Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

DIGITEMIS : De la cybersécurité à la protection des données personnelles

novembre 2018 par DIGITEMIS

DIGITEMIS a un positionnement unique en alliant deux spécialités : la cybersécurité et la protection des données personnelles. Cette double compétence est confirmée par la qualification PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et par plusieurs labels de la CNIL (Commission Nationale de l’Informatique et des Libertés). Concrètement, cela veut dire que la société a su fédérer trois types de profils très complémentaires : des consultants en cybersécurité, des experts techniques et des juristes spécialisés dans les données personnelles.

Nous avons interrogé deux managers de chez DIGITEMIS, Dimitri DRUELLE, Directeur des opérations, et Anne-Sophie CASAL, juriste senior.

Anne-Sophie CASAL Dimitri DRUELLE

QUESTION - En quoi la double compétence cybersécurité et juridique est utile pour vos clients ?

Anne-Sophie CASAL - La digitalisation des entreprises et la mise en application de nouvelles réglementations (RGPD (Règlement Général sur la Protection des Données), NIS (Network and Information Security), LPM (Loi de Programmation Militaire), etc.) imposent, d’une part aux professionnels de la cybersécurité de comprendre plus finement les enjeux réglementaires et juridiques, et d’autre part aux responsables juridiques d’avoir une vision plus avancée des enjeux de sécurité informatique. Les risques financiers, techniques et juridiques doivent aussi être clairement identifiés par les directions générales.
Les entreprises et les entités publiques prennent conscience qu’il faut avoir une vraie compréhension des aspects techniques, organisationnels et juridiques de la protection des données. Or, nous constatons encore trop de cloisonnement entre ces métiers. Le fait de proposer à nos clients une triple compétence technique, organisationnelle et juridique apporte clairement des réponses complètes à leurs problématiques.

Q - Vous managez à la fois des juristes, des experts et des consultants, quels sont les points communs et les principales différences que vous avez pu identifier dans les approches et façon de travailler ?

Dimitri DRUELLE - Nous retrouvons la même rigueur chez les 3 profils. Ils ont le souci du travail bien fait. Ils ont aussi comme point commun d’identifier les manques, les failles et accompagnent nos clients dans l’augmentation de leurs niveaux de sécurité et de conformité réglementaire.
Leurs approches sont en revanche souvent différentes. Les consultant sécurité ont une approche « Top-Down ». Ils partent des grands principes de sécurité, de la politique ou stratégie de sécurité d’une entreprise et s’assurent des déclinaisons opérationnelles des mesures de sécurité. Les juristes et les experts techniques ont de leur côté une approche « Bottom Up » avec une analyse systématique et fine de la conformité de tous les traitements et de la sécurité d’un système d’information pour en arriver à un plan d’action global au niveau de l’entreprise.
Une autre grande différence entre ces profils est que les consultants ou experts techniques accompagnent souvent leurs réflexions de graphiques et symboles alors que les juristes sont plus littéraires. Comme toujours, les deux approches ont leurs avantages et leurs inconvénients.

Q – Constatez-vous la même chose chez vos clients ?

A.C.- Nous constatons souvent de très fortes collaborations entre équipes techniques et juridiques chez nos clients, mais tout de même pas au point de voir les directions informatiques et les directions juridiques fusionner. En revanche, il est intéressant de constater que plusieurs organisations ont mis sous la même responsabilité les rôles de DPO (Data Protection Officer) et celle de RSSI (Responsable de la Sécurité des Systèmes d’Information), souvent au sein des directions de conformité / direction des risques / secrétariat général. Or, une grande partie des DPO ont une formation juridique quand les RSSI ont un profil d’ingénieur IT. Ainsi, lors des formations que nous proposons pour devenir DPO, nous constatons que les organismes envoient souvent un binôme juridique/informatique se former.
Les enjeux de cybersécurité et de réglementations étant mieux pris en compte par les décideurs, ces deux fonctions ont pris de l’importance dans les entreprises ce qui a tendance à les rapprocher des COMEX. Cela permet d’avoir une approche globale de ces sujets qui sont intimement liés.

Q - Vous avez pu intervenir à plusieurs reprises au Luxembourg, avez-vous constaté des approches différentes ?

A.C.- Nous avons en effet effectué des missions autour de la protection des données personnelles au Luxembourg. Nous n’y avons pas constaté de différences particulières par rapport à la France dans la typologie de profils qui traitent le sujet. Ils ont parfois néanmoins une approche plus pragmatique sans doute liée à leur culture et à la taille des organisations locales.

Q – En quoi vos labels et qualifications apportent-ils de la confiance à vos clients et bénéficient à vos collaborateurs ?

D.D. – En évaluant de manière indépendante nos pratiques, processus, compétences et système d’information, la qualification de Prestataire d’Audit de Sécurité des Systèmes d’Information (PASSI) de l’ANSSI, permet de renforcer la confiance d’un client, puisque ses audits sont réalisés avec des experts aux connaissances reconnues et dans un système d’information permettant de garantir un haut niveau confidentialité.

Les labels de la CNIL permettent de s’assurer que nos processus d’audit prennent en compte les spécificités métiers des domaines de l’assurance, des compteurs communicants ou encore du logement social : ils permettent d’obtenir des résultats comparables et opposables.
Ces différents labels / qualifications sont importants pour nous, car cela fédère autour de pratiques communes nos experts, juristes et consultants. Les améliorations apportées par les uns bénéficient aux autres. C’est aussi un vecteur de reconnaissance de leurs compétences.




Voir les articles précédents