WEBVTT 00:00:00.000 --> 00:00:15.540 Bonjour à tous, la CCIG est ravie de vous accueillir pour ce petit déjeuner des PME avec nos partenaires, OCEI, l'État avec qui nous collaborons depuis plus de deux décennies. 00:00:15.540 --> 00:00:23.840 Donc c'est une formule qui fonctionne, c'est une formule qui marche et le succès et le nombre ce matin d'entrepreneurs fait vraiment plaisir. 00:00:24.420 --> 00:00:34.227 La CCIG, vraiment en trois lignes, trois piliers stratégiques. Le premier pilier, c'est un club d'entrepreneurs, une place de marché. On organise plus de 120 00:00:34.227 --> 00:00:44.218 événements, conférences, formations, par an. Le deuxième pilier, c'est un organe de lobby politique. On porte la voix de l'économie auprès du politique et du 00:00:44.218 --> 00:00:52.615 champ politique. Et on mène des campagnes, seul ou avec des associations fêtières, des associations économiques qui sont nos alliés. 00:00:52.060 --> 00:01:00.527 Et puis le troisième pilier, c'est le pilier commerce international. On soutient les entreprises à l'exportation et en ce moment, effectivement, elles en ont 00:01:00.527 --> 00:01:09.470 besoin. On organise aussi tout un tas de séminaires. On va lancer un club export. Et puis il y a une délégation économique que nous organisons à Dubaï et au Caire. 00:01:09.100 --> 00:01:15.520 Et si vous êtes intéressé par tout ce qu'on offre, tout ce qu'on fait, vous êtes bienvenu à poser vos questions ou alors aller sur notre site. 00:01:15.520 --> 00:01:22.260 Je laisse la parole à Kustrim pour vous expliquer un petit peu le déroulé de la matinée. Merci encore. 00:01:22.260 --> 00:01:24.260 Merci Elsa. 00:01:24.260 --> 00:01:34.680 Alors je m'associe évidemment à la chambre et à Elsa pour vous souhaiter la bienvenue à ce petit déjeuner des PME, des startups. 00:01:36.420 --> 00:01:40.960 On n'avait pas beaucoup de doutes que ce sujet allait rencontrer un grand succès aujourd'hui. 00:01:40.960 --> 00:01:44.080 Donc on est ravis de voir évidemment la salle bien pleine. 00:01:44.080 --> 00:01:52.040 Évidemment, le thème d'aujourd'hui est un enjeu majeur et croissant pour vous, entreprises, PME et start-up. 00:01:52.040 --> 00:01:58.120 Et puis l'objectif de la matinée, c'est vraiment de vous donner un certain nombre d'outils concrets 00:01:58.120 --> 00:02:02.420 que vous pourriez mettre en place assez rapidement au sein de vos entreprises. 00:02:02.420 --> 00:02:10.980 Donc, on n'est pas dans la simple volonté de vous accompagner dans la gestion des données, mais vraiment essayer de vous outiller pour avoir cette maîtrise des données. 00:02:10.980 --> 00:02:13.160 Qu'est-ce que ça veut dire avoir une maîtrise des données ? 00:02:13.160 --> 00:02:18.140 C'est avoir une gestion efficace, sûre et conforme aux normes en vigueur. 00:02:18.140 --> 00:02:21.580 Alors, on le sait tous, les normes en vigueur sont extrêmement complexes. 00:02:21.580 --> 00:02:29.680 Donc, on a la chance aujourd'hui d'être en présence d'un certain nombre d'experts qui vont pouvoir vous accompagner toute la matinée, 00:02:29.680 --> 00:02:34.120 que ce soit dans la partie présentation, mais aussi dans la partie question-réponse, 00:02:34.120 --> 00:02:38.380 pour vous outiller à répondre à un certain nombre de questions. 00:02:38.380 --> 00:02:41.080 Donc, qu'est-ce que je dois faire concrètement chaque jour ? 00:02:41.080 --> 00:02:45.380 Quelles sont les solutions technologiques qui sont là pour moi ? 00:02:45.380 --> 00:02:50.640 Et finalement, comment je peux aussi m'inscrire dans un levier économique ? 00:02:50.640 --> 00:02:55.720 Parce que les données ne sont pas juste là pour avoir des informations sur votre situation 00:02:55.720 --> 00:02:58.900 ou les situations de vos clients, mais c'est aussi un levier économique, 00:02:58.900 --> 00:03:06.533 un atout que si vous savez parfaitement bien utiliser, vous pouvez créer évidemment de la performance pour votre entreprise, tant 00:03:06.533 --> 00:03:09.656 organisationnellement parlant qu'en termes de marché. 00:03:09.540 --> 00:03:13.940 Je remercie d'ores et déjà les intervenants du jour. 00:03:13.940 --> 00:03:21.725 Pour notre part, on essaie aussi de jouer un rôle en tant qu'administration publique pour vous accompagner dans cette transition 00:03:21.725 --> 00:03:24.480 numérique et cette transformation numérique. 00:03:24.360 --> 00:03:28.280 qui est un enjeu, comme je vous l'ai dit, aussi pour l'économie genevoise. 00:03:28.280 --> 00:03:30.280 C'est un atout que nous voulons développer. 00:03:30.280 --> 00:03:34.420 Et la stratégie économique du canton de Genève, la nouvelle stratégie économique 00:03:34.420 --> 00:03:38.680 qui a été enterrinée par le Conseil d'État en août dernier, donc il est tout chaud, 00:03:38.680 --> 00:03:45.360 met un point important sur l'accompagnement des PME dans les différentes transitions. 00:03:45.360 --> 00:03:48.000 Et naturellement, la transition numérique en fait partie. 00:03:48.000 --> 00:03:51.420 Alors concrètement, comment tout ça va se traduire ? 00:03:51.420 --> 00:03:59.507 Nous souhaitons vraiment sensibiliser et accompagner toutes les entreprises, parce que ce n'est pas une approche qu'on veut sectorielle, ce n'est pas 00:03:59.507 --> 00:04:05.600 que certains secteurs qui doivent s'inscrire dans cette transformation numérique, c'est tous, tous les secteurs. 00:04:05.600 --> 00:04:12.780 Donc à leur rythme, selon leurs besoins, mais nous devons accompagner toute l'économie pour cette transition. 00:04:13.020 --> 00:04:23.352 Donc, concrètement, on a mis d'ores et déjà en place des cours de sensibilisation avec des thèmes tels que la cybersécurité, l'intelligence 00:04:23.352 --> 00:04:30.146 artificielle, la blockchain, la protection des données ou encore la responsabilité numérique. 00:04:29.580 --> 00:04:36.040 Désormais, nous avons un certain nombre de formations aussi et de guides pour vous accompagner concrètement en place. 00:04:36.140 --> 00:04:38.860 Vous trouverez tout ça sur innovation.ge.ch. 00:04:38.860 --> 00:04:44.380 Et notre ambition pour le futur, c'est de développer cette offre d'accompagnement 00:04:44.380 --> 00:04:49.600 pour vous outiller encore mieux pour les défis numériques à venir. 00:04:49.600 --> 00:04:51.820 Donc, pour ma part, c'est terminé. 00:04:51.820 --> 00:04:57.800 J'aimerais quand même conclure avec une petite publicité sur un prochain événement. 00:04:57.800 --> 00:05:02.240 Le Forum économique numérique aura lieu le 12 décembre à la FER Genève. 00:05:02.240 --> 00:05:05.560 Comme son nom l'indique, ça sera sur les questions numériques. 00:05:05.740 --> 00:05:13.383 Comme vous êtes intéressé aujourd'hui par le sujet, je vous invite à aller à cette conférence qui est un peu plus mammouth, qui est sur une 00:05:13.383 --> 00:05:17.571 grosse demi-journée avec des parties plénières, mais également des ateliers. 00:05:17.100 --> 00:05:30.800 Quelques remerciements à la CCIG pour l'accueil, à nos partenaires de ces petites journées. Normalement, on passe le slide et vous les voyez, ça m'invite de citer 10 noms. 00:05:31.660 --> 00:05:41.300 Frédéric Thomasset, rédacteur en chef du magazine Bilan, qui va se charger d'animer la matinée, prendre les questions aussi en fin de matinée. 00:05:41.300 --> 00:05:45.200 Et puis, encore une fois, merci aux intervenants et je vous souhaite une très bonne conférence. 00:05:45.200 --> 00:05:49.960 Merci Kustrim. 00:05:49.960 --> 00:05:56.260 Je me permets de prendre le pupitre, assise présidentielle. 00:05:56.860 --> 00:06:03.260 Bonjour à toutes et à tous, je vous souhaite la bienvenue moi aussi à ce petit déjeuner des PME des start-up. 00:06:03.260 --> 00:06:11.360 Aujourd'hui pour modérer et animer une discussion sur un sujet complexe présenté précédemment, donc maîtriser ces données. 00:06:11.360 --> 00:06:18.860 En préambule de ce rendez-vous, je me suis de mon côté permis de sonder un peu l'écosystème bilan, l'écosystème des PME dans lequel on aime graviter, 00:06:18.860 --> 00:06:22.980 avec qui on aime échanger, pour savoir où on en était sur cette question. 00:06:22.980 --> 00:06:29.700 Alors, en avance, en retard, on m'a répondu « ouais, bien, peu mieux faire ». Alors 00:06:29.700 --> 00:06:34.020 j'en conviens, c'est une réponse très diplomatique, donc je vous propose, sans plus 00:06:34.020 --> 00:06:38.400 de diplomatie, d'entrer dans les débats aujourd'hui. Je vais vous présenter le programme 00:06:38.400 --> 00:06:43.980 du jour. Alors on va débuter, donc on en a d'abord jusqu'à 10h, ça c'est la partie 00:06:43.980 --> 00:06:47.580 présentation, avec une première partie sur l'archivage des données et signatures 00:06:47.580 --> 00:06:51.660 électronique, cadre légal et mise en oeuvre pratique, suivi de gestion des 00:06:51.660 --> 00:06:55.620 risques liés aux données et conformités, conseils pratiques pour protéger ces 00:06:55.620 --> 00:07:01.320 données ensuite, et choix et implantation des solutions IT. Par la suite et en 00:07:01.320 --> 00:07:05.760 parallèle, vous savez que, alors ceux qui ont déjà participé savent qu'il y a 00:07:05.760 --> 00:07:10.200 possibilité de poser des questions. On va passer le slide, voilà donc le 00:07:10.200 --> 00:07:15.600 slido. Donc vous pouvez dès à présent, dès le début des débats, vous 00:07:15.600 --> 00:07:19.260 vous pouvez commencer à poser des questions, moi je vais les compiler, elles seront réunies 00:07:19.260 --> 00:07:22.700 sur une tablette, donc dès que ça vous vient en tête, vous n'hésitez pas, ne vous attendez 00:07:22.700 --> 00:07:28.020 pas la fin, et puis moi ensuite, je pourrais modérer et transmettre ces questions aux 00:07:28.020 --> 00:07:34.320 intervenants du jour, et puis sans plus attendre, nous allons donc débuter avec la première 00:07:34.320 --> 00:07:46.780 présentation. Archivage des données et signatures électroniques, cadres légales et mises en œuvre 00:07:46.780 --> 00:07:54.240 pratiques, présentée par madame Audrey Souter. Audrey Souter possède presque dix ans d'expérience 00:07:54.240 --> 00:07:58.100 en droit des sociétés et protection des données, titulaire d'un master en droit commercial 00:07:58.100 --> 00:08:02.420 Université Paris 2, un master en sciences de gestion de l'EM Lyon Business School. Elle est 00:08:02.420 --> 00:08:05.820 également membre du Bureau de Paris. Elle se concentre sur les questions des droits des sociétés, 00:08:05.820 --> 00:08:09.520 notamment pour des opérations de restructuration, mais également sur les sujets de protection des données 00:08:09.520 --> 00:08:17.460 et de gouvernance. Et puis, elle est accompagnée de sa collègue Elisabeth Everson, qui est, alors je précise 00:08:17.460 --> 00:08:21.860 qu'elles sont toutes les deux de chez Deloitte, assistant manager Deloitte légal, titulaire d'un brevet d'avocate 00:08:21.860 --> 00:08:27.340 Genève et est également qualifiée en tant que Sollicitor of England and Wales. Avant de rejoindre Deloitte, 00:08:27.340 --> 00:08:32.040 Elisabeth travaille en tant que collaboratrice en unité d'avocat de la place où elle se spécialise sur les litiges, 00:08:32.040 --> 00:08:36.940 dans les contextes suisses et internationaux, notamment les cas d'arbitrage international chez Deloitte. 00:08:36.940 --> 00:08:40.360 Elisabeth se concentre sur les questions de droit des contrats suisses, les nouvelles technologies, 00:08:40.360 --> 00:08:42.480 la protection des données, ce qui nous anime aujourd'hui. 00:08:42.480 --> 00:08:46.660 Et je vous passe la parole, et je vous remercie encore une fois. 00:08:46.660 --> 00:08:55.340 J'embarque la tablette, n'oubliez pas les questions. 00:09:02.040 --> 00:09:18.580 Bonjour à toutes et à tous, bienvenue également de ma part. 00:09:18.580 --> 00:09:25.700 Comme indiqué avec ma collègue Audrey, nous on va commencer par présenter un peu le cadre légal, 00:09:25.700 --> 00:09:29.680 poser les bases, surtout par rapport à ces deux questions. 00:09:29.680 --> 00:09:37.040 Donc, d'un côté, la conservation des données et notamment l'archivage électronique et de l'autre côté, la signature électronique. 00:09:37.040 --> 00:09:43.660 Donc, on commence par la conservation des données. 00:09:43.660 --> 00:09:48.900 Du point de vue légal, il y a principalement trois questions à se poser. 00:09:48.900 --> 00:09:52.680 D'abord, est-ce qu'il y a une obligation de conserver des données ? 00:09:52.680 --> 00:09:56.680 Ensuite, pour quelle durée est-ce qu'il faut conserver ? 00:09:56.680 --> 00:09:58.840 Et troisièmement, la forme. 00:09:58.840 --> 00:10:02.220 Donc la forme, est-ce qu'elle peut être électronique ou pas ? 00:10:02.220 --> 00:10:04.980 On regarde donc d'abord les deux premières questions. 00:10:04.980 --> 00:10:06.840 Est-ce qu'il y a une obligation ? 00:10:06.840 --> 00:10:12.680 Donc là, vous voyez le premier exemple qui vous concerne tous. 00:10:12.680 --> 00:10:19.980 En principe, la loi impose une obligation de conserver les livres et les pièces comptables, cela pour une durée de 10 ans. 00:10:19.980 --> 00:10:24.520 Un autre exemple de conservation, cette fois-ci pendant une durée de 20 ans, 00:10:26.200 --> 00:10:32.480 ressort typiquement de la loi sur la TVA par rapport aux documents en lien avec l'impôt sur les biens immobiliers. 00:10:32.480 --> 00:10:36.500 Donc là, vous avez deux exemples où la loi impose une obligation. 00:10:36.500 --> 00:10:42.040 Il y a d'autres situations où même s'il n'y a pas une obligation légale à proprement parler, 00:10:42.040 --> 00:10:47.860 c'est quelque part bien de conserver certains documents, typiquement au cas où il y a un litige. 00:10:47.860 --> 00:10:51.720 Donc, quelle durée de conservation ? 00:10:51.720 --> 00:10:53.940 On a vu ces deux exemples de 10 et 20 ans. 00:10:54.760 --> 00:11:02.304 Il faut savoir que la durée de conservation, on peut avoir la durée minimale ou la durée maximale, donc la durée maximale où on ne peut 00:11:02.304 --> 00:11:05.461 pas conserver les documents au-delà d'une certaine durée. 00:11:05.140 --> 00:11:15.460 On va voir sous peu l'exemple de la LPD, la loi sur la protection des données, qui est un exemple assez parlant par rapport à cette durée maximale justement. 00:11:15.460 --> 00:11:23.115 Il y a le point de départ qui varie aussi. Vous voyez l'exemple que j'ai mentionné auparavant par rapport aux livres et pièces 00:11:23.115 --> 00:11:27.296 comptables. Le délai va courir à partir de la fin de chaque exercice. 00:11:29.100 --> 00:11:37.460 Le délai le plus commun de manière générale de conservation, ça va être 10 ans. C'est un délai qui est basé sur plusieurs bases légales. 00:11:37.460 --> 00:11:48.760 Donc, à nouveau, celle que j'ai déjà mentionnée. On a également l'article 127CO qui régit en fait la prescription de la grande majorité des créances en droit civil. 00:11:48.760 --> 00:11:56.700 Donc, c'est ce que je mentionnais avant. Pour avoir toutes les pièces nécessaires au cas où il y a un litige qui vous concerne, il y a beaucoup de données, 00:11:56.840 --> 00:11:59.980 beaucoup de documents que vous allez vouloir conserver pendant une dizaine d'années. 00:11:59.980 --> 00:12:04.120 Le cas spécial, comme je disais, c'est la loi sur la protection des données. 00:12:04.120 --> 00:12:09.120 De manière générale, lorsque vous avez des données personnelles, 00:12:09.120 --> 00:12:14.120 s'il n'y a pas de texte législatif ou un contrat qui impose une durée spécifique, 00:12:14.120 --> 00:12:18.180 il faudra regarder quelle est la durée proportionnée. 00:12:18.180 --> 00:12:21.940 Donc là, on va prendre en considération l'ensemble des circonstances. 00:12:21.940 --> 00:12:25.680 Et en gros, s'il n'y a pas d'intérêt à conserver, 00:12:26.200 --> 00:12:29.500 vous allez devoir effacer ou anonymiser les données personnelles. 00:12:29.500 --> 00:12:34.780 Un cas typique, ça va être le CV ou les diplômes d'un candidat qui postule chez vous. 00:12:34.780 --> 00:12:39.840 Donc, même si vous retenez ce candidat, un principe après la durée d'essai, 00:12:39.840 --> 00:12:44.780 vous n'avez pas d'intérêt légitime à conserver ces données, donc le CV, etc. 00:12:44.780 --> 00:12:48.120 Donc, il faudra soit les effacer, soit les anonymiser. 00:12:48.120 --> 00:12:54.000 On vous a mis sur le slide d'autres exemples de délais, 00:12:54.540 --> 00:12:58.520 Mais je pense que là, vous avez un peu une idée de l'analyse qui est nécessaire de faire. 00:12:58.520 --> 00:13:03.700 Donc, on regarde si obligation, si c'est une best practice, quelle durée de conservation. 00:13:03.700 --> 00:13:06.240 Qu'est-ce qu'on fait avec tout ça ? 00:13:06.240 --> 00:13:10.560 En principe, on crée un plan de conservation, ce qu'en anglais on appelle un retention schedule. 00:13:10.560 --> 00:13:18.780 Donc, c'est un document qui va formaliser justement ces durées de conservation pour chaque type de document que votre entreprise possède. 00:13:21.740 --> 00:13:25.820 C'est quelque chose qui peut s'inscrire dans un document plus large d'une politique de conservation 00:13:25.820 --> 00:13:28.840 où vous pouvez détailler les processus d'archivage, etc. 00:13:28.840 --> 00:13:36.440 Mais voilà, c'est un document qui va du coup résumer ce que vous allez conserver pendant combien de temps. 00:13:36.440 --> 00:13:39.900 Et donc ça, ça couvre les deux premières questions. 00:13:39.900 --> 00:13:45.220 Et je passe la parole à Audrey pour la forme sous laquelle il faudra conserver. 00:13:45.220 --> 00:13:48.100 Merci beaucoup. 00:13:51.740 --> 00:14:01.960 Donc effectivement, comme le disait Elisabeth, le premier sujet, c'est le délai de conservation. 00:14:01.960 --> 00:14:08.040 Et ça, que vous archiviez vos documents de manière physique ou électronique, 00:14:08.040 --> 00:14:09.820 les délais de conservation seront les mêmes. 00:14:09.820 --> 00:14:12.700 C'est important à garder en tête. 00:14:12.700 --> 00:14:17.520 Le principe, c'est qu'il est admis de conserver les documents de manière électronique. 00:14:17.520 --> 00:14:19.820 Il y a deux exceptions dans la loi. 00:14:20.500 --> 00:14:24.740 c'est que vous devez garder un exemplaire imprimé signé du rapport de gestion et du rapport de révision, 00:14:24.740 --> 00:14:26.940 si votre entreprise est soumise à révision. 00:14:26.940 --> 00:14:32.480 J'ajouterai une recommandation pour le contrat de travail et les lettres de licenciement, 00:14:32.480 --> 00:14:36.080 pour une question de force probante sur laquelle je vais revenir juste après. 00:14:36.080 --> 00:14:40.580 Donc, commençons, un, par l'archivage électronique. 00:14:40.580 --> 00:14:47.740 C'est le classique, support papier, en original, c'est ce qu'on faisait tous, et ça évolue. 00:14:48.380 --> 00:14:56.581 Cette forme de conservation, ça implique des besoins de stockage physique qui sont importants et c'est vrai que comme le disait Elisabeth, on a 00:14:56.581 --> 00:15:04.726 certains délais de conservation qui peuvent s'étendre jusqu'à 20 ans et dans ce cas-là, la conservation physique, ça devient une contrainte 00:15:04.726 --> 00:15:09.760 pour les entreprises parce que c'est en termes de coûts, d'espace et de fonctionnalité. 00:15:10.060 --> 00:15:22.340 Et sans parler aussi des autres risques, tels qu'un incendie, c'est moins fréquent, on l'espère, mais ça reste un risque quand on a un archivage 100% physique. 00:15:22.340 --> 00:15:28.680 De plus, l'accès aux documents papiers, ça peut être lent, il faut aller dans les archives, il faut fouiller, etc. 00:15:28.680 --> 00:15:38.680 C'est pour ça que de plus en plus, avec la tendance de dématérialisation, les entreprises vont vers de plus en plus d'archivage électronique. 00:15:39.080 --> 00:15:47.200 Ça a des avantages donc effectivement liés à l'espace, très clairement, réduction des coûts, facilité d'accès aux informations à distance. 00:15:47.200 --> 00:15:58.280 En revanche, il faut quand même garder en tête que derrière tout ça, il faut faire très attention à la sécurité des données, leur intégrité et leur validité. 00:15:58.280 --> 00:16:03.500 La problématique de la valeur probante des documents électroniques demeure encore aujourd'hui. 00:16:03.500 --> 00:16:14.412 On a même eu un arrêt en 2015 qui a remis en cause la force probante d'un document électronique, puisque sans possibilité de produire 00:16:14.412 --> 00:16:19.077 l'original en papier, la personne n'a pas eu gain de cause. 00:16:19.860 --> 00:16:30.320 Notamment, effectivement, si vous avez un document que vous devez présenter sous forme électronique, la partie adverse pourrait contester l'authenticité de ce titre. 00:16:30.320 --> 00:16:37.540 Et c'est alors à l'autre partie de prouver l'authenticité. C'est ce qu'on appelle le fameux fardeau de la preuve. 00:16:37.540 --> 00:16:44.656 Et alors, c'est là qu'apparaissent des difficultés, parce que vous devez établir avec certitude l'authenticité d'un document 00:16:44.656 --> 00:16:48.241 archivé électroniquement dont l'original aurait été détruit. 00:16:49.060 --> 00:16:56.100 C'est pour ça que je disais notamment sur le contrat de travail ou la lettre de licenciement, ça peut valoir le coup de garder également un support papier. 00:16:56.100 --> 00:17:03.600 Par anticipation, tout l'enjeu va être de s'assurer de la valeur juridique d'une archive électronique et que celle-ci ne soit pas contestable. 00:17:03.600 --> 00:17:11.880 A cette fin, il y a notamment la signature électronique qui est un procédé qui permet cette garantie, mais on y reviendra plus en détail juste après. 00:17:19.060 --> 00:17:26.800 Donc maintenant, on va rentrer un peu plus dans le vif du sujet, à savoir les principes à respecter pour une conservation électronique conforme. 00:17:26.800 --> 00:17:33.640 Le but, c'est de garantir l'intégrité du document, son authenticité et son infalsifiabilité. 00:17:33.640 --> 00:17:35.940 Je me suis beaucoup entraînée pour y arriver. 00:17:35.940 --> 00:17:45.760 Effectivement, l'archivage doit garantir que le document est authentique et ne peut être altéré sans laisser de traces, afin de garantir la fiabilité des documents. 00:17:46.100 --> 00:17:49.200 Donc ça, c'est l'olico. C'est notamment un des principes de l'Olico. 00:17:49.200 --> 00:17:54.300 L'Olico, c'est quoi ? C'est l'ordonnance concernant la tenue et la conservation des livres de compte. 00:17:54.300 --> 00:18:01.320 L'Olico, elle distingue à ce sujet deux supports d'information. 00:18:01.320 --> 00:18:03.660 Il y a les supports d'information non modifiables. 00:18:03.660 --> 00:18:08.040 Donc ça, c'est le papier et le support d'image. Là, il n'y a aucune exigence particulière. 00:18:08.040 --> 00:18:13.120 Et en revanche, il y a le cas du support modifiable. 00:18:13.740 --> 00:18:21.880 Et dans ce cas-là, il faut utiliser un procédé technique à la création du document qui devra garantir l'intégrité des informations sauvegardées. 00:18:21.880 --> 00:18:37.940 Et donc là encore, à titre d'exemple, deux outils communs et qui garantissent cette conservation, c'est effectivement la signature électronique et l'eurodatage. 00:18:38.180 --> 00:18:40.780 Alors, la signature électronique, encore une fois, on va y revenir plus tard. 00:18:40.780 --> 00:18:44.100 L'eurodatage, effectivement, c'est un système qui permet de prouver 00:18:44.100 --> 00:18:50.040 qu'il n'y a pas eu de possibilité de falsification au moment où les informations ont été enregistrées. 00:18:50.040 --> 00:18:51.860 Donc ça, c'est une vraie garantie. 00:18:51.860 --> 00:18:56.260 Ce n'est pas très commun, mais c'est une vraie bonne mesure. 00:18:56.260 --> 00:19:01.700 Après, on a réuni aussi le principe de lisibilité et disponibilité. 00:19:01.700 --> 00:19:04.480 Donc, bien entendu, les documents doivent être lisibles, 00:19:04.480 --> 00:19:09.840 mais ils doivent aussi être accessibles en tout temps aux personnes autorisées, et ça pendant toute la durée. 00:19:09.840 --> 00:19:18.140 Donc, ça implique une gestion proactive de vos fichiers et des supports de stockage et un accès continu. 00:19:18.140 --> 00:19:25.080 Donc là, on propose quelques mesures à mettre en place. 00:19:25.080 --> 00:19:31.360 Donc, mettre en place un système de classement pour tous vos documents, physiques ou numériques, en précisant la distinction. 00:19:32.000 --> 00:19:40.936 Effectivement garantir un accès en tout temps dans un délai raisonnable, ça c'est, on a repris le texte de l'Olico, aux archives pour les personnes autorisées, 00:19:40.936 --> 00:19:49.381 notamment pour simplifier et accélérer les procédures de contrôle, désigner un responsable de la gestion de ces archives, effectuer des vérifications 00:19:49.381 --> 00:19:57.554 périodiques, notamment pour s'assurer de l'intégrité des documents, qu'il n'y a pas eu d'altération, et mettre en place des mesures de protection. 00:19:56.900 --> 00:20:08.360 Ça, ce sera les prochaines présentations qui rentreront plus en détail sur comment protéger ces documents et ces données et documenter les procédures de documentation. 00:20:08.360 --> 00:20:14.220 Donc, effectivement, comme brièvement introduit, mettre en place un plan de conservation. 00:20:14.220 --> 00:20:25.240 Alors, on va rentrer encore un peu plus dans le pratique en vous proposant un processus d'implémentation en cinq étapes clés. 00:20:26.060 --> 00:20:41.537 La première étape consiste à parler d'une procédure d'archivage, définir des règles, un processus interne pour l'archivage et 00:20:41.537 --> 00:20:48.220 ça inclut la numérisation, l'indexation et le stockage. 00:20:48.140 --> 00:20:57.353 Ensuite, bien entendu, le choix du prestataire qui peut être crucial. Sélectionner un fournisseur de services qui respecte les normes légales suisses comme 00:20:57.353 --> 00:21:06.566 l'Olico. Donc on ne va pas faire de publicité aujourd'hui, mais avec plaisir, hors caméra, on peut bien entendu vous conseiller. Il y a des prestataires avec 00:21:06.566 --> 00:21:14.389 lesquels on travaille, mais ils sont nombreux à respecter toutes les normes en Suisse. Vous les trouverez également assez facilement. 00:21:15.420 --> 00:21:23.354 Garantir effectivement, mettre en place des contrôles d'accès pour avoir un accès strict aux archives, pour que seules les 00:21:23.354 --> 00:21:26.754 personnes autorisées à les consulter y aient accès. 00:21:26.440 --> 00:21:36.111 Et ça, ça se recoupe également avec les exigences de la LPD, parce que ça permet aussi de garantir et de limiter le risque d'attente 00:21:36.111 --> 00:21:39.923 du fait d'un traitement indu de données personnelles. 00:21:39.640 --> 00:21:42.500 Donc c'est vrai que ça recoupe vraiment les deux aspects. 00:21:43.400 --> 00:21:52.780 Enfin, la gouvernance du système, et c'est là où on vous recommande assez fortement de mettre en place un plan de conservation, un calendrier de conservation. 00:21:52.780 --> 00:22:04.500 C'est vraiment un bon outil, ça permet par type de document, comme l'exposé Elisabeth, vous mettez le type de document, le temps de conservation, 00:22:04.500 --> 00:22:12.980 si c'est une durée minimum, si c'est une durée maximum, et ensuite le format et à terme la façon de supprimer le document. 00:22:13.400 --> 00:22:20.620 Et enfin, bien entendu, la maintenance du système avec des mises à jour régulières qui garantissent la sécurité à long terme. 00:22:20.620 --> 00:22:24.860 Mais ça, les présentations suivantes devraient revenir sur ces aspects plus techniques. 00:22:24.860 --> 00:22:29.240 Je redonne la parole à Elisabeth pour la signature électronique. 00:22:29.240 --> 00:22:31.940 Merci beaucoup Audrey. 00:22:31.940 --> 00:22:36.680 Donc la deuxième partie de la présentation qui est un peu plus brève, 00:22:36.680 --> 00:22:41.280 juste pour vous introduire à la signature électronique, donc un peu les bases en droit suisse. 00:22:41.520 --> 00:22:46.440 Donc en droit suisse, quatre types de signatures électroniques que vous voyez à l'écran. 00:22:46.440 --> 00:22:52.800 En pratique, le choix va s'opérer entre la signature électronique qu'on appelle parfois simple, 00:22:52.800 --> 00:22:57.420 parce que simple c'est le mot qu'on utilise dans d'autres juridictions, c'est celle que vous voyez tout à gauche, 00:22:57.420 --> 00:23:01.960 et la signature électronique qualifiée que vous voyez donc tout à droite. 00:23:01.960 --> 00:23:08.940 Donc si on regarde rapidement les définitions de ces deux types de signatures électroniques, 00:23:09.440 --> 00:23:16.803 La signature électronique dite simple, c'est un ensemble de données électroniques qui sont jointes ou liées logiquement à d'autres 00:23:16.803 --> 00:23:20.647 données électroniques et qui servent à vérifier leur authenticité. 00:23:20.160 --> 00:23:22.840 Donc, qu'est-ce que c'est concrètement ? 00:23:22.840 --> 00:23:27.580 C'est une signature que vous scannez, que vous glissez sur un document Word. 00:23:27.580 --> 00:23:32.840 Ça peut être une signature que vous faites sur votre ordinateur avec votre souris. 00:23:32.840 --> 00:23:35.580 Donc, c'est quelque chose qui n'est pas manuscrit. 00:23:35.880 --> 00:23:44.360 C'est la signature qui a le moins de légitimité juridique, parce qu'il n'y a pas vraiment de vérification de l'identité du signataire. 00:23:44.360 --> 00:23:54.320 Donc, de l'autre côté du spectre, tout à droite, la signature électronique qualifiée, qui est en fait basée sur un certificat qualifié. 00:23:54.320 --> 00:23:59.320 Donc, pour avoir ce type de signature, il faut passer par un fournisseur reconnu. 00:23:59.580 --> 00:24:07.640 On vous a listé les fournisseurs reconnus en Suisse. Il y en a quatre au total, dont trois pour les privés. 00:24:07.640 --> 00:24:11.260 Donc, on vous a listé Swisscom, DigiCard, Swissign. 00:24:11.260 --> 00:24:16.300 Et quel est donc l'intérêt de la signature qualifiée ? 00:24:16.300 --> 00:24:22.760 Je me perds dans mes slides aussi. Voilà. Merci. 00:24:25.060 --> 00:24:30.740 Donc l'intérêt de la signature qualifiée, c'est surtout l'équivalence avec la signature manuscrite. 00:24:30.740 --> 00:24:36.180 Donc ce qu'il faut savoir, c'est qu'en droit suisse, en principe, on a la liberté contractuelle. 00:24:36.180 --> 00:24:41.780 Donc les parties peuvent conclure leur contrat sous la forme qu'elles souhaitent, oralement, typiquement. 00:24:41.780 --> 00:24:47.520 Il y a quelques exemples dans la loi où la loi impose une autre forme. 00:24:47.520 --> 00:24:50.540 Typiquement, ça va être la forme écrite, mais pas que. 00:24:51.700 --> 00:24:58.680 Lorsque la forme écrite est imposée, le contrat doit être signé par toutes les parties concernées. 00:24:58.680 --> 00:25:03.520 Et ce qu'on entend par une signature, c'est en principe une signature à la main. 00:25:03.520 --> 00:25:07.460 Donc ce qu'on appelle « wet ink » en anglais, la signature manuscrite. 00:25:07.460 --> 00:25:11.800 Et donc c'est là où on voit l'intérêt de la signature électronique qualifiée, 00:25:11.800 --> 00:25:16.480 parce que de par la loi, donc là c'est une citation du code des obligations, 00:25:16.480 --> 00:25:19.220 elle est assimilée à la signature manuscrite. 00:25:20.720 --> 00:25:27.720 Donc pour les contrats qui nécessitent la forme écrite, pour qu'ils soient valables si vous voulez les passer sous la forme 00:25:27.720 --> 00:25:31.887 électronique, vous pouvez les signer avec une signature qualifiée suisse. 00:25:31.720 --> 00:25:40.420 Donc j'insiste bien sur le mot suisse et ça nous amène à la deuxième partie de ce slide, c'est la reconnaissance à l'international. 00:25:40.420 --> 00:25:48.940 Donc on parle des contrats suisses, donc soumis au droit suisse, qui vont être signés avec la signature qualifiée suisse. 00:25:49.680 --> 00:25:53.920 Dans d'autres pays, on a d'autres lois qui s'appliquent à la signature qualifiée. 00:25:53.920 --> 00:25:59.100 Typiquement, dans l'Union européenne, on a un règlement qui s'appelle eIDAS, 00:25:59.100 --> 00:26:04.940 qui reconnaît également plusieurs types de signatures électroniques. 00:26:04.940 --> 00:26:10.600 Dans le règlement de eIDAS, on parle de la signature simple, avancée et qualifiée. 00:26:10.600 --> 00:26:16.380 Mais ce qu'il faut savoir, c'est que même s'ils ont également une signature qualifiée, 00:26:16.380 --> 00:26:22.940 A l'heure actuelle, il n'y a pas d'équivalence entre les signatures qualifiées, donc Union européenne, Suisse ou autre. 00:26:22.940 --> 00:26:33.120 Donc il faudra toujours se poser la question du droit applicable au contrat, qui est le droit qui va régir les conditions formelles de validité. 00:26:33.120 --> 00:26:41.960 Et donc garder à l'esprit que si vous voulez conclure un contrat soumis à la forme écrite électroniquement, un contrat qui est soumis au droit suisse, 00:26:42.080 --> 00:26:52.183 Il faudra que les deux parties, ou les trois parties, toutes les parties, utilisent bien une signature qualifiée suisse et qu'il n'y ait pas de 00:26:52.183 --> 00:26:57.409 problème lié au fait qu'une utilise typiquement la signature européenne. 00:26:58.280 --> 00:27:02.680 Je pense qu'on arrive à la fin de la présentation, on est exactement devant le temps. 00:27:02.680 --> 00:27:09.160 Si on est allé trop vite, vous aurez la possibilité de nous poser des questions, on y répondra avec plaisir. 00:27:09.160 --> 00:27:16.980 Et on redonne la parole à Frédéric pour introduire l'intervenance suivante. 00:27:16.980 --> 00:27:18.520 Merci beaucoup. 00:27:27.520 --> 00:27:38.933 Merci beaucoup pour cette première partie. Il y a déjà pas mal de questions qui sont arrivées, donc j'en suis heureux. Je vous 00:27:38.933 --> 00:27:43.202 propose de poursuivre dans cette bonne dynamique. 00:27:43.300 --> 00:27:49.560 Pour la deuxième partie, nous allons discuter de la gestion des risques liés aux données et conformités. 00:27:49.560 --> 00:27:58.360 C'est madame Claudia Pallaud-Wolfer qui va s'en charger, manager Digital Insurance and Trust, chez PwC. 00:27:58.360 --> 00:28:05.560 Pour la présenter, chez PwC, elle est responsable des projets informatiques, 00:28:05.560 --> 00:28:11.140 se consacre à des initiatives stratégiques autour de la digitalisation, de la numérisation et des audits informatiques. 00:28:11.420 --> 00:28:15.020 Elle est détentrice d'un master en comptabilité et finances de l'Université de Fribourg. 00:28:15.020 --> 00:28:17.480 Elle a aussi été formée à la London School of Economics. 00:28:17.480 --> 00:28:19.580 Je vous cède la parole. 00:28:19.580 --> 00:28:28.560 Bonjour à tous. 00:28:28.560 --> 00:28:31.020 Je suis ravie d'être là. 00:28:31.020 --> 00:28:33.940 C'est la première fois que je viens à la chambre de commerce. 00:28:33.940 --> 00:28:40.000 Je suis contente de participer à ces discussions et échanger aussi, partager les connaissances. 00:28:41.080 --> 00:28:54.000 Le sujet que je vais présenter aujourd'hui, je vais me concentrer surtout sur la partie risque et ensuite les contrôles à mettre en place autour de notre thématique, 00:28:54.000 --> 00:28:58.340 donc l'archivage, le stockage et la protection des données. 00:29:00.340 --> 00:29:12.520 Je vais surtout aussi partager un petit peu mon expérience, les projets auxquels j'ai participé, pour que vous puissiez en tirer, j'espère, quelque chose d'intéressant. 00:29:20.280 --> 00:29:26.280 Pour commencer, PwC, nous sommes présents dans le monde. 00:29:26.280 --> 00:29:34.360 Et en Suisse, nous avons le siège à Zurich, mais aussi des bureaux dans toutes les villes en Suisse. 00:29:34.360 --> 00:29:40.640 Et donc moi, je me concentre surtout à la clientèle PME en Suisse romande. 00:29:41.900 --> 00:29:53.560 Et suite au Covid, on a eu beaucoup de demandes d'entreprises qui ont vraiment dû assez rapidement passer un monde papier vers un monde numérique. 00:29:53.560 --> 00:30:02.288 Donc ce qu'on appelle la GED, la gestion électronique documentaire est devenue très importante et notamment le besoin d'avoir une 00:30:02.288 --> 00:30:05.858 gouvernance autour de ce monde un peu plus numérisé. 00:30:06.840 --> 00:30:19.651 Donc les principaux projets auxquels j'ai participé et puis les entreprises aussi qu'on a accompagnées, c'était surtout pour 00:30:19.651 --> 00:30:30.060 l'implémentation de contrôles clés autour de la GED, également des audits d'adéquation avec la loi. 00:30:29.360 --> 00:30:41.238 Ça rejoint la présentation qu'on a eue tout à l'heure. De nombreuses entreprises nous ont appelées pour les aider justement à comprendre quelles étaient vraiment 00:30:41.238 --> 00:30:52.267 les lois importantes qui s'appliquaient à toute la gestion électronique documentaire et quels sont les contrôles ou les mesures clés à mettre en place. 00:30:52.040 --> 00:31:02.560 Et les derniers projets, donc c'est des audits vraiment, donc c'est mon domaine, l'audit informatique, donc les audits complets des GED, gestion 00:31:02.560 --> 00:31:10.613 électronique documentaire, ainsi qu'une certification, donc où vraiment on atteste que la GED est aux normes. 00:31:11.780 --> 00:31:17.100 Donc, ça, c'est les projets auxquels j'ai participé. 00:31:17.100 --> 00:31:24.240 Donc, la première partie, c'est plutôt les risques liés à l'archivage électronique. 00:31:24.240 --> 00:31:32.100 Donc, comme l'ont dit mes collègues tout à l'heure, on a certains documents qu'il est important de conserver pour de nombreuses années. 00:31:32.100 --> 00:31:39.720 Donc, on parle de 10 ans, 20 ans et comment on s'assure que dans un environnement numérique, 00:31:39.720 --> 00:31:43.980 On conserve vraiment ces PDF, par exemple, ou ces documents pour autant d'années. 00:31:43.980 --> 00:31:47.100 Donc ça, c'est un des risques principaux. 00:31:47.100 --> 00:31:51.980 C'est vraiment la conformité légale par rapport à l'archivage. 00:31:51.980 --> 00:31:57.180 D'autres risques à nommer, c'est la perte de données. 00:31:57.180 --> 00:32:00.740 Quand on a des archives à conserver pour autant de temps, 00:32:00.740 --> 00:32:05.640 est-ce qu'on est sûr que dans, par exemple, 10 ans, on pourra encore lire ces documents ? 00:32:05.640 --> 00:32:14.900 Est-ce que la technologie qui est en place sera toujours à date ou elle sera peut-être obsolète dans dix ans ? 00:32:14.900 --> 00:32:20.580 Donc la notion de perte de données est très importante quand on parle vraiment d'une durée de dix ans, vingt ans. 00:32:20.580 --> 00:32:28.760 Et les deux autres risques importants par rapport aux archives, c'est vraiment les accès non autorisés aux archives. 00:32:28.760 --> 00:32:32.480 Il y a certains documents qui sont quand même confidentiels. 00:32:33.260 --> 00:32:40.840 Dans 10 ans, on ne devrait pas avoir n'importe quel employé qui accède à certains dossiers, donc s'assurer aussi des accès. 00:32:40.840 --> 00:32:45.180 Et enfin, la corruption des données, donc l'altération de ces archives. 00:32:45.180 --> 00:32:52.620 Le deuxième volet de risque, c'est plutôt par rapport au stockage. 00:32:52.620 --> 00:33:01.100 Là, on parle plutôt des activités au jour le jour, tous ces documents qu'on a dans l'entreprise, qu'on a numérisés, 00:33:01.600 --> 00:33:05.400 Comment on s'assure qu'on a suffisamment de place pour les stocker ? 00:33:05.400 --> 00:33:09.820 Donc, un des risques principaux, c'est l'explosion du volume de données. 00:33:09.820 --> 00:33:17.640 Donc, d'avoir vraiment les serveurs en face, la capacité de conserver tous ces documents. 00:33:17.640 --> 00:33:25.280 Et d'autres risques à citer, par rapport au stockage, c'est surtout le manque de redondance. 00:33:25.280 --> 00:33:36.758 On préconise deux à trois serveurs ou des copies, mais en tout cas s'assurer qu'on a suffisamment de mesures en place pour stocker les 00:33:36.758 --> 00:33:42.371 données, aussi en cas de scénario catastrophe, cyberattaque, etc. 00:33:42.120 --> 00:33:49.280 Deux autres risques à citer, c'est tout ce qui est panne matérielle, donc panne des serveurs qui paralyserait l'entreprise. 00:33:49.640 --> 00:34:00.091 Enfin, par rapport au stockage des données, la sécurité qui reste importante. Les données sensibles, éventuellement, ou même on 00:34:00.091 --> 00:34:07.578 préconise à chiffrer, et aussi les vulnérabilités dans les systèmes de stockage eux-mêmes. 00:34:13.780 --> 00:34:24.124 Et pour le troisième risque, donc tout ce qui est protection des données, donc là mes collègues l'ont bien présenté tout à l'heure, donc il y a des lois 00:34:24.124 --> 00:34:32.981 très claires sur la protection des données, donc en Suisse la loi de la protection des données, mais aussi la RGPD ou GDPR en anglais. 00:34:33.080 --> 00:34:43.233 Donc, un non-respect de ces réglementations aurait aussi des conséquences très importantes pour l'entreprise. Donc, s'assurer qu'on est conforme avec 00:34:43.233 --> 00:34:53.585 ces lois-là. Et par rapport aux protections de données, on a aussi les risques vraiment liés plutôt à des événements externes, donc les cyberattaques 00:34:53.585 --> 00:35:01.283 qui feraient qu'on ait plus à même de vraiment protéger, garantir qu'on a conservé les données de l'entreprise. 00:35:01.540 --> 00:35:13.960 Ou encore des erreurs dues aux employés, donc les fuites de données qui seraient dues à une erreur, un envoi d'un document sensible à une personne externe, dans le pire des cas. 00:35:13.960 --> 00:35:26.220 Et encore la perte de confidentialité, donc là c'est plutôt des accès non autorisés au sein de l'entreprise à des données sensibles. 00:35:26.220 --> 00:35:32.200 Donc un dossier, par exemple, DRH qui serait accessible à des employés d'autres départements, etc. 00:35:32.200 --> 00:35:39.140 Je voulais ajouter un troisième volet de risques. 00:35:39.140 --> 00:35:41.760 Donc là, c'est plutôt les risques organisationnels. 00:35:41.760 --> 00:35:46.480 Donc c'est vraiment tout ce qui va toucher les activités quotidiennes de l'entreprise. 00:35:46.480 --> 00:35:50.480 Et c'est des risques souvent qu'on minimise, mais qui sont importants. 00:35:50.480 --> 00:35:56.600 Donc, c'est les erreurs humaines ou le manque de formation des employés par rapport à ces sujets qui sont importants. 00:35:56.600 --> 00:36:03.020 Donc, les documents, la conservation des documents, faire attention aux données, aux données à qui on envoie quoi, etc. 00:36:03.020 --> 00:36:07.780 Et l'absence de plan de reprise d'activité également. 00:36:07.780 --> 00:36:17.640 Donc, pour l'entreprise, en cas de scénario catastrophe, une mesure simple, des fois, à mettre en place, c'est un plan de reprise après SINIS. 00:36:17.720 --> 00:36:24.720 donc avoir un plan B, qu'est-ce qu'on fait si on a une cyberattaque, comment on continue les activités, etc. 00:36:24.720 --> 00:36:28.380 Donc là, on est plutôt dans tous les risques organisationnels et humains. 00:36:28.380 --> 00:36:38.420 Donc pour rappel, si un de ces risques, de ces scénarios venaient à se réaliser, 00:36:38.420 --> 00:36:41.680 donc les conséquences pour l'entreprise peuvent être vraiment importantes. 00:36:41.680 --> 00:36:46.500 Donc on parle vraiment de chiffres, de pertes financières, 00:36:46.640 --> 00:36:53.160 Donc une cyberattaque, par exemple, si on a une demande de rançon, c'est des montants souvent assez importants. 00:36:53.160 --> 00:37:04.460 Mais aussi une non-conformité légale sur un de ces documents qui sont protégés par la loi, l'OLICO, la loi de la protection des données, etc. 00:37:04.460 --> 00:37:07.600 peuvent aussi avoir des conséquences financières très importantes. 00:37:07.600 --> 00:37:16.120 Enfin, c'est la réputation de l'entreprise qui est aussi mise à mal si on ne fait pas attention à ça. 00:37:16.640 --> 00:37:25.260 Et enfin, en cas de panne de serveurs, cyberattaques, etc., ça pourrait être une interruption des activités de l'entreprise. 00:37:25.260 --> 00:37:33.980 Donc après avoir parlé de tous ces risques, maintenant on est intéressé à savoir comment se protéger. 00:37:33.980 --> 00:37:43.300 Donc mes collègues qui m'ont présenté les parties suivantes iront bien plus en détail sur les mesures pratiques à mettre en place. 00:37:43.480 --> 00:37:56.885 Je vais vous les présenter en survol. Ce qu'on préconise, c'est l'approche par contrôle clé, s'assurer qu'on met en place les contrôles 00:37:56.885 --> 00:38:04.776 les plus importants qui auront la plus grande efficacité pour mitiger ces risques. 00:38:05.720 --> 00:38:14.480 Moi, je les ai divisés en trois volets. On a d'abord tout ce qui est contrôle plutôt opérationnel qui sont souvent un peu plus simples aussi à mettre en place. 00:38:14.480 --> 00:38:27.360 Donc là, c'est tout simplement de mettre en place des procédures informatiques dans l'entreprise à partager aux employés ou aussi des formations pour les employés, 00:38:27.360 --> 00:38:37.416 pour s'assurer que déjà tout le monde dans l'entreprise fait vraiment attention aux documents, aux envois, aux accès aussi, à pas donner accès à 00:38:37.416 --> 00:38:47.539 n'importe qui, à n'importe quel dossier, surtout de nos jours on a SharePoint, c'est assez vite fait d'ajouter un groupe pour accéder à des dossiers, 00:38:47.539 --> 00:38:53.266 donc ce genre de choses, il faut sensibiliser les gens à faire attention à tout ça. 00:38:53.600 --> 00:39:05.614 Et enfin, la gestion des accès. Donc là, c'est aussi un volet qu'on peut assez facilement mettre en place. Mais donc, limiter les accès, c'est le principe du moins de 00:39:05.614 --> 00:39:16.073 privilèges. Donc, on donne accès vraiment aux personnes qui en ont vraiment besoin pour leur travail. Donc, on donne le minimum d'accès possible. 00:39:17.560 --> 00:39:28.849 Donc le deuxième volet de contrôle, là on part un peu plus dans les contrôles techniques, on a abordé un peu les points tout à l'heure, mais ça serait de chiffrer par 00:39:28.849 --> 00:39:39.229 exemple les données sensibles, donc on parle des données en transit mais aussi des données stockées, donc une fois qu'elles sont par exemple dans l'archive. 00:39:41.260 --> 00:39:50.498 Également, au niveau des contrôles techniques, c'est tout ce qui est mot de passe, mais là, on préconise plutôt de vraiment avoir des MFA, donc 00:39:50.498 --> 00:39:57.876 multi-factor authentication, avec une sécurité accrue pour accéder aux applications et aux données de l'entreprise. 00:39:59.220 --> 00:40:01.520 Ensuite, par rapport au stockage des données, 00:40:01.520 --> 00:40:03.960 donc c'est vraiment d'avoir des sauvegardes régulières. 00:40:03.960 --> 00:40:08.740 Et par rapport à tout ce qui est plutôt risque externe, 00:40:08.740 --> 00:40:11.040 donc cyberattaques, s'assurer d'avoir le minimum, 00:40:11.040 --> 00:40:13.560 donc quand même les antivirus, pare-feu, 00:40:13.560 --> 00:40:18.400 si possible aussi les endpoint detection, 00:40:18.400 --> 00:40:23.400 donc les systèmes de, qu'est-ce que j'ai écrit là ? 00:40:23.400 --> 00:40:26.100 De détection d'intrusion, en français. 00:40:28.080 --> 00:40:40.878 Donc voilà, là, c'est plutôt les contrôles techniques. On l'a aussi mentionné tout à l'heure, donc tout ce qui est au redatage des documents. Mes collègues vont 00:40:40.227 --> 00:40:52.229 élaborer un peu plus ces problématiques-là, mais il existe beaucoup de moyens techniques aussi de protéger les documents, de s'assurer qu'il y a, on peut dire, un 00:40:52.880 --> 00:41:01.340 Donc l'eurodata va aussi permettre de s'assurer que le document n'a pas été modifié, que le document qu'on lit est vraiment l'original. 00:41:01.340 --> 00:41:13.460 Et les clés de chiffrement certifiées aussi, c'est vraiment le moyen de s'assurer que le document vient d'une source aussi connue. 00:41:13.460 --> 00:41:18.040 Donc ça c'est pour les contrôles techniques. 00:41:18.040 --> 00:41:21.260 et maintenant je vais passer au dernier volet 00:41:21.260 --> 00:41:23.680 donc plutôt les contrôles liés aux archives 00:41:23.680 --> 00:41:28.500 donc dans les archives pour ces documents qu'on veut conserver longtemps 00:41:28.500 --> 00:41:34.820 donc on doit s'assurer surtout qu'on a une intégrité 00:41:34.820 --> 00:41:37.240 mais aussi une traçabilité dans les archives 00:41:37.240 --> 00:41:41.220 donc on peut utiliser les signatures électroniques 00:41:41.220 --> 00:41:42.640 ou les eurodatages comme on a dit 00:41:42.640 --> 00:41:45.500 pour s'assurer que le document est vraiment l'original 00:41:45.500 --> 00:41:46.780 et n'a pas été altéré 00:41:46.780 --> 00:41:51.560 au niveau des durées de conservation 00:41:51.560 --> 00:41:54.840 donc s'assurer aussi qu'on a des contrôles mis en place 00:41:54.840 --> 00:41:58.400 dans les archives pour conserver les documents 00:41:58.400 --> 00:42:03.100 pour les temps requis, donc on avait parlé de plan de classement tout à l'heure 00:42:03.100 --> 00:42:07.180 donc c'est là où il est important de vraiment revoir 00:42:07.180 --> 00:42:11.400 le plan de classement de l'entreprise et de s'assurer de bien couvrir 00:42:11.400 --> 00:42:15.600 toute la liste qui était notée 00:42:15.600 --> 00:42:20.560 dans le plan de classement, donc tel document doit rester 2 ans, tel document 10 ans, tel 00:42:20.560 --> 00:42:26.380 document 20 ans, etc. Et ensuite, le dernier point pour les archives, c'est les formats 00:42:26.380 --> 00:42:33.100 pérennes, donc très important aussi. On a des formats qui peut-être dans 10 ans seront 00:42:33.100 --> 00:42:37.520 illisibles, on n'aura peut-être plus les logiciels nécessaires pour ouvrir par exemple 00:42:37.520 --> 00:42:42.600 une vidéo ou un fichier qui aurait un format un peu étrange, donc ce qu'on préconise, 00:42:42.600 --> 00:42:51.260 C'est les formats PDFA qui sont des formats pérennes qui seront lisibles dans le temps. 00:42:51.260 --> 00:43:02.720 Et là, je voulais ouvrir un petit peu le sujet avec tout ce qui est intelligence artificielle, vu que c'est très à la mode, un sujet dont on parle un peu partout. 00:43:02.720 --> 00:43:04.720 Comment on l'applique ici ? 00:43:04.720 --> 00:43:09.340 C'est vrai qu'autour de tout ce qui est gestion électronique documentaire, ça se développe aussi énormément. 00:43:09.720 --> 00:43:17.853 Donc on voit de nombreuses entreprises qui proposent des logiciels qui permettent par exemple d'extraire des données de manière assez 00:43:17.853 --> 00:43:21.979 automatique, de faire des recherches intelligentes dans toute la GED. 00:43:21.920 --> 00:43:28.800 Donc on cherche avec un mot-clé et puis ça nous sort tous les documents de l'entreprise qui contiennent ce mot-clé. 00:43:28.800 --> 00:43:37.700 Aussi des indexations automatiques dans la GED, donc des outils qui permettent de classer les documents, de les mettre au bon endroit automatiquement. 00:43:37.700 --> 00:43:47.927 Donc, c'est assez impressionnant ce qui arrive et ce qui va arriver. Donc, aussi, point à suivre. Et aussi, au niveau de la sécurité, de 00:43:47.927 --> 00:43:58.227 l'accessibilité, donc, on a de plus en plus d'outils qui viennent aussi pour aider justement à gérer tout ça avec des notifications si un 00:43:58.227 --> 00:44:03.998 employé essaye d'accéder, par exemple, à un dossier qui n'est pas autorisé. 00:44:04.300 --> 00:44:17.588 Donc, voilà. Affaire à suivre. Et pour finir, je voulais ouvrir la discussion. Je crois que les questions viendront par la suite. Mais je ne 00:44:17.588 --> 00:44:24.279 sais pas si quelqu'un aurait... On regroupe plutôt à la fin. D'accord. 00:44:24.000 --> 00:44:31.040 Oui, archivé pour plusieurs années. Merci beaucoup. 00:44:34.300 --> 00:44:38.740 Merci beaucoup pour cette présentation. 00:44:38.740 --> 00:44:56.140 Alors, comme dit, la discussion se fera à la fin, vous pouvez continuer à poser vos questions, je les regarde en direct, je les sélectionne avec attention. 00:44:56.140 --> 00:45:02.540 Pour la suite, nous allons donc poursuivre avec des conseils pratiques pour protéger ces données. 00:45:03.700 --> 00:45:13.140 Alors c'est monsieur Alexandre Courois, directeur adjoint chez BDO Genève, qui va s'en charger, spécialisé en audit IT, cybersécurité, conformité réglementaire. 00:45:13.140 --> 00:45:19.020 Avec plus de 20 ans d'expérience, il accompagne les banques, les gestionnaires d'actifs et les entreprises dans leur démarche de mise en conformité. 00:45:19.020 --> 00:45:24.020 Et il intervient régulièrement comme formateur et conférencier sur ces thématiques. 00:45:24.020 --> 00:45:26.620 Donc je vous cède la parole, monsieur Courois. 00:45:33.700 --> 00:46:00.640 Bonjour à tous, 00:46:00.640 --> 00:46:02.920 ravi d'être à vos côtés ce matin. 00:46:03.700 --> 00:46:05.480 pour cette présentation. 00:46:05.480 --> 00:46:08.140 Alors, Juliette, en revoyant mes slides hier, 00:46:08.140 --> 00:46:09.560 elle n'est pas là aujourd'hui, mais elle m'a dit 00:46:09.560 --> 00:46:11.180 « Alexandre, c'est très riche. » 00:46:11.180 --> 00:46:13.980 Alors, vous avez, je pense, reçu ces slides préalablement. 00:46:13.980 --> 00:46:16.540 Je vais essayer de ne pas aller trop vite, 00:46:16.540 --> 00:46:19.320 mais je n'aurai pas forcément le temps de repasser 00:46:19.320 --> 00:46:20.900 derrière l'ensemble des notions. 00:46:20.900 --> 00:46:23.560 Donc, surtout, n'hésitez pas à la fin de la présentation 00:46:23.560 --> 00:46:26.040 à me poser un certain nombre de questions. 00:46:26.040 --> 00:46:28.520 Je serai ravi d'y répondre. 00:46:28.520 --> 00:46:31.980 L'agenda du jour, vous voyez, il est assez chargé. 00:46:33.080 --> 00:46:43.919 Je vais essayer de rentrer dans un certain détail, finalement ça fera parfaitement le lien avec ce qu'a commencé à présenter Claudia notamment sur les 00:46:43.919 --> 00:46:52.117 mesures techniques et organisationnelles que vous pouvez mettre en oeuvre pour vous protéger de la perte de données. 00:46:54.200 --> 00:47:07.152 Je vais passer l'introduction. L'objectif pour moi ce matin, ça va être en 15 minutes, ce qui est un gros challenge, de vous donner des 00:47:07.152 --> 00:47:14.003 réglages prioritaires à appliquer dès aujourd'hui dans vos sociétés. 00:47:13.440 --> 00:47:22.400 Ça va être de finalement vous fournir une espèce de checklist prête à l'emploi sur ce qu'il va falloir que vous mettiez en place 00:47:22.400 --> 00:47:27.081 rapidement pour pouvoir vous prémunir du risque de perte de données. 00:47:26.680 --> 00:47:35.540 Et puis, j'essaierai aussi de vous présenter un espèce de plan d'action à 30, 60, 90 jours et de vous donner à chaque fois des KPIs assez simples. 00:47:35.540 --> 00:47:43.660 Il y a des choses sur lesquelles je passerai assez rapidement, mais n'hésitez pas encore une fois à poser vos questions. 00:47:43.660 --> 00:47:56.720 Trois idées clés que j'ai essayé de relever et des leviers que vous pouvez activer rapidement. 00:47:57.620 --> 00:48:07.160 La première chose qui me paraît clé et indispensable, c'est tout d'abord de cartographier et de classer vos données. 00:48:07.160 --> 00:48:20.160 Avant de savoir comment on protège, il faut déjà savoir qu'est-ce que l'on protège et qui est responsable des données en question qui sont à protéger. 00:48:21.860 --> 00:48:29.224 Ce que je recommande, c'est tout d'abord, les premiers réflexes à avoir, c'est d'identifier ce que j'appelle les gisements, 00:48:29.224 --> 00:48:33.374 c'est-à-dire l'ensemble des données, où est-ce qu'elles se trouvent. 00:48:33.140 --> 00:48:42.288 Ça peut être un partage réseau, ça peut être des données dans des applications on-premise, c'est-à-dire sur site, ça peut être des 00:48:42.288 --> 00:48:48.104 applications SaaS, ça peut être des données sur des mobiles, sur des partages réseau. 00:48:48.340 --> 00:48:55.120 Pour chacune des données qu'on aurait identifiées, ce que je recommande, c'est d'identifier des data owners. 00:48:55.120 --> 00:49:02.220 Des data owners, ce n'est pas forcément des gens techniques de l'IT, c'est notamment et principalement des gens du métier. 00:49:02.220 --> 00:49:05.840 Ça peut être les RH, la finance, les ventes, etc. 00:49:05.840 --> 00:49:14.840 Je recommande aussi d'appliquer, une fois qu'on a identifié ces données à protéger, 00:49:14.840 --> 00:49:18.020 c'est d'opérer une classification assez simple 00:49:18.020 --> 00:49:21.780 entre des données dont on sait qu'elles peuvent être accédées par tous 00:49:21.780 --> 00:49:23.540 donc plutôt des données publiques 00:49:23.540 --> 00:49:27.240 y compris accessibles à des gens de l'extérieur 00:49:27.240 --> 00:49:28.900 et puis au fur et à mesure 00:49:28.900 --> 00:49:32.180 on va mettre un niveau de confidentialité plus fort 00:49:32.180 --> 00:49:35.540 typiquement vous le voyez dans ma présentation tout en bas 00:49:35.540 --> 00:49:38.260 j'ai mis C1 public parce que ce que je partage là 00:49:38.260 --> 00:49:41.920 n'a rien de particulièrement confidentiel 00:49:41.920 --> 00:49:44.420 et j'y reviendrai plus tard 00:49:44.420 --> 00:49:50.280 à chaque fois vous verrez 00:49:50.280 --> 00:49:52.420 je vous ai mis des KPIs 00:49:52.420 --> 00:49:54.120 que vous pouvez suivre en lien avec 00:49:54.120 --> 00:49:56.860 le sujet que j'évoque 00:49:56.860 --> 00:49:58.000 typiquement 00:49:58.000 --> 00:49:59.940 ce qu'on va pouvoir suivre 00:49:59.940 --> 00:50:00.700 c'est le pourcentage 00:50:00.700 --> 00:50:04.240 des domaines avec des honneurs 00:50:04.240 --> 00:50:05.800 le pourcentage d'actifs 00:50:05.800 --> 00:50:07.860 qu'on aura classé 00:50:07.860 --> 00:50:09.980 les actifs ce n'est pas seulement des données 00:50:09.980 --> 00:50:11.960 c'est aussi le hardware 00:50:11.960 --> 00:50:12.680 qu'il y a derrière 00:50:12.680 --> 00:50:15.800 le nombre de liens publics fermés 00:50:15.800 --> 00:50:16.920 mais ça j'y reviendrai plus tard 00:50:16.920 --> 00:50:18.640 et le deuxième point 00:50:18.640 --> 00:50:21.640 qui me paraissait le deuxième levier qui me paraît important 00:50:21.640 --> 00:50:23.280 c'est une fois qu'on a cartographié 00:50:23.280 --> 00:50:24.420 qu'on a classé ces données 00:50:24.420 --> 00:50:27.360 c'est de se dire quels sont les moyens techniques 00:50:27.360 --> 00:50:29.520 et organisationnels que je mets en oeuvre 00:50:29.520 --> 00:50:31.980 pour réduire la surface d'attaque 00:50:31.980 --> 00:50:35.780 donc là l'objectif ça va être de rendre 00:50:35.780 --> 00:50:37.320 finalement l'accès illégitime 00:50:37.320 --> 00:50:39.900 difficile et visible 00:50:39.900 --> 00:50:43.620 quelques gestes immédiats 00:50:43.620 --> 00:50:45.080 et vous allez voir 00:50:45.080 --> 00:50:46.740 que je fais beaucoup de marteau-thérapie 00:50:46.740 --> 00:50:48.020 ce matin à travers mes slides 00:50:48.020 --> 00:50:50.660 Claudia l'a déjà évoqué 00:50:50.660 --> 00:50:52.620 mais la MFA pour tous 00:50:52.620 --> 00:50:54.880 c'est indispensable aujourd'hui 00:50:54.880 --> 00:50:57.500 pour tous les comptes 00:50:57.500 --> 00:50:59.580 là aussi c'est une notion sur laquelle je reviendrai 00:50:59.580 --> 00:51:00.440 parce qu'il y a parfois 00:51:00.440 --> 00:51:03.240 on pense toujours à des comptes d'utilisateurs 00:51:03.240 --> 00:51:05.260 standards mais on oublie, on néglige 00:51:05.260 --> 00:51:06.700 un certain nombre d'autres 00:51:06.700 --> 00:51:09.140 comptes utilisateurs 00:51:09.140 --> 00:51:10.840 qui ont des accès à privilèges notamment 00:51:10.840 --> 00:51:13.460 et donc pour cette raison là 00:51:13.460 --> 00:51:15.340 on recommande de déployer 00:51:15.340 --> 00:51:17.260 l'authentification 00:51:17.260 --> 00:51:19.740 forte sur l'ensemble des comptes 00:51:19.740 --> 00:51:21.340 l'authentification héritée 00:51:21.340 --> 00:51:22.980 désactivée 00:51:22.980 --> 00:51:24.760 alors l'authentification héritée c'est quoi ? 00:51:24.760 --> 00:51:27.020 c'est des mécanismes d'authentification 00:51:27.020 --> 00:51:28.620 qui seraient par exemple obsolètes 00:51:28.620 --> 00:51:30.400 et qui ne permettraient pas techniquement 00:51:30.400 --> 00:51:33.520 finalement de mettre en place 00:51:33.520 --> 00:51:34.080 la MFA 00:51:34.080 --> 00:51:36.800 et donc je recommande là aussi 00:51:36.800 --> 00:51:39.000 de désactiver ce qu'on appelle 00:51:39.000 --> 00:51:41.000 l'authentification héritée dans les annuaires 00:51:41.000 --> 00:51:43.280 d'entreprise pour limiter le risque 00:51:43.280 --> 00:51:44.680 que des comptes puissent être créés 00:51:44.680 --> 00:51:47.040 sans qu'on puisse leur imposer ce mécanisme 00:51:47.040 --> 00:51:49.080 d'authentification à plusieurs 00:51:49.080 --> 00:51:50.800 facteurs. Évidemment, 00:51:50.800 --> 00:51:52.160 des accès conditionnels. 00:51:52.160 --> 00:51:54.960 Là aussi, je reviendrai 00:51:54.960 --> 00:51:56.860 sur cette notion-là un petit peu plus tard, mais 00:51:56.860 --> 00:51:59.120 il faut autant que faire se peut 00:51:59.120 --> 00:52:01.160 ne pas donner un accès 00:52:01.160 --> 00:52:02.180 systématique 00:52:02.180 --> 00:52:04.500 administrateur 00:52:04.500 --> 00:52:06.860 quand bien même ça serait à quelqu'un 00:52:06.860 --> 00:52:08.780 qui serait habilité à avoir ce type d'accès 00:52:08.780 --> 00:52:17.420 Il faut mettre en place un système d'accès conditionnel où on ne donne accès que ce à quoi on a besoin et ceux de manière temporaire. 00:52:17.420 --> 00:52:27.623 Les accès, évidemment, à mettre en place de manière proportionnée au regard des fonctions qu'occupe chaque personne dans 00:52:27.623 --> 00:52:32.887 l'entreprise et puis avoir des rôles d'administration séparés. 00:52:32.320 --> 00:52:38.600 Et ce que moi je vois trop souvent, c'est qu'on a quelqu'un qui est à l'IT qui a évidemment, de par la fonction qu'il occupe, 00:52:38.600 --> 00:52:43.960 parce qu'il administre un certain nombre de choses au niveau du système d'information, un accès admin. 00:52:43.960 --> 00:52:50.740 Mais son accès admin, il l'a pour tout, pour toutes les fonctions, pour toutes les tâches qu'il effectue. 00:52:50.740 --> 00:52:55.880 Et donc on recommande de séparer ces comptes. 00:52:56.220 --> 00:52:59.620 On a un compte d'utilisateur standard pour les fonctions standards 00:52:59.620 --> 00:53:03.100 que l'on effectue au sein de l'organisation. 00:53:03.100 --> 00:53:07.080 Et puis on a un rôle d'admin quand on a réellement besoin d'administrer son système d'information. 00:53:07.080 --> 00:53:17.020 Poste géré et chiffré, là aussi, un coup de marteau thérapie par rapport à ce qu'a dit Claudia. 00:53:17.020 --> 00:53:21.080 Les mises à jour automatiques, extrêmement important, 00:53:21.260 --> 00:53:26.200 c'est mettre à jour régulièrement le hardware et le software. 00:53:26.200 --> 00:53:28.820 Ça paraît un peu tarte à la crème, 00:53:28.820 --> 00:53:30.840 mais je vois aussi trop souvent des systèmes 00:53:30.840 --> 00:53:36.840 qui font l'objet de failles de sécurité, 00:53:36.840 --> 00:53:39.320 justement parce qu'il n'y a pas de politique de patching, 00:53:39.320 --> 00:53:42.940 de mise à jour, que ce soit au niveau du hardware ou du software. 00:53:42.940 --> 00:53:45.880 Je passe rapidement sur les KPIs, 00:53:45.880 --> 00:53:49.060 mais ça c'est typiquement des choses que vous pouvez suivre, 00:53:49.480 --> 00:53:54.380 les couvertures MFA, le nombre de postes qui sont gérés et chiffrés, 00:53:54.380 --> 00:53:56.520 le nombre de comptes admin, ça fait partie des choses 00:53:56.520 --> 00:54:00.240 que vous pouvez tout à fait suivre et qui sont toujours très intéressantes. 00:54:00.240 --> 00:54:05.580 Dernière idée clé, c'est tester la résilience. 00:54:05.580 --> 00:54:10.520 Là aussi, Claudia en a parlé, la sauvegarde, la restauration. 00:54:10.520 --> 00:54:15.160 Je vous parlerai un peu plus tard et rapidement 00:54:15.160 --> 00:54:18.700 de ce que j'appelle la sauvegarde 3, 2, 1, 1, 0. 00:54:19.480 --> 00:54:29.301 Et penser à bien vous enquérir de ce qui est fait à l'extérieur quand vous utilisez du cloud ou une application SaaS, c'est finalement se poser la 00:54:29.301 --> 00:54:38.992 question de, et là aussi j'y reviendrai quand il s'agit de gérer les prestataires externes, qu'est-ce que je fais finalement et comment je m'assure 00:54:38.992 --> 00:54:44.976 que mes données sont sauvegardées quand ce n'est pas moi-même qui m'en occupe en interne. 00:54:44.880 --> 00:54:54.420 Faire des tests de restauration, là aussi, tarte à la crème, mais c'est une déficience que j'identifie moi avec ma casquette d'auditeur IT extrêmement souvent. 00:54:54.420 --> 00:55:00.820 On a des clients qui pensent bien à faire leur sauvegarde, par contre, ils oublient de faire des tests de restauration. 00:55:00.820 --> 00:55:09.740 Et faire des tests de restauration, ce n'est pas seulement restaurer un fichier parce qu'un employé a perdu un fichier ou l'a supprimé par mégarde. 00:55:09.740 --> 00:55:19.920 C'est aussi s'assurer qu'on est en capacité de redémarrer la totalité d'un serveur, que ce soit un serveur physique ou un serveur virtuel, un VM. 00:55:19.920 --> 00:55:28.200 Et puis c'est aussi quand on a du cloud, se dire ok, j'ai une sauvegarde sur le cloud, pour accéder à cette sauvegarde j'ai besoin d'un compte. 00:55:28.200 --> 00:55:36.740 Et donc je m'assure quand je fais des tests de restauration que je suis aussi en capacité de réaccéder à ces sauvegardes. 00:55:38.060 --> 00:55:42.000 Définir un RPO, un RTO pour l'ensemble des applications critiques. 00:55:42.000 --> 00:55:45.500 Là aussi, j'ai mis des exemples de KPI. 00:55:45.500 --> 00:55:52.660 Je vais passer rapidement, mais je vous avais mis des scénarios auxquels potentiellement vous êtes, 00:55:52.660 --> 00:55:56.420 vous en tant que PME ou startup, vous n'êtes évidemment pas les seuls, 00:55:56.420 --> 00:55:59.200 vous êtes potentiellement exposé. 00:55:59.200 --> 00:56:05.840 Vous pouvez être exposé à des attaques externes type phishing, 00:56:05.840 --> 00:56:17.500 Vous pouvez être exposé à des attaques de type ransomware, des fuites, et ça Claudia l'a bien dit aussi, des fuites involontaires de données dues à des erreurs humaines. 00:56:17.500 --> 00:56:28.370 Et donc à chaque fois, je vous ai mis une manière, donc là je vais aller assez vite, mais je vous ai mis quels sont les outils que vous pouvez 00:56:28.370 --> 00:56:34.177 finalement mettre en œuvre assez rapidement pour prévenir ce type d'attaque. 00:56:33.880 --> 00:56:36.680 et ça ne vous prémunira jamais totalement 00:56:36.680 --> 00:56:38.620 complètement mais vous limiterez 00:56:38.620 --> 00:56:39.740 très largement le risque 00:56:39.740 --> 00:56:42.120 donc là encore on pourrait y revenir à la fin 00:56:42.120 --> 00:56:44.860 si toutefois vous avez des questions 00:56:44.860 --> 00:56:51.600 même chose 00:56:51.600 --> 00:56:53.540 Shadow IT 00:56:53.540 --> 00:56:55.000 ce que j'appelle le Shadow IT 00:56:55.000 --> 00:56:56.460 c'est typiquement 00:56:56.460 --> 00:57:00.500 l'utilisation de logiciels 00:57:00.500 --> 00:57:01.460 d'outils 00:57:01.460 --> 00:57:05.780 qui ne seraient pas officiellement approuvés au sein de l'entreprise. 00:57:05.780 --> 00:57:11.880 Et ça arrive très souvent parce qu'on n'est pas capable de disposer de telle ou telle fonctionnalité 00:57:11.880 --> 00:57:14.000 à travers l'ERP qu'utilise la société. 00:57:14.000 --> 00:57:16.260 Donc on crée ses propres outils. 00:57:16.260 --> 00:57:21.260 Ça peut être une feuille Excel, mais ça peut être parfois aussi des outils gratuits 00:57:21.260 --> 00:57:26.160 qu'on est en capacité d'accéder depuis l'entreprise. 00:57:26.160 --> 00:57:28.740 Et donc ça, pareil, ça représente un risque. 00:57:29.620 --> 00:57:38.540 Et il y a une façon très facile de prévenir en mettant ce que je mets là comme outil, comme dispositif. 00:57:38.540 --> 00:57:45.180 Perte vol d'appareil, accès à privilèges mal maîtrisés, là aussi ce sont des choses que je vois très souvent. 00:57:45.180 --> 00:57:50.740 Trop d'administrateurs, c'est mon constat de manière générale. 00:57:50.740 --> 00:57:57.580 Ce n'est pas systématique, mais je vois trop de gens qui ont des accès aux privilèges, des privilèges qu'ils ne devraient pas avoir. 00:57:58.560 --> 00:58:09.480 Donc ça aussi, faites très attention, parce que c'est une porte ouverte vers potentiellement un risque de fuite ou de perte de données. 00:58:09.480 --> 00:58:25.480 Je vous ai mis un maximum de détails, mais c'est aussi pour vous permettre, à posteriori de ces échanges, d'avoir un maximum de matériel. 00:58:25.620 --> 00:58:28.580 Il y a des choses que j'ai déjà évoquées sur lesquelles je vais passer assez vite. 00:58:28.580 --> 00:58:32.780 Vous l'avez compris, la cartographie de ces données, c'est clé. 00:58:32.780 --> 00:58:37.360 Je regarde s'il y a des messages clés que j'aurais oublié de faire passer, 00:58:37.360 --> 00:58:40.600 mais globalement, c'est des choses que j'ai déjà présentées préalablement. 00:58:40.600 --> 00:58:48.920 Je le disais, les accès, la gestion des accès, et Claudia l'a très bien dit, 00:58:48.920 --> 00:58:52.580 ça fait partie des choses clés en entreprise, 00:58:53.120 --> 00:58:55.980 sur lesquelles il faut porter une attention toute particulière. 00:58:55.980 --> 00:58:59.920 Là aussi, en matière de quick win, 00:58:59.920 --> 00:59:04.780 on a, je le répète, mais il faut vraiment imposer la MFA. 00:59:04.780 --> 00:59:07.900 L'écueil que je retrouve le plus souvent, c'est de se dire 00:59:07.900 --> 00:59:10.920 qu'on croit qu'on a déployé le MFA partout. 00:59:10.920 --> 00:59:13.320 Et puis nous, auditeurs, quand on vient regarder, 00:59:13.320 --> 00:59:17.640 on voit qu'il y a peut-être 10-15% des comptes 00:59:17.640 --> 00:59:20.740 qui ne font pas l'objet d'une MFA. 00:59:21.380 --> 00:59:24.800 Et ces comptes-là, en l'occurrence, ce sont des comptes qui parfois sont des comptes techniques, 00:59:24.800 --> 00:59:27.800 des comptes à droit étendu, des comptes d'administration, 00:59:27.800 --> 00:59:32.420 qui permettent potentiellement de faire un maximum de choses au niveau réseau, au niveau applicatif. 00:59:32.420 --> 00:59:39.200 Et donc, c'est extrêmement important de se poser la question de quels sont les comptes qui sont couverts 00:59:39.200 --> 00:59:46.000 et puis surtout, quels sont les droits que j'alloue au regard de l'utilisation qui est faite du compte. 00:59:46.000 --> 00:59:49.680 Là aussi, à chaque fois, je vous remets des KPIs, mais je ne vais pas m'arrêter. 00:59:51.380 --> 01:00:00.700 Activer le chiffrement sur les postes et les mobiles, ce que j'appelle durcir sans douleur, ne vous méprenez pas, c'est ce qu'on appelle le hardening. 01:00:00.700 --> 01:00:06.500 C'est vraiment comment est-ce qu'on renforce la sécurité au niveau du hardware dans l'entreprise. 01:00:06.500 --> 01:00:15.120 Très rapidement, ça va être notamment d'activer le chiffrement, mais ça, Claudia en a parlé, automatiser les mises à jour. 01:00:15.260 --> 01:00:24.380 Là aussi, ça peut paraître idiot, mais c'est extrêmement important de tenir ses systèmes et son matériel à jour de ce point de vue. 01:00:24.380 --> 01:00:28.080 Déployer de l'EDR, l'antivirus, Claudia l'a dit. 01:00:28.080 --> 01:00:33.680 Bloquer les ports USB, nous chez BDO, mais je pense que c'est le cas dans beaucoup d'entreprises dorénavant. 01:00:33.680 --> 01:00:42.420 C'est compliqué pour nous, on ne peut plus connecter de disques de sauvegarde sur des ports USB pour les raisons qu'on peut comprendre. 01:00:43.240 --> 01:00:53.400 Encadrer le BIOD, c'est la possibilité qu'offre une société à ses collaborateurs 01:00:53.400 --> 01:00:59.380 d'apporter son propre matériel et de pouvoir se connecter au réseau de l'entreprise à travers le matériel. 01:00:59.380 --> 01:01:01.800 Évidemment, ça doit être quelque chose de très encadré. 01:01:01.800 --> 01:01:05.920 Supprimer les droits administrateurs sur les postes utilisateurs. 01:01:05.920 --> 01:01:11.420 Le droit admin, c'est la possibilité d'administrer son PC. 01:01:11.860 --> 01:01:15.520 Ce n'est pas uniquement administrer un applicatif, on a aussi la possibilité, 01:01:15.520 --> 01:01:21.140 et ça je le vois énormément, des gens qui peuvent installer ce qu'ils veulent sur les postes, 01:01:21.140 --> 01:01:24.540 faire ce qu'ils veulent sur leurs postes, et ça, ça doit être encadré. 01:01:24.540 --> 01:01:31.440 Donc typiquement, en termes de quick win, activer, je le disais, le chiffrement des disques, 01:01:31.440 --> 01:01:37.300 bloquer par défaut les supports amovibles et n'autoriser que les exceptions justifiées, 01:01:37.300 --> 01:01:39.480 parce qu'évidemment il ne s'agit pas de tout fermer. 01:01:41.080 --> 01:01:52.520 Et puis mettre en place des règles d'accès conditionnels, soit un appareil non géré, soit un non à jour, ne doit évidemment pas accéder aux données sensibles. 01:01:52.520 --> 01:02:08.940 C'est vrai que j'oublie d'avancer en même temps, je suis désolé, mais comme vous connaissez ma présentation par cœur déjà, ça va. 01:02:11.080 --> 01:02:21.277 Les sauvegardes, alors Claudia en a parlé, j'aime bien rappeler la règle de la sauvegarde 3.2.1.1.0, c'est trois copies de chaque donnée, deux supports 01:02:21.277 --> 01:02:30.355 différents, une copie, ça c'est fondamental pour moi, une copie hors site pour éviter de s'exposer trop fortement à une attaque cyber. 01:02:29.960 --> 01:02:40.789 J'ai beaucoup de clients qui font tout ça très bien, mais qui oublient la copie hors site et si toutefois ils se font hacker, notamment le 01:02:40.789 --> 01:02:47.624 serveur sur lequel sont sauvegardés les données, ils sont tous nus, ils sont embêtés. 01:02:47.240 --> 01:02:56.680 Donc c'est important de faire une copie hors site de ces données et une copie immuable typiquement pour pouvoir conserver. 01:02:57.240 --> 01:03:08.440 Et dernière chose sur laquelle j'ai déjà insisté, c'est le zéro, c'est faites des tests de restauration et assurez-vous que vos tests de restauration sont bons. 01:03:08.440 --> 01:03:15.720 Là encore, trop souvent, c'est un écueil que je rencontre de ne pas avoir de test de restore périodique. 01:03:15.720 --> 01:03:25.740 En matière de quick wins, activer l'immutabilité, je ne me suis pas entraîné sur la copie hors site. 01:03:26.340 --> 01:03:32.217 Lancer dès cette semaine, alors quand je dis dès cette semaine, comprenez-moi bien, mais c'est des questions que vous pouvez vous poser dès 01:03:32.217 --> 01:03:36.902 maintenant, un test de restauration qui ne se contenterait pas de faire uniquement de la restauration de fichiers. 01:03:36.820 --> 01:03:46.137 Là, je vais passer rapidement sur le chiffrement parce que je pense que si vous avez des questions, parce qu'il y a des termes assez 01:03:46.137 --> 01:03:51.978 techniques, n'hésitez pas à me poser des questions à l'issue de la présentation. 01:03:52.300 --> 01:03:54.180 Mais chiffrez vos données, Claudia l'a dit, 01:03:54.180 --> 01:03:57.200 données au repos, les données en transit. 01:03:57.200 --> 01:04:00.960 Quand on a des applications de type SaaS, 01:04:00.960 --> 01:04:04.500 c'est-à-dire des applications qui sont gérées par un prestataire externe, 01:04:04.500 --> 01:04:06.540 c'est important de se poser la question 01:04:06.540 --> 01:04:11.560 de si la donnée qui va transiter à travers le prestataire en question 01:04:11.560 --> 01:04:14.480 est-ce qu'elle est sécurisée et chiffrée. 01:04:14.480 --> 01:04:21.040 DLP, c'est quoi le DLP ? 01:04:21.040 --> 01:04:28.140 c'est Data Leakage Protection, ce sont des outils qui permettent de se prémunir du risque de fuite de données, notamment. 01:04:28.140 --> 01:04:35.380 Vous êtes une PME, vous êtes une startup, vous n'avez pas forcément toujours les moyens de vous doter de ce type d'outil, 01:04:35.380 --> 01:04:42.480 mais dans le cas où vous souhaiteriez le faire, il est toujours bien de se doter de ce type d'outil, 01:04:42.480 --> 01:04:48.060 parce que ça permet de définir un certain nombre de règles qui vont permettre de se prémunir du risque de fuite de données, 01:04:48.580 --> 01:04:59.459 Notamment sur des choses très tartes à la crème comme la détection numéro d'Iban, la détection numéro AVS, ce genre de mots clés qui permettent finalement, si 01:04:59.459 --> 01:05:09.752 toutefois un collaborateur par mégarde souhaitait envoyer ce type de contenu à travers un mail, ça permettrait au mail de ne jamais sortir de l'entreprise. 01:05:10.560 --> 01:05:25.619 En matière de quick wins, typiquement, créer trois règles de DLP de base, activer l'audit sur vos solutions, que ce soit du Microsoft 365 01:05:25.619 --> 01:05:32.668 ou du Google, et éviter d'ouvrir trop de liens vers l'extérieur. 01:05:32.240 --> 01:05:33.740 C'est ça que je recommande. 01:05:40.560 --> 01:05:49.808 N'oubliez pas quand vous faites appel à un prestataire que ça reste de votre responsabilité, les données restent sous votre responsabilité, 01:05:49.808 --> 01:05:59.439 donc la confiance n'exclut pas le contrôle, c'est la raison pour laquelle je recommande quand on fait appel à un prestataire de la place, c'est quand 01:05:59.439 --> 01:06:04.223 même d'avoir une due diligence minimale avec un certain nombre d'attendus. 01:06:04.360 --> 01:06:13.880 Ça peut être l'existence d'une attestation SOC ou ISAE qui va vous donner une assurance quant au niveau de contrôle interne qui est en place chez le prestataire. 01:06:13.880 --> 01:06:23.552 Ça va être aussi des garanties sur la localisation des données, là aussi en lien avec ce qui a été exposé ce matin par mes 01:06:23.552 --> 01:06:27.495 collègues, notamment sur les problématiques de LPD. 01:06:28.060 --> 01:06:37.208 Ça va être de cadrer les clauses contractuelles clés avec une notification d'incident avec des délais clairs, une gestion des 01:06:37.208 --> 01:06:41.852 sous-traitants du prestataire, une portabilité des données, etc. 01:06:41.500 --> 01:06:46.680 En matière de quick wins, il faut toujours exiger de son prestataire. 01:06:46.680 --> 01:06:55.488 Quand c'est des prestataires de la place, des gros prestats, généralement on a cette assurance-là parce qu'on a une attestation ISAE ou SOC qui permet de 01:06:55.488 --> 01:07:02.669 vérifier que les mesures techniques attendues sont en place chez le prestataire en question, mais ce n'est pas toujours le cas. 01:07:02.580 --> 01:07:11.503 Tous les prestataires n'ont pas ce type d'attestation, et donc dans ces cas-là, c'est bien de poser les questions et donc typiquement d'exiger ce que j'ai déjà 01:07:11.395 --> 01:07:19.832 présenté, c'est-à-dire l'authentification multifacteur, le single sign-on, c'est-à-dire la possibilité de se connecter une seule fois à l'ensemble des 01:07:20.000 --> 01:07:28.032 Et puis, évidemment, quand vous le pouvez, et pour ceux qui sont plus experts, c'est de collecter les SOC, ce n'est pas justement destiné uniquement 01:07:28.032 --> 01:07:35.904 aux auditeurs externes, c'est aussi pour vous, pour vous donner de l'assurance sur est-ce que finalement mon prestataire fait bien le boulot, est-ce 01:07:35.904 --> 01:07:39.893 qu'il a bien mis en place tous les dispositifs de sécurité de son côté. 01:07:39.680 --> 01:07:48.740 Et puis c'est évidemment faire tourner et puis mettre en place des backups indépendants. 01:07:50.000 --> 01:07:55.960 le temps passe 01:07:55.960 --> 01:07:59.040 mais posez moi des questions 01:07:59.040 --> 01:08:01.080 à la fin s'il vous plaît sur le plan d'action 01:08:01.080 --> 01:08:02.740 tout ça que j'ai pas eu le temps de vous présenter 01:08:02.740 --> 01:08:05.180 merci à tous 01:08:05.180 --> 01:08:16.280 je voulais pas vous couper la parole 01:08:16.280 --> 01:08:17.220 si abruptement 01:08:17.220 --> 01:08:20.420 c'est vrai que je suis bavard 01:08:20.420 --> 01:08:23.580 non j'ai employé expert et passionné 01:08:23.580 --> 01:08:24.460 j'ai pas dit bavard 01:08:24.460 --> 01:08:26.260 mais très bien 01:08:26.260 --> 01:08:29.240 sans plus attendre on va passer 01:08:29.240 --> 01:08:31.480 à la dernière présentation 01:08:31.480 --> 01:08:33.140 de la matinée avant de poursuivre 01:08:33.140 --> 01:08:34.340 avec les questions 01:08:34.340 --> 01:08:37.280 donc la dernière présentation 01:08:37.280 --> 01:08:39.060 s'intitule choix et implantation 01:08:39.060 --> 01:08:40.080 des solutions IT 01:08:40.080 --> 01:08:42.900 monsieur Adélite Uwineza 01:08:42.900 --> 01:08:45.340 manager cyber security chez EY 01:08:45.340 --> 01:08:48.460 va se charger de cette présentation. 01:08:48.460 --> 01:08:51.680 Pour rappeler son parcours, 01:08:51.680 --> 01:08:55.080 il est titulaire d'un master en ingénierie des affaires 01:08:55.080 --> 01:08:57.660 avec une spécialisation en gestion d'innovation et des technologies. 01:08:57.660 --> 01:09:00.660 Fort de plus de 8 ans d'expérience en cybersécurité, 01:09:00.660 --> 01:09:03.080 il a mené à bien des projets de mise en œuvre de sécurité, 01:09:03.080 --> 01:09:06.660 principalement dans des ONG, des entreprises pharmaceutiques et des banques. 01:09:06.660 --> 01:09:09.640 Je vous prie de me rejoindre et de poursuivre cette présentation. 01:09:09.640 --> 01:09:12.080 Et ne vous inquiétez pas, comme Alexandre a dit, 01:09:12.080 --> 01:09:13.500 toutes les questions peuvent venir après. 01:09:14.780 --> 01:09:18.260 On aura encore une demi-heure pour débattre, ce qui est long et court à la fois. 01:09:18.260 --> 01:09:24.320 Merci beaucoup Frédéric pour cette belle introduction, flatteuse. 01:09:24.320 --> 01:09:33.480 Alors moi j'interviens après mes collègues, après Audrey, Elisabeth, Claudia et Alexandre, 01:09:33.480 --> 01:09:39.400 dans un objectif de tenter de les compléter en vous partageant quelques pistes de réflexion 01:09:39.400 --> 01:09:44.140 sur comment identifier et comment sélectionner les solutions les plus adaptées à vos besoins, 01:09:44.700 --> 01:09:49.960 qu'il s'agisse de besoins en matière de signature électronique ou d'archivage électronique, 01:09:49.960 --> 01:09:59.660 ou encore de gestion de risque lié aux données, ou généralement en matière de gestion de la protection des données sensibles. 01:09:59.660 --> 01:10:05.580 Alors maintenant que mes collègues ont déjà tous présenté, je me rends compte que ce n'est pas une tâche facile 01:10:05.580 --> 01:10:16.200 de vous présenter ces points sans trop me répéter mais je vais tenter de taper sur le marteau avec un 01:10:16.200 --> 01:10:22.200 sur le clou avec un marteau différent la vraie pour cette analogie de menuiser j'ai pas été plus 01:10:22.200 --> 01:10:29.520 inspiré que ça mais sur les points où je vais avoir l'impression que je me répète donc il s'agit 01:10:29.520 --> 01:10:36.600 bien de sujets assez complexes donc c'est tout à fait normal qu'en 15 minutes on pourra pas tout 01:10:36.600 --> 01:10:41.400 parcourir mais on va quand même essayer de parcourir ces quelques pistes de réflexion 01:10:41.400 --> 01:10:46.080 ensemble ensuite nous allons voir quelques exemples de solutions haïti qui sont adaptés 01:10:46.080 --> 01:10:51.180 à vos besoins en fonction de quelques cas d'usage que j'ai sélectionné et enfin je 01:10:51.180 --> 01:10:58.040 souhaiterais finir avec une brève introduction de quelques avantages liés au choix de solutions 01:10:58.040 --> 01:11:03.320 cloud. Vous allez vous en rendre compte, je suis un grand fan des solutions cloud, mais 01:11:03.320 --> 01:11:10.860 c'est personnel. Donc sans plus tarder, si on attaque directement les solutions, donc 01:11:10.860 --> 01:11:14.460 les solutions en matière de protection de données. Alors c'est des choses qui ont déjà 01:11:14.460 --> 01:11:18.480 été mentionnées, mais quand on pense à la protection des données, la première chose 01:11:18.480 --> 01:11:22.560 c'est d'abord d'identifier vos données. Vous allez avoir besoin de solutions qui vous 01:11:22.560 --> 01:11:27.560 permettent d'identifier et de cartographier vos données, pas celles qui existent déjà 01:11:27.560 --> 01:11:32.600 au moment où vous implémentez votre solution, mais des solutions qui sont capables d'identifier 01:11:32.600 --> 01:11:37.340 de nouvelles informations qui entrent et qui leur attribuent le bon niveau de sensibilité. 01:11:37.340 --> 01:11:44.800 Ensuite, on l'a déjà mentionné également, c'est important de protéger vos données 01:11:44.800 --> 01:11:50.000 une fois que vous les avez identifiées, que ce soit au repos, en transit, 01:11:50.000 --> 01:11:54.320 lorsque vous les transférez d'un point A à un point B, ou en cours d'usage. 01:11:55.180 --> 01:11:58.760 Donc, c'est important d'avoir des solutions qui vous permettent d'appliquer un chiffrement. 01:11:58.760 --> 01:12:03.980 C'est important d'avoir des solutions qui vous permettent de gérer l'accès à ces données, 01:12:03.980 --> 01:12:09.460 donc déterminer qui devrait avoir accès, quel profil ne devrait absolument pas avoir accès à ces données. 01:12:09.460 --> 01:12:15.560 C'est des choses qui peuvent être complétées, par exemple, avec des solutions de DLP, dont on a déjà parlé, 01:12:15.560 --> 01:12:24.620 qui vont s'intégrer, par exemple, avec vos solutions de services e-mail pour prévenir lorsqu'on est sur le point d'envoyer des données sensibles 01:12:24.620 --> 01:12:29.280 ou lorsqu'on a déjà appuyé pour l'envoi, de pouvoir intercepter ces informations sensibles 01:12:29.280 --> 01:12:32.300 avant qu'elles ne fuitent en dehors de votre organisation. 01:12:32.300 --> 01:12:38.620 Très important quand on parle de protection de données, de garder en mémoire 01:12:38.620 --> 01:12:43.240 que la protection de données se fait principalement sur trois dimensions. 01:12:43.240 --> 01:12:46.860 La confidentialité, on en a déjà parlé avec le chiffrement. 01:12:46.860 --> 01:12:53.260 La disponibilité, parce que sans vos données, il y a de fortes chances 01:12:53.260 --> 01:12:59.520 que vous ne puissiez pas faire votre travail, et enfin l'intégrité, que mes collègues ont déjà assez bien détaillé. 01:12:59.520 --> 01:13:05.400 En termes d'intégrité, il s'agit de principalement s'assurer que lorsque vos données sont modifiées, 01:13:05.400 --> 01:13:10.260 vous êtes en capacité de pouvoir identifier qu'il y a eu des modifications sur ces données, 01:13:10.260 --> 01:13:17.740 qu'il s'agisse de modifications malencontreuses, donc accidentelles, ou intentionnelles par des acteurs malveillants. 01:13:18.640 --> 01:13:26.400 Et enfin, et plus important, il faut pouvoir restaurer ces données pour pouvoir restaurer la version qui est la plus à jour selon vous 01:13:26.400 --> 01:13:32.060 ou la version qui n'est pas corrompue en cas, par exemple, de ransomware et de choses comme ça. 01:13:32.060 --> 01:13:38.820 Évidemment, si vous avez la possibilité d'intégrer vos solutions de DLP, par exemple, 01:13:38.820 --> 01:13:46.320 ou vos outils de gestion des accès avec les outils de surveillance et de détection d'incidents, 01:13:46.780 --> 01:13:53.660 Cela vous permettra de pouvoir être proactif dans l'identification des incidents de données avant qu'elles ne surviennent, 01:13:53.660 --> 01:14:02.360 ou de pouvoir intervenir dans les temps une fois que ces fuites de données, ces incidents liés aux données sensibles, se sont déjà matérialisés. 01:14:02.360 --> 01:14:09.360 On passe au point suivant concernant l'archivage sécurisé et la signature électronique. 01:14:09.360 --> 01:14:13.860 Alors, je vous l'accorde, il s'agit de deux sujets différents. 01:14:14.260 --> 01:14:22.360 Cependant, comme l'ont déjà mentionné mes collègues, il s'agit de deux activités qui sont soumises très souvent aux mêmes règles. 01:14:22.360 --> 01:14:32.380 Par exemple, les standards EIDAS qui vont régir les règlements en matière de services de confiance. 01:14:32.380 --> 01:14:41.360 Donc, c'est important de choisir des solutions qui sont conformes avec ces différentes exigences auxquelles vous êtes soumis ou auxquelles vos activités sont soumises. 01:14:42.980 --> 01:14:50.452 Aussi très important quand vous sélectionnez une solution de sauvegarde ou même une solution de signature électronique, c'est 01:14:50.452 --> 01:14:54.705 important d'avoir des fonctionnalités de traçabilité de pistes d'audit. 01:14:54.360 --> 01:15:04.375 On en revient au point sur l'intégrité. Si on prend l'exemple d'un contrat, vous signez un contrat avec un employeur, si l'employeur peut modifier 01:15:04.375 --> 01:15:10.962 votre contrat après signature pour ajouter des clauses avec lesquelles vous n'êtes pas d'accord, 01:15:10.760 --> 01:15:15.380 il faut que vous puissiez le détecter et que vous puissiez réagir. 01:15:15.380 --> 01:15:20.980 Donc il faut que vous puissiez prouver que cette modification a eu lieu après signature. 01:15:20.980 --> 01:15:26.480 Donc je prends un exemple évidemment extrême juste pour vous montrer le point. 01:15:26.480 --> 01:15:35.420 De nouveau, j'insiste sur le point sur la rétention des données. 01:15:36.420 --> 01:15:45.500 Il vous faut des solutions qui vous permettent de contrôler la durée de rétention de vos données. 01:15:45.500 --> 01:15:53.320 C'est-à-dire qu'on est en phase de situation où des fois on a des données qui doivent être conservées pendant une durée minimale. 01:15:53.320 --> 01:15:59.280 C'est le cas des données financières qui doivent être conservées pendant une durée par exemple de 10 ans. 01:15:59.280 --> 01:16:05.400 Mais il y a aussi des données qui ne doivent être conservées que pendant toute la période où vous en avez besoin. 01:16:06.360 --> 01:16:09.460 Et au-delà de la période où vous en avez besoin, vous devez vous en débarrasser. 01:16:09.460 --> 01:16:16.680 Donc, c'est important d'avoir des mécanismes et des outils qui vous permettent d'avoir une sorte de monitoring sur la durée de rétention 01:16:16.680 --> 01:16:25.780 et peut-être des fonctionnalités d'alerting qui vous permettent de pouvoir supprimer ces données une fois qu'elles ne sont plus pertinentes pour votre activité. 01:16:25.780 --> 01:16:36.340 Le point suivant est que moi, je vous conseillerais de quand même choisir des solutions qui s'intègrent avec vos outils bureautiques classiques. 01:16:36.360 --> 01:16:46.107 Ce que j'entends par là, c'est que si vous choisissez des outils qui ne sont pas compatibles, vous allez être confronté à devoir traduire ces documents, ces 01:16:46.107 --> 01:16:54.522 données, dans des formats bien spécifiques avant de pouvoir les envoyer pour la signature, par exemple, ou avant de pouvoir les archiver. 01:16:54.220 --> 01:16:57.600 Donc, c'est une question de simplicité, tout simplement. 01:16:58.380 --> 01:17:04.240 En matière de stockage de ces données, évidemment, vous avez des solutions on-prem ou cloud, 01:17:04.240 --> 01:17:10.280 mais j'ai quand même gardé le point sur le cloud pour rester cohérent avec mon dernier point. 01:17:10.280 --> 01:17:19.460 En termes de besoin de mise en conformité réglementaire, 01:17:19.460 --> 01:17:24.160 il y a quatre points principaux qu'il faut garder en tête quand on choisit une solution. 01:17:24.740 --> 01:17:30.260 La première, c'est qu'il vous faut une solution qui permet la gestion du registre des traitements de données. 01:17:30.260 --> 01:17:38.067 Cette gestion du registre des traitements de données, c'est ce qui va permettre de pouvoir documenter, par exemple, tout ce qui 01:17:38.067 --> 01:17:42.001 concerne les raisons pour lesquelles vous collectez les données, 01:17:41.940 --> 01:17:48.460 les catégories des personnes et des données que vous traitez et les raisons pour lesquelles vous traitez ces données. 01:17:51.020 --> 01:18:02.000 Alors, c'est pertinent quand même de prioriser des solutions qui vous permettent la gestion, donc la collecte et la gestion des consentements et des préférences. 01:18:02.000 --> 01:18:10.297 C'est quelque chose qui va vous faciliter, par exemple, de pouvoir prouver que les données que vous collectez, vous en avez eu le 01:18:10.297 --> 01:18:15.807 consentement préalable avant de pouvoir même les collecter ou de pouvoir les traiter. 01:18:19.500 --> 01:18:27.891 En matière de conformité, vous allez également être confronté au besoin de devoir répondre aux demandes des personnes 01:18:27.891 --> 01:18:32.154 concernées, donc les personnes dont vous traitez les données. 01:18:31.680 --> 01:18:39.918 Donc, si vous avez la possibilité de choisir une solution qui va vous permettre de centraliser toutes ces questions et de pouvoir y répondre 01:18:39.918 --> 01:18:44.066 de manière centralisée, peut-être par groupement, c'est préférable. 01:18:43.720 --> 01:18:49.340 Le dernier point est que les réglementations sont amenées à évoluer. 01:18:50.240 --> 01:18:56.180 Je pense que je ne prends pas trop de risques en disant que la plupart des réglementations qu'on connaît aujourd'hui n'existaient pas il y a 20 ans. 01:18:56.180 --> 01:18:58.860 Et celles qui existaient ont déjà dû bien évoluer. 01:18:58.860 --> 01:19:02.140 Donc on doit s'attendre à ce que ces réglementations continuent d'évoluer. 01:19:02.140 --> 01:19:11.180 Lorsqu'on choisit une solution, dans ce cas de figure, il faut choisir une solution évolutive qui va pouvoir vous accompagner dans le temps, 01:19:11.180 --> 01:19:14.920 qui va pouvoir intégrer de nouvelles réglementations et de nouvelles exigences. 01:19:19.500 --> 01:19:28.046 En matière de gestion de risque, je ne vais pas trop m'attarder là-dessus, je pense que ça a été pas mal couvert, mais évidemment, toujours rappeler 01:19:28.046 --> 01:19:36.371 l'importance de d'abord cartographier les données et de les classifier avant de pouvoir les protéger, avant même de pouvoir penser à les protéger. 01:19:35.820 --> 01:19:39.420 et cela demande généralement des outils à part entière. 01:19:39.420 --> 01:19:46.980 C'est mieux de quand même privilégier des outils qui permettent d'intégrer des cadres de gestion de risque 01:19:46.980 --> 01:19:52.700 tels que les DPIA ou les TIA, TIA pour Threat Impact Assessment, 01:19:52.700 --> 01:19:57.420 et DPIA c'est Data Protection Impact Assessment ou Privacy, tout dépend, 01:19:57.420 --> 01:20:05.180 qui vont servir de moyens pour vous permettre d'avoir un aperçu 01:20:05.180 --> 01:20:12.040 sur la conformité avec les contrôles que vous-même vous avez mis en place en matière de gestion des données. 01:20:12.040 --> 01:20:19.440 Également, si vous avez la possibilité d'avoir un outil qui vous donne un tableau de bord de gouvernance et du reporting, 01:20:19.440 --> 01:20:23.400 idéalement avec des alerting et un suivi en temps réel, 01:20:23.400 --> 01:20:28.880 cela vous permettra de continuellement avoir une vue sur les domaines sur lesquels vous êtes conforme 01:20:28.880 --> 01:20:31.540 et les domaines sur lesquels vous êtes non conforme, 01:20:31.540 --> 01:20:35.560 afin de pouvoir y apporter une solution dans un temps acceptable, 01:20:35.560 --> 01:20:40.920 mais surtout pour ne pas perdre de vue justement ces points sur lesquels vous êtes non conforme. 01:20:40.920 --> 01:20:49.000 Je ne sais pas si ça vaut la peine de parcourir quelques exemples ici, 01:20:49.000 --> 01:20:52.440 peut-être qu'on peut le faire pendant la séance de questions-réponses, 01:20:52.440 --> 01:20:58.760 mais très rapidement, en matière d'archivage et de signature électronique, 01:21:00.160 --> 01:21:09.340 Signature électronique, on va s'intéresser à des solutions par exemple telles que DocuSign, Adobe ou Swisscom Trust Services pour une solution, on va dire, locale. 01:21:09.340 --> 01:21:15.820 Et puis, pour tout ce qui est gestion de données et archivage, on va peut-être regarder des solutions telles que Box, M5. 01:21:15.820 --> 01:21:20.060 Évidemment, la liste de solutions ici n'est pas exhaustive. 01:21:20.060 --> 01:21:26.220 Il s'agit de solutions sélectionnées qui peuvent être plus adaptées à des PME, donc des petites et moyennes entreprises. 01:21:26.220 --> 01:21:33.760 Mais il y a d'autres solutions, évidemment, et c'est très important de faire votre analyse avant de sélectionner la solution. 01:21:33.760 --> 01:21:42.920 En matière de gestion des risques et des données, on va s'intéresser à des solutions telles que OneTrust, TrustArc, Osano, Dataguard. 01:21:42.920 --> 01:21:52.000 Et là, vous remarquez qu'en termes de mise en conformité et en gestion des risques, on est principalement sur les mêmes outils. 01:21:52.000 --> 01:21:55.160 On est sur des outils qui combinent les deux activités. 01:21:56.220 --> 01:22:05.927 Et je mets juste un point d'attention sur One Trust. Alors, ce n'est peut-être pas un outil qui est entièrement adapté à des petites et moyennes entreprises. Donc, tout 01:22:05.927 --> 01:22:15.578 dépend de votre niveau de maturité. C'est une évaluation qui doit être faite au préalable pour déterminer si c'est vraiment un outil qui correspond à vos activités. 01:22:15.660 --> 01:22:22.440 Mais j'étais un peu embêté de ne pas mentionner le leader du marché en matière de gestion de conformité. 01:22:22.440 --> 01:22:28.540 Donc j'ai quand même tenu à mettre l'outil sur la slide pour que vous puissiez quand même faire votre recherche. 01:22:28.540 --> 01:22:33.080 Et si vous devez l'écarter, que vous puissiez l'écarter, mais avec toutes les informations. 01:22:33.080 --> 01:22:41.060 En matière de protection de données, surtout si vous êtes à la recherche d'une solution de sauvegarde et de restauration des données 01:22:41.060 --> 01:22:43.720 pour vous prémunir des attaques de type ransomware, 01:22:43.720 --> 01:22:45.860 vous allez plutôt vous orienter vers du Microsoft, 01:22:45.860 --> 01:22:48.320 Acronis, Sophos, etc. 01:22:48.320 --> 01:22:52.160 Alors, sur le marché, vous allez trouver plein de solutions, 01:22:52.160 --> 01:22:54.700 des solutions on-premise ou des solutions cloud. 01:22:54.700 --> 01:23:02.180 Et même si une évaluation assez approfondie au préalable 01:23:02.180 --> 01:23:05.980 est nécessaire afin de déterminer s'il vous faut un modèle cloud 01:23:05.980 --> 01:23:07.500 ou s'il vous faut un modèle on-premise, 01:23:08.300 --> 01:23:15.120 C'est très important quand même de mentionner ces quelques avantages liés aux solutions cloud qui ne sont pas à négliger. 01:23:15.120 --> 01:23:19.940 Commençons par le premier, le nerf de la guerre, l'argent. 01:23:19.940 --> 01:23:26.120 Toute entreprise, tout gestionnaire d'entreprise se doit penser évidemment aux... 01:23:26.120 --> 01:23:33.220 Les solutions cloud, aujourd'hui ça a été établi que ce sont des solutions qui permettent de faire des économies, 01:23:33.220 --> 01:23:36.160 d'une part parce que vous ne payez que ce que vous consommez, 01:23:36.680 --> 01:23:46.149 Et d'autre part, parce que ça permet d'externaliser, de déléguer toute une partie de la gestion au quotidien de ces outils à des 01:23:46.149 --> 01:23:50.492 sociétés qui sont généralement spécialisées là-dedans. 01:23:49.780 --> 01:23:57.080 Et si vous devez le faire vous-même, par exemple, ou même la gestion des incidents ou la prévention des incidents de sécurité, 01:23:57.080 --> 01:23:59.860 c'est des activités qui coûtent très cher si vous devez le faire vous-même. 01:24:01.060 --> 01:24:06.220 Et aussi, ces entreprises qui généralement gèrent ces solutions, 01:24:06.220 --> 01:24:12.200 il s'agit d'entreprises assez robustes qui ont une certaine maturité en matière de sécurité. 01:24:12.200 --> 01:24:17.860 Donc, quand vous leur confiez vos données, ça ne limite pas l'impact en cas de perte de données. 01:24:17.860 --> 01:24:24.060 Par contre, ça réduit fortement la probabilité d'occurrence des fouilles de données. 01:24:27.760 --> 01:24:36.801 Évidemment, toujours en lien avec la robustesse de ces partenaires, c'est très important d'avoir un partenaire avec qui on peut 01:24:36.801 --> 01:24:41.808 partager les responsabilités en matière de conformité réglementaire. 01:24:41.460 --> 01:24:50.480 Je dis bien partager parce que quand on délègue la partie, le traitement par exemple, le traitement des données, on ne délègue pas les responsabilités. 01:24:50.480 --> 01:24:54.940 On garde quand même les responsabilités en tant qu'entité qui collecte les données. 01:24:57.760 --> 01:25:08.460 Donc tout ça, ça permet de quand même améliorer votre réputation, votre confiance auprès de vos clients, mais aussi auprès de vos autres partenaires. 01:25:09.460 --> 01:25:28.820 La gestion dans le cloud, elle s'accompagne par beaucoup d'automatisation, ce qui permet d'augmenter votre productivité et mener à un gain de temps en matière de gestion. 01:25:28.820 --> 01:25:34.580 Et dernièrement, le dernier point, ce qui n'est pas négligeable non plus, c'est l'escalabilité. 01:25:34.580 --> 01:25:43.133 Je pense que je ne me trompe pas en disant que l'objectif de toute entreprise, petite ou moyenne, c'est de croître, c'est de rester 01:25:43.133 --> 01:25:46.413 pérenne et de continuer à croître avec le temps. 01:25:46.520 --> 01:25:56.712 Et donc, quand vous vous orientez vers des solutions cloud, vous vous orientez vers des solutions scalables, des solutions flexibles qui vont pouvoir vous 01:25:56.712 --> 01:26:05.852 accompagner dans votre croissance et qui vont pouvoir maintenir votre gestion de coût en adéquation avec l'augmentation de vos dépenses. 01:26:05.720 --> 01:26:15.980 Alors, je conclurai en disant que sur le marché, vous allez trouver pas mal de solutions pour répondre aux différents besoins dont nous avons discuté. 01:26:16.520 --> 01:26:24.020 C'est à vous de faire le travail nécessaire pour identifier votre besoin, avant de vous orienter vers une solution quelconque. 01:26:24.020 --> 01:26:37.340 Très souvent, en tant que bon gestionnaire d'entreprise, vous allez avoir tendance à prendre des décisions qui sont en majorité guidées par le coût. 01:26:37.340 --> 01:26:46.060 Mais il ne faut pas oublier de prendre en considération d'autres besoins, de prendre en considération votre plan stratégique sur le long terme. 01:26:46.520 --> 01:26:51.220 Votre plan tactique sur le moyen terme ainsi que votre plan opérationnel sur le court terme. 01:26:51.220 --> 01:26:53.160 Merci beaucoup pour votre attention. 01:26:53.160 --> 01:27:02.040 Merci beaucoup. 01:27:02.040 --> 01:27:05.440 Nous allons maintenant passer à la séance de questions réponses. 01:27:05.440 --> 01:27:08.660 Je ne sais pas qui est intervenu, on ne vous oublie pas par rapport au slide. 01:27:08.660 --> 01:27:11.640 C'était par là, mais on reviendra dessus. 01:27:11.640 --> 01:27:16.380 En fait, j'aimerais peut-être juste débuter et ça va résumer plusieurs questions qui sont là. 01:27:16.520 --> 01:27:24.280 la présentation est dense, les réglementations ont l'air conséquentes 01:27:24.280 --> 01:27:31.000 et puis en fait certains s'inquiètent de leur capacité à les intégrer en tant que PME 01:27:31.000 --> 01:27:36.820 et finalement ça s'adresse un peu à vous tous, peut-être à vous Claudia ou à vous Alexandre 01:27:36.820 --> 01:27:40.940 je ne sais pas qui veut répondre mais finalement est-ce qu'il faut être inquiet de cette charge 01:27:40.940 --> 01:27:45.520 en tant que PME et à quel point il y a des solutions taillées pour les PME ? 01:27:45.520 --> 01:27:47.120 Je ne sais pas qui veut s'en saisir. 01:27:47.120 --> 01:27:52.720 Super, le micro va tourner, je pense. 01:27:52.720 --> 01:27:54.140 Là, d'abord, c'est plus bien. 01:27:54.140 --> 01:27:59.180 Donc oui, par rapport à votre question, 01:27:59.180 --> 01:28:01.940 est-ce qu'il faut s'inquiéter en tant que PME 01:28:01.940 --> 01:28:05.000 de bien cocher toutes les cases ? 01:28:05.000 --> 01:28:07.780 Donc je dirais qu'il ne faut pas s'inquiéter, 01:28:07.780 --> 01:28:09.720 mais c'est quand même un sujet important. 01:28:09.720 --> 01:28:12.220 Donc comme on l'a dit, les conséquences, 01:28:12.220 --> 01:28:15.200 elles peuvent être financières, légales, réputationnelles. 01:28:15.520 --> 01:28:20.320 Donc, peut-être qu'il faut commencer par les mesures les plus simples à mettre en place. 01:28:20.320 --> 01:28:27.060 Mes collègues l'ont dit, cartographier les données, commencer par ça. 01:28:27.060 --> 01:28:32.580 C'est peut-être une mesure qui prend un peu de temps, mais qui n'est pas non plus trop longue et coûteuse à faire. 01:28:32.580 --> 01:28:35.760 Donc, répertorier un petit peu les données, classer ce qu'on a. 01:28:35.760 --> 01:28:39.840 Puis ensuite, commencer par le plus simple. 01:28:39.840 --> 01:28:46.960 Donc, vous reverrez les slides, mais tout ce qui est organisationnel, c'est souvent assez simple à mettre en place. 01:28:46.960 --> 01:28:53.020 Les formations, les procédures internes et puis ensuite aller vers le technique aussi. 01:28:53.020 --> 01:29:01.520 Puis pas hésiter à se faire accompagner par des experts justement sur ces sujets-là dès que ça devient technique. 01:29:01.520 --> 01:29:08.620 Voilà, pas hésiter à faire appel aussi à une aide, à un externe pour ça. 01:29:09.840 --> 01:29:13.900 Peut-être, Alexandre, est-ce que finalement, tout ce qu'on discute, c'est vraiment taillé pour les PME ? 01:29:13.900 --> 01:29:15.180 Je pense qu'il y a une inquiétude. 01:29:15.180 --> 01:29:18.540 Alors, c'est toujours pareil. 01:29:18.540 --> 01:29:22.520 Moi, j'ai essayé de présenter des mesures assez simples et assez peu coûteuses. 01:29:22.520 --> 01:29:26.380 Mettre en place... 01:29:26.380 --> 01:29:30.180 Alors, je n'ai pas forcément eu le temps de vous présenter ma checklist à la fin. 01:29:30.180 --> 01:29:30.980 Les excuses pour ça. 01:29:30.980 --> 01:29:32.220 Et puis, je m'en excuse. 01:29:32.220 --> 01:29:36.500 Mais encore une fois, si vous avez des questions très précises là-dessus, je n'hésiterai surtout pas. 01:29:37.220 --> 01:29:46.900 Mais je pense qu'effectivement, les principales mesures à prendre en compte qui vont vous permettre de couvrir une grande majorité des exigences, 01:29:46.900 --> 01:29:52.380 notamment des exigences réglementaires, elles sont quand même du temps à passer. 01:29:52.380 --> 01:29:54.640 Du temps à passer, c'est forcément de l'argent. 01:29:54.640 --> 01:30:04.060 Adélite a présenté un certain nombre de solutions qui, comme il l'a très bien dit, un certain nombre d'entre elles ne sont pas forcément adaptées à chacun d'entre vous. 01:30:04.060 --> 01:30:14.344 Mais mettre en place un outil de type DLP, ce n'est pas forcément ultra coûteux. Activer un certain nombre de paramètres dans vos 01:30:14.344 --> 01:30:19.447 systèmes, c'est technique, mais ce n'est pas forcément coûteux. 01:30:19.460 --> 01:30:26.714 Mettre en place des bonnes pratiques en matière de process sur la gestion des entrées, sorties de personnel, la gestion des droits, des 01:30:26.714 --> 01:30:30.078 comptes, c'est du temps à passer, mais ce n'est pas forcément. 01:30:29.920 --> 01:30:37.080 Ça n'exige pas forcément de votre part que vous mettiez en place des solutions coûteuses et dédiées pour faire ça. 01:30:37.080 --> 01:30:50.640 Il y a beaucoup de bon sens paysan dans toutes les mesures que l'on suggère. Après, il y aura toujours certains outils qui vous faciliteront assez largement la vie. 01:30:50.640 --> 01:31:01.177 Et puis, Adélit a présenté quelques exemples en la matière. Mais moi, je dirais que 80% des choses que vous pouvez mettre en œuvre sont assez 01:31:01.177 --> 01:31:07.127 faciles et n'exigent pas de votre part des investissements, hormis un peu de temps. 01:31:08.200 --> 01:31:19.160 Élaborer un registre des traitements, si on prend les exigences en matière de NLPD, ça prend un peu de temps. Par contre, on ne vous impose pas de 01:31:19.160 --> 01:31:26.759 devoir acheter une solution extrêmement coûteuse pour gérer vos risques, pour gérer vos traitements. 01:31:26.320 --> 01:31:34.348 C'est quelque chose qui peut être tout à fait fait sous la forme d'un, et je l'ai vu chez un certain nombre de clients, qui peuvent être des petites 01:31:34.348 --> 01:31:39.471 banques ou des maisons de titres notamment, ça peut être fait sous la forme d'un fichier Excel. 01:31:39.260 --> 01:31:41.400 donc il y a quand même globalement 01:31:41.400 --> 01:31:42.360 beaucoup de bon sens 01:31:42.360 --> 01:31:45.340 du process, du process, du process 01:31:45.340 --> 01:31:46.680 ça c'est extrêmement important 01:31:46.680 --> 01:31:49.920 et la technique, je ne vais pas dire que c'est un détail 01:31:49.920 --> 01:31:53.340 mais la plupart des outils 01:31:53.340 --> 01:31:55.520 je considère, je pense que vous les avez 01:31:55.520 --> 01:31:57.300 vous en disposez tous déjà 01:31:57.300 --> 01:31:59.240 après est-ce que vous avez mis en place 01:31:59.240 --> 01:32:00.840 les process autour pour bien 01:32:00.840 --> 01:32:03.560 paramétrer ces outils, bien gérer les droits 01:32:03.560 --> 01:32:04.900 etc, ça c'est autre chose 01:32:04.900 --> 01:32:07.180 mais c'est là-dessus que le gros du travail 01:32:07.180 --> 01:32:08.240 il faut qu'il soit fait en fait 01:32:08.240 --> 01:32:15.240 Merci. Avant qu'on oublie, vous voulez qu'on revienne sur cette question attachée à la slide ? 01:32:15.240 --> 01:32:26.479 Juste avant, pour essayer de compléter, on voit trop souvent des initiatives qui sont freinées par cette peur de se dire qu'il y a beaucoup de 01:32:26.479 --> 01:32:32.292 responsabilités administratives qui viennent avec la gestion des données. 01:32:33.740 --> 01:32:39.760 Les amendes sont trop élevées en cas de manquement. 01:32:39.760 --> 01:32:41.920 Mais en fait, tout cela est faux. 01:32:41.920 --> 01:32:44.640 Donc, il y a une proportionnalité à garder en tête. 01:32:44.640 --> 01:32:53.080 C'est qu'en tant que petite ou moyenne entreprise, vous n'êtes pas tenu de déployer les mêmes moyens que de grandes entreprises. 01:32:53.080 --> 01:33:00.920 Et aussi, c'est pareil en matière d'amende, c'est que vous n'allez pas être amendé à la même hauteur que les grosses entreprises. 01:33:01.880 --> 01:33:05.380 Il y a une notion de due diligence à toujours garder en tête. 01:33:05.380 --> 01:33:12.740 C'est que vous devez faire de votre mieux, mais en cas de manquement, vous ne devrez pas forcément fermer la porte. 01:33:12.740 --> 01:33:17.240 Quand on part d'aller dans le cloud, évidemment, ça vient avec un risque. 01:33:17.240 --> 01:33:19.580 Tout est une question de gestion de risque au final. 01:33:19.580 --> 01:33:23.920 Ça ne veut pas dire que vous déléguez toutes les responsabilités. 01:33:23.920 --> 01:33:34.632 Ça ne veut pas dire que le prestataire à qui vous donnez la responsabilité de gérer et d'héberger vos données, si demain, il tombe en 01:33:34.632 --> 01:33:41.212 faillite, c'est un risque que vous avez déjà accepté en allant vers cette solution. 01:33:40.600 --> 01:33:43.100 Et c'est pour ça que j'en reviens à ce que je disais au début. 01:33:43.100 --> 01:33:52.550 C'est très, très important de prendre le temps d'évaluer votre besoin. Évaluer votre besoin, ça implique aussi évaluer votre appétit au 01:33:52.550 --> 01:33:59.027 risque, le risque que vous êtes prêt à accepter et de prendre vos décisions en considération. 01:33:58.300 --> 01:34:06.493 On est d'accord, il n'y a pas de cadre légal qui aujourd'hui fixe, peut-être que je vous pose la question à vous, qui fixe à quel 01:34:06.493 --> 01:34:10.406 prestataire on a accès en tant qu'entreprise basée en Suisse ? 01:34:10.100 --> 01:34:17.040 Aujourd'hui, en Suisse, il y a une exigence qui est quand même de garder les données en Suisse. 01:34:17.040 --> 01:34:23.120 Quand on est sur des solutions américaines en matière de cloud qui envoient les données aux Etats-Unis, 01:34:23.120 --> 01:34:26.600 on n'est pas du tout en conformité avec les lois suisses. 01:34:26.600 --> 01:34:33.820 Aujourd'hui, c'est pour ça que, par exemple, Microsoft propose un hébergement sur Genève et à Zurich. 01:34:33.820 --> 01:34:36.880 C'est pour répondre justement à ces besoins-là. 01:34:37.480 --> 01:34:47.878 Donc quand vous passez par Microsoft, aujourd'hui ce que Microsoft assure, c'est que vos données sont stockées en Suisse et d'une certaine façon, il n'y a 01:34:47.878 --> 01:34:56.170 aucune légitimité de la part des États-Unis de pouvoir récupérer ces données-là à un moment donné s'ils le décident. 01:34:55.380 --> 01:35:05.019 En fait, on est de nouveau justement sur des sujets de risques systémiques, des risques qu'on découvre aujourd'hui. Est-ce qu'il y a cinq ans, on 01:35:05.019 --> 01:35:10.620 serait imaginé que la situation qu'on connaît aujourd'hui avec Trump est réaliste ? 01:35:10.360 --> 01:35:16.780 J'ose me permettre, mais vous allez peut-être être tous frustrés, de revenir à des questions qui sont terre à terre et techniques. 01:35:16.780 --> 01:35:24.540 On en a un paquet aussi. Je vous propose, par exemple, peut-être que je m'adresse à vous, Audrey, à vous, Elisabeth. 01:35:24.540 --> 01:35:31.120 Quelqu'un nous demande quelles sont les obligations légales concernant l'archivage des données d'une entreprise quand elle cesse son activité. 01:35:37.540 --> 01:35:41.060 Effectivement, quand une entreprise cesse son activité, elle est soumise. 01:35:41.060 --> 01:35:48.880 En fait, les délais de conservation ne vont pas changer du fait que la société est dissoute et entre en liquidation. 01:35:48.880 --> 01:35:56.440 C'est pour ça qu'effectivement, c'est ce qu'on disait, un outil, alors c'est old school par rapport à toutes les autres considérations, 01:35:56.440 --> 01:36:01.800 mais c'est effectivement d'avoir bien un calendrier de conservation et un plan de conservation, 01:36:02.260 --> 01:36:10.700 Est-ce qu'effectivement, certaines obligations légales de conservation vont survivre à votre entreprise ? 01:36:10.700 --> 01:36:18.300 Là, on va un peu rebasculer peut-être dans le débat, mais là, on revient à la légitimité des questions des signatures. 01:36:18.300 --> 01:36:24.520 Des gens demandent des précisions sur les signatures reconnues, y compris quand on passe des contrats avec les fournisseurs à l'étranger. 01:36:25.000 --> 01:36:31.400 Ça veut dire quelles signatures ou quelles législations fait loi là-dedans ? 01:36:31.400 --> 01:36:39.500 D'accord. Alors, je pense que la première chose à savoir, c'est que, comme je disais, le contrat, la validité formelle d'un contrat, 01:36:39.500 --> 01:36:42.500 elle va dépendre du droit applicable. 01:36:42.500 --> 01:36:48.560 Donc, nous, on s'est concentré sur les contrats qui sont soumis au droit suisse, comme je disais. 01:36:48.560 --> 01:36:53.560 Dans quel cas, la validité formelle, elle est régie par le droit suisse. 01:36:54.620 --> 01:36:58.860 Et donc, on regarde si le droit suisse impose la forme écrite. 01:36:58.860 --> 01:37:04.260 Dans quel cas, il nous faudra une signature manuscrite ou une QIS, une signature qualifiée. 01:37:04.260 --> 01:37:07.460 Je ne sais pas si ça, ça répond à la question du coup, 01:37:07.460 --> 01:37:13.620 s'il y avait des précisions ou si la personne qui l'a posée veut peut-être apporter des précisions. 01:37:13.620 --> 01:37:17.040 Je ne sais pas qui l'a posée. 01:37:17.040 --> 01:37:21.540 Après, effectivement, si vous avez un contrat qui est soumis à un autre droit, 01:37:22.380 --> 01:37:26.880 vous allez regarder pour la validité formelle dans cet autre droit. 01:37:26.880 --> 01:37:33.420 Et donc, typiquement, si nous imaginons un contrat qui est soumis au droit allemand, 01:37:33.420 --> 01:37:39.860 là, on va regarder quelle est la validité formelle sous le droit allemand. 01:37:39.860 --> 01:37:46.440 Et si le droit allemand impose une forme écrite, une signature qualifiée, etc. 01:37:46.440 --> 01:37:51.660 On peut envisager deux signatures dans deux systèmes ou c'est quelque chose qui... 01:37:51.660 --> 01:37:57.020 Alors justement, si on a un contrat soumis au droit suisse qui impose la forme écrite, 01:37:57.020 --> 01:38:03.640 il ne nous faudra soit une signature manuscrite, une signature qualifiée. 01:38:03.640 --> 01:38:09.340 On ne pourra pas avoir une signature qualifiée suisse et une signature qualifiée étrangère. 01:38:09.340 --> 01:38:11.840 Parce que comme je disais, il n'y a pas d'équivalence. 01:38:11.840 --> 01:38:19.240 Donc si vous avez un contrat soumis au droit suisse qui nécessite une signature qualifiée ou manuscrite, 01:38:20.260 --> 01:38:30.147 Une signature sous le règlement eIDAS typiquement, donc une signature qui est reconnue comme étant qualifiée en Europe, dans l'Union 01:38:30.147 --> 01:38:35.963 Européenne, il n'y aura pas l'équivalence avec la signature qualifiée suisse. 01:38:35.600 --> 01:38:40.420 Donc, la validité formelle ne sera pas donnée. 01:38:40.420 --> 01:38:44.100 Je ne sais pas si c'est assez clair. 01:38:44.700 --> 01:38:51.700 Après, ce qu'on peut envisager typiquement, si vous contractez avec quelqu'un qui est hors Suisse, 01:38:51.700 --> 01:38:58.860 mais où vous avez quand même un contrat qui est soumis au droit suisse, donc validité formelle suisse, 01:38:58.860 --> 01:39:07.740 vous pouvez avoir vous-même qui signe avec la signature qualifiée et l'autre personne qui signe un wedding, donc signature manuscrite. 01:39:07.740 --> 01:39:10.120 Donc là, c'est quelque chose qui est envisageable. 01:39:10.120 --> 01:39:14.660 Si vous contractez avec quelqu'un qui ne possède pas une signature qualifiée suisse, 01:39:14.700 --> 01:39:26.300 Merci. Claudia, peut-être que vous avez mentionné quelqu'un nous pose la question par rapport au format PDFA. Quelqu'un nous demande, est-il 100% garantie infalsifiable ? 01:39:26.300 --> 01:39:32.040 Mais au-delà de ça, je pense même que ça pose effectivement la question de l'évolution des formats, de ce qui va durer dans le temps. 01:39:32.040 --> 01:39:40.200 Et finalement, est-ce qu'on peut à la fin vraiment le calculer, le prévoir ? Comment s'assurer que tout ce qu'on fait là, qui est une question de fond, 01:39:40.200 --> 01:39:43.440 et puis aussi recouper avec la question de géopolitique mondiale, 01:39:43.440 --> 01:39:45.860 tout ce que vous voulez, mais à la fin, comment est-ce qu'on s'assure 01:39:45.860 --> 01:39:49.000 que ce qu'on met en œuvre aujourd'hui, ça va tenir ? 01:39:49.000 --> 01:39:52.500 Et par rapport à ces formats, en l'occurrence le PDF ? 01:39:52.500 --> 01:39:55.680 Je dirais que c'est une bonne question, j'aimerais bien avoir la réponse, 01:39:55.680 --> 01:40:00.180 mais malheureusement, je ne peux pas forcément prédire tout ce qui va arriver. 01:40:00.180 --> 01:40:04.080 On voit avec l'intelligence artificielle, ça va très très vite. 01:40:04.080 --> 01:40:08.020 Donc le PDF A, c'est ce qu'on voit aujourd'hui, 01:40:08.020 --> 01:40:11.760 On sait que ça va rester là quand même pour plusieurs années. 01:40:11.760 --> 01:40:19.100 Donc, je pense que c'est déjà une bonne mesure de s'assurer que c'est ce format-là qu'on conserve. 01:40:19.100 --> 01:40:23.560 Mais c'est un domaine, on sait, qui évolue et qui va évoluer. 01:40:23.560 --> 01:40:25.920 Et il faut suivre. 01:40:25.920 --> 01:40:33.680 La seule chose que je peux conseiller, c'est de rester à l'écoute, de suivre les nouveautés qui arrivent, 01:40:33.680 --> 01:40:44.420 De se renseigner peut-être un petit peu autour de soi, dans les réseaux, dans ces discussions. Mais voilà, je ne peux pas. 01:40:44.420 --> 01:40:53.422 Non, mais tout à fait. On discute avec un public de PME. Tout changement entraîne un coût. J'imagine qu'on fait des ratios de risque de 01:40:53.422 --> 01:40:58.214 changement et puis on s'oriente vers ce qu'il y a de plus sûr, j'imagine. 01:40:59.960 --> 01:41:09.340 Même question, et d'ailleurs, je reste peut-être avec vous, parce que finalement, vous avez présenté la notion d'IA comme l'avantage que ça peut avoir. 01:41:09.340 --> 01:41:15.780 Il y a aussi des questions sur toutes les... en termes de protection des données, sur tout ce que peut entraîner l'utilisation de l'IA aussi, 01:41:15.780 --> 01:41:26.780 et finalement, des mesures accrues en termes de sécurité. Comment bien gérer cette IA ? Est-ce que finalement, elle ne représente que des avantages ? 01:41:26.780 --> 01:41:28.620 Donc, c'est vrai qu'avec tout ce qui est... 01:41:28.620 --> 01:41:31.120 Et je vous interpelle, mais honnêtement, tout le monde peut participer. 01:41:31.120 --> 01:41:35.320 N'hésitez pas à me dire si vous voulez ajouter quelque chose. 01:41:35.320 --> 01:41:40.160 Donc, c'est vrai qu'il y a aussi l'intelligence artificielle, 01:41:40.160 --> 01:41:43.760 donc toute la réglementation autour, toute la sécurité autour. 01:41:43.760 --> 01:41:47.260 C'est quelque chose qui aussi commence à être mis en place, 01:41:47.260 --> 01:41:51.520 donc des réglementations autour de l'IA en Europe et dans le monde. 01:41:53.140 --> 01:42:04.352 Mais c'est vrai que des fois la technologie va presque plus vite que la réglementation, donc c'est un très bon point quand vous pointez du doigt un petit 01:42:04.352 --> 01:42:15.348 peu l'IA et le risque, parce que c'est vrai que quand on implémente ces outils-là, on oublie souvent de penser à tout ce qui est compliance, contrôle 01:42:15.348 --> 01:42:22.391 autour de l'IA, où va vraiment la donnée, ce prestataire externe si c'est une compagnie externe. 01:42:21.960 --> 01:42:27.440 Est-ce qu'on le connaît vraiment bien ? Est-ce qu'on sait qu'il a vraiment bien étudié la question, etc. 01:42:27.440 --> 01:42:34.340 Donc, je ne suis pas une spécialiste dans tout ce qui est vraiment intelligence artificielle. 01:42:34.340 --> 01:42:36.240 Donc, je ne veux pas vraiment me lancer là-dedans. 01:42:36.240 --> 01:42:46.620 Mais c'est vrai que je pense, avant d'implémenter un outil dans son entreprise qui paraît très bien, 01:42:46.620 --> 01:42:54.773 Il faut vraiment aller se renseigner, déjà au niveau du contrat, peut-être faire appel à quelqu'un dans l'entreprise qui est un peu plus légal, 01:42:54.773 --> 01:42:59.698 une casquette légale, puis d'aller lire conjointement avec le département de sécurité. 01:42:59.260 --> 01:43:07.360 Est-ce que vraiment, dans le contrat, on a des clauses qui permettent aussi d'aller dans la direction de protéger la donnée, etc. 01:43:07.360 --> 01:43:17.448 Donc, il ne faut pas y aller juste les yeux fermés et implémenter un outil d'intelligence artificielle chez soi sans aller lire les 01:43:17.448 --> 01:43:20.911 clauses et se renseigner sur cette partie-là. 01:43:20.760 --> 01:43:25.360 Quelqu'un d'autre, par exemple, Alexandre, sur cette utilisation de l'IA ? 01:43:25.360 --> 01:43:35.700 Je pense que ce qu'on peut dire, et moi, en tant qu'auditeur, je suis un friand utilisateur d'IA de plus en plus, pour être très honnête avec vous. 01:43:35.700 --> 01:43:46.666 Je crois que d'ailleurs, je suis sûr qu'il y a une slide que je n'ai pas eu le temps de vous présenter sur le sujet, mais ça doit faire l'objet de 01:43:46.666 --> 01:43:53.319 mesures techniques encadrées de la même façon qu'on encadrerait une application métier. 01:43:53.620 --> 01:44:06.360 C'est évidemment faire très attention aux accès que l'on donne et à la possibilité qu'on offre aux collaborateurs d'utiliser notamment l'IA. 01:44:06.360 --> 01:44:15.920 Ça doit être une utilisation contrôlée parce que typiquement aujourd'hui, moi chez BDO, si cet après-midi, après notre échange, 01:44:15.920 --> 01:44:18.200 je m'amusais à copier 01:44:18.200 --> 01:44:20.040 coller dans ou à uploader 01:44:20.040 --> 01:44:21.680 un fichier d'un client 01:44:21.680 --> 01:44:24.680 je serais immédiatement 01:44:24.680 --> 01:44:25.380 retoqué 01:44:25.380 --> 01:44:27.880 par mon 01:44:27.880 --> 01:44:30.100 RSSI, par le RSSI de BDO 01:44:30.100 --> 01:44:32.080 suisse, pourquoi ? 01:44:32.080 --> 01:44:32.900 parce que 01:44:32.900 --> 01:44:36.140 BDO par exemple, mais c'est le cas 01:44:36.140 --> 01:44:38.460 d'autres de mes clients, ont mis en place 01:44:38.460 --> 01:44:39.760 des outils qui permettent 01:44:39.760 --> 01:44:41.980 ils ne vont pas encore forcément 01:44:41.980 --> 01:44:44.300 jusqu'à décortiquer le contenu du fichier 01:44:44.300 --> 01:44:53.371 Mais si je m'amuse à mettre un fichier avec le nom d'un client ou des mots-clés qui seraient très sensibles, immédiatement ou dans les deux 01:44:53.371 --> 01:44:58.158 jours, je recevrai un email et j'ai fait le test, pour être très honnête. 01:44:57.780 --> 01:45:05.560 Je reçois un mail du RSSI qui me dit pourquoi tu as uploadé ce fichier dans ChatGPT par exemple. 01:45:05.560 --> 01:45:13.680 Évidemment qu'on va devoir encadrer l'utilisation qui est faite de l'intelligence artificielle. 01:45:13.680 --> 01:45:23.812 Là, je prends l'exemple de j'utilise l'intelligence artificielle, je ne sais pas moi, pour construire un work program, une présentation, mais de la même 01:45:23.812 --> 01:45:33.685 façon, nous, en tant qu'auditeurs, il va falloir qu'on change un peu notre façon d'auditer parce que j'ai quelques clients qui commencent à mettre en 01:45:33.685 --> 01:45:40.570 place, notamment au niveau bancaire, à mettre en place de l'intelligence artificielle dans leur système. 01:45:40.180 --> 01:45:50.466 Et donc, ça va impliquer notamment avec ma casquette d'auditeur que je regarde l'algorithme. Je ne sais pas si j'irai jusque là, mais comment 01:45:50.466 --> 01:45:58.752 finalement l'IA est entraîné, comment tout cela est encadré de manière à être sûr qu'il n'y ait pas de biais. 01:45:58.180 --> 01:46:07.417 Donc, on est en train de travailler. Je ne pense pas être le seul chez BDO, mais je pense que les cabinets d'audit comme les nôtres sont en train de travailler 01:46:07.417 --> 01:46:14.316 sur comment, à terme, on va être amené à auditer ces modèles d'IA parce que très clairement, ça prend de la place. 01:46:13.860 --> 01:46:21.800 Donc, ça doit faire partie des sujets de préoccupation, comme je le dis. 01:46:21.800 --> 01:46:27.920 Je vais juste reposer encore quelques questions parce qu'il y en a beaucoup. Il y a quelque chose qui revient beaucoup, c'est la question de la responsabilité. 01:46:28.180 --> 01:46:31.840 au niveau de la conservation des données, qui est responsable ? 01:46:31.840 --> 01:46:34.240 Je sais que vous l'avez beaucoup présenté, mais je vois que ça revient beaucoup. 01:46:34.240 --> 01:46:38.400 Alors, quelqu'un nous dit, est-ce que cette responsabilité relève d'un conseil d'administration ou de la direction ? 01:46:38.400 --> 01:46:41.420 On parlait tout à l'heure des data owners dans l'entreprise. 01:46:41.420 --> 01:46:51.080 Finalement, à qui est jugé responsable de cette conservation ? 01:46:51.080 --> 01:46:57.780 La personne responsable, effectivement, ça va être celui qui collecte les données. 01:46:57.960 --> 01:47:00.680 Donc, c'est le responsable du traitement des données. 01:47:00.680 --> 01:47:10.920 Et après, en interne, au sein de votre entreprise, ça va classiquement être effectivement les administrateurs. 01:47:10.920 --> 01:47:16.940 Après, certaines grandes entreprises peuvent nommer un conseiller à la protection des données, 01:47:16.940 --> 01:47:21.980 au niveau RGPD, on l'appelle le DPO, Data Protection Officer. 01:47:21.980 --> 01:47:25.180 Mais ça, ça reste une fonction en interne. 01:47:25.300 --> 01:47:29.620 Donc, ça pourrait créer des responsabilités en interne au niveau des fonctions de cette personne. 01:47:29.620 --> 01:47:34.700 Mais la responsabilité ultime, ça reste la responsabilité des dirigeants de l'entreprise. 01:47:34.700 --> 01:47:40.180 On ira chercher, après la personne morale, on ira chercher effectivement des personnes physiques. 01:47:40.180 --> 01:47:46.840 Quelqu'un nous demande si, dans la question, par exemple, d'altération des documents ou d'archivage de conservation, 01:47:46.840 --> 01:47:49.960 c'est un échange d'email avec un document joint à une valeur juridique. 01:47:53.620 --> 01:47:58.120 Alors, la valeur juridique, c'est un concept un peu abstrait en tant que tel. 01:47:58.120 --> 01:48:02.500 Donc, effectivement, si c'est dans le cadre d'un litige, ça pourra toujours être produit. 01:48:02.500 --> 01:48:08.480 Après, la force probante d'un email, effectivement, encore une fois, 01:48:08.480 --> 01:48:12.260 ça va dépendre de ce que vous essayez de son contenu. 01:48:12.260 --> 01:48:16.880 La pièce jointe, là, on rebascule sur quelle est la pièce jointe. 01:48:16.880 --> 01:48:26.560 S'il s'agit d'un contrat, par exemple, signé de manière électronique, oui, c'est effectivement, dans ce cas-là, c'est le document en tant que tel. 01:48:26.560 --> 01:48:34.000 Comme on l'a dit, s'il a été archivé électroniquement de façon conforme, il a toute force probante. 01:48:34.000 --> 01:48:41.600 On arrive au bout. Il y a beaucoup de questions qui sont très... En fait, on souhaite des listings de solutions. 01:48:41.600 --> 01:48:46.560 Je vous encourage à en discuter. Il y avait quelques propositions qui étaient présentées. 01:48:46.880 --> 01:48:53.869 J'ai délibérément exclu ça, parce que pour moi, ce n'était pas l'idée de cette discussion. Mais je comprends que forcément, la 01:48:53.869 --> 01:48:56.685 solution concrète, c'est ce que vous recherchez tous. 01:48:56.320 --> 01:49:07.500 Donc je vous encourage à poursuivre. On arrive au bout de ces débats. Je tiens à vous remercier pour la participation. Je vois que c'est un débat qui anime. 01:49:07.500 --> 01:49:13.500 mais honnêtement, à la fin, je n'ai pas relancé parce qu'il y en avait encore, mais on peut en discuter. 01:49:13.500 --> 01:49:19.280 La question de si le cloud peut vraiment supprimer ces données, je vous laisserai après faire débat à côté. 01:49:19.280 --> 01:49:26.420 En tout cas, je vous remercie pour tout, pour vos questions, pour la participation, je remercie les participants. 01:49:26.420 --> 01:49:31.480 Vous voyez qu'on a encore un slideau qui arrive, ça c'est pour évaluer la séance du jour. 01:49:33.160 --> 01:49:43.720 Vous aurez ensuite accès, ces séances, ces matinées sont enregistrées, donc vous pouvez les revivre en vidéo sur le site mentionné ici. 01:49:43.720 --> 01:49:50.380 Je tiens à remercier tous les partenaires qui font que ces petits déjeuners sont faisables. 01:49:50.380 --> 01:50:00.158 Je finis juste ça. Donc la CCIG, FER Genève, BDO, Deloitte, EY, KPMG, PwC, Entreprises Romandes et Bilan auquel nous sommes heureux de nous 01:50:00.158 --> 01:50:10.280 joindre à cette initiative. Je remercie tous les participants, l'OCEI qui organise ses petits déjeuners et je tiens aussi à vous rappeler que le 01:50:10.280 --> 01:50:15.375 prochain aura lieu le 28 novembre sur la thématique des droits de douane. 01:50:15.100 --> 01:50:18.180 Là aussi, on peut avoir des débats animés, j'imagine. 01:50:18.180 --> 01:50:20.760 Donc voilà, je vous remercie. 01:50:20.760 --> 01:50:26.380 Je vous invite à poursuivre la conversation à côté pour tous ceux qui voudraient continuer le débat. 01:50:26.380 --> 01:50:26.940 Merci beaucoup.