Choisissez le type de recherche
  • Site
  • Web
Search

Text/HTML

Évènement IBM i 2017

Téléchargez la présentation de NoToS sur le GDPR

Textes officiels - RGPD (GDPR)

textes officiels RGPDConsultez les textes sur le site de la CNIL

La méthodologie de Notos pour la mise en conformité avec le GDPR sur IBM i

Les collaborateurs de NoToS sont experts en matière de Sécurité, notamment en environnement IBM i. Depuis 2016, date de publication du Règlement, ils sont fortement impliqués dans le GDPR et ont acquis une expérience notable et concrète dans la formation et la mise en œuvre de plans d’action dans ce domaine

 

L'objectif final est de mettre en place une gouvernance des données et de leur traitement au sein de votre entreprise.

 

Pour commencer, nous réalisons une cartographie de vos traitements des données personnelles en évaluant les écarts de conformité.

 

L'intervention de Notos se déroule ensuite de la manière suivante :

  • Présentation de la réglementation GDPR :
    • Aux directions métiers
    • A la direction et à l’équipe informatique
  • Etats des lieux :
    • Audit sécurité environnement IBM i
    • Assistance à l’identification des données personnelles (BDD et IFS) et de celles à anonymiser
    • Accompagnement à la cartographie des traitements
    • Accompagnement à la définition de la matrice des risques
    • Accompagnement à la définition et la priorisation des actions de mise en conformité
    • Définition des données à anonymiser
  • Mise en conformité avec la GDPR :
    • Assistance méthodologique pour assurer une protection par défaut dès la conception
    • Evolution de la Sécurité : SSO, SSL, Sécurisation des objets et des applications
    • Mise en œuvre de la traçabilité et exploitation
    • Mise en œuvre de l’anonymisation

 

Les prestations GDPR de NoToS en détail

DPO en temps partagé

 

Nous vous proposons l’intervention d'un Consultant et DPO / DPD (Data Protection Officer ou Délégué à la Protection des Données en français) externalisé, en temps partagé.

 

Cette mission, effectuée par notre expert, vous permet d’initier une démarche de mise en conformité GDPR et, par la suite, d’en assurer un suivi en toute neutralité.

 

Formation

 

Nous vous proposons une formation dont l'objectif est de présenter les grandes lignes de la réglementation ainsi que son impact sur votre société en termes d’organisation et d’évolutions techniques.

 

Généralement cette formation se déroule en deux temps :

  • Une journée avec l’ensemble des directions métiers ainsi que les services juridique, financier, ressources humaines et informatique au cours de laquelle une identification macroscopique des données personnelles et des chantiers à mener est réalisée
  • Une présentation synthétique à la direction générale de la réglementation et des chantiers à mener (de 1H30 à 3 H)

 

Cartographie des traitements de données personnelles

 

Dans le cadre de cette prestation, NoToS vous accompagne dans la réalisation de la première étape de la mise en conformité : la cartographie des traitements de données personnelles.

Cette cartographie va également permettre d’établir les bases du futur registre des traitements, document indispensable à la documentation de la conformité.

Pour mener cette mission, l’intervenant NoToS réalisera des interviews des principaux responsables fonctionnels afin de déterminer :

  • Quelles sont les données personnelles utilisées au sein de votre société
  • Comment ces données sont collectées auprès de leur propriétaire
  • De quel type sont ces données
  • Quels traitements sont réalisés sur ces données et pour quelle finalité
  • Qui traite ces données, qui y a accès (acteur interne ou externe)
  • Quels sont les flux de circulation de ces données
  • Quels sont les sous-traitants impliqués et quel est leur niveau de conformité

 

Une fois cette cartographie des traitements de données réalisés, l’intervenant NoToS pourra recenser avec votre équipe informatique les lieux de stockage de ces données (serveurs applicatifs, serveurs de fichiers, sous-traitant informatique, …).

 

Au terme de la mission, l’intervenant NoToS vous remettra un livrable comprenant :

  • Les catégories de données traitées
  • La cartographie des traitements de données personnelles
  • La localisation de ces données
  • Les flux de circulation de ces données
  • Le plan d’actions à mettre en place pour être en conformité

 

Audit Sécurité IBM i

 

La sécurité d’accès au système IBM i est un des moyens de protection des données personnelles.

 

A travers une analyse détaillée de la configuration d’une partition IBM i, le consultant NoToS identifie les défauts potentiels de sécurité.

 

Tous les aspects de l’IBM i sont pris en compte : système d’exploitation, profils utilisateur, base de données, programmes, réseau, système de fichier...

 

Suite à cette prestation, un rapport synthétique est émis pour présenter :

  • La liste des défauts de Sécurité constatés avec :
    • Leur niveau de sévérité
    • L’exploitation qui a, ou qui aurait, pu être réalisée et son contexte
    • Les éventuelles solutions commentées (difficulté de mise en œuvre, impact sur le défaut…)
    • Et toute information qui nous semblerait utile pour la compréhension et la résolution de ce défaut
  • Des préconisations au niveau organisationnel

Pour réaliser cette prestation, nous devrons disposer de la présence d’un collaborateur disposant d’un accès de type Officier de sécurité (QSECOFR, par exemple) et connaissant bien les applications hébergées sur le serveur IBM i. Il ne s’agit pas forcément d’un interlocuteur unique, les personnes concernées pouvant varier en fonctions des thèmes et des applications étudiées.

 

Un transfert de compétence sera réalisé afin que les collaborateurs du Service Informatique concernés comprennent les mécanismes mis en œuvre pour sécuriser les IBM i.

 

L’analyse se déroule selon un plan prédéfini, régulièrement utilisé lors de nos audits de sécurité. En fonction des besoins de votre, l’accent pourra être mis sur  tel ou tel sujet particulier.

 

Evolution de la stratégie sécurité IBM i

 

Tout changement dans la stratégie de sécurité peut avoir un impact fort sur votre production informatique.

Il est donc indispensable de valider cet impact sur un environnement de qualification.

 

NoToS peut accompagner les équipes informatiques de votre société

  • Dans la définition de la stratégie de sécurité à mettre en place :
    • Définition des rôles
    • Définition des besoins d’accès en fonction des rôles
    • Sécurité des données dès la conception (Privacy and Security by design)
  • Dans la mise en œuvre de cette stratégie
    • Analyse d’impact par rapport à l’existant
    • Mise en œuvre, dans une partition de tests :
      • Des évolutions de sécurité sur les objets
      • Du principe de l’adoption de droits pour les programmes développés en interne
    • Documentation de toutes les étapes qu’il faudra ensuite reproduire sur la production pour la mise en conformité de la sécurité de l’environnement IBM i.

 

Généralement lors de cette prestation, nous installons également les programmes d’exit qui permettent de tracer les accès externes au système (voir Traçabilité sur l’IBM i).

 

Pour réaliser cette prestation, nous devrons disposer de la présence d’un collaborateur disposant d’un accès de type Officier de sécurité (QSECOFR, par exemple) et connaissant bien les applications hébergées sur le serveur IBM i.

 

Des utilisateurs fonctionnels clés devront également être disponible pour réaliser les tests applicatifs.

 

Sécurisation des flux d’échanges avec l’IBM i

 

NoToS peut aussi vous accompagner dans la mise en place de la sécurisation des échanges par chiffrement.

 

Ceci passe par la mise en œuvre de TLS/SSL sur l’IBM i avec transfert de connaissances auprès des équipes informatiques suivant le plan ci-dessous

  • Introduction
  • Les cryptages
  • SSL et TLS
  • Digital Certificate Manager (DCM)
  • Autorité de certification
    • Locale
    • Oficielles
  • Magasins de certificats
    • IBM i
    • Client Access
    • Windows
  • SSL ACS et Client Access
    • Configuration
    • PC5250
    • Navigator
    • Transfert de fichiers
    • ODBC
    • Tests
    • Déploiement sur les postes clients
  • SSL et les serveurs Web
    • Configuration
    • Problématiques spécifiques
    • Tests
  • TELNET entre IBM i
    • Configuration du serveur
    • Configuration du client
  • FTP
    • FTPS
    • Problématique SFTP
  • Autres logiciels
  • Conclusions

 

NoToS peut également intervenir pour la mise en œuvre d’échanges sécurisés avec le protocole SFTP.

 

Traçabilité sur l’IBM i

 

La mise en place de la traçabilité vise deux objectifs :

  • Faciliter l’analyse de l’existant en termes d’accès et donc l’analyse d’impact pour les évolutions de la stratégie de sécurité
  • Disposer d’éléments de trace en cas de violation de données

La traçabilité se fait à plusieurs niveaux dans l’IBM i :

  • Par la journalisation pour les fichiers de la base de données
  • Par le journal d’audit pour les autres aux objets
  • Via des programmes d’exit pour les accès externes au système

 

NoToS peut vous assister dans la mise en place de la journalisation en fonction des besoins de traçabilité. Nous proposons également des programmes d’exit pour tracer les accès au système à travers ODBC, JDBC, FTP ainsi que les accès au système de fichiers IFS.

 

L’exploitation des traces peut se faire manuellement ou être automatisée suivant le besoin.

 

Power GDPR - logiciel de tenue du registre des activités de traitements

 

La tenue d’un registre des traitements est obligatoire pour quasiment toutes les entreprises. C’est le moyen de prouver la conformité en cas de contrôle.

 

Power GDPR est une solution logicielle qui permet de rassembler au même endroit toutes les pièces nécessaires pour prouver votre conformité.

 

Développé conformement aux préconisations de la CNIL, Power GDPR vous permet :

  • De tenir le registre des traitements à jour et de le mettre à disposition de toutes les personnes concernées
  • De centraliser l’ensemble des pièces justificatives, documentation interne, etc …
  • De gérer les données sensibles
  • De déclarer les éventuels incidents à l’organisme de contrôle

 

Power GDPR est disponible soit en version installée sur site, soit en location en mode SaaS dans le Cloud.

 

Le serveur Power GDPR peut résider sur différents systèmes d’exploitation : Windows, Linux, IBM i...

Pour plus d'informations, consultez sur notre site la page consacrée à Power GDPR

 

Conseil et accompagnement des responsables de traitement

 

Nous assistons les DPO pour la rédaction de mentions d'information RGPD, l'établissement de chartes de confidentialité et la mise en conformité des sites web (gestion des cookies, mentions d'information sur les formulaires de contact).

 

Nous accompagnons également les responsables de traitement dans la mise en place et la rédaction du registre des activités de traitement, avec l'aide de notre logiciel POWER GDPR si nécessaire.

 

Les atouts de Notos

Prestation personnalisée
Les prestations sont personnalisées en fonction du contexte de l’entreprise
Expertise IBM i et sécurité
Les intervenants sont des experts des domaines traités, avec des références dans des domaines d’activité variés (banque, assurance, industrie, distribution, coopérative, immobilier, …)
Formateurs expérimentés
Les intervenants formateurs sont aguerris à la pédagogie
Approche processus
L'approche est centrée processus et outillage avec Lorena, l'ECM de Notos

COORDONNEES

Bureaux et Siège Administratif

32, Chemin de notre Dame

34160 BEAULIEU

04 30 96 97 32

NOTOSLETTER

Inscrivez-vous à la Newsletter de NoToS

*

*

* Champs obligatoires

BLOG

Consultez les derniers articles

Débogage de programmes IBM i avec RDi

Rédigé par GAYTE Dominique

PARTENAIRES

Microsoft specialiste PME AS400 NoToS IBM partner AS400 NoToS Zend Solution Partner PHP IBMi AS400 NoToS