Au-delà de l’autoévaluation

La cartographie des installations ou parcours des renseignements, également appelée cartographie des informations, est essentielle pour valider les autoévaluations en matière de gouvernance, de cybersécurité et de processus de mise en conformité, garantissant ainsi une évaluation précise, objective et conforme aux objectifs.

 

L’autoévaluation peut souvent favoriser l’individu ou l’entreprise pour plusieurs raisons psychologiques et sociales. C’est pourquoi, dans notre processus de cartographie phygitale des organisations, nous procédons toujours à une autoévaluation simple de base pour comprendre en surface la situation de l’organisation. Cependant, nous avons constaté dans plus de 100 démarches que l’autoévaluation peut souvent être biaisée pour plusieurs raisons psychologiques et sociales, et que la cartographie cristallise le processus :

 

– Biais de complaisance : Les gens ont tendance à attribuer leurs succès à leurs propres capacités et efforts, tout en attribuant leurs échecs à des facteurs externes. Cela protège l’estime de soi.

– Dissonance cognitive : Pour éviter l’inconfort psychologique, les individus peuvent ajuster leur perception de leurs performances afin de les rendre conformes à une image positive d’eux-mêmes.

– Manque de perspective externe : Sans une rétroaction extérieure, il est difficile pour une personne de juger objectivement ses propres actions et compétences.

– Motivation et confiance : Une autoévaluation positive peut encourager et motiver l’individu, renforçant la confiance en soi et l’engagement dans les tâches futures.

– Normes sociales et culturelles : Dans de nombreuses cultures, il est valorisé d’avoir une image positive de soi, ce qui pousse les individus à se voir sous un jour favorable.

 

Ces facteurs combinés contribuent à ce que l’autoévaluation soit souvent biaisée en faveur de l’individu ou de l’entreprise.

 

Dans notre démarche, nous optons pour la visite et les interactions avec les différents intervenants en lien direct avec les renseignements personnels touchant les employés, les fournisseurs de services, les sous-traitants ainsi que la partie qui touche le parcours des clients au sein de l’organisation. Après plus de 300 fournisseurs interrogés sur plus de 2 ans voici la situation.

 

 Les Fournisseurs

 

Prenons un exemple concret d’un fournisseur de haut niveau qui protège ses infrastructures ayant des informations sensibles et personnels et qui possède des certifications ISO 27001 et SOC2.

 

Malgré son auto-évaluation, un registre fournisseur est crucial pour l’entreprise qui traite avec ce fournisseur, malgré les certifications telles qu’ISO 27001 et SOC2, pour plusieurs raisons :

 

– Conformité Réglementaire : Assurer la conformité avec les lois et réglementations , qui exige souvent une documentation détaillée de tous les fournisseurs et de leurs pratiques en matière de protection des renseignements.

– Audit et Traçabilité : Un registre fournisseur permet de tracer toutes les interactions avec les fournisseurs qui traitent les renseignements de vos clients et employés. Cela est essentiel pour les audits internes et externes, démontrant ainsi que les procédures de gestion des fournisseurs et employés sont rigoureux et en lien avec la règlementation.

– Gestion des Risques : Bien que des certifications ISO 27001 et SOC2 soient des indicateurs de bonnes pratiques, il est important de documenter et d’évaluer régulièrement les risques liés aux fournisseurs. Le registre aide à identifier, évaluer et mitiger ces risques.

– Transparence et Responsabilité : Avoir un registre centralisé des fournisseurs garantit la transparence des processus et clarifie les responsabilités. Cela permet également de suivre les engagements des fournisseurs en matière de sécurité et de protection des renseignements.

– Mise à Jour des Informations : Les informations relatives aux fournisseurs doivent être régulièrement mises à jour. Un registre fournisseur assure que les données, telles que les certifications actuelles, les politiques de sécurité et les contacts clés, le qui, quoi, où, quand, comment et pourquoi de la possession des renseignements, sont toujours à jour.

– Gestion des Incidents : En cas d’incident de confidentialité et de sécurité, un registre fournisseur permet une réponse rapide et efficace. Il facilite l’accès aux informations critiques sur le fournisseur, ce qui est crucial pour la gestion des incidents et la communication.

– Relations Contractuelles : Un registre permet de suivre toutes les clauses contractuelles liées aux renseignements personnels et à la sécurité de l’information. Cela assure que les fournisseurs respectent les exigences contractuelles et les engagements de service.

 

 Exemple Concret

 

Imaginons un fournisseur, « Machin Inc. », qui protège ses infrastructures et possède des certifications ISO 27001 et SOC2. Voici comment un registre fournisseur peut être utilisé pour ce fournisseur spécifique :

 

– Certifications et Politiques : Le registre documentera les certifications actuelles de Machin Inc., ainsi que les politiques de sécurité associées. Il documentera aussi ce qui touche le qui, quoi, où, quand, comment et pourquoi en lien avec les renseignements personnels.

– Contrats et SLA : La documentation du registre servira à établir les rôles et responsabilités de vous et de votre fournisseur. Les contrats touchant les accords de niveau de service (SLA) et les accords de traitement de données (DPA) seront plus simples à mettre en œuvre. Le tout incluant les responsabilités en matière de protection des données et des renseignements.

– Évaluations de Risque : Les évaluations périodiques des risques pourront être consignées, la documentation en analysant certains points en lien avec la conformité de Machin Inc.

– Incidents de Sécurité ou de Confidentialité : Toute historique d’incidents de sécurité impliquant Machin Inc. pourra être enregistré, avec des détails sur les mesures correctives prises. Le tout avec le registre des incidents que nous partageons lors de nos cartographies.

– Contacts Clés : Les informations du responsable de la protection des renseignements personnels chez Machin Inc. seront facilement accessibles.

 

En résumé, même pour un fournisseur certifié et respectant les standards élevés de sécurité, un registre fournisseur est essentiel pour maintenir une gestion efficace et conforme des relations et des risques associés aux fournisseurs. Il va sans dire que l’autoévaluation qu’elle soit pour votre entreprise et vos fournisseurs est une belle initiative de premier niveau, mais que la cartographie en profondeur évitera de refaire une partie du travail qui touche les autres intervenants en incluant un tout.

Accueil  | À propos | Contact |Politique de confidentialité | Préférences des témoins

Inscription Obligatoire auprès de THE CAMPAIGN REGISTRY (TCR) pour l’Envoi...Sécuriser la conservation et la destruction des renseignements personnels