Support
Uncategorised

RGPD : 3 Conseils efficaces

Publié le 8 Mars 2018 - Par Pierre Chapus

La RGPD ? Soit tout le monde est à fond sur le sujet, soit le sujet est dans la pile, en attente de décision ou de l'avancée d'une entité. Dans tous les cas, on vous demandera autant en interne qu'en externe d'être efficace et rentable. 

J'en profite pour vous rappeler les erreurs à ne pas commettre et quelques conseils novateurs exprimés simplement pour aborder le sujet de manière pragmatique :

LES ERREURS A NE PAS COMMETTRE : 

Vous essayez seul : Vous risquez de vous perdre dans les liens inter-domaines et aussi de tenter de couvrir des sujets techniques, légaux et opérationnels liés qui ne sont pas ceux de votre quotidien : La qualité du résultat n'est pas acquise d'avance et les échéances seront impossibles à maintenir. 

Vous prévoyez l'assistance d'un cabinet d'avocat : Parfait à priori sur le plan réglementation, mais la déclinaison technique et opérationnelle restera votre fardeau, pour peu que vous puissiez parfaitement l'identifier. Et du fait des sous-traitances et des chantiers parallèles qui vous incomberont, la charge et surtout le coût final risque de vous déplaire.

Vous trouvez des professionnels de la donnée et vous décidez de vous passer d'avocat : On ne peut imaginer soumettre un cahier légal sans l'assistance d'un professionnel du secteur. Cela reviendrait à acheter directement votre maison au coin de la rue : Quelles garanties auriez-vous sur les tenants et aboutissants ? De la même manière, la CNIL va retoquer votre cahier et votre RGPD devra être réinitialisée.

C'est ces questions et doutes transmis par les DSI qui ont amené le cabinet Haas et Atoo systèmes à s'allier pour enfin proposer le meilleur :

- La spécialisation poussée du cabinet dont les dizaines d'avocats spécialisés aident actuellement nombre d'organisations à franchir le cap RGPD avec l'assurance de la meilleure conformité

- La spécialisation poussée d'Atoo systèmes sur la gestion et la protection de la donnée et les spécificités d'infrastructures locale et Cloud: Atoo systèmes assiste les DSI pour prendre les bonnes orientations d'évolution et s'orienter vers des solutions pérennes conformes aux stratégies.

Notre objectif commun est la réussite du projet RGPD sous un jour le plus positif possible : La compétence et l'osmose commune permet :

- de raisonner la RGPD en projet usuel et bordé sans crainte

- de soumettre rapidement un résultat conforme à la CNIL

- de réorganiser progressivement la donnée, les flux et l'exécution des services rendus, en ligne avec les objectifs.

Vous bénéficierez alors d'une vue claire sur une RGPD proactive et positive plutôt qu'une sur-couche réglementaire sur un existant aux contours incertains.

Vous aurez amélioré les flux et l'exploitation quotidienne en les modélisant pour un avenir plus facile. Vous vous aurez autorisé à faire de la RGPD un projet d'efficacité et de retour positif sur investissement.

NOS 3 CONSEILS POUR REUSSIR VOTRE RGPD : 

1 - Arrêtons de se faire peur avec l'échéance du 25 mai.

Vous devez démarrer le sujet au plus tôt pour vous organiser sans secousse. Votre objectif final est de remettre à la CNIL un premier cahier déclaratif dès cette année, un cahier qui montre que le sujet obtient chez vous les premiers résultats tangibles d'une prise de conscience qui découle en actions réelles. Et que le travail commencé se poursuit: Ce cahier est en évolution et en bonnes mains ! Un avocat conseil spécialisé sera d'une aide précieuse pour vous aider à fixer les objectifs et définir les jalons du projet.

2 - Identifions ce qu'il peut y avoir sous le tapis.

Il s'agit d'un projet comme un autre. Les données et leurs traitements sont complexe, ou même pagaille dans certains recoins, avouons-le ! Cependant, le projet RGPD va nous permettre de classifier peu à peu, d'abord pour les pavés principaux, puis le reste va suivre à son rythme. Un spécialiste de la data rompu aux audits ne sera pas de trop pour assister votre clairvoyance.

3 - Profitons du projet RGPD pour démarrer une réorganisation,

et éviter ainsi les coûts récurrents sur le sujet : Le sujet est vaste et à terme, le traitement des données devra suivre un modèle quasiment "un clic" qui devra en plus être accessible au propriétaire externe des données. Impossible aujourd'hui, ces fonctions seront accessibles par une réorganisation au moins partielle des emplacements et flux de données.

Deux conséquences :

La phase de la RGPD demandant de classifier les données est celle qui fait mal, 

mais aussi celle où se trouve le plus d'espoirs !

Ces données sont :

  • en partie bien rangées dans les bases de données structurées,
  • et en partie accumulées comme des années de poussières dans votre galaxie d'emplacements, que ce soit sur le stockage de production, les postes de travail et les Clouds d'entreprise ou personnels non tracés. En un mot, ces accumulations floues sont impossible à trier sans aide. Là se trouve la game d'outils allant de la gouvernance des données jusqu'au "deep learning" selon vos moyens. Il est urgent dans ce cas de vous faire conseiller sur la meilleure méthode adaptée à votre cas particulier.

  - Lorsque vous aurez identifié les emplacements des données et leur processus actuels ( génération / extraction / publication / suppression), vous pourrez déterminer ce qu'il vous manque: Soit il y aura du travail à planifier pour vos devops internes, soit il faudra planifier l'évolution et ses étapes. Dans tous les cas, il faudra du temps, et l'Europe en est consciente. Profitez-en pour bâtir des fondations pérennes : Un auditeur en flux et méthodes et en architecture fonctionnelle vous guideront vers les voies les plus efficaces et les plus pérennes.

Avec les trois conseils cités plus haut, vous tenez un fil conducteur solide et clair pour vous mettre le pied à l'étrier. Atoo systèmes vous supporte pour la réussite de ce projet à la fois règlementaire et différenciateur, vous en ferez ainsi un succès d'efficacité future dans votre structure.

Lire la suite

STIHL

Retour d'expérience

L'état initial de TSM, comment Atoo est intervenu sur ce périmètre, et sur le stockage ?

Atoo assure notre support sur TSM depuis plusieurs années. Quand je tombe sur une difficulté Atoo intervient, et fait un partage d'écran et même des prises de main à distance. J'ai pu moi même apprendre à réaliser des opérations sur TSM comme par exemple la réclamation d'espaces, la gestion des cassettes ou d'autres points qui m'étaient alors inconnus. Maintenant je sais faire plus d'opérations par moi-même

1. Quels sont les plus de ces services, ce que ça a apporté ?

- Voir les anomalies plus facilement, pouvoir surveiller ce qui se passe et intervenir sur l'essentiel.

2. Ce que vous appréciez chez Atoo ?

- J'apprécie la rapidité d'intervention, on ne me laisse pas mariner, c'est appréciable. Les interventions se passent bien, en bonne entente avec les équipes.
Interlocuteurs, j'ai un interlocuteur privilégié.

Monsieur Desse - STIHL

L'interviewé

Monsieur Desse - Stihl

L'entreprise

Depuis ses tout débuts, STIHL utilise des technologies révolutionnaires et des idées novatrices. Cela fait plus de 90 ans que STIHL est synonyme de hautes technologies. Aujourd'hui la marque est connue dans le monde entier grâce à ses qualités et ses services.

Voir d'autres témoignages

Retour aux autres références

Lire la suite

TAXIS G7

Retour d'expérience

Nous avons déployé progressivement au cours des 25 dernières années, des systèmes de plus en plus nombreux et variés. Nous avions besoin de faire un état des lieux pour voir où nous en étions vis-à-vis de la sécurité de notre architecture et de nos infrastructures, afin de vérifier qu’elle répondait bien à nos objectifs. Nous avions besoin de conseils experts pour consolider ce niveau de sécurité le cas échéant.

Nous avons choisit la solution IBM Spectrum Protect (anciennement nommée TSM). 

Il y a eu une dizaine de jours de prestations, qui se sont répartis entre des tests d’intrusions externes et des tests d’intrusions internes. Ensuite, un reporting sur l’état des lieux et les recommandations de sécurité a été réalisé.

Les tests se sont très bien déroulés, avec un niveau d’expertise qui répondait à nos attentes. Ils ont été réalisés sur la base de nos descriptifs mais également de façon ouverte, avec vos outils spécialisés, de manière à voir ce à quoi nous n’avions peut être pas suffisamment fait attention.

L'audit s'est bien déroulé. Un très bon contact s’est instauré entre les experts qui sont venus intervenir et nos propres équipes. Un audit de sécurité est forcément un petit peu troublant mais le fait que nous soyons en confiance nous a permis de travailler en étroite collaboration.

Il y a eu une phase durant laquelle nous avons laissé les experts travailler seuls, de manière à ce qu’ils ne soient pas influencés par nos orientations et directives. Ensuite, de manière à cerner plus précisément les besoins, nous les
avons orientés sur les points de fragilités supposés, pour que l’on puisse tester notre robustesse sur ces points précis. La deuxième phase a donc été réalisée de concert afin d’identifier plus rapidement les éléments essentiels.

Nous avons été rassurés sur le bon état global de notre sécurité. Aucun point critique n’a été décelé et notre installation était globalement bien sécurisée. Certains points de faiblesses, dont nous avions la connaissance mais pour lesquels nous souhaitions mieux cerner les impacts et la meilleure façon de les résoudre, ont été précisé. Quelques points originaux ont aussi été repérés, qui nous ont permis de définir des améliorations complémentaires pertinentes pour notre sécurité.

Tout ceci est beaucoup lié à la variété de nos applications, consécutive au développement continu et souvent intense de nouveaux services et produit. Dans l’urgence du moment, nous n’avons pas toujours le recul nécessaire pour identifier les bons choix de sécurité. De plus, une solution qui peut paraître sécuritaire à un instant ne l’est plus forcément ultérieurement, lorsque son environnement a évolué.

Nous avons les bons axes d’optimisation, de consolidation et surtout les bons conseils pour l’avenir. Le but étant de pouvoir aller rapidement dans la bonne direction. Nous avions conscience de quelques petites fragilités, notamment dans les problématiques de gestion de partage et de contrôleurs de domaine vis-à-vis d’une possible intrusion interne. Nous souhaitions bien consolider cela et de ce fait, nous avons apprécié la qualité des conseils fournis.

Il s’agit d’une très bonne première étape qui montre que nous avions fait du bon travail mais que nous n’étions pas infaillibles et que l’avis des experts était précieux. Nous possédons dès à présent une vraie feuille de route, qui va au-delà de l’identification des correctifs immédiats et simple à apporter, afin de pouvoir continuer à optimiser notre sécurité informatique.

Cyril Metz - Directeur des systèmes d'information et de la technologie

L'interviewé

Cyril Metz - Directeur des systèmes d'information et de la technologie

L'entreprise

La société SNGT, connue sous son nom commercial « TAXIS G7 », est une société de service qui met en relation des clients utilisateurs de taxis avec des chauffeurs de taxis affiliés. Nous avons aujourd’hui 7500 chauffeurs de taxis affiliés et un chiffre d’affaires de 80 millions d’euros. Nous opérons entre 1 et 1,5 millions de courses chaque mois.

Voir d'autres témoignages

Retour aux autres références

Lire la suite

Plus d'articles...

Copyright Atoo Systèmes & Services
Expert en protection de la donnée
Copyright Atoo Systèmes & Services
Expert en protection de la donnée