne sont plus de simples audits de sécurité, mais ont pour objectif de protéger nos clients et de leur dispenser des conseils stratégiques. Qu en est-il des médias sociaux? Les réseaux sociaux évoluent en dehors du contrôle de l entreprise. Chacun est libre de mettre en ligne ce qu il souhaite. Cela peut porter atteinte à une entreprise, même si l information est erronée. Contrairement aux incidents de sécurité, dans ces cas-là, une réaction des Relations publiques est requise. L entreprise doit réagir publiquement. Mais lorsqu une rumeur se propage, il est très difficile, même lorsqu elle est fausse, de lui tordre le cou. Jusqu à quel point peut-on garantir la sécurité des données d une entreprise? Jusqu à un très haut degré, mais jamais à 100%. Le seul moyen de protéger complètement un système informatique est de l arrêter et de débrancher tous les câbles. La protection s avère alors optimale, mais le système est inutile. Ce qu il faut, c est identifier les risques et les limiter à un niveau raisonnable. Toutes les données n ont pas la même importance. C est donc le caractère plus ou moins sensible des données qui détermine le niveau de protection? Oui, c est l élément déterminant. L entreprise doit classifier ses données et les protéger convenablement. De nombreuses entreprises sécurisent tous leurs systèmes de la même manière, ce qui n est pas très efficace. Je connais le cas d une entreprise qui dépensait chaque mois des milliers de dollars pour sécuriser un système dont la seule fonction était d imprimer des coupons-repas pour le personnel. Appliquez-vous une approche standard dans votre travail? Pour la fourniture de la prestation en soi, oui. Mais il s agit tout d abord de déterminer de quelles prestations le client a besoin. PwC effectue depuis des années des audits de sécurité. Nous avons étendu ces contrôles, qui sont maintenant des audits sur la cybersécurité. En Quels messages-clés souhaitez-vous faire passer sur la cybersécurité? Premièrement: pas de panique à l évocation du mot «cyber»! Deuxièmement: on doit identifier la menace pour savoir de quoi se protéger. Alors, seulement, il est possible de mettre sur pied la bonne défense et les processus adaptés qui garantissent une protection optimale. Décembre 2013 Disclose 17

18 La protection des données est l affaire de tous L Union européenne élabore une réforme de son cadre de la protection des données qui contient, entre autres, la proposition d un «règlement relatif à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données». En Suisse aussi, une révision de la loi sur la protection des données est prévue et elle tiendra compte des évolutions de l UE. La loi fédérale sur la protection des données protège les droits fondamentaux des personnes physiques et morales qui font l objet d un traitement de données. Le terme «traitement» doit être pris au sens large: il désigne toutes les étapes du traitement, de la collecte à la transmission des données, en passant par leur enregistrement. D autres problèmes se posent en fonction du type de traitement. De plus, les exigences juridiques reflètent les valeurs et systèmes juridiques spécifiques à chaque pays. Des différences existent lorsqu il s agit, par exemple, de qualifier de «sensibles» des données, ou quand une collecte de données touche à certains domaines particuliers de la vie sociale comme le travail. Compte tenu des lois nationales du droit du travail et des différences dans la protection du travailleur, le niveau de protection des données de collaborateurs varie d un pays à l autre. Des défis particuliers se posent en cas de transmission transfrontalière de données personnelles et lorsqu il n existe pas le même niveau de protection des données entre le pays émetteur et le pays destinataire. Cependant, l internationalisation croissante et la mise en réseau mondiale impliquent des échanges de données toujours plus importants. Avec les progrès technologiques, un simple «clic» suffit pratiquement pour déplacer d un lieu à l autre des volumes considérables de données. Il n est pas toujours garanti que les droits des individus dont les données sont concernées par le transfert soient respectés et protégés. Du fait de l évolution technologique de notre société de l information, les personnes concernées désireuses de savoir où est effectué le traitement des données et par qui auront toujours plus de mal à trouver une réponse. Les big data constituent l un des nouveaux défis de ces dernières années. Elles désignent le traitement ultrarapide d immenses volumes de données provenant de différentes sources. Cette évolution s accélère encore du fait de la génération plus automatisée des données. Sont traités les protocoles de liaison des télécommunications, les accès saisis sur le Web, les résultats de lecteurs qui permettent l identification et la localisation automatiques d objets et d êtres humains, ainsi que les activités de caméras, microphones et autres capteurs. Les big data trouvent une application dans de nombreux domaines, notamment dans le secteur énergétique (données de consommation) ou dans le domaine de la santé. La création de big data ouvre de nouveaux horizons sur la manière de traiter les données. Car l immense montagne de données permet d obtenir un volume d informations jusqu ici impossible. Grâce aux big data, les commerçants espèrent par exemple se faire une image plus précise des besoins de leurs clients. Les compagnies d assurances essaient de mieux calculer le risque d assurance et de proposer ainsi des produits plus rentables et mieux adaptés. Comme partout où les évolutions sociales et technologiques sont fulgurantes, la législation peine à suivre ces nouveaux défis et est aussi à la traîne en matière de protection des données. Autrement dit: l évolution technologique est depuis toujours le moteur des initiatives légales sur la protection des données à caractère personnel. Actuellement, l Union européenne, mais aussi la Suisse ont entrepris de réformer la législation sur la protection des données. 18 Disclose Décembre 2013

19 Réforme européenne complète La commissaire européenne Viviane Reding a présenté en janvier 2012 un train de réformes visant à remplacer l actuelle directive de protection des données de La proposition contient notamment un règlement directement applicable par tous les États membres, qui met l accent sur la protection de la sphère privée dans Internet. Tous les citoyens doivent avoir le «droit à l oubli», c est-à-dire qu ils doivent pouvoir faire effacer leurs données par le prestataire Internet lorsqu il n existe aucune raison valable de les conserver. Par ailleurs, ils doivent pouvoir faire valoir leur «droit à la portabilité des données» et transférer leurs données plus facilement qu aujourd hui en cas de changement de prestataire. En contrepartie, les propositions de réforme de la Commission européenne prévoient pour les entreprises une baisse des charges administratives liées à la protection des données. Jusqu à présent, les entreprises Rauno Hoffmann Senior Manager, Conseil fiscal et juridique étaient tenues d appliquer les réglementations nationales de chaque pays dans lequel elles opéraient; elles étaient donc soumises à diverses autorités de protection des données. Afin d améliorer la sécurité juridique, les entreprises devraient à l avenir n avoir plus qu un interlocuteur, un «guichet unique», dans le pays où elles ont leur siège (principe du «one stop shop»). Pour les faits transfrontaliers, la Commission européenne propose une «procédure de cohérence» visant à garantir la coordination et la collaboration efficace et rapide de plusieurs autorités de protection des données. Effet extraterritorial La proposition de réforme de la Commission européenne impose à toutes les entreprises opérant au sein de l UE de respecter les directives prévues. Cette obligation générerait un effet extraterritorial qui conduirait aussi les entreprises hors Union européenne à appliquer le droit européen. Le règlement doit également s appliquer lorsque des entreprises deviennent actives dans l UE sans pour autant s y établir. Il suffit déjà qu une société domiciliée en dehors des frontières européennes propose des biens ou des services à des personnes de l UE, ou qu elle observe ces personnes et leurs activités par exemple via un suivi en ligne (online-tracking). L objectif est de garantir la protection des données à caractère personnel sur tout le territoire européen et d exiger des entreprises non européennes, qui entretiennent un lien avec l UE, le respect du droit européen applicable à la protection des données. L effet extraterritorial et l applicabilité directe d un règlement dans tous les États de l UE auraient aussi d autres conséquences. La concurrence acharnée des sites en matière de législation sur la protection des données n aurait plus lieu d être. Les groupes de l Internet non européens qui espèrent tirer profit d un «siège européen» dans des pays ayant une législation moins sévère sur la protection des données (l Irlande par exemple) perdraient un tel «privilège». Il n est donc pas étonnant que ce projet de réforme fasse l objet d un lobbying intensif. Certains pays membres, à l instar de la Grande-Bretagne, demandent eux aussi une solution moins centralisée. Ils souhaitent que Décembre 2013 Disclose 19

20 l UE n édicte (comme jusqu à présent) qu une directive qui permettrait aux États membres de transposer les règles plus librement, plutôt qu un règlement dont les prescriptions s appliquent directement à tous les membres. Environ 4000 amendements ont été déposés auprès du Parlement européen jusqu à l été dernier. Il n est donc pas certain que le train de réformes soit adopté dans sa forme actuelle avant les élections du Parlement européen, au printemps prochain. Mais la proposition de règlement aura au moins permis de franchir un important obstacle législatif fin octobre, lorsque la commission des libertés et des droits des citoyens, de la justice et des affaires intérieures du Parlement européen a donné son mandat pour les négociations du Parlement européen avec le Conseil des ministres. Des amendes plus élevées en Suisse Dès que la réforme européenne du cadre de la protection des données sera achevée, le Conseil fédéral s attèlera à la révision de la loi suisse sur la protection des données (LPD). Une évaluation effectuée en 2010 a permis d établir que la LPD dispose en soi de suffisamment d instruments, mais qu ils sont trop peu utilisés. La loi sur la protection des données n a pas été employée de manière assez offensive. Les dispositions relatives à la protection des données n ont pratiquement jamais donné lieu à des actions en justice à l encontre notamment d entreprises privées chargées du traitement des données. Et les rares fois où celles-ci ont été poursuivies pour atteinte aux droits de la personnalité, les amendes infligées étaient trop faibles pour avoir un effet préventif. Des sanctions plus sévères sont prises dans d autres domaines (par exemple le droit des cartels ou le droit pénal de la corruption); les fortes amendes prévues conduisent les entreprises à mieux respecter les règles. C est pourquoi le Conseil fédéral a annoncé un relèvement des amendes encourues en cas d infractions liées à la protection des données. Il souhaite en outre renforcer la position du Préposé fédéral à la protection des données et à la transparence (PFPDT) et lui donner davantage de compétences. La conformité en matière de protection des données n est pas un obstacle insurmontable Dans toutes les entreprises, des données personnelles sont traitées, ne serait-ce que dans le cadre de l administration du personnel. Si la législation sur la protection des données revêt davantage d importance pour la branche des communications et de l Internet et pour les prestataires financiers, la LPD s applique néanmoins à toutes les entreprises. La conformité en matière de protection des données n est pas un obstacle insurmontable. Elle peut être obtenue de manière efficace et efficiente, conformément aux principes de protection des données, par un inventaire précis de son propre traitement des données. Le site Internet du PFPDT fournit des aides et informations intéressantes en la matière. Le responsable de la protection des données devrait participer à toutes les décisions de l entreprise importantes pour la protection des données. Il est conseillé, dans un premier temps, de répertorier tous les fichiers existant dans l entreprise. Les bases et traitements de données ainsi obtenus doivent être analysés sous l angle de la protection des données, et il faut clarifier s il y a obligation de déclarer des fichiers au PFPDT. Lors de cette évaluation, il convient aussi d établir si des données sont transmises à des tiers (en font partie aussi les autres sociétés du groupe) ou transférées dans d autres pays. Avant de transmettre des données personnelles vers l étranger, le maître du fichier doit s assurer que le niveau de protection des données dans le pays destinataire est adéquat. Si le PFPDT a déjà procédé à une évaluation correspondante, on peut s appuyer sur ses vérifications. Le PFPDT a publié une liste d États offrant selon lui un niveau de protection des données adéquat. Quand le pays destinataire n atteint pas un niveau de protection suffisant, le transfert n est permis que si des garanties contractuelles permettent d assurer un niveau de protection adéquat, ou si la personne concernée a donné son consentement. Le PFPDT doit être tenu informé des garanties contractuelles. Il faut ensuite suivre l évolution sur le long terme et garantir une protection efficace des données. Pour cela, il est recommandé de désigner une personne chargée de veiller au respect de la protection des données ou, dans les grandes entreprises, de nommer un responsable de la protection des données interne ou externe. Celui-ci devrait avoir accès à tous les fichiers et traitements de données ainsi qu à l ensemble des informations. Il devrait aussi participer à toutes les décisions de l entreprise importantes pour la protection des données. C est en effet la seule manière pour lui de mener à bien sa mission. 20 Disclose Décembre 2013

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde Direction Communication 63 rue de Villiers, 92200 Neuilly-sur-Seine Tél. 01 56 57 58 59 Communiqué de presse Contact : PwC, Hélène Coulbault, 01 56 57 88 26, helene.coulbault@fr.pwc.com Neuilly-sur-Seine,

Plus en détail

Principes d action de la Délégation des Commissions de gestion

Principes d action de la Délégation des Commissions de gestion Principes d action de la Délégation des Commissions de gestion Adoptés par la Délégation des Commissions de gestion le 16 novembre 2005, soumis pour information aux Commissions de gestion le 20 janvier

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

Connaissez les risques. Protégez-vous. Protégez votre entreprise.

Connaissez les risques. Protégez-vous. Protégez votre entreprise. Protégez-vous en ligne. Connaissez les risques. Protégez-vous. Protégez votre entreprise. CONSEILS PENSEZ CYBERSÉCURITÉ POUR LES PETITES ET MOYENNES ENTREPRISES Si vous êtes comme la plupart des petites

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Changement dans les achats de solutions informatiques

Changement dans les achats de solutions informatiques Changement dans les achats de solutions informatiques Ce que cela signifie pour l informatique et les Directions Métiers Mai 2014 Le nouvel acheteur de technologies et la nouvelle mentalité d achat Un

Plus en détail

Agile Learning Comment faire face aux changements organisationnels? Une étude internationale réalisée par Lumesse

Agile Learning Comment faire face aux changements organisationnels? Une étude internationale réalisée par Lumesse Comment faire face aux changements organisationnels? Une étude internationale réalisée par Lumesse Introduction Le monde du travail est plus que familier avec la notion de changement. Synonyme d innovation

Plus en détail

L entrepreneur. 1. Qu est ce que l entrepreneur?

L entrepreneur. 1. Qu est ce que l entrepreneur? L 1. Qu est ce que l? Un est celui qui observe son environnement, identifie les opportunités qui se présentent eu plan économique ou social, réunit les moyens nécessaires, met en œuvre l activité et en

Plus en détail

les prévisions securité 2015

les prévisions securité 2015 les prévisions securité 2015 Panda Security Les prévisions sécurité 2015 du PandaLabs Selon les estimations du Pandalabs, les chiffres concernant la création de malware vont encore une fois battre des

Plus en détail

Big Data : se préparer au Big Bang

Big Data : se préparer au Big Bang Big Data : se préparer au Big Bang Initialement confinées au cœur des moteurs de recherche et des réseaux sociaux, les technologies du Big Data s'exportent désormais avec succès dans de nombreux secteurs

Plus en détail

Trois entreprises sur cinq souffrent d une infrastructure informatique inadaptée

Trois entreprises sur cinq souffrent d une infrastructure informatique inadaptée L environnement commercial actuel présente à la fois d innombrables opportunités et de multiples risques. Cette dichotomie se révèle dans le monde de l informatique (et dans les conseils d administration

Plus en détail

Directives du Conseil des EPF concernant la gestion des risques des EPF et des établissements de recherche

Directives du Conseil des EPF concernant la gestion des risques des EPF et des établissements de recherche Directives du Conseil des EPF concernant la gestion des risques des EPF et des établissements de recherche du juillet 006 la version allemande fait foi Le Conseil des écoles polytechniques fédérales (Conseil

Plus en détail

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel Présentation de la solution SAP SAP Technology SAP Afaria La mobilité d entreprise comme vecteur d avantage concurrentiel des périphériques et des applications des périphériques et des applications La

Plus en détail

Les défis du développement du gouvernement électronique. Par Edwin Lau Résumé par Gérard Mongbé

Les défis du développement du gouvernement électronique. Par Edwin Lau Résumé par Gérard Mongbé Les défis du développement du gouvernement électronique Par Edwin Lau Résumé par Gérard Mongbé La révolution numérique a engendré une pression sur les gouvernements qui doivent améliorer leurs prestations

Plus en détail

Enquête nationale sur le développement commercial des PME. Etude réalisée du 15 juin au 15 août 2009 sur un panel de 240 PME de moins de 250 salariés

Enquête nationale sur le développement commercial des PME. Etude réalisée du 15 juin au 15 août 2009 sur un panel de 240 PME de moins de 250 salariés Enquête nationale sur le développement commercial des PME Etude réalisée du 15 juin au 15 août 2009 sur un panel de 240 PME de moins de 250 salariés 1 Sommaire INTRODUCTION... 4 1. SYNTHESE DE L ENQUÊTE...

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Besoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC 27001 de BSI.

Besoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC 27001 de BSI. Besoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC 27001 de BSI. L ISO/IEC 27001 de BSI - votre premier choix en matière de sécurité de l information. BSI est l organisme de normalisation

Plus en détail

Canada Basketball prend les engagements suivants envers les ASP/T membres et les participants dûment enregistrés:

Canada Basketball prend les engagements suivants envers les ASP/T membres et les participants dûment enregistrés: Canada Basketball Politique de gestion des risques Préambule À titre d organisme sportif national de régie du basketball au Canada, Canada Basketball reconnaît que des risques existent dans toutes les

Plus en détail

FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY

FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY FORMULATING INFORMATION SYSTEMS RISK MANAGEMENT STRATEGIES THROUGH CULTURAL THEORY I- Le processus de risk management selon ISO 27001(2005), NSIT : 8000 (2002) et Frosdick (1997) : Ce processus inclut

Plus en détail

La situation de la sécurité des clés USB en France

La situation de la sécurité des clés USB en France La situation de la sécurité des clés USB en France Synthèse Sponsorisé par Kingston Technology Préparé indépendamment par Ponemon Institute LLC Date de publication : novembre 2011 Rapport d'étude du Ponemon

Plus en détail

The Hiring Process Report. Switzerland

The Hiring Process Report. Switzerland The Hiring Process Report Switzerland 2015 Le processus d embauche Les médias sociaux et les sites de carrières régulièrement mis à jour sont actuellement les moyens les plus populaires permettant de renforcer

Plus en détail

La cybersécurité dans les petits cabinets comptables

La cybersécurité dans les petits cabinets comptables La cybersécurité dans les petits cabinets comptables VISER DE MEILLEURES PRATIQUES ET MESURES DE PROTECTION Prêter attention à la sécurité informationnelle CPA Canada a récemment fait appel à Nielsen pour

Plus en détail

Nobody s Unpredictable

Nobody s Unpredictable Connaissance qu a le public de la Banque du Canada (Comparaison des résultats de l enquête téléphonique et de l enquête en ligne) Enquête de décembre 2010 commandée par la Banque du Canada Nobody s Unpredictable

Plus en détail

Le DSI du futur Rapport d'étude

Le DSI du futur Rapport d'étude Le DSI du futur Rapport d'étude Devenir un catalyseur du changement Partagez ce rapport d'étude Le DSI du futur : Devenir un catalyseur du changement Tandis que la plupart des DSI s accordent à dire que

Plus en détail

LES SOLUTIONS MES HUMAINES METTENT EN AVANT LES INDIVIDUS

LES SOLUTIONS MES HUMAINES METTENT EN AVANT LES INDIVIDUS LIVRE BLANC LES SOLUTIONS MES HUMAINES METTENT EN AVANT LES INDIVIDUS Une collaboration entre homme et machine LIVRE BLANC LES SOLUTIONS MES HUMAINES METTENT EN AVANT LES INDIVIDUS 2 A PROPOS Les hommes

Plus en détail

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E Résumé Le présent rapport de recherche décrit les composantes d une infrastructure TI sécurisée pour le commerce électronique. L objectif est de fournir une description exhaustive des enjeux liés à la

Plus en détail

En tant que (expert-) comptable

En tant que (expert-) comptable En tant que (expert-) comptable Doc-it-Easy Doc-it-Easy optez pour une collaboration intelligente avec votre client Doc-it-Easy Contenu Introduction Les PME et les entrepreneurs veulent des conseils stratégiques...

Plus en détail

SSI Sensibilisation à la sécurité de l'information**

SSI Sensibilisation à la sécurité de l'information** SSI Sensibilisation à la sécurité de l'information** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage Connaissances de base en informatique Etre capable de comprendre

Plus en détail

Etude RSA / IFOP : Nos ados sont-ils vigilants sur Internet?

Etude RSA / IFOP : Nos ados sont-ils vigilants sur Internet? Etude RSA / IFOP : Nos ados sont-ils vigilants sur Internet? Dans le cadre de sa campagne d éducation «Internet, les autres et moi», RSA a commandité une étude qui interroge et compare les perceptions

Plus en détail

entreprendre à la puissance cisco

entreprendre à la puissance cisco entreprendre à la puissance cisco À un moment donné, vous avez vu quelque chose que personne d autre n avait vu. Il s agissait peut-être d une idée ou d une opportunité. Ce «quelque chose» vous a fait

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Transformation IT de l entreprise COMMENT L EDISCOVERY CHANGE LA GESTION DES DONNÉES

Transformation IT de l entreprise COMMENT L EDISCOVERY CHANGE LA GESTION DES DONNÉES Transformation IT de l entreprise COMMENT L EDISCOVERY CHANGE LA GESTION DES DONNÉES C omment améliorer l efficacité et réduire des coûts de stockage en croissance permanente? Comment mettre en place un

Plus en détail

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne

www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne www.pwc.lu/secteur-public Gestion des risques, contrôle interne et audit interne Contexte Depuis plusieurs années, les institutions publiques doivent faire face à de nouveaux défis pour améliorer leurs

Plus en détail

Etude réalisée en partenariat avec le réseau de CMA et la CRMA de Bretagne, le syndicat Mixte MEGALIS et la Région Bretagne

Etude réalisée en partenariat avec le réseau de CMA et la CRMA de Bretagne, le syndicat Mixte MEGALIS et la Région Bretagne Etude réalisée en partenariat avec le réseau de CMA et la CRMA de Bretagne, le syndicat Mixte MEGALIS et la Région Bretagne Cet article présente les principaux résultats de l enquête OPSIS de Marsouin

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Experience N 52. Les expériences d ERNI dans l univers du management, des processus et des technologies. Mars 2012

Experience N 52. Les expériences d ERNI dans l univers du management, des processus et des technologies. Mars 2012 Les expériences d ERNI dans l univers du management, des processus et des technologies Experience N 52 Mars 2012 MIGRATIONS Garder la maîtrise lors de migrations GARdER la maîtrise LORS de migrations Lors

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

Sondage sur le site Web du BSIF de 2014

Sondage sur le site Web du BSIF de 2014 1 Sondage sur le site Web du BSIF de 2014 Sommaire Le 31 mars 2014 Préparé pour le Bureau du surintendant des institutions financières information@osfi-bsif.gc.ca This summary is also available in English.

Plus en détail

Joël Darius Eloge ZODJIHOUE

Joël Darius Eloge ZODJIHOUE La gestion axée sur la Performance et les Résultats appliquée à la gestion des Finances Publiques: Préparation et Mise en place du Budget axée sur la performance et les résultats Joël Darius Eloge ZODJIHOUE

Plus en détail

Aide-mémoire 19. Réseaux d entreprises formatrices

Aide-mémoire 19. Réseaux d entreprises formatrices Aide-mémoire 19 Réseaux d entreprises formatrices Qu est-ce qu un réseau d entreprises formatrices? Un réseau d entreprise formatrices est un groupement d entreprises qui, seules, ne pourraient pas assurer

Plus en détail

UNE SOLUTION CRM CONÇUE POUR LA FORCE DE VENTE

UNE SOLUTION CRM CONÇUE POUR LA FORCE DE VENTE LIVRE BLANC UNE SOLUTION CRM CONÇUE POUR LA FORCE DE VENTE Comment choisir un CRM qui répondra à toutes les attentes de vos commerciaux www.aptean..fr LIVRE BLANC UNE SOLUTION CRM CONÇUE POUR LA FORCE

Plus en détail

Comité du développement et de la propriété intellectuelle (CDIP)

Comité du développement et de la propriété intellectuelle (CDIP) F CDIP/14/5 ORIGINAL : ANGLAIS DATE : 8 SEPTEMBRE 2014 Comité du développement et de la propriété intellectuelle (CDIP) Quatorzième session Genève, 10 14 novembre 2014 RÉSUMÉ DU RAPPORT D ÉVALUATION DU

Plus en détail

Étude : Les PME à l heure du travail collaboratif et du nomadisme

Étude : Les PME à l heure du travail collaboratif et du nomadisme Étude : Les PME à l heure du travail collaboratif et du nomadisme Synthèse des principaux enseignements Octobre 2012 sfrbusinessteam.fr FICHE TECHNIQUE DE L ETUDE Echantillon : 300 entreprises de 20 à

Plus en détail

Canon Business Services. Gestion des impressions

Canon Business Services. Gestion des impressions Canon Business Services Gestion des impressions 2 Gestion des impressions Aperçu du marché Le saviez-vous? Selon une étude IDC réalisée en 2012, la dépense globale en marketing et communication ne progressera

Plus en détail

À votre service...? Let s drive business

À votre service...? Let s drive business À votre service...? Analyse du marché : L entreprise satisfaitelle les attentes des consommateurs européens en ce qui concerne la prise de rendez-vous et les délais de livraison? Étude de marché : Prestation

Plus en détail

Stratégie Tier 2 : Quels avantages pour votre entreprise?

Stratégie Tier 2 : Quels avantages pour votre entreprise? Stratégie Tier 2 : Quels avantages pour votre entreprise? Les décideurs ont beaucoup à gagner de l intégration des données de gestion externes et internes, afin d assurer la disponibilité des informations

Plus en détail

Circulaire 2008/7 «Outsourcing banques»

Circulaire 2008/7 «Outsourcing banques» Foire aux questions (FAQ) Circulaire 2008/7 «Outsourcing banques» (Dernière modification : 6 février 2015) 1. Selon quels critères examine-t-on l applicabilité de la circulaire 2008/7? Il y externalisation

Plus en détail

Une collaboration complète pour les PME

Une collaboration complète pour les PME Une collaboration complète pour les PME Êtes-vous bien connecté? C est le défi dans le monde actuel, mobile et digital des affaires où les entreprises cherchent à harmoniser les communications entre employés,

Plus en détail

Système d'information Page 1 / 7

Système d'information Page 1 / 7 Système d'information Page 1 / 7 Sommaire 1 Définition... 1 2 Fonctions du système d information... 4 2.1 Recueil de l information... 4 2.2 Mémorisation de l information... 4 2.3 Traitement de l information...

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

VOS INFORMATIONS ONT UNE VIE. Nous sommes là pour vous accompagner à chaque étape

VOS INFORMATIONS ONT UNE VIE. Nous sommes là pour vous accompagner à chaque étape VOS INFORMATIONS ONT UNE VIE 444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 Nous sommes là pour vous accompagner à chaque étape GESTION INTÉGRÉE DE L INFORMATION

Plus en détail

Rapport synthétique. Une formation en communication de crise pour les autorités locales

Rapport synthétique. Une formation en communication de crise pour les autorités locales Rapport synthétique Une formation en communication de crise pour les autorités locales Ce rapport est la synthèse d une réflexion sur les sessions de formation en communication de crise qui ont été organisées

Plus en détail

L ABC du Cloud Computing

L ABC du Cloud Computing L ABC du Cloud Computing Apprendre à démystifier le Cloud Computing Bien en saisir les avantages Comment aide-t-il votre entreprise? Le Cloud Computing démystifié L infonuagique, plus connue sous le nom

Plus en détail

Le «data mining», une démarche pour améliorer le ciblage des contrôles

Le «data mining», une démarche pour améliorer le ciblage des contrôles MINISTERE DE L ECONOMIE ET DES FINANCES Le «data mining», une démarche pour améliorer le ciblage des contrôles La lutte contre la fraude aux finances publiques a été renforcée ces dernières années et a

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Université de Caen UFR sciences économiques-gestion Master 2 entreprenariat et DU création d activités 2011-2012

Université de Caen UFR sciences économiques-gestion Master 2 entreprenariat et DU création d activités 2011-2012 Université de Caen UFR sciences économiques-gestion Master 2 entreprenariat et DU création d activités 2011-2012 Les facteurs de succès de l entreprise Francis DAVID Présentation Parcours Professionnel

Plus en détail

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS)

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Une étude personnalisée de la série Technology Adoption Profile commandée par Bell Canada Juin 2014 Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Introduction

Plus en détail

Exploitation du potentiel de l'audit interne

Exploitation du potentiel de l'audit interne Exploitation du potentiel de l'audit interne 18 novembre 2014 Grant Thornton LLP. A Canadian Member of Grant Thornton International Ltd Introduction de Andy Poprawa, Président et chef de la direction,

Plus en détail

Position de la Fédération suisse pour la formation continue FSEA

Position de la Fédération suisse pour la formation continue FSEA Ordonnance sur la formation continue: Audition Position de la Fédération suisse pour la formation continue FSEA Zurich, le 7 septembre 2015 Monsieur le Conseiller fédéral Schneider-Ammann Nous vous vous

Plus en détail

Risk Management pour les entreprises

Risk Management pour les entreprises Risk Management pour les entreprises Ne laissez rien au hazard RM- Maîtrise Risk Management pour les entreprises procéder avec méthode La gestion repose sur un processus de prise de et d activités en constante

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

Allianz Suisse. Une stratégie de numérisation claire et une communication clients novatrice ouvrent la voie vers le leadership en termes de service

Allianz Suisse. Une stratégie de numérisation claire et une communication clients novatrice ouvrent la voie vers le leadership en termes de service Allianz Suisse Une stratégie de numérisation claire et une communication clients novatrice ouvrent la voie vers le leadership en termes de service Qualité de service élevée et orientation conséquente vers

Plus en détail

NOUVEAUX USAGES IT, NOUVEAUX DÉFIS

NOUVEAUX USAGES IT, NOUVEAUX DÉFIS Une étude pour NOUVEAUX USAGES IT, NOUVEAUX DÉFIS Juin 2013 Présentation de l étude Objectifs : Faire le point sur la manière dont les utilisateurs sont en train de modifier leurs usages de l informatique.

Plus en détail

Informatique en nuage

Informatique en nuage Services d infrastructure, solutions et services-conseils Solutions Informatique en nuage Jusqu à maintenant, la gestion de l infrastructure des TI consistait à négocier les limites : puissance de traitement,

Plus en détail

Mémoire du Conseil canadien des archives (CCA) au comité législatif sur le projet de loi C-32 (CC32)

Mémoire du Conseil canadien des archives (CCA) au comité législatif sur le projet de loi C-32 (CC32) Mémoire du Conseil canadien des archives (CCA) au comité législatif sur le projet de loi C-32 (CC32) Fondé en 1985, le Conseil canadien des archivistes est né d une volonté fédéraleprovinciale de favoriser

Plus en détail

Les expériences d ERNI dans l univers du management, des processus et des technologies. Experience N 52. Mars 2012 Pas à pas vers de bonnes exigences

Les expériences d ERNI dans l univers du management, des processus et des technologies. Experience N 52. Mars 2012 Pas à pas vers de bonnes exigences Les expériences d ERNI dans l univers du management, des processus et des technologies Experience N 52 Mars 2012 OutsourcINg Pas à pas vers de bonnes exigences Outsourcing 10 11 Pas à pas vers de bonnes

Plus en détail

L ExcELLEncE du conseil immobilier

L ExcELLEncE du conseil immobilier L Excellence du Conseil Immobilier 2 L Excellence du Conseil Immobilier CBRE SUISSE «En privilégiant depuis 15 ans une approche centrée sur les besoins actuels et futurs de nos clients, nous avons pu construire

Plus en détail

Note technique d orientation n 2 : Élaboration d un plan de travail ITIE

Note technique d orientation n 2 : Élaboration d un plan de travail ITIE Cette note technique a été publiée par le Secrétariat international de l ITIE en collaboration avec GIZ (Coopération internationale allemande). L'objectif de cette note est de prodiguer des conseils aux

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

L intégration des sources de données :un défi coûteux pour les services financiers

L intégration des sources de données :un défi coûteux pour les services financiers L intégration des sources de données :un défi coûteux pour les services financiers Étude Observations des services financiers d IDG Page 2 DESCRIPTION DE L ÉTUDE Kapow Software, entreprise détenue par

Plus en détail

La séance photo à 8,50 Euros? Analyse du marché des séances photo des photographes professionnels

La séance photo à 8,50 Euros? Analyse du marché des séances photo des photographes professionnels La séance photo à 8,50 Euros? Analyse du marché des séances photo des photographes professionnels XXLPIX Mars 2013 Une séance photo à 8,50 Euro? À propos de cette étude de marché XXLPIX GmbH teste régulièrement

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

Communiqué de presse Le 28 janvier 2013

Communiqué de presse Le 28 janvier 2013 Communiqué de presse Le 28 janvier 2013 Les entreprises belges renforcent la collaboration entre leur fonction Finance et d autres départements Elles s inscrivent dans la tendance européenne, mais ne font

Plus en détail

Questions / Réponses concernant le piratage de «L Explora Park» - VTech 4 décembre 2015

Questions / Réponses concernant le piratage de «L Explora Park» - VTech 4 décembre 2015 Questions / Réponses concernant le piratage de «L Explora Park» - VTech 4 décembre 2015 Dernière mise à jour: 11h, heure française Sur l incident 1. Est-il vrai que le site VTech a été piraté? Nous confirmons

Plus en détail

L Internet of Everything Les 10 points clés de l étude sur le potentiel de l IoE dans le secteur public

L Internet of Everything Les 10 points clés de l étude sur le potentiel de l IoE dans le secteur public L Internet of Everything Les 10 points clés de l étude sur le potentiel de l IoE dans le secteur public Joseph Bradley Christopher Reberger Amitabh Dixit Vishal Gupta L Internet of Everything (IoE) permet

Plus en détail

RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS

RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS Dernière modification en vigueur le 1 er mars 2014 Ce document a valeur officielle chapitre V-1.1, r. 7.1 RÈGLEMENT 23-103 SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS A.M.

Plus en détail

Traitement transfrontalier des données personnelles Lignes directrices

Traitement transfrontalier des données personnelles Lignes directrices Commissariat à la protection de la vie privée du Canada LPRPDE Traitement transfrontalier des données personnelles Lignes directrices OBJET Le Commissariat à la protection de la vie privée du Canada a

Plus en détail

Le réviseur d entreprises : une valeur ajoutée pour votre PME. une valeur ajoutée pour votre PME. Entreprendre 2010

Le réviseur d entreprises : une valeur ajoutée pour votre PME. une valeur ajoutée pour votre PME. Entreprendre 2010 Le réviseur d entreprises : une valeur ajoutée pour votre PME 31.03.2010 Entreprendre 2010 Le réviseur d entreprises : une valeur ajoutée pour votre PME Jean NICOLET 31.03.2010 Membre de la Commission

Plus en détail

CONCLUSIONS. Par rapport aux résultats obtenus, on peut conclure les idées suivantes :

CONCLUSIONS. Par rapport aux résultats obtenus, on peut conclure les idées suivantes : CONCLUSIONS L application de la PNL à l entreprise est confrontée aux besoins des leaders d équipe, tels que: la gestion de son propre développement, du stress, la résolution des problèmes tels que les

Plus en détail

GÉNÉRER DE LA VALEUR ET ATTEINDRE DES RÉSULTATS AVEC LES MANAGED SERVICES

GÉNÉRER DE LA VALEUR ET ATTEINDRE DES RÉSULTATS AVEC LES MANAGED SERVICES UN GUIDE ESSENTIEL : GÉNÉRER DE LA VALEUR ET ATTEINDRE DES RÉSULTATS AVEC LES MANAGED SERVICES Vue d ensemble Dans presque tous les secteurs des services de santé aux services financiers de l industrie

Plus en détail

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES Introduction : Le management des risques est un processus qui permet au Business Manager d équilibrer les coûts économiques et opérationnels et faire du

Plus en détail

L OIE et les instruments de gestion de risques pour les maladies épidémiques du bétail

L OIE et les instruments de gestion de risques pour les maladies épidémiques du bétail L OIE et les instruments de gestion de risques pour les maladies épidémiques du bétail La gestion de risques et de crises en assurance agraire Conférence Internationale du 15 mars 2010, Madrid Présentée

Plus en détail

BYOD : LES TERMINAUX PERSONNELS AU SERVICE DE L ENTREPRISE

BYOD : LES TERMINAUX PERSONNELS AU SERVICE DE L ENTREPRISE Il est commun, pour un salarié, d utiliser son véhicule personnel pour ses déplacements professionnels. Et s il en était ainsi pour le matériel informatique? De nombreuses entreprises ont adopté ce concept

Plus en détail

MAINTENANCE DISTRIBUTIONSi SOLUTION INFORMATIQUE

MAINTENANCE DISTRIBUTIONSi SOLUTION INFORMATIQUE MAINTENANCE DISTRIBUTION SOLUTION INFORMATIQUE MAINTENANCE DISTRIBUTION SOLUTION INFORMATIQUE Disponibilité, accompagnement, partenaire unique, engagements de services... concentrez-vous sur votre métier,

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail

SERVICES DE RENSEIGNEMENTS ET DE SÉCURITÉ

SERVICES DE RENSEIGNEMENTS ET DE SÉCURITÉ COMITÉ PERMANENT DE CONTRÔLE DES SERVICES DE RENSEIGNEMENTS ET DE SÉCURITÉ Enquête de contrôle 2007.181 Conclusions et recommandations de l enquête sur la manière dont les services belges de renseignement

Plus en détail

6ème édition du Baromètre des investissements informatiques en France

6ème édition du Baromètre des investissements informatiques en France 6ème édition du Baromètre des investissements informatiques en France Objectifs Baromètre des investissements informatiques en France avec pour objectifs : de suivre l évolution de l opinion des responsables

Plus en détail

Charte de Qualité sur l assurance vie

Charte de Qualité sur l assurance vie Charte de Qualité sur l assurance vie PRÉAMBULE La présente Charte de Qualité sur l assurance vie s'inspire largement de la Charte de Qualité ICMA Private Wealth Management, qui présente les principes

Plus en détail

Résumé de Mémoire EN QUOI LE PILOTAGE PAR LES COUTS REPRESENTE-T-IL UN OUTIL DE GESTION ESSENTIEL POUR ASSURER LA PERENNITE FINANCIERE DE LA BRANCHE

Résumé de Mémoire EN QUOI LE PILOTAGE PAR LES COUTS REPRESENTE-T-IL UN OUTIL DE GESTION ESSENTIEL POUR ASSURER LA PERENNITE FINANCIERE DE LA BRANCHE Résumé de Mémoire EN QUOI LE PILOTAGE PAR LES COUTS REPRESENTE-T-IL UN OUTIL DE GESTION ESSENTIEL POUR ASSURER LA PERENNITE FINANCIERE DE LA BRANCHE COURRIER DU GROUPE LA POSTE? Alix LEGRAND ESG MANAGEMENT

Plus en détail

pour Une étude LES DÉFIS DES DSI Avril 2013

pour Une étude LES DÉFIS DES DSI Avril 2013 Une étude pour LES DÉFIS DES DSI Avril 2013 Présentation de l étude Objectifs : Faire le point sur les orientations IT des DSI : cloud, mobilité, sécurité, poste de travail Identifier les principaux défis

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Assemblées des États membres de l OMPI

Assemblées des États membres de l OMPI F A/55/INF/5 ORIGINAL : ANGLAIS DATE : 4 AOÛT 2015 Assemblées des États membres de l OMPI Cinquante-cinquième série de réunions Genève, 5 14 octobre 2015 STRATÉGIE DE GESTION DES CONNAISSANCES DE L ORGANISATION

Plus en détail

ADAPTER LA METHODE AUX OBJECTIFS DE L ENQUETE

ADAPTER LA METHODE AUX OBJECTIFS DE L ENQUETE Déchets : outils et exemples pour agir Fiche méthode n 1 www.optigede.ademe.fr ADAPTER LA METHODE AUX OBJECTIFS DE L ENQUETE Origine et objectif de la fiche : Les retours d expérience des collectivités

Plus en détail

DEVELOPPEMENT COMMERCIAL AUX ETATS-UNIS : 10 ERREURS A NE PAS COMMETTRE. SOMMAIRE

DEVELOPPEMENT COMMERCIAL AUX ETATS-UNIS : 10 ERREURS A NE PAS COMMETTRE. SOMMAIRE DEVELOPPEMENT COMMERCIAL AUX ETATS-UNIS : 10 ERREURS A NE PAS COMMETTRE. Nous souhaitons, avec ce document, vous faire partager les écueils que nous constatons chez les PME françaises qui abordent le marché

Plus en détail

Mobilisation des ressources 45. Définition et composantes

Mobilisation des ressources 45. Définition et composantes vec l ouverture du Maroc sur l environnement international et sur les mécanismes et les enjeux planétaires du développement et de la coopération socioéconomique, ainsi qu avec le développement du mouvement

Plus en détail

FINANCES PUBLIQUES CONGOLAISES www.droitcongolais.info

FINANCES PUBLIQUES CONGOLAISES www.droitcongolais.info Ce domaine concerne les règles les finances (l argent) de l Etat. Ce n est pas un domaine facile à comprendre mais il est indispensable de faire un effort pour en saisir l essentiel même de façon sommaire.

Plus en détail

Avec la Solution @rating : L Afrique sur la route du commerce B2B. Par Jérôme Cazes Directeur Général du Groupe Coface

Avec la Solution @rating : L Afrique sur la route du commerce B2B. Par Jérôme Cazes Directeur Général du Groupe Coface C O F A C E 9 novembre 2000 Avec la Solution @rating : L Afrique sur la route du commerce B2B Par Jérôme Cazes Directeur Général du Groupe Coface Le commerce interentreprise s est considérablement développé

Plus en détail