Frans Imbert-Vier
Decideo : Toutes les données de l'entreprise n'ont pas la même importance et ne présentent pas les mêmes risques. Elles ne nécessitent donc pas toutes le même niveau de protection. Lors du passage en télétravail, doit-on gérer de manière différentes ces types de données ? Et avec des outils différents ?
Frans Imbert-Vier : Lorsqu’un utilisateur se connecte en télétravail au travers d’une solution VPN sur le système d’information de l’entreprise, le système ne fait pas de distinction selon la nature de la donnée. Ce privilège est accordé par les systèmes de l’entreprise, a commencé par le Firewall puis l’Active Directory qui détermine les droits de l’utilisateur. Ainsi, que le collaborateur soit à l’intérieur de l’entreprise ou à l’extérieur, les privilèges de sécurité attribués à chaque catégorie de données sont les mêmes. Mais en tout état de cause, le risque matériel augmente avec la possibilité de perdre l’ordinateur ou de se le faire voler. Si le disque dur n’est pas chiffré, l’entreprise ne pourra démontrer qu’elle a mis les moyens proportionnés pour assurer la sécurité de la donnée (Art. 32). Enfin, en termes d’intelligence économique, il y a un risque sensible à permettre un accès distant aux systèmes de l’entreprise qui comprenne une donnée tactique ou/et stratégique. Ces données nécessitent une attention particulière et des systèmes spécifique de controle et de durcissement d’accès en complément d’une sensibilisation toute particulière auprès du collaborateur qui exploite cette donnée.
Decideo : Une fois les données "sorties" de l'entreprise, celle ci n'en a plus le contrôle. Doit-on s'en remettre totalement à la confiance dans les salariés pour poursuivre leur protection ?
Frans Imbert-Vier : Dans la mesure où l'ordinateur utilisé pour le télétravail a été fourni et configuré par l’entreprise, il y a encore une maîtrise de l’information, mais moins dynamique et à des niveaux d’administration inférieurs. Cela est tributaire de la performance de la solution mise en place par l'employeur et des gouvernances. De façon générale les grandes entreprises ont un système par définition satisfaisant. Les PME et ETI sont parfois moins équipés avec des solutions de télétravail à petite échelle qui ont pour but de « dépanner » et n'offrent donc pas une sûreté très avancée.
Decideo : Y a-t-il des règles particulières liées aux données personnelles et à l'application du RGPD ?
Frans Imbert-Vier : L’entreprise est responsable des données et par conséquent de ce que le salarié en fait. Mais si le salarié est victime d’une attaque informatique à son domicile sur l’ordinateur de l’entreprise, c’est l’employeur qui est responsable.
La règle essentielle est de s’assurer que le collaborateur a bien été sensibilisé sur le RGPD et qu’il sait ce qu’il peut faire, doit faire et surtout ne jamais faire. C’est donc avant tout un problème d’ingénierie sociale portée par la DRH et la DSI de l’entreprise sans omettre le département juridique qui aura bien validé en amont la conformité du message.
Decideo : Vu sous l'angle de la protection des données, le passage à une informatique en cloud est-il un point positif ou négatif ?
Frans Imbert-Vier : C’est un point de vue discutable pour plusieurs raisons. Un cloud consiste à déléguer l’infrastructure de son système d’information à un tiers. Ce transfert de responsabilité opérationnel ne désengage pas le détenteur de la donnée de sa responsabilité au regard du règlement européen. En tout état de cause, c’est l’initiateur du traitement (collecte, traitement, stockage) qui est responsable. Ainsi on peut résumer qu’un Cloud ne permet pas de transférer la responsabilité, au contraire. L’entreprise devra s’assurer par tout moyen que son prestataire cloud respecte la législation et prend les mesures adaptées pour assurer la sécurité du système (Art. 32).
Frans Imbert-Vier : Lorsqu’un utilisateur se connecte en télétravail au travers d’une solution VPN sur le système d’information de l’entreprise, le système ne fait pas de distinction selon la nature de la donnée. Ce privilège est accordé par les systèmes de l’entreprise, a commencé par le Firewall puis l’Active Directory qui détermine les droits de l’utilisateur. Ainsi, que le collaborateur soit à l’intérieur de l’entreprise ou à l’extérieur, les privilèges de sécurité attribués à chaque catégorie de données sont les mêmes. Mais en tout état de cause, le risque matériel augmente avec la possibilité de perdre l’ordinateur ou de se le faire voler. Si le disque dur n’est pas chiffré, l’entreprise ne pourra démontrer qu’elle a mis les moyens proportionnés pour assurer la sécurité de la donnée (Art. 32). Enfin, en termes d’intelligence économique, il y a un risque sensible à permettre un accès distant aux systèmes de l’entreprise qui comprenne une donnée tactique ou/et stratégique. Ces données nécessitent une attention particulière et des systèmes spécifique de controle et de durcissement d’accès en complément d’une sensibilisation toute particulière auprès du collaborateur qui exploite cette donnée.
Decideo : Une fois les données "sorties" de l'entreprise, celle ci n'en a plus le contrôle. Doit-on s'en remettre totalement à la confiance dans les salariés pour poursuivre leur protection ?
Frans Imbert-Vier : Dans la mesure où l'ordinateur utilisé pour le télétravail a été fourni et configuré par l’entreprise, il y a encore une maîtrise de l’information, mais moins dynamique et à des niveaux d’administration inférieurs. Cela est tributaire de la performance de la solution mise en place par l'employeur et des gouvernances. De façon générale les grandes entreprises ont un système par définition satisfaisant. Les PME et ETI sont parfois moins équipés avec des solutions de télétravail à petite échelle qui ont pour but de « dépanner » et n'offrent donc pas une sûreté très avancée.
Decideo : Y a-t-il des règles particulières liées aux données personnelles et à l'application du RGPD ?
Frans Imbert-Vier : L’entreprise est responsable des données et par conséquent de ce que le salarié en fait. Mais si le salarié est victime d’une attaque informatique à son domicile sur l’ordinateur de l’entreprise, c’est l’employeur qui est responsable.
La règle essentielle est de s’assurer que le collaborateur a bien été sensibilisé sur le RGPD et qu’il sait ce qu’il peut faire, doit faire et surtout ne jamais faire. C’est donc avant tout un problème d’ingénierie sociale portée par la DRH et la DSI de l’entreprise sans omettre le département juridique qui aura bien validé en amont la conformité du message.
Decideo : Vu sous l'angle de la protection des données, le passage à une informatique en cloud est-il un point positif ou négatif ?
Frans Imbert-Vier : C’est un point de vue discutable pour plusieurs raisons. Un cloud consiste à déléguer l’infrastructure de son système d’information à un tiers. Ce transfert de responsabilité opérationnel ne désengage pas le détenteur de la donnée de sa responsabilité au regard du règlement européen. En tout état de cause, c’est l’initiateur du traitement (collecte, traitement, stockage) qui est responsable. Ainsi on peut résumer qu’un Cloud ne permet pas de transférer la responsabilité, au contraire. L’entreprise devra s’assurer par tout moyen que son prestataire cloud respecte la législation et prend les mesures adaptées pour assurer la sécurité du système (Art. 32).
A propos de Frans Imbert-Vier
Ancien DSI pendant plus de vingt ans, passé par Apple, OMNICOM et le groupe Marie Claire, Frans Imbert-Vier crée sa propre société de conseil en cybersécurité.
CEO d'UBCOM, l'Agence Conseil en stratégie de cyber sécurité basée en Suisse, Frans Imbert-Vier apportera un éclairage ludique et disruptif sur le sujet de la cybersécurité.
À 49 ans, ancien CIO du Groupe Omnicom pour TBWA, il a travaillé durant plus de 15 ans à la protection du secret des grandes marques internationales.
Intervenant à l'ISEP (Institut Supérieur d'Électronique de Paris) , il publie de nombreuses tribunes et fait référence dans le monde de la cyber sécurité et les sujets relevant de la souveraineté politique et technique d'une donnée.
Stratégiquement il choisit d'implanter son siège social en Suisse là où la protection de la donnée est inscrite dans la Constitution comme un droit inaliénable. Il ouvre ensuite un bureau à Paris puis à Luxembourg.
CEO d'UBCOM, l'Agence Conseil en stratégie de cyber sécurité basée en Suisse, Frans Imbert-Vier apportera un éclairage ludique et disruptif sur le sujet de la cybersécurité.
À 49 ans, ancien CIO du Groupe Omnicom pour TBWA, il a travaillé durant plus de 15 ans à la protection du secret des grandes marques internationales.
Intervenant à l'ISEP (Institut Supérieur d'Électronique de Paris) , il publie de nombreuses tribunes et fait référence dans le monde de la cyber sécurité et les sujets relevant de la souveraineté politique et technique d'une donnée.
Stratégiquement il choisit d'implanter son siège social en Suisse là où la protection de la donnée est inscrite dans la Constitution comme un droit inaliénable. Il ouvre ensuite un bureau à Paris puis à Luxembourg.
Autres articles
