Présentation et ressources supplémentaires
Présentation
Diaporama : Présentation-Cycle de vie des données.odp
Une autre manière de comprendre les différents échelons des risques consiste à examiner les pratiques d’une organisation en matière de données. Toute organisation a affaire à des données, et chaque service d’une organisation aussi.
Voici quelques points à prendre en compte en matière de sécurité et de sûreté pour chaque phase du cycle de vie des données.
Création/compilation/collecte de données
- Quel type de données sont compilées ?
- Qui crée/compile/collecte les données ?
- Cela peut-il menacer des personnes ? Qui sera menacé pour la publication de ces données ?
- Dans quelle mesure le processus de collecte de données est-il public, privé ou confidentiel ?
- Quels outils utilisez-vous pour assurer la sûreté du processus de collecte de données ?
Stockage des données
- Où les données sont-elles stockées ?
- Qui a accès au stockage des données ?
- Quelles pratiques/processus/outils utilisez-vous pour veiller à la sécurité de l’appareil de stockage ?
- Stockage dématérialisé, stockage physique ou appareil de stockage ?
Traitement des données
- Qui traite les données?
- L’analyse des données menace-t-elle des individus ou des groupes ?
- Quels sont les outils utilisés pour analyser les données ?
- Qui a accès au processus/système d’analyse des données ?
- Lors du traitement des données, des copies secondaires des données sont-elles stockées ailleurs ?
Publication/partage des informations à partir des données traitées
- Où les informations et la connaissance sont-elles publiées ?
- La publication des informations peut-elle menacer des personnes ?
- Quel public visent les informations publiées ?
- Avez-vous le contrôle sur la façon dont les informations sont publiées ?
Archivage
- Où les données et les informations traitées sont-elles archivées ?
- Les données brutes sont-elles archivées, ou uniquement les informations traitées ?
- Qui a accès aux archives ?
- Quelles sont les conditions d’accès aux archives ?
Suppression
- Quand les données sont-elles écrasées ?
- Sous quelles conditions sont-elles supprimées ?
- Comment s’assurer que toutes les copies ont bien été supprimées ?
Conseils pour l’animation
- Cette activité est une bonne manière de connaître et d’évaluer les contextes, la pratique et les processus utilisés par les participant·e·s en matière de sécurité numérique. Mieux vaut se focaliser sur cet aspect que d’attendre de cette activité qu’elle débouche sur des stratégies et des tactiques pour améliorer la sécurité numérique.
- Pour un atelier auprès d’une organisation, il peut être bon de faire particulièrement attention aux équipes/services administratifs et de ressources humaines. D’une part, dans nombre d’organisations, ce sont les membres du personnel les moins susceptibles d’avoir déjà participé à un atelier sur la sécurité numérique, si bien que de nombreux thèmes et sujets peuvent être nouveaux pour elles et eux. D’autre part, une bonne partie de leur travail étant interne, il se peut qu’iels ne considèrent pas que leurs services « publient » quoi que ce soit. Pourtant, dans de nombreuses organisations, ces services détiennent et traitent un grand nombre de données sensibles (informations sur le personnel, salaires, notes de réunions du conseil, informations bancaires de l’organisation, etc.), il est donc important que le faire remarquer lors de l’atelier.
- Faites également attention aux matériels de stockage physique. S’il y a des tiroirs de classement où des copies imprimées de documents importants sont stockées, demandez où ils se trouvent et qui y a accès physiquement. On a parfois tendance à ne penser qu’aux pratiques de stockage en ligne, en oubliant d’améliorer la sécurité des tactiques de stockage physique.
Ressources supplémentaires (facultatif)
- Voir l’activité tactique Outils alternatifs : Réseaux et communications (du module Créer des espaces sûrs en ligne).
- Voir le module Sécurité mobile (FTX : Redémarrage de sécurité).
- Autodéfense contre la surveillance de l’Electronic Frontier Foundation : si ce guide est surtout destiné à un public basé aux États-Unis, il comporte des sections utiles qui expliquent les concepts utilisés par la surveillance et les outils utilisés pour les contourner.
- Guide de Front Line Defender pour sécuriser les conversations de groupe et les outils de vidéoconférence : un guide utile sur plusieurs services et outils sécurisés de clavardage et de conférence en ligne et qui obéissent aux critères de Front Line Defender en matière de sécurité d’une application ou un service.
- Le site web Confidentialité non incluse de la Fondation Mozilla : il examine les politiques et pratiques en termes de vie privée et de sécurité de différents services, plateformes et appareils pour évaluer leur conformité aux critères élémentaires de sécurité de Mozilla, portant sur le chiffrement, les mises à jour de sécurité et les politiques de confidentialité.
No Comments