Flux RSS
Gouvernance
245 documents trouvés, affichage des résultats 61 à 70.
| < Les 10 documents précédents | Les 10 documents suivants > |
(27/05/2010 17:51:47)
Affaire Acadomia : Une gestion catastrophique des données privées
Plusieurs de nos confrères, à commencer par Le Parisien ont fait état d'une délibération encore non-publiée de la CNIL mettant en cause le groupe d'intermédiation en enseignement privé à domicile Acadomia, plus exactement la société AIS 2. L'affaire prenant de l'ampleur au fil des reprises de l'information faute d'une réponse rapide de la mise en cause, la CNIL a publié sur son site la délibération en question, en date du 22 avril 2010, afin d'éclaircir la situation. A son tour, Acadomia a alors publié une réponse laconique dénonçant plusieurs inexactitudes et indiquant que certains problèmes réels étaient en voie de règlement. Les effets sur l'image d'Acadomia de ce scandale seront sans doute considérables. Après l'affaire des huissiers, c'est une nouvelle démonstration de l'importance d'une bonne gestion des fichiers nominatifs.
Des mentions illicites
Le problème initial est la présence dans des fichiers d'enseignants, de postulants à des postes d'enseignants, de parents et d'enfants de mentions illicites, souvent insultantes. L'existence de ces mentions illicites montre une nouvelle fois le danger des zones de commentaires libres dans le traitement de données nominatives. Certaines informations ont été collectées abusivement, notamment le numéro INSEE « de sécurité sociale » dont l'usage est très encadré, étant une clé potentielle de nombreux recoupements illégitimes d'informations sensibles.
Par ailleurs, la nature même des fichiers pose soucis : Acadomia insiste sur le fait que les fichiers concernés ont été déclarés alors que, selon la CNIL, les déclarations ne sont pas conformes à la réalité. Par exemple, Acadomia aurait utilisé une norme simplifiée inappropriée et sans respecter ses limites et prescriptions. Parmi ces prescriptions, la durée de conservation des informations est un élément essentiel.
Crédit photo D.R.
[[page]]
Introduites par la réforme de 2004 de la loi Informatique et Libertés, les normes simplifiées sont conçues pour alléger les obligations déclaratoires des entreprises. Il suffit en effet d'indiquer qu'un traitement courant (comme une gestion de personnels par exemple) respecte une norme précise pour être dispenser de le décrire en détail, la description étant incluse dans la norme. Or si, pour une raison quelconque, le traitement -même légitime- ne respecte pas strictement une norme, une déclaration ordinaire complète doit être réalisée. La CNIL peut alors juger de la pertinence et de la légalité de chaque élément par rapport à la finalité déclarée du traitement.
La différence d'interprétation des faits entre Acadomia et la CNIL semble bien relever des difficultés d'application au cas d'espèce d'une norme simplifiée, en l'occurrence celle consacrée à la gestion du personnel. Certains traitements n'auraient pas été, de toutes les façons, déclarés. Une déclaration inexacte ou manquante peut être punie de 5 ans d'emprisonnement et 300 000 euros d'amende.
Une sanction des plus légères aux effets graves
Malgré les graves manquements constatés et relevés par nos confrères comme dans le communiqué de la CNIL, l'autorité administrative n'a prononcé qu'un simple avertissement destiné de toutes les façons à publication. Cette sanction est la plus légère que peut prononcer la CNIL (en dehors d'une simple mise en demeure de respecter la loi) et son côté dissuasif repose uniquement sur l'effet catastrophique sur l'image de l'entreprise parmi ses clients, fournisseurs et partenaires, notamment lorsque cette entreprise est cotée en bourse. Au moment où nous écrivons cet article, le cours d'Acadomia est d'ailleurs en chute.
Il est donc crédible que, comme Acadomia l'indique, le groupe travaille actuellement à réparer des dysfonctionnements locaux et limités.
Malgré tout, dans des circonstances assez similaires concernant des études d'huissiers, la CNIL avait, suite à un premier contrôle, adressé un simple avertissement et un rappel à la loi puis, suite à un second contrôle ayant vérifié la non-prise en compte de l'avertissement, sanctionné les coupables d'une lourde amende administrative.
L'impact de cette affaire sur l'image d'Acadomia sera sans aucune doute considérable. Les DSI doivent donc toujours être conscients de l'importance majeure de convenablement gérer les fichiers de données nominatives, surtout concernant leurs clients. (...)
Intelligence économique : Total et Doublet SA affichent des stratégies antinomiques
Lors de la deuxième conférence annuelle sur le thème de l'intelligence économique, organisé à Paris par les Échos, deux entreprises françaises, Total et Doublet SA ont exposé leur manière d'appréhender l'intelligence économique et de se prémunir contre les menaces extérieures. Il est intéressant de voir combien ces deux sociétés ont des pratiques différentes, tout en partageant un objectif commun, se protéger.
Autrefois spécialisée dans la fabrication artisanale de drapeaux, Doublet SA s'est aujourd'hui reconvertie dans l'évènementiel. Luc Doublet, président de la société rappelle combien la technologie est une vecteur central de l'entreprise. Au sein de son entité, il a décidé d'adopter le principe de transparence. Il précise : « nous avons ouvert tous nos systèmes d'information, rien n'est caché ». Il ajoute que « pour trouver une information, il faut savoir où elle se trouve car elle est noyée dans la masse, sachant qu'il faut savoir l'interpréter. » Son objectif est avant tout de créer l'échange au sein de son entreprise, qui pour lui sont source d'innovation. « Chaque collaborateur a une vision sur l'entreprise. » En étant totalement transparent, « tout est tracé dans notre entreprise », précise Luc Doublet. Par ailleurs, cette politique leur permet d'être d'autant plus réactif. Le dirigeant donne à ce titre l'exemple d'une commande envoyée par un client un jeudi soir. Des personnes présentes dans les locaux ont intercepté le document et la commande a pu être livrée le vendredi soir comme convenu.
Culture du doute chez Total
De son côté, Jean-Michel Salvadori, directeur intelligence économique du groupe Total, annonce que « chez Total, la diffusion de l'information se fait plutôt sous format papier que par la voie électronique, et peu de destinataires sont généralement concernés. » Ainsi, contrairement à la société Doublet SA, le groupe est très prévoyant quant à la diffusion d'information en interne comme en externe. « Nous devons être en permanence dans une culture du doute », déclare Jean-Michel Salvadori. L'intelligence économique est prise en charge à deux niveaux, le service stratégie et le service Intelligence Economique. Il y a deux ans, une cellule spécialisée composée d'une dizaine de professionnels a été créée, et a pour mission de délivrer des analyses et des informations à leur clientèle interne que sont les directeurs métiers. Jean-Michel Salvadori précise que « l'objectif de l'intelligence économique est d'anticiper et de détecter les menaces, d'aider les directions métiers à faire des choix, et de contribuer à la création d'un avantage concurrentiel. » Il ajoute que ce service traite avec les ONG, les prestataires ainsi que les médias pour obtenir des informations et réaliser des analyses.
Photo : (De gauche à droite) Marc Willeme, responsable dispositif IES au sein du groupe EADS Defense & Communications Systems, Philippe Trouchaud, Associé de PricewaterhouseCoopers, Jean-Michel Salvadori, Directeur Intelligence Economique du Groupe Total, Luc Doublet, Président de Doublet SA et Michel Mollard, Membre du directoire d'Euler Hermes. Crédits DR
[[page]]
Les entreprises ont donc chacune leur stratégie pour anticiper et éviter les attaques de la part de tiers. Olivier Buquen, délégué interministériel chargé de l'intelligence économique, précise que le plus fréquemment, les entreprises doivent faire face à plusieurs types d'offensives, les risques financiers et informatiques, les intrusions consenties, les atteintes de savoir-faire et de l'image, ainsi que les vulnérabilités humaines. Mais les grandes compagnies ne sont pas les seules concernées, les PME sont également la cible de telles attaques, quelque soit leur secteur d'activité. Il insiste sur le fait que plus de la moitié de ces incidents sont commis sans infraction légale.
5 actions pour renforcer l'intelligence économiques en France
Alors que ces problématiques d'intelligence économique deviennent centrales pour les entreprises, le gouvernement a, à ce titre, fondé une délégation interministérielle chargée d'aider l'Etat à mettre en place des politiques relatives cette question. D'après Olivier Buquen, cette structure a pour objectif de déployer cinq actions prioritaires qui sont de renforcer la protection des informations stratégiques des entreprises, d'élaborer une grille d'évaluation du niveau de protection de l'information dans l'entreprise, de participer activement aux organismes d'Etat qui interagissent avec les sociétés, d'accompagner les instituts de recherche publique dans le lancement d'une dynamique d'intelligence économique et à terme, faire suivre à tous les étudiants un module d'intelligence économique pour acquérir des réflexes d'une veille structurée et de protection des données.
Trophées LMI/CIO 2010 : le palmarès
Organisés annuellement depuis dix ans par Le Monde Informatique et CIO, les Trophées Entreprises et Société de l'Information récompensent les meilleures contributions de l'informatique à l'efficacité de l'entreprise. Le palmarès 2010 a été proclamé à la suite de la conférence Améliorer les Performances de son SI, le 20 mai 2010 à l'Automobile Club de France, place de la Concorde à Paris.
Voici le palmarès 2010 :
Trophée de la Transformation
Le lauréat est : AGIRC-ARRCO, pour la mise en place d'un SI convergent entre les institutions de retraite complémentaire affiliées.
Étaient également nominés : Pentalog High Tech (pour la mise en oeuvre de Mona, un système de gestion de tâche multicanal comprenant chat, SMS, téléphone...) et Scor (pour la mise en place d'une gestion des risques avec collecte des données d'intelligence économique).
Trophée de la Responsabilité Sociale de l'Entreprise
Le lauréat est : l'ADMR, pour la mise en oeuvre d'une télégestion des intervenants à domicile
L'agence de la Biomedecine était également nominée pour sa refonte du SI et de la gouvernance du SI avec centrage autour des MOA, face à la croissance des missions.
Prix Spécial du Jury mention Développement Durable
Le lauréat est Bouygues Télécom pour son processus Green-IT itératif.
Trophée de l'Innovation
Le lauréat est Total / Totalgaz pour sa nouvelle bouteille de gaz, SHESHA, communicante avec suivi par tag RFID dans la chaine logistique et la gestion de son cycle de vie
Etait aussi nominé Cofiroute Vinci Autoroutes pour la mise en place d'une plate-forme de tests et de validation des systèmes de contrôle de la A86.
Trophée de la conduite du changement
Le lauréat est Legrand, pour la mise en oeuvre d'une GRC SaaS auprès de 500 utilisateurs dans le cadre d'une refonte de la relation client.
Le cabinet Mazars a aussi été nominé, pour mise en place d'un Core Model ERP permettant l'alignement des procédés au sein de l'entreprise et une meilleure intégration dans l'ensemble du réseau où chaque cabinet d'audit local est autonome
Grand Prix
Le lauréat est Air France, pour la refonte du SI et des processus de gestion des escales.
Etaient également nominés : Total / Totalgaz (pour sa nouvelle bouteille de gaz, SHESHA, communicante avec suivi par tag RFID dans la chaine logistique et la gestion de son cycle de vie) ainsi que l'ADMR (pour sa mise en oeuvre d'une télégestion des intervenants à domicile). (...)
EMC, Intel et VMware s'associent pour garantir la sécurité des clouds privés
L'objectif de cette alliance est d'établir « un socle commun de confiance pour déployer des environnements clouds», avec des caractéristiques physiques et des politiques de sécurité communes, explique Sam Curry, directeur technique de la division RSA Security d'EMC. Les plates-formes clouds privés rassemblent habituellement des applications sur la même base hardware, mais Sam Curry pointe que certains types de données ne peuvent pas être mélangées à d'autres en raison de règlementations gouvernementales ou d'obligations corporatives (Bale II par exemple). Ce partenariat ne se traduira pas dans les faits par un produit mais plutôt dans la démonstration que les technologies des deux sociétés* peuvent être combinées pour renforcer la sécurité dans les clouds. Ces travaux pourront ensuite être utilisés par les fournisseurs de services pour aider leurs clients à construire des clouds privés derrière leur pare-feu ou un cloud dédié rassemblant des services hébergés chez un tiers. «Nous croyons que, dans un futur très proche, un grand nombre d'entreprises et d'administrations utiliseront des services fournis par des clouds. Et ces dernières pousseront leurs prestataires à renforcer la sécurité des couches matérielles et à améliorer l'efficacité des hyperviseurs » poursuit Sam Curry. Ce dernier précise encore que les fournisseurs de clouds devront garantir une plus grande visibilité quant à la sécurité de leurs plates-formes matérielles en produisant automatiquement des rapports normalisés sur la configuration de l'infrastructure physique et virtuelle, et fournir ainsi la preuve que cette infrastructure est conforme aux politiques de sécurité et de protection des données. Combinaison de technologies La démonstration des deux sociétés* reposait sur la combinaison des technologies d'authentification des processeurs Intel, des ressources proposées par VMware pour la collecte des données relative à l'infrastructure physique et virtuelle et enfin des informations issues de la plate-forme RSA, qui identifie les menaces potentielles à la sécurité et la conformité. Ces informations sont ensuite passées à la moulinette des outils de conformité d'Archer Technologies, une société récemment acquise par EMC. Archer Technologies propose toute une suite d'outils qui évalue les risques, met en place des règles, surveille leur application, rapporte les incidents, réalise des audits... L'un des avantages de cette approche est d'affiner le contrôle de l'application de politiques différenciées dans les clouds privés. Savoir précisément sur quel serveur physique s'exécute une machine virtuelle, quels locataires ou entités commerciales cohabitent et partagent leurs ressources. Sam Curry conclut en indiquant que des fournisseurs tiers proposeront des services fondés sur cette première démonstration dans les six prochains mois. *Comme RSA, Archer et VMware sont détenues par EMC, cette collaboration comprend seulement deux entreprises indépendantes, EMC et Intel. (...)
(27/01/2010 14:41:00)Participer aux Trophées CIO 2010
Pour fêter la dixième édition des Trophées CIO et ouvrir à des perspectives internationales, les lauréats, nominés et candidats obtiendront des services professionnels gratuits pour une valeur jusqu'à plus de 10 000 euros grâce à un partenariat avec CIO Etats-Unis. Ainsi le DSI de l'entreprise remportant le Grand Prix bénéficiera gratuitement durant un an du CIO Executive Council, service de mise en relation internationale dédié aux DSI d'une valeur de 15 000 dollars (environ 10 600 euros). Lancé en avril 2004 par la société mère de CIO Etats-Unis, dont CIO France est une déclinaison, le CIO Executive Council réunit des centaines de DSI du monde entier. Le Connecting Point est le principal avantage de l'adhésion au CIO Executive Council : il s'agit d'un réseau permettant aux directeurs informatiques de rapidement contacter des homologues pour partager leurs découvertes et diverses informations cruciales afin de prendre de meilleures décisions. La « sauce secrète » du Council est une vaste base de données cryptées sur les besoins, les intérêts, les objectifs et l'expertise de ses membres. Grâce à ces informations, les directeurs de programmes jouent un peu le rôle de concierge de grand hôtel auprès des membres, organisant les connexions de consultation entre pairs, les engagements collaboratifs créateurs de valeur et les participations à des conférences ou à des publications. Les DSI des entreprises lauréates des autres prix bénéficieront de 3 mois de service du CIO Executive Council. Télécharger le dossier de candidature Aux cadeaux offerts par nos homologues américains, séduits par l'approche de valorisation de la gouvernance SI adoptée par les Trophées Entreprises et Société de l'Information depuis dix ans, CIO France a décidé d'ajouter sa propre contribution. Tous les DSI d'entreprises utilisatrices ayant déposé un dossier de candidature convenablement rempli bénéficieront gratuitement de six mois de CIO Club France, le réseau social adossé à CIO. Sur le site des Trophées Entreprises et Société de l'Information, vous pouvez télécharger le dossier de candidature à cette édition 2010. Vous aurez à l'envoyer avant le 21 février 2010, au format PDF exclusivement. Une caractéristique importante de cet événement réside dans la diversité des profils des nominés et lauréats. Qu'une organisation soit de petite ou de grande taille, qu'elle soit une association, une entreprise privée, une administration ou une structure parapublique, la seule chose qui compte reste la valeur ajoutée apportée au métier par l'informatique. Plusieurs axes peuvent être mis en avant par les candidats dans leurs dossiers, par exemple : - La stratégie du SI et son alignement sur le métier et la stratégie générale de l'entreprise, de l'association ou de l'administration. - La transformation de l'entreprise, de ses méthodes et de son organisation, grâce au SI, notamment pour gagner en agilité ou réduire ses coûts. - Le développement de la responsabilité sociétale de l'organisation (moindre empreinte carbone, amélioration des conditions de vie d'un public en difficulté, recyclage des déchets électroniques...). - Innovation. Rappelons que la différence entre l'invention et l'innovation réside dans l'utilité concrète de la nouveauté : l'innovation n'est pas un délire de savant fou mais bien une amélioration de rupture dans un processus. - Conduite du changement : suite ou en lien à une transformation du SI, il faut que les hommes s'adaptent mais il faut les y aider... Les fournisseurs de solutions informatiques ne peuvent pas poser leur candidature (sauf pour des projets internes) mais peuvent inciter leurs clients à montrer à quel point ils les ont aidés à accroître leur performance... Le site des Trophées Entreprises et Société de l'Information (...)
(22/01/2010 14:37:46)Tribune libre : analyser la valeur du SI grâce à une approche par les fonctions
Valoriser l'immatériel est une gageure à laquelle sont confrontés tous les décideurs de l'informatique. Comment établir le rapport entre les coûts et les apports d'un système d'information, afin de savoir quelle technologie abandonner, quel projet lancer, etc. ? Dans une tribune libre publiée dans le Blog Experts, Guy Boizard, consultant de Conix Consulting, propose une approche par les fonctions, « certainement l'élément le plus apte à établir le rapport coût/bénéfice ». Toutefois, cela implique un très important effort de réflexion, puisque « la mesure des coûts des fonctionnalités reste embryonnaire, et surtout, l'analyse de la valeur des fonctions est largement méconnue ». Le consultant reconnaît que l'exercice reste délicat, mais, écrit-il, « la fonction matérialise le bon niveau de maille pour affecter une valeur attendue du SI : elle permet au moins de se poser les bonnes questions ». La tribune de Guy Boizard : Analyse de la valeur du SI : l'approche par les fonctions (...)
(23/12/2009 09:42:52)L'Agence des SI partagés de santé poursuit sa restructuration
Le Journal Officiel vient de publier un arrêté continuant la réorganisation de l'ASIP Santé, l'Agence des systèmes d'information partagés de santé. Celle-ci a succédé au GIP-DMP (Groupement d'intérêt public Dossier médical personnel) et repris en novembre dernier les missions du GIP-CPS (carte de professionnel de santé) qui gère les cartes à puce permettant aux médecins de s'authentifier dans les systèmes de type Sesam-Vitale. La Caisse des Dépôts et Consignation se retire au profit d'un régime d'assurance sociale qui manquait jusqu'à présent, la Caisse nationale de solidarité pour l'autonomie (CNSA). Ce changement est significatif de la réorientation du projet DMP vers une gouvernance plus forte de la part des organismes d'assurances sociales. Dans le prolongement de l'information « froide » du futur DMP, l'ASIP Santé se voit confiée l'information « chaude » des alertes sanitaires et la communication plus ou moins temps réel de la télésanté. Les systèmes mis en oeuvre seront sans doute assez différents pour chacune de ces missions. (...)
(07/12/2009 09:41:49)Le Cigref et Capgemini Consulting publient une étude sur la création de valeur par les SI
Le Cigref vient de publier avec Capgemini Consulting un livre blanc intitulé « L'information : prochain défi pour les entreprises » sous-titré « pratiques de création de valeur par les SI et leur usage : cartographie 2009 ». Tirant un bilan des pratiques, ce livre blanc enfonce beaucoup de portes déjà ouvertes, notamment suite aux études précédentes menées depuis 2002 par le Cigref en collaboration avec le cabinet Mc Kinsey sur la « valeur d'usage » des SI. Mais tout est question de maturité : ce qui peut paraître évident dans une entreprise « mature » peut être une innovation des plus audacieuses ailleurs. L'exemple typique concerne la valeur des données : selon l'étude ayant servi de base au livre blanc, seulement 37% des entreprises pensent que l'usage qu'elles font des SI et de l'information représente un atout concurrentiel. Il reste donc 63% d'entreprises à convaincre d'une évidence... Pour le Cigref, il y a un lien évident entre la position du DSI dans l'organigramme (plus ou moins près de la tête de son organisation) et la maturité vis à vis de la valeur ajoutée du SI. Et si 82% des entreprises du secteur privé ont, selon l'étude, été concernées par un plan de réduction des SI, cette opération a souvent été l'occasion pour le DSI de démontrer son utilité et donc de défendre ses positions. Dans tous les cas, l'excellence technique est le minimum minimorum de ce que l'on attend de la DSI. Ce qui est en place doit fonctionner avec un niveau de service conforme aux attentes. La valeur d'usage ne vient qu'après. Ce livre blanc se décompose en cinq parties : modèles d'analyse de la valeur d'usage des SI et de l'information ; trois positionnements régissent la maturité des pratiques de la fonction SI ; l'usage de l'information, un terrain de progrès important pour les entreprises ; industrialisation, innovation et usage : des sujets dont les pratiques sont fortement différenciées ; perspectives de création de valeur pour les entreprises. De nombreux diagrammes et tableaux présentant les résultats de l'étude préalable enrichissent l'ouvrage. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |