Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

GOUVERNANCE, CONTRÔLE ET RISQUES DES SYSTÈMES D’INFORMATION Franck Wulfowicz Je

GOUVERNANCE, CONTRÔLE ET RISQUES DES SYSTÈMES D’INFORMATION Franck Wulfowicz Jean-Marc Montels Maximilien Stebler Jour 3 Les Référentiels Suite et fin V2 – 2022 2 • Gouvernance du SI : Focus sur la sécurité • Qui contrôle l’information, qui contrôle les systèmes ? • Les différentes préoccupations de la sécurité du SI • Sécuriser, contrôler, gouverner • Les référentiels • Reporting et Tableau de bord de la DSI • Lois, Référentiels normatifs et systèmes Qualité industriels • Lois et régimes de la propriété intellectuelle GOUVERNANCE du SI ØReporting et Tableau de Bord de la DSI • Spécificités du reporting relatif au SI • Tableau de Bord de la DSI ØLois, Référentiels normatifs et systèmes Qualité Industriels • Lois et régimes de la propriété intellectuelle • Législations relatives aux données personnelles • Activités contrôlées et régulées • Organismes de régulation • Normes ISO et Système d’Information ØRéférentiels Métiers des SI • Orientations spécifiques des référentiels Plan du cours n°3 3 4 LOIS ET RÉGIMES DE LA PROPRIÉTÉ INTELLECTUELLE Ø La propriété intellectuelle est l'ensemble des droits exclusifs accordés sur les créations intellectuelles à l'auteur ou à l'ayant droit d'une œuvre de l'esprit. Elle comporte deux branches : Ø la propriété littéraire et artistique, qui s'applique aux œuvres de l'esprit, est composée du droit d'auteur et des droits voisins. Ø la propriété industrielle, qui regroupe elle-même, d'une part, les créations utilitaires, et, d'autre part, les signes distinctifs, notamment la marque commerciale, le nom de domaine et l'appellation d'origine. Ø Elle comprend un droit moral (extrapatrimonial) qui est le seul droit attaché à la personne de l'auteur de l’œuvre qui soit perpétuel, inaliénable et imprescriptible, et qui s'applique donc de manière post- mortem, même après que l'œuvre est tombée dans le domaine public (70 ans après la mort de l’auteur) Ø C'est l'œuvre résultante, et sa forme, qui sont protégées, non les idées et les informations à son origine Propriété intellectuelle GOUVERNANCE DU SYSTÈME D’INFORMATION 5 LOIS ET RÉGIMES DE LA PROPRIÉTÉ INTELLECTUELLE 1. LA PROPRIÉTÉ LITTÉRAIRE ET ARTISTIQUE q Le droit d’auteur Le droit d’auteur est l’ensemble des prérogatives exclusives dont dispose un créateur sur son œuvre de l’esprit originale. Il se compose d'un droit moral et de droits patrimoniaux. Les droits du logiciel en Europe sont assimilés au droit d’auteur; les logiciels en tant que tels n’y sont pas brevetables contrairement au Japon et aux USA. q Le copyright (traduction littérale : droit de copie) est le concept équivalent au droit d'auteur appliqué par les pays de common law (en violet sur la carte) Le copyright s’attache plus à la protection des droits commerciaux qu’à celle du droit moral. Toutefois, depuis l'adhésion de 165 pays à la Convention de Berne sur le droit d'auteur, le droit d’auteur et le copyright sont en grande partie harmonisés Propriété intellectuelle GOUVERNANCE DU SYSTÈME D’INFORMATION 6 LOIS ET RÉGIMES DE LA PROPRIÉTÉ INTELLECTUELLE 2. LA PROPRIÉTÉ INDUSTRIELLE q Le brevet Le brevet est un titre de propriété industrielle qui confère à son titulaire un droit exclusif d'exploitation sur l'invention brevetée, durant une durée limitée et sur un territoire déterminé. En contrepartie, l'invention doit être divulguée au public. q Les marques Selon le code de la propriété intellectuelle (art L.711-1), « La marque de fabrique, de commerce ou de service est un signe susceptible de représentation graphique servant à distinguer les produits ou services d'une personne physique ou morale » qLes dessins et modèles industriels Un dessin ou modèle industriel traduit la dimension ornementale ou esthétique d'un produit. Il peut être en trois dimensions, désignant alors la texture ou la forme du produit, ou à deux dimensions, précisant par exemple la couleur, les motifs ou encore les lignes qLes bases de données Les bases de données en Europe possèdent leur propre protection juridique, depuis la directive européenne du 11 mars 1996 Propriété intellectuelle GOUVERNANCE DU SYSTÈME D’INFORMATION 7 BASES DE DONNÉES Ø La première protection, conformément à la philosophie du droit d'auteur, concerne uniquement la forme de la base, son architecture, et est conditionnée comme pour toute autre œuvre par une condition d'originalité Ø La deuxième protection, spécifique aux bases de données, concerne la matière contenue par la base. Le droit sui generis (« de son propre genre ») est rangé dans la catégorie des droits voisins du droit d'auteur, droit de propriété incorporelle ad hoc, donnant des prérogatives patrimoniales au producteur de la base Ø L'exercice du droit est attaché à une condition de valeur économique : la base doit avoir été l'objet d'un investissement qualitativement ou quantitativement substantiel. Le producteur de la base de données peut donc interdire à tout utilisateur l'extraction d'éléments quantitativement ou qualitativement substantiels de la base, ou l'extraction systématique de celle-ci Propriété intellectuelle GOUVERNANCE DU SYSTÈME D’INFORMATION 8 ACTIVITÉS CONCERNÉES D’UN POINT DE VUE DE SI ØIl ne s’agit pas ici de lister les activités réglementées (soumises à diplôme, déclaration préalable, quota, etc.), mais celles pouvant avoir un impact sur le SI. • Cela suppose que le SI soit directement impliqué dans l’activité (R&D, production, distribution), et non un simple outil bureautique ou administratif • La question clé pour y voir clair en première intention est de se demander si le SI touche au produit issu de l’activité • Cela n’exclut pas la conformité du SI à des règlementations générales non liées à une activité en particulier (fichiers de données personnelles notamment) ØLe DSI doit évaluer l’impact potentiel de la réglementation sur le SI • La charge d’aménagement au niveau SI pour être conforme à la réglementation qui l’impacte et qui peut être non négligeable, il faut l’évaluer • Une préoccupation du DSI peut être de limiter l’impact SI de l’activité règlementée, ou en tout cas de n’impliquer le SI dans l’activité que pour des aspects à réelle valeur ajoutée, en tenant compte de l’effort ci-dessus Propriété intellectuelle GOUVERNANCE DU SYSTÈME D’INFORMATION 9 ACTIVITÉS CONCERNÉES D’UN POINT DE VUE DE SI ØLes activités contrôlées et régulées peuvent concerner tout le métier de l’entreprise ou certains aspects de celui-ci. Les activités régulées les plus impactantes sur le SI sont celles qui : • Peuvent représenter un risque pour les libertés individuelles (telecom, utilisation d’informations à caractère personnel) • Touchent directement ou indirectement à la santé humaine (médicaments et dispositifs médicaux, cosmétologie, aliments) • Représentent (ou ont représenté) un intérêt stratégique pour l’Etat (médias, audiovisuel, télécommunications, banques) • De ce fait, les activités financières bancaires et autres services financiers sont fortement réglementés • De la même manière, les bijoutiers (et professions assimilées), mais également les prothésistes dentaires sont concernées par les règlementations douanières sur le commerce de métaux précieux Propriété intellectuelle GOUVERNANCE DU SYSTÈME D’INFORMATION 10 ACTIVITÉS CONCERNÉES D’UN POINT DE VUE DE SI ØLes règlementations sociales et financières impactent toutes les entreprises et donc leurs systèmes d’information RH et Finance ØLes règles applicables concernent aussi bien la nature des informations manipulées que les conditions de forme de leur utilisation • Durée de conservation • Capacité à rejouer les traitements avec ces données • Obligations de communication ; elles peuvent concerner : ü Les organismes de contrôle, ü Les administrations en charge, ü Le législateur, ü Le propriétaire (fichier de données à caractère personnel), ü Le public (avantages obtenus par des professionnels de santé de la part d’autres acteurs du marché de la santé), ü Etc. Propriété intellectuelle GOUVERNANCE DU SYSTÈME D’INFORMATION 11 ORGANISMES DE RÉGULATION ØQuelques organismes de régulation ou/et de contrôle : • CNIL Commission Nationale Informatique et Liberté • ARCEP Autorité de Régulation des Communications Electroniques et des Postes (concerne les opérateurs de ces secteurs) • AMF Autorité des Marchés Financiers • AIEA Agence Internationale de l’Energie Atomique • ANSES Agence Nationale Sécurité sanitaire de l'alimentation, de l'environnement et du travail • EFSA European Food Safety Agency (CE) • ANSM Agence Nationale de Sécurité du Médicament et des produits de santé • EMA European Medicines Agency (CE) • FDA Food and Drug Administration (USA) ØCertaines administrations publiques peuvent mener des investigations poussées sur le SI : • Administration Fiscale, Douanes, TRACFIN, DGCCRF (Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes), … Propriété intellectuelle GOUVERNANCE DU SYSTÈME D’INFORMATION 12 LÉGISLATION RELATIVE AUX DONNÉES PERSONNELLES Ø La CNIL est l’autorité en charge de veiller à la protection des données personnelles. A ce titre, elle dispose notamment d’un pouvoir de contrôle et de sanction Ø Jouant aussi un rôle d’alerte et de conseil, elle a pour mission de veiller à ce que le développement des nouvelles technologies ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques Ø Par exemple, la CNIL s’intéresse à l’utilisation de la reconnaissance biométrique dans les systèmes et a rejeté l’utilisation des empreintes digitales dans les systèmes de contrôle d’accès. Pourquoi ? Données personnelles GOUVERNANCE DU SYSTÈME D’INFORMATION 13 LÉGISLATION RELATIVE AUX DONNÉES PERSONNELLES Ø En France, la Commission Nationale Informatique et Liberté (CNIL) relaie les directives européennes Ø Tout fichier (quelle qu’en soit la forme) contenant des données uploads/S4/ refdsi-dauphine-j4nnc-2022.pdf