Où se situe la protection de l’information dans le SI ?
Le SI a pour objectif d’identifier, de collecter, de traiter et de diffuser l’information ou la donnée à la bonne personne attributaire sous une forme utilisable et compréhensible afin de faciliter sa prise de décision dans son action ou sa stratégie. Afin d’atteindre ses objectifs, il est nécessaire que l’information soit protégée contre tout risque de destruction, de détérioration, de piratage ou de divulgation. La protection de l’information est donc assurée par le dispositif technique, l’application et les usagers du SI.
Les mesures de protection de l’information de l’infrastructure :
Le système informatique est protégé par les anti-virus, les anti-spams, les anti spyware /adware et est renforcé par :
– Les contrôles d’accès : les authentifications des usagers à l’entrée du SI ;
– Les sécurités réseaux : l’utilisation de pare-feu, de routeur filtrant permet de contrôler les échanges entrant et sortant du SI ;
– Les solutions de virtualisation : réseau local virtuel (ou VLAN) et un réseau virtuel prive (VPN) ;
– Les solutions d’externalisation : les serveurs dupliqués ou hébergés hors site de l’entreprise.
Les mesures de protection de l’information de l’application :
Les applications disponibles sur le marché doivent satisfaire la réglementation en vigueur (loi Informatiques et libertés, code des postes et télécommunications, horodatage, gestion des droits, RGS, RGI, RGDP,…) et notamment certaines normes. Par exemple, dans le cas d’une GED où le workflow est permis, la sécurité de l’information sera assurée par sa mise en conformité à la norme AFNOR 15489-2. Certaines applications proposent également les contrôles d’accès et les solutions d’externalisation pour permettre une protection de l’information suite à un incident (incendie, dégât des eaux, …). Les données pertinentes pour l’entreprise contenues dans l’application sont stockées en silo et ne peuvent être vues par une tierce personne non autorisée.
Les mesures de protection de l’information du personnel :
La charte informatique est un document technique définissant les règles de bonne utilisation du SI mis à la disposition des usagers. L’utilisation de l’intranet, d’internet et de la messagerie y est souvent définie. Enfin, la sensibilisation est l’une des mesures d’accompagnement à privilégier auprès des utilisateurs afin qu’ils connaissent leurs droits et obligations et qu’ils adoptent les bons réflexes lors de son utilisation. Un climat de confiance doit être instauré.
Les solutions Big Data peuvent-elles passer outre ces mesures de protection de l’information ?
La loi métropolitaine « Informatique et Libertés [7]» garantit au citoyen qu’en cas de collecte de données à caractère personnel, celui-ci doit être consentant et qu’il doit savoir qui collecte quelles informations et pour en faire quoi.
Toutefois, les solutions Big Data remettent en question cette garantie.
En effet, dans le cadre de l’intégration de solution Big Data, la récolte d’informations (essentiellement issues de profil) permettant le croisement des données de différentes sources et donc de différentes bases de données s’avèrent essentiel pour obtenir des informations à valeur rajoutée pour l’entreprise.La garantie définit par la loi de 1978 est renforcée par l’adoption en 2016 par le Parlement Européen du RGPD [8]. A noter que les états membres ont jusqu’en 2018 pour promulguer et donc appliquer ledit règlement sur leur territoire respectif. Ainsi, les entreprises seront contraintes d’informer dans un langage simple et clair lors de récolte de données personnelles et de concevoir des fonctionnalités par défaut et des produits de sorte de collecter et traiter le moins possible des données à caractère personnel. Il est tout de même rappelé que le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant des données personnelles.
La mise en œuvre par les entreprises de tout ce dispositif sera latente par rapport à l’entrée en vigueur de normes juridiques et donc par effet de ricochet par rapport à l’évolution technologique. La capacité analytique trouvera certainement ses limites (elle peut être augmentée jusqu’à un certain moment d’après le principe d’Heisenberg et de Godel) entrainant de fait que la pertinence des informations stockées et traitées baisse. Alors qu’adviendra–t–il de toutes ces normes juridiques lors du revirement de la technologie vers une analyse synthétique ?
NOTES———————————————–
[7] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[8] Règlement général sur la protection des données
article tres sympa et informatif!!