Présentation et ressources supplémentaires

Présentation

Diaporama : Présentation-Cycle de vie des données.odp

Une autre manière de comprendre les différents échelons des risques consiste à examiner les pratiques d’une organisation en matière de données. Toute organisation a affaire à des données, et chaque service d’une organisation aussi.

Voici quelques points à prendre en compte en matière de sécurité et de sûreté pour chaque phase du cycle de vie des données.

Création/compilation/collecte de données
  • Quel type de données sont compilées ?
  • Qui crée/compile/collecte les données ?
  • Cela peut-il menacer des personnes ? Qui sera menacé pour la publication de ces données ?
  • Dans quelle mesure le processus de collecte de données est-il public, privé ou confidentiel ?
  • Quels outils utilisez-vous pour assurer la sûreté du processus de collecte de données ?
Stockage des données
  • Où les données sont-elles stockées ?
  • Qui a accès au stockage des données ?
  • Quelles pratiques/processus/outils utilisez-vous pour veiller à la sécurité de l’appareil de stockage ?
  • Stockage dématérialisé, stockage physique ou appareil de stockage ?
Traitement des données
  • Qui traite les données?
  • L’analyse des données menace-t-elle des individus ou des groupes ?
  • Quels sont les outils utilisés pour analyser les données ?
  • Qui a accès au processus/système d’analyse des données ?
  • Lors du traitement des données, des copies secondaires des données sont-elles stockées ailleurs ?
Publication/partage des informations à partir des données traitées
  • Où les informations et la connaissance sont-elles publiées ?
  • La publication des informations peut-elle menacer des personnes ?
  • Quel public visent les informations publiées ?
  • Avez-vous le contrôle sur la façon dont les informations sont publiées ?
Archivage
  • Où les données et les informations traitées sont-elles archivées ?
  • Les données brutes sont-elles archivées, ou uniquement les informations traitées ?
  • Qui a accès aux archives ?
  • Quelles sont les conditions d’accès aux archives ?
Suppression
  • Quand les données sont-elles écrasées ?
  • Sous quelles conditions sont-elles supprimées ?
  • Comment s’assurer que toutes les copies ont bien été supprimées ?

Conseils pour l’animation

  • Cette activité est une bonne manière de connaître et d’évaluer les contextes, la pratique et les processus utilisés par les participant·e·s en matière de sécurité numérique. Mieux vaut se focaliser sur cet aspect que d’attendre de cette activité qu’elle débouche sur des stratégies et des tactiques pour améliorer la sécurité numérique.
  • Pour un atelier auprès d’une organisation, il peut être bon de faire particulièrement attention aux équipes/services administratifs et de ressources humaines. D’une part, dans nombre d’organisations, ce sont les membres du personnel les moins susceptibles d’avoir déjà participé à un atelier sur la sécurité numérique, si bien que de nombreux thèmes et sujets peuvent être nouveaux pour elles et eux. D’autre part, une bonne partie de leur travail étant interne, il se peut qu’iels ne considèrent pas que leurs services « publient » quoi que ce soit. Pourtant, dans de nombreuses organisations, ces services détiennent et traitent un grand nombre de données sensibles (informations sur le personnel, salaires, notes de réunions du conseil, informations bancaires de l’organisation, etc.), il est donc important que le faire remarquer lors de l’atelier.
  • Faites également attention aux matériels de stockage physique. S’il y a des tiroirs de classement où des copies imprimées de documents importants sont stockées, demandez où ils se trouvent et qui y a accès physiquement. On a parfois tendance à ne penser qu’aux pratiques de stockage en ligne, en oubliant d’améliorer la sécurité des tactiques de stockage physique.

Ressources supplémentaires (facultatif)

Retournez au module Évaluation des risques ou à l'activité Le cycle de vie des données.

wiggy-cactus-red-several.png