Cybersécurité ; Sécurité de l’Information ; Enjeux d’aujourd’hui ; Nécessité de demain

Ces préoccupations actuelles engagent l’avenir​

A quoi peut bien servir un système de management de la qualité (SMQ) ?

Indépendamment des définitions classiques énoncées dans les normes qui nous disent que nous devons avoir un système de management à orientation client.

Il est évident que pour bon nombre d’entreprises et de dirigeants, il est difficile de percevoir le message véhiculé.

En effet, si l’entreprise existe dans un système économique à tendance libérale, voire même ultra libérale, on conçoit que, ne pas avoir l’orientation client est se condamner à court terme à la fermeture.

C’est ici qu’un Système de management de la qualité entre en jeu, le SMQ est au service de l’organisation pour lui permettre de déterminer sa stratégie et sa politique, lui permettre d’atteindre dans les meilleures conditions ses objectifs.

Cliquez sur l’image ci-dessous pour en apprendre un peu plus

 

En quoi cela change-t-il par rapport à ce que les entreprises font déjà ?

La différence réside dans la maîtrise de l’organisation. Le SMQ va mettre en place des processus corrélés pour mieux cerner l’ensemble de l’organisation. Ils vont devoir nous informer sur le bon fonctionnement de l’organisation et de ses coûts. Le SMQ anticipativement va également nous donner des informations sur l’orientation que va prendre l’organisation.

Actuellement l’ensemble des normes de management sont axées sur l’évaluation des risques, le SM devra à intervalles planifiés évaluer les risques de l’organisation face à l’évolution du système socioéconomique et de l’évolution des législations et tendances du marché.

Il va nous forcer à rester vigilent face à l’évolution des dispositions légales dans lequelles nos produits et services s’inscrivent. Il va surtout nous forcer à ne pas nous reposer sur les réglementations en espérant qu’elles vont pouvoir régler l’ensemble des difficultés qui se présentent avec les ouvertures de marché ou l’apparition de nouveaux produits.

Un SM est un outil dynamique et à ce titre doit être entretenu et alimenté.

Bien conçu et performant, il parvient à remplir son rôle, qui est de rendre l’organisation plus performante, réduit les coûts de l’obtention de la qualité, accroît la satisfaction des clients et permet de dégager de la marge en réduisant les non conformités internes et externes que sont les réclamations, réduit les pertes de temps en allégeant la charge de travail.

En un mot le SMQ est un outil performant, qui, bien compris, soutenu et entretenu par les directions ne devrait rien coûter voire même rapporter en augmentant la performance, l’efficience et l’efficacité de la structure de l’organisation.

Chaque organisation devrait en priorité se pencher sur la performance de son système et en faire évaluer son efficacité avant de l’améliorer.

Qu’est la norme ISO 27.001 ?

La norme ISO 27.001 fait partie de la série des normes de management de la qualité et, à ce titre, respecte les mêmes principes que la norme ISO 9001 ainsi que l’approche par les risques. La série des normes ISO 2700 n’en compte pas moins d’une douzaine.

La mise en œuvre des normes de cette famille par tout type d’organisation facilite le management de la sécurité des actifs sensibles tels que données financières, propriété intellectuelles, données relatives au personnel, etc.

Elle a été élaborée pour fournir des exigences en vue de l’établissement, de la mise en œuvre, de la tenue à jour et de l’amélioration continue d’un système de management de la sécurité de l’information.

L’adoption d’un système de management de la sécurité de l’information relève d’une décision stratégique de l’organisation.

L’établissement et la mise en œuvre d’un SMSI tient compte des besoins et des objectifs de l’organisation, des exigences de sécurité, des processus organisationnels mis en œuvre, ainsi que de la taille et de la structure de l’organisation. 

Tous ces facteurs d’influence sont appelés à évoluer dans le temps.

Le système de management de la sécurité de l’information préserve la confidentialité, l’intégrité et la disponibilité de l’information en appliquant un processus de gestion des risques et donne aux parties intéressées l’assurance que les risques sont gérés de manière adéquate.

Il est important que le système de management de la sécurité de l’information fasse partie intégrante des processus et de la structure de management d’ensemble de l’organisation et que la sécurité de l’information soit prise en compte dans la conception des processus, des systèmes d’information et des mesures.

Il est prévu qu’un système de management de la sécurité de l’information évolue conformément aux besoins de l’organisation.

Le SMSI peut être utilisé par les parties internes et externes pour évaluer la capacité de l’organisation à répondre à ses propres exigences en matière de sécurité de l’information.

Cliquez sur l’image ci-dessous pour en apprendre un peu plus

Pourquoi certifier à ISO/IEC 27001 ?

Comme toutes les autres normes de systèmes de management de l’ISO, la certification selon ISO/IEC 27001 est une possibilité, mais pas une obligation. Certains utilisateurs décident de mettre en œuvre la norme simplement pour les avantages directs que procurent les meilleures pratiques en se basant sur l’annexe A et ses 114 points de contrôle.

D’autres font le choix de la certification pour prouver à leurs clients qu’ils suivent les recommandations de la norme.

Qu’est le RGPD ?

Le RGPD/GDPR c’est un règlement européen concernant la protection des données d’application depuis le 25 mai 2018 et, à ce titre, doit être mis en application dans son intégralité.

Le RGPD contient de nombreux principes soumis à interprétation.

Le RGPD est également établi selon les principes de fonctionnement des normes ISO de management dont la version 9001 / 2015 en fait l’énumération.

Ceux-ci sont au nombre de 7 :

  1. Orientation client
  2. Leadership
  3. Engagement du personnel
  4. Approche processus
  5. Amélioration
  6. Décision basée sur les faits
  7. Gestion des relations avec les parties intéressées

Le RGPD s’est également largement inspiré de la norme ISO 27001 Management de la Sécurité de l’Information.

Ce qui est important à savoir est que le RGPD impose la mise en place d’une organisation basée sur l’amélioration continue. Cela sous-entend que le RGPD dans son entièreté doit reposer sur le PDCA ou la roue de DEMING.

Depuis la parution des nouvelles normes de management l’approche se veut être une approche par les risques.

C’est à la fois simple mais également complexe compte tenu de l’aspect psychologique de l’approche du risque.

En effet, tout un chacun, bien souvent, nie ou minimise le risque en fonction de facteurs qui lui sont propres. C’est en partie la raison pour laquelle le RGPD impose et/ou recommande la nomination d’un DPO / DPD.

« plan-do-check-act ». Le cycle PDCA ou roue de DEMING sert à transformer une idée en action et l’action en connaissance. Psychologie du risque identifier, évaluer, prévenir écrit sous la direction de (Dongo Remi KOUABENAN, Bernard CADET, Danièle HERMAND et Maria Teresa MUNOZ SASTRE) paru aux éditions de boeck.

Nous avons assemblés les aspects pratiques du fonctionnement du RGPD dans un lexique.

Cliquez sur l’image ci-dessous pour acquérir le livre

Qu'est le LABEL engagement RGPD ?

Historique

Les grandes étapes :

2019

Vision d’un marché confus, difficulté de distinguer les services de DPO externe de qualité, auto-proclamations de conformité, abus

2020

Volonté de création d’un outil différenciant, permettant de valoriser le travail des responsables de traitement

2021

Travail sur le référentiel et les documents.

Préparation des deux premiers candidats pilotes

Audit des deux premiers candidats pilotes

Labellisation des deux premiers candidats pilotes

Application des correctifs suite aux phases de tests et échanges avec la CNIL

Pourquoi un LABEL ?

  • Pour obtenir une reconnaissance de conformité au niveau international
  • Instaurer un barème de référence compréhensible, précis et applicable à tous
  • Provoquer l’accélération des mises en conformité et assurer le maintien de celles-ci
  • Améliorer la transparence à l’égard des personnes concernées
  • Optimiser le traitement et la conservation des données, dans le respect de leur légitimité et en assurant leur protection.
  • Prouver son vrai et bon niveau de conformité en matière de RGPD à ses tiers, à la CNIL
  • Afficher un label non discutable délivré par un organisme certificateur indépendant et reconnu
  • Renforcer la confiance de ses clients, prospects, partenaires, sous-traitants, donneurs d’ordre, salariés…
  • Encadrer juridiquement et simplifier les relations avec les sous-traitants, prestataires, partenaires, tiers, la CNIL…
  • Renforcer son image de marque sa réputation et e-réputation
  • Optimiser et sécuriser l’exploitation de ses données l’organisation de son entité, cartographie des données pour les besoins, introspection.

Cliquez sur l’image ci-dessous pour visionner la vidéo

Contenu du Label