Audit simplifié via les data!
Pour les artisans, commerçants, indépendants et PME
Comment accélérer la maturation numérique, comprendre les fonctionnements et la criticité des informations utilisées, sans devoir faire un audit monstrueusement coûteux et surdimensionné ?
ICT-a.ch met à votre disposition un questionnaire simplifié, à faire remplir par le solopreneur, ou les membres et partenaires d’une PME.
Questionnaire pour qualifier un groupe de données!
NB: Ce questionnaire nécessite un compte PRO Office 365, si tu es étudiant, prof, ou simple curieux digital, sans compte Microsoft PRO, nous pourrons te proposer un compte ‘étudiant’ (ou ‘prof’) gratuitement, pour te permettre d’exploiter ce formulaire directement et facilement.
Pour les premières versions, c’est du MiGroSoft ! Si des libristes veulent contribuer pour basculer sur une solution libre alternative, et gérer cela sur un GITHUB (Maintenant Microsoft) ou GITLAB, ce sera volontiers. Nous contacter. On aime le “libre”…
Ce questionnaire est libre d’utilisation, sous réserve de: Nous citer, de le repartager si amélioré (pascal.kotte@ict-a.ch) et de verser une contribution financière libre en pleine conscience, si tu fais de l’argent avec (ici).
Licence Creative Commons CC-BY-NC-SA
Je partage volontiers le lien de collaboration pour directement améliorer ce questionnaire, mais uniquement aux conseillers numériques signataires de la charte http://kalix.ict-a.ch. Il est possible de le commenter ci-après directement ! Et il est explicitement demandé de nous envoyer votre version améliorée.
Si cela en vaut la peine, nous intégrerons les amélioration en citant les auteurs de celle-ci. Nous transmettre URL à promouvoir et email à utiliser. Et nous mettrons en place une structure collaborative en auto-gouvernance pour se partager les revenus ultérieurs, s’il en est…
Si la déclinaison proposée diverge, mais s’adapte mieux à certains métiers, nous proposerons de le repartager en parallèle et structurerons une page web pour les afficher et en faire la promotion (gestion des ‘fork’).
—
Le questionnaire
Le simple fait de poser ces questions éclaire déjà les entrepreneurs et les membres d’une organisation. Mais par la suite, il faut en déduire une cartographie des flux de ces données.
Pourquoi ?
Car une erreur classique faîte par une majeure partie des ingénieurs informaticiens, consiste à gérer des applications et des systèmes ! De faire un beau schéma réseau (c’est nécessaire en interne à l’IT mais pas de se baser dessus pour discuter avec les métiers…)
On s’en fout de ton schéma réseaux et systèmes!
Attention: Il faut le faire et l’avoir… Mais le management et le “business” c’est pas pour eux!
Ce qui est important!
- Ce ne sont pas les systèmes.
- Ni les applications, et non!
- Pas non plus les données, car dormantes, elles sont inutiles…
Ce sont les flux de ces données!
De qui, vers qui, pourquoi, avec quelles modifications, améliorations, pertes, pour quels prix, coûts énergétiques, avec quels risques éthiques et juridiques, quels bénéfices, quelles importances et dépendances ? A qui peuvent-elles être utiles, en interne, en externe, quelles combinaisons de données peuvent en multiplier l’intérêt, faciliter la gestion, optimiser les traitements, automatiser l’ensemble…
Des App aussi!
Et oui, il faut construire des interfaces pour faciliter la vie de ces données, leurs flux, ce sont les applications. Il faut aussi des espaces pour les stocker, pas nécessairement des serveurs de bases de données, cela peut être aussi du stockage distribué, virtualisé, cloud-isé, ou pas… Selon qui doit y accéder, combien de personnes, comment, à quelles fréquences, il faut s’adapter… Une erreur consiste à faire l’amalgame entre les applications de traitement, et les bus de mise à disposition des données, voir les API pour interfacer des microservices. Si tu veux sécuriser et rendre global, et massivement ‘online’, c’est souvent REST et “no SQL” ! …
Le questionnaire est le point de départ
Il permet ensuite de créer le diagramme des Blocs de données, via un regroupement des réponses, en plus d’une classification pour en permettre aussi, une mise en conformité légale (LPD et GDPR).
Ce travail peut se faire en interne, ou se faire accompagner par un de nos conseillers.
Le questionnaire reportée ci-dessous peut différer de l’original, modifié entre-temps, il est préférable de regarder l’original: Tu peux le tester ici
Mais tu n’en auras pas les réponses, qui m’arriveront à moi. Il faut dupliquer chez toi et nécessite d’utiliser utiliser un compte Office 365 PRO.
Nous pouvons te fournir un accès Office 365 E1 étudiant ou prof gratuit, pour te permettre de l’utiliser. Me contacter: http://callme.kotte.net
Questionnaire pour qualifier un groupe de données!
Questions individuelles à chaque opérateur utilisant un équipement numérique, smartphone, tablette, laptop, desktop, serveurs, caméras ou frigos connectés, et tout ce qui va connecter, collecter, transmettre des données, transformées, ou pas… Mais aussi aux données imprimées, non numériques, s’il en reste. Il va falloir répéter ce questionnaire, pour chaque groupe de données traitées différemment (En option fournir une table de référence interne existante).
CC-BY-NC-SA 2018, Pascal.KOTTE@ICT-a.ch (Amélioration et utilisation de ce formulaire, libre et autorisé sous réserve de nous citer et d’en repartager les améliorations. Pour des missions facturées utilisant nos questionnaire en Creative-Commons, c’est autorisé sous réserve de contribuer au travail de maintenir ce questionnaire, par une participation financière très raisonnable, et uniquement lors d’un travail facturé, proportionnellement aux revenus générés: En participation libre et consciente, cf. http://IBAN.CloudReady.ch)
1. De quel groupe de données s’agit-il? Quel petit nom lui donnerais-tu?
Il faudra répéter ce même questionnaire, pour chaque groupe de données, qui seront utilisés différemment, avec d’autres applications, ou avec les mêmes applications, mais disposant d’une importance différente des autres données. Tu as le droit de changer d’avis et de finalement séparer un premier groupe de données, en deux groupes, en venant remplir une nouvelle fois ce questionnaire. Option: L’organisation peut remettre une liste de référence, avec des groupes pré-identifiés.
2. De quoi s’agit-il?
Il ne faut pas penser “applications”, mais “données”: Avec quelles informations travailles-tu tous les jours ? Quelles données te sont indispensables pour ton travail ou tes activités, et les questions suivantes vont éclairer et qualifier ces données, il est donc inutile de t’étendre ici sur cette question. Il ne faut que clarifier le petit nom que tu as donné précédemment, pour que tout le monde puisse comprendre de quelles données nous parlons. Penses aussi à tes contacts, tes emails, tes lettres ou documentations papiers (on parle de données, pas d’informatique). Les sites et services webs qui te donnent des informations vitales pour toi ! Tes réseaux sociaux, tes SMS, ton Whatsapp. Quelles informations utilises-tu pour tes besoins et tes missions ? Si je te coupe Internet, pendant 1 jour, 1 semaine, que se passe-t-il pour toi ?
On se fiche (pour le moment) de l’endroit où elles se trouvent et dans les mains de qui elles sont, si tu en as besoin et les utilises, tu les annonces!
3. Importance de ce groupe de données de ton point de vue!
C’est une classification approximative, et uniquement pour exprimer ton ressenti d’importance sur ces données, en relation avec tes activités. Si tu mets 1 étoile, on peut te les enlever, tu pourras encore remplir ta mission. 5 étoiles, sans ces données, tu peux rentrer chez toi, impossible de travailler sans.
*****
4. Comprennent-elles des informations de caractère personnel sur des individus?
Un email, un téléphone, un numéro d’assuré, une adresse, un nom, des caractéristiques familiales et personnelles, ou d’activités matérielles ou financières sur des personnes sont des données personnelles. Si associé à des identifiants uniques, même sans disposer de l’identité de la personne (anonymisé), ce sont des données personnelles. Les données sensibles sont aux yeux de la loi: CH: Opinions et activités religieuses, philosophiques, politiques ou syndicales; informations médicales ou raciales, et intimes; les mesures d’aides sociales; poursuites pénales et administratives. FR/EU: sont moins étendues, mais y explicite les orientations sexuelles. https://fr.wikipedia.org/wiki/Donn%C3%A9es_personnelles, https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html, https://www.cnil.fr/fr/definition/donnee-sensible
- Avec des données sensibles et personnelles
- Avec des données personnelles
- Sans données personnelles
- Je ne sais pas
5. Comprennent-elles des informations sensibles sur d’autres organisations?
La LPD et GDPR protègent les données des personnes physiques, mais ne concernent pas les personnes morales (organisations). Il n’empêche que nous devons déterminer si des données confidentielles ou sensibles concernant ces organisations sont présentes dans ce groupe de données. Des commandes, des factures, quelles conséquences si divulgations ?
Sensible: La divulgation peut donner lieu a des difficultés importantes (rupture contrats, pertes financières, poursuites juridiques…)
Confidentiel: La divulgation peut être désagréable, mais avec un impact mineur. (A l’unité, restera à déterminer si l’ensemble, ne devient pas sensible)
Avec: Mais je ne sais pas dire si sensible ou confidentiel… Ou à priori, c’est public.
- Avec des données sensibles d’organisations
- Avec des données confidentielles d’organisations
- Avec des données d’organisations
- Sans données sur des organisations
- Je ne sais pas
6. Comprennent-elles des informations sensibles internes à l’entreprise?
A noter que si dans le groupe de ces données, se trouve mélangé plein d’éléments non sensibles, et quelques sensibles, mais impossible à distinguer des autres car aucune option activable pour cela, il faut alors classifier la totalité comme sensible, même si le plus ‘gros’ ne l’est pas!
Si tu disposes d’une option activable pour “classifier” une partie de ce groupe de données avec un attribut ‘confidentiel’ ou similaire, alors il te faudra saisir cette fiche une seconde fois, pour le même groupe de données avec et sans l’option ‘classifiée’ activée. Ce sont 2 groupes différents, même si dans la même application. (On raisonne ‘data’ et non ‘App’).
ICT-a.ch propose cette classification basée sur nos expériences et le bon sens, sans prétendre à suivre le moindre standard, toute similitude est accidentelle.
Ultra-secret: Pertes lourdes et poursuites juridiques (La fuite de ces données peuvent mettre l’entreprise en péril, ex. secret de fabrication fondamental, accords ou activités légalement discutables dans certaines juridictions);
Secret: Pertes financières (plans, formules, stratégies, secret de fabrication ou d’organisation, importants mais non critiques, individuellement… Il faudra se demander si l’ensemble ne devient pas ‘ultra-secret’);
Confidentiel: La fuite de ces données n’entraînent rien de catastrophique, à part un dégât d’image (mettre secret si cela a un impact financier grave), mais elles portent sur des informations que ne sont pas censé être en accès libre hors des groupes concernés (internes et externes). Par exemple: Des données personnelles assujetties à la GDPR ou la LPD (‘Secret’ uniquement si des revenues se font directement sur celles-ci).
Interne: Accessibles à une partie ou totalité des membres internes et partenaires externes à l’organisation, mais il ne faudrait pas les retrouver sur le Net, car cela nuirait à l’image ou pourrait générer des interprétations négatives.
Publique: Elles ne sont pas facilement accessibles, mais elles pourraient être partagé en public sans conséquences négatives significatives.
Publiée: Elles sont téléchargeables sur l’Internet
Classification des données :
- Ultra-secrète
- Secrète
- Confidentielle
- Interne
- Publique
- Publiée
7. Quelle proportions de collaborateurs internes peuvent aisément accéder à ces informations?
8. Sont-elles accessibles ou partagées avec des partenaires externes, ou sous-traitant?
9. Combien de personnes dans ton équipe partagent les mêmes traitements sur ce même groupe? Incluant ‘extras’ et sous-traitants externes?
10. A ton avis?
Dans ce chapitre: peut-être faudrait-il expliciter les occurrences de sauvegardes souhaitées, nécessaires. Réplication en temps réel étant l’idéal, pour assurer une reprise sur incident avec pertes minimales ou inexistantes. Si elle est possible à moindre frais, ou pas, il est nécessaire d’en mesurer coûts, et bénéfices…
11. Source des données
12. Co-traiteurs de cette data?
[TK à compléter et remplacer en mode texte pour faciliter commentaire à la volée…]
