Category : Conformité réglementaire et RGPD

Semaine de sensibilisation à la continuité des activités 2023 – Cyber-résilience

Le lundi 15 mai 2023 marque le premier jour de la Semaine de sensibilisation à la continuité des activités.

Cette année, le thème est « Relever le défi de la résilience ». Chaque jour, des membres clés de l’équipe OASIS Group nous parleront de différents éléments de la résilience.

  • 15 mai : Cyber-résilience
  • 16 mai : Résilience de la chaîne d’approvisionnement
  • 17 mai : Résilience opérationnelle
  • 18 mai : Résilience personnelle
  • 19 mai : Résilience organisationnelle

Aujourd’hui, Iain Tuffill, responsable de la sécurité informatique chez OASIS Group, explique ce que signifie la cyber-résilience pour OASIS Group et comment nous nous assurons que toutes les données et informations sont sécurisées à tout moment.

La cyber-résilience désigne notre capacité à nous protéger contre le nombre croissant de menaces numériques susceptibles de nous affecter. Il s’agit notamment de la capacité à détecter les cyberattaques, à y répondre et, si elles ont lieu, à s’en remettre et à s’améliorer pour l’avenir.

Il existe quatre domaines clés sur lesquels nous pouvons nous appuyer pour introduire ou renforcer la cyber-résilience au sein d’OASIS. Il s’agit de la sécurité, de la détection, de la réaction et de la récupération.

Sécurité

Au sein d’OASIS, nous prenons la cyber-résilience au sérieux, non seulement pour protéger les données détenues par nos clients, mais aussi les nôtres. C’est pourquoi nous recherchons constamment de nouveaux moyens de renforcer nos normes de sécurité existantes et d’améliorer les pratiques courantes de l’industrie ainsi que nos exigences légales et réglementaires. Cet effort continu a permis à OASIS de conserver sa certification ISO27001, Cyber Essentials Plus, et sa conformité PCI-DSS.

Détection

OASIS est constamment à la recherche de nouveaux moyens de surveiller et de détecter les menaces nouvelles et en évolution qui pèsent sur notre réseau et nos services. Des systèmes et des alertes sont en place pour informer les membres de l’équipe de tout trafic malveillant reconnu et pour l’empêcher d’entrer dans le réseau et d’accéder à nos services. La notification des membres de l’équipe nous permet d’examiner ces événements et de dresser un tableau de ce qui se passe, afin de permettre une détection précoce des cyberattaques potentielles.

Réponse

En utilisant les systèmes et les alertes en place, les membres de l’équipe OASIS peuvent réagir soit en bloquant définitivement l’accès des adresses IP malveillantes aux services OASIS, soit en cherchant à appliquer des mises à jour aux systèmes d’alerte.

Toutefois, si une alerte doit être transmise en interne, l’incident et toutes les informations connues à ce moment-là sont transmis à l’équipe de gestion de crise d’OASIS. Dans ce cas, l’incident et les informations connues sont examinés et le manuel d’incident d’OASIS est suivi jusqu’à ce que l’événement soit résolu.

Récupération

Après la résolution d’une cyberattaque, il est important d’enregistrer les enseignements tirés et de veiller à ce que ces enseignements soient utilisés pour renforcer la sécurité en place, ainsi que pour contribuer à nos politiques et à nos formations.

Le guide opérationnel d’OASIS en cas d’incident garantit le rétablissement rapide de nos systèmes internes et de nos services en contact avec la clientèle. Ce manuel exige également que les enseignements tirés soient examinés et mis en œuvre dans le cadre de la reprise, afin de développer davantage notre cyber-résilience.  

Iain Tuffill, Responsable de la sécurité informatique – OASIS Group

Pour en savoir plus, envoyez un e-mail à info@oasisgroup.com, ou visitez notre page web sur la conformité pour plus d’informations sur les normes que nous appliquons en cliquant ici.

L’IA conversationnelle sera-t-elle conforme ?

Seul le temps nous dira si et comment #ChatGPT ou d’autres outils émergents d’IA révolutionneront nos industries et nos emplois. La vérité est que nous sommes face à une technologie qui émerge à peine et qui aura un grand impact sur notre vie. Peut-on vraiment se fier à ces outils d’IA et sont-ils conformes ?

Parfois, une innovation technologique se développe apparemment du jour au lendemain, devient virale et tout le monde en parle. Cependant, la vitesse à laquelle ChatGPT est passé d’inconnu à un phénomène mondial est inouïe.

En novembre 2022, OpenAI a lancé ChatGPT, un chatbot d’intelligence artificielle gratuit avec des compétences de communication incroyablement proches de celles des humains. Après quelques semaines, la recherche sur Google du terme « ChatGPT » donnait près de 280 millions de résultats indiquant la possibilité de rédiger des articles, des blogs, de passer des tests ou même de coder des sites web. Google n’est pas seul à parler de cet outil, les réseaux sociaux sont inondés de messages expliquant pourquoi ChatGPT est ou n’est pas l’outil le plus puissant au monde.

Cependant, nous ne débattrons pas ici du potentiel de l’outil en tant que générateur de contenu, mais nous tenterons de déterminer si les outils d’IA respectent la conformité réglementaire. En tant que prestataires de services de gestion d’information, nous croyons aux modèles d’intelligence artificielle et aux nouvelles technologies. Mais si nous choisissons d’utiliser ces outils, nous devons nous assurer qu’ils sont réglementés et conformes avant de les utiliser.

Il est important que les outils d’IA couvrent les risques liés à la diffusion de données inexactes dans le monde entier et garantissent la confidentialité des données des utilisateurs. Nous pensons qu’avant d’utiliser un outil d’IA, il est important de vérifier si une politique a été mise en place qui donne le droit à l’utilisateur de corriger ses données inexactes. Il s’agit d’une exigence en vertu du règlement général de l’UE sur la protection des données (RGPD) et d’autres lois sur la protection des données.

Les outils d’IA étant utilisés partout dans le monde, il est nécessaire d’avoir plus de transparence sur l’utilisation des données personnelles des utilisateurs. Il faudra également vérifier si les données ne sont pas partagées avec des tiers.

À l’heure actuelle, il n’est pas certain que ChatGPT ou d’autres outils d’IA émergents soient conformes au RGPD. Si ces outils vont être utilisés à grande échelle, une législation doit être en place garantissant la protection des données personnelles dans le cadre de l’utilisation des modèles d’IA.  En attendant, il convient d’examiner comment ils sont conçus et utilisés, et de déterminer s’ils collectent, traitent ou stockent les données personnelles de personnes situées dans l’UE.

Pour en savoir plus sur la façon dont OASIS utilise l’IA et automatise les processus en respectant la conformité réglementaire, contactez-nous.

Data Protection Day 2023

Qu’est-ce que la Data Protection Day (journée de la protection des données) ?

La Data Protection Day est célébrée chaque année le 28 janvier afin de sensibiliser le public et de promouvoir la protection des données personnelles. Cette journée a été célébrée pour la première fois en 2007 et est également connue sous le nom de Data Privacy Day ou Data Protection Awareness Day. La Data Protection Day est l’occasion de reconnaître l’importance de la protection des données à caractère personnel et de prendre des mesures pour s’assurer que les données à caractère personnel sont collectées, traitées et stockées de manière sûre et licite. Cette journée a également pour but d’informer les citoyens sur leurs droits en matière de protection de leurs données et sur la manière de les protéger contre toute utilisation abusive.

Comment célébrer la Data Protection Day ?

Les entreprises et les particuliers peuvent prendre le temps d’examiner leurs politiques et procédures de protection des données afin de s’assurer qu’ils prennent toutes les mesures nécessaires pour protéger les données à caractère personnel. Cela signifie que toutes les données sont stockées en toute sécurité, que l’accès aux données est limité aux personnes ayant une raison légitime et que les données ne sont utilisées qu’à des fins légitimes. Les entreprises devraient également prendre le temps de former leurs employés à la protection des données et s’assurer qu’ils respectent toutes les mesures nécessaires. 

Quels sont les principes de protection des données ?

Le règlement général sur la protection des données (RGPD) établit des principes importants au cœur de la protection des données. Ces principes fondamentaux influencent directement et indirectement d’autres règles et obligations contenues dans la législation. Par conséquent, le respect de ces principes de base en matière de protection des données est la première étape à franchir par les responsables du traitement des données pour s’assurer qu’ils remplissent leurs obligations au titre du RGPD. Voici un bref aperçu des principes de protection des données énoncés à l’article 5 du RGPD :

1. Licéité, équité et transparence : Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente. Cela signifie qu’il faut fournir aux individus des informations claires et compréhensibles sur la manière dont leurs données seront utilisées.

2. Limitation de la finalité : les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.

3. Traitement minimal des données : Les données à caractère personnel doivent être limitées à ce qui est nécessaire à la finalité poursuivie.

4. Exactitude : les données à caractère personnel doivent être exactes et mises à jour. 

5. Limitation du stockage : les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire aux fins pour lesquelles elles ont été collectées.

6. Intégrité et confidentialité : Les données à caractère personnel doivent être protégées pour garantir leur sécurité et leur confidentialité

7. Devoir de responsabilité : Les responsables de la collecte et du traitement des données à caractère personnel doivent être en mesure de démontrer qu’ils respectent les principes de la protection des données.

Quel rôle joue la protection des données dans la gestion de l’information ?

La protection des données est un élément essentiel de la gestion de l’information, car elle permet de garantir que les données sont correctement sécurisées, qu’elles restent confidentielles et qu’elles sont utilisées de manière responsable. La protection des données garantit que les informations personnelles sont conservées de manière sûre et confidentielle et qu’elles ne sont pas consultées, utilisées ou divulguées de manière inappropriée. Elle permet également de s’assurer que les données restent exactes, à jour et qu’elles ne sont utilisées qu’aux fins prévues. La protection des données est également importante pour que les entreprises se conforment aux lois et réglementations en vigueur.

Si vous avez des questions, n’hésitez pas à nous contacter à l’adresse info@oasisgroup.com ou à cliquer ici pour plus d’informations sur la Conformité OASIS.