La première des démarches lorsque l’on s’intéresse à la sécurité d’un système est d’en faire une analyse de risques.
Cette étape est indissociable de la volonté de mettre en place une politique de sécurité, de déterminer les mesures techniques et organisationnelles pour limiter l’exposition du système d’information aux risques interne et externes qui pèsent sur lui. Rançongiciels, arnaques, vols de données, usurpation d’identité, attaques en réputation sont autant de menaces dont les impacts peuvent être dramatiques pour l’organisation.
Personal Interactor accompagne les entreprises dans l’étude et l’analyse des risques, la rédaction de plans d’actions de sécurité et la rédaction des politiques de sécurité des systèmes d’information.
Nous utilisons la boite à outils EBIOS Risk Manager (RM) de l’ANSSI pour évaluer les menaces qui pèsent sur les systèmes d’information et leurs impacts potentiels, puis préconiser les mesures de sécurité nécessaires pour mitiger les risques à un niveau acceptable.
Le PIA, analyse de risques sur la vie privée
Dans nos missions de conseil en protection de la vie privée et des données à caractère personnel, nous utilisons aussi la méthode EBIOS RM, dans un contexte adapté aux risques sur la vie privée des personnes, afin d’évaluer les risques de non conformité d’un traitement de données en regard du RGPD. La CNIL a mis au point un outil dédié nommé PIA pour effectuer ces Etudes d’Impact sur la Vie Privée (EIVP) ou en anglais Privacy Impact Assessment (PIA) ou Data Protection Impact Assessment (DPIA). Quelquesoit l’appellation, il s’agit d’évaluer les risques liés à une fuite de données et les impacts sur la vie privée des personnes concernées.
L’exercice du PIA est à l’image du RGPD, une estimation à la fois des aspects légaux et techniques, faisant appel à une bonne connaissance du RGPD sur le plan légal et nécessitant une compréhension fine des risques cyber qui pèsent sur les systèmes et plus ou moins indirectement sur les données. Pour cette dernière raison, il existe une extension de la norme ISO 27001, la norme ISO 27701 qui apporte un lot d’exigences complémentaires et spécifiques à la protection des données.