{"id":1325,"date":"2024-11-07T13:16:39","date_gmt":"2024-11-07T13:16:39","guid":{"rendered":"https:\/\/dev.infrainfo.ca\/index.php\/2024\/11\/07\/au-dela-de-lautoevaluation\/"},"modified":"2024-11-07T13:16:39","modified_gmt":"2024-11-07T13:16:39","slug":"au-dela-de-lautoevaluation","status":"publish","type":"post","link":"https:\/\/www.infrainfo.ca\/index.php\/2024\/11\/07\/au-dela-de-lautoevaluation\/","title":{"rendered":"Au-del\u00e0 de l’auto\u00e9valuation"},"content":{"rendered":"

\n

\n La cartographie des installations ou parcours des renseignements, \u00e9galement appel\u00e9e cartographie des informations, est essentielle pour valider les auto\u00e9valuations en mati\u00e8re de gouvernance, de cybers\u00e9curit\u00e9 et de processus de mise en conformit\u00e9, garantissant ainsi une \u00e9valuation pr\u00e9cise, objective et conforme aux objectifs.<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n L’auto\u00e9valuation peut souvent favoriser l’individu ou l\u2019entreprise pour plusieurs raisons psychologiques et sociales. C\u2019est pourquoi, dans notre processus de cartographie phygitale des organisations, nous proc\u00e9dons toujours \u00e0 une auto\u00e9valuation simple de base pour comprendre en surface la situation de l\u2019organisation. Cependant, nous avons constat\u00e9 dans plus de 100 d\u00e9marches que l’auto\u00e9valuation peut souvent \u00eatre biais\u00e9e pour plusieurs raisons psychologiques et sociales, et que la cartographie cristallise le processus :<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n – Biais de complaisance : Les gens ont tendance \u00e0 attribuer leurs succ\u00e8s \u00e0 leurs propres capacit\u00e9s et efforts, tout en attribuant leurs \u00e9checs \u00e0 des facteurs externes. Cela prot\u00e8ge l’estime de soi.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Dissonance cognitive : Pour \u00e9viter l’inconfort psychologique, les individus peuvent ajuster leur perception de leurs performances afin de les rendre conformes \u00e0 une image positive d’eux-m\u00eames.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Manque de perspective externe : Sans une r\u00e9troaction ext\u00e9rieure, il est difficile pour une personne de juger objectivement ses propres actions et comp\u00e9tences.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Motivation et confiance : Une auto\u00e9valuation positive peut encourager et motiver l’individu, renfor\u00e7ant la confiance en soi et l’engagement dans les t\u00e2ches futures.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Normes sociales et culturelles : Dans de nombreuses cultures, il est valoris\u00e9 d’avoir une image positive de soi, ce qui pousse les individus \u00e0 se voir sous un jour favorable.<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n Ces facteurs combin\u00e9s contribuent \u00e0 ce que l’auto\u00e9valuation soit souvent biais\u00e9e en faveur de l’individu ou de l\u2019entreprise.<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n Dans notre d\u00e9marche, nous optons pour la visite et les interactions avec les diff\u00e9rents intervenants en lien direct avec les renseignements personnels touchant les employ\u00e9s, les fournisseurs de services, les sous-traitants ainsi que la partie qui touche le parcours des clients au sein de l\u2019organisation. Apr\u00e8s plus de 300 fournisseurs interrog\u00e9s sur plus de 2 ans voici la situation.<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>Les Fournisseurs<\/strong>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n Prenons un exemple concret d\u2019un fournisseur de haut niveau qui prot\u00e8ge ses infrastructures ayant des informations sensibles et personnels et qui poss\u00e8de des certifications ISO 27001 et SOC2.<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n Malgr\u00e9 son auto-\u00e9valuation, un registre fournisseur est crucial pour l\u2019entreprise qui traite avec ce fournisseur, malgr\u00e9 les certifications telles qu’ISO 27001 et SOC2, pour plusieurs raisons :<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n – Conformit\u00e9 R\u00e9glementaire : Assurer la conformit\u00e9 avec les lois et r\u00e9glementations , qui exige souvent une documentation d\u00e9taill\u00e9e de tous les fournisseurs et de leurs pratiques en mati\u00e8re de protection des renseignements.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Audit et Tra\u00e7abilit\u00e9 : Un registre fournisseur permet de tracer toutes les interactions avec les fournisseurs qui traitent les renseignements de vos clients et employ\u00e9s. Cela est essentiel pour les audits internes et externes, d\u00e9montrant ainsi que les proc\u00e9dures de gestion des fournisseurs et employ\u00e9s sont rigoureux et en lien avec la r\u00e8glementation.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Gestion des Risques : Bien que des certifications ISO 27001 et SOC2 soient des indicateurs de bonnes pratiques, il est important de documenter et d’\u00e9valuer r\u00e9guli\u00e8rement les risques li\u00e9s aux fournisseurs. Le registre aide \u00e0 identifier, \u00e9valuer et mitiger ces risques.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Transparence et Responsabilit\u00e9 : Avoir un registre centralis\u00e9 des fournisseurs garantit la transparence des processus et clarifie les responsabilit\u00e9s. Cela permet \u00e9galement de suivre les engagements des fournisseurs en mati\u00e8re de s\u00e9curit\u00e9 et de protection des renseignements.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Mise \u00e0 Jour des Informations : Les informations relatives aux fournisseurs doivent \u00eatre r\u00e9guli\u00e8rement mises \u00e0 jour. Un registre fournisseur assure que les donn\u00e9es, telles que les certifications actuelles, les politiques de s\u00e9curit\u00e9 et les contacts cl\u00e9s, le qui, quoi, o\u00f9, quand, comment et pourquoi de la possession des renseignements, sont toujours \u00e0 jour.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Gestion des Incidents : En cas d’incident de confidentialit\u00e9 et de s\u00e9curit\u00e9, un registre fournisseur permet une r\u00e9ponse rapide et efficace. Il facilite l’acc\u00e8s aux informations critiques sur le fournisseur, ce qui est crucial pour la gestion des incidents et la communication.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Relations Contractuelles : Un registre permet de suivre toutes les clauses contractuelles li\u00e9es aux renseignements personnels et \u00e0 la s\u00e9curit\u00e9 de l’information. Cela assure que les fournisseurs respectent les exigences contractuelles et les engagements de service.<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>Exemple Concret<\/strong>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n Imaginons un fournisseur, \u00ab Machin Inc. \u00bb, qui prot\u00e8ge ses infrastructures et poss\u00e8de des certifications ISO 27001 et SOC2. Voici comment un registre fournisseur peut \u00eatre utilis\u00e9 pour ce fournisseur sp\u00e9cifique :<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n – Certifications et Politiques : Le registre documentera les certifications actuelles de Machin Inc., ainsi que les politiques de s\u00e9curit\u00e9 associ\u00e9es. Il documentera aussi ce qui touche le qui, quoi, o\u00f9, quand, comment et pourquoi en lien avec les renseignements personnels.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Contrats et SLA : La documentation du registre servira \u00e0 \u00e9tablir les r\u00f4les et responsabilit\u00e9s de vous et de votre fournisseur. Les contrats touchant les accords de niveau de service (SLA) et les accords de traitement de donn\u00e9es (DPA) seront plus simples \u00e0 mettre en \u0153uvre. Le tout incluant les responsabilit\u00e9s en mati\u00e8re de protection des donn\u00e9es et des renseignements.<\/span>\n <\/p>\n<\/p>\n

\n

\n – \u00c9valuations de Risque : Les \u00e9valuations p\u00e9riodiques des risques pourront \u00eatre consign\u00e9es, la documentation en analysant certains points en lien avec la conformit\u00e9 de Machin Inc.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Incidents de S\u00e9curit\u00e9 ou de Confidentialit\u00e9 : Toute historique d’incidents de s\u00e9curit\u00e9 impliquant Machin Inc. pourra \u00eatre enregistr\u00e9, avec des d\u00e9tails sur les mesures correctives prises. Le tout avec le registre des incidents que nous partageons lors de nos cartographies.<\/span>\n <\/p>\n<\/p>\n

\n

\n – Contacts Cl\u00e9s : Les informations du responsable de la protection des renseignements personnels chez Machin Inc. seront facilement accessibles.<\/span>\n <\/p>\n<\/p>\n

\n

\n \u00a0<\/span>\n <\/p>\n<\/p>\n

\n

\n En r\u00e9sum\u00e9, m\u00eame pour un fournisseur certifi\u00e9 et respectant les standards \u00e9lev\u00e9s de s\u00e9curit\u00e9, un registre fournisseur est essentiel pour maintenir une gestion efficace et conforme des relations et des risques associ\u00e9s aux fournisseurs. Il va sans dire que l\u2019auto\u00e9valuation qu\u2019elle soit pour votre entreprise et vos fournisseurs est une belle initiative de premier niveau, mais que la cartographie en profondeur \u00e9vitera de refaire une partie du travail qui touche les autres intervenants en incluant un tout.<\/span>\n <\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

La cartographie des installations ou parcours des renseignements, \u00e9galement appel\u00e9e cartographie des informations, est essentielle pour valider les auto\u00e9valuations en mati\u00e8re de gouvernance, de cybers\u00e9curit\u00e9 et de processus de mise en conformit\u00e9, garantissant ainsi une \u00e9valuation…<\/p>\n","protected":false},"author":1,"featured_media":1324,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1325","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/posts\/1325","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/comments?post=1325"}],"version-history":[{"count":0,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/posts\/1325\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/media\/1324"}],"wp:attachment":[{"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/media?parent=1325"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/categories?post=1325"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/tags?post=1325"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}