À propos (2022)

Des actions pour garantir la sécurité de l’information

Posted by Émilie Decamp on

En tant qu’organisme public, Iriscare est particulièrement attentif à la sécurité de l’information. Cela passe notamment via son service dédié. Celui-ci met en place différentes actions afin de garantir la protection des données.

Le service Sécurité de l’information continue à mettre l’accent sur le développement d’une culture de sécurité au sein d’Iriscare. « Les différents services comprennent de plus en plus l’importance qu’Iriscare accorde à la protection et à la sécurité optimale des données à caractère personnel à chaque instant de leur traitement », précise Agnès Wambo, responsable du service.

En 2022, plusieurs missions en lien avec la sécurité de l’information et la protection des données à caractère personnel, ont été réalisées au sein des différents services d’Iriscare.

Le RGPD au cœur de nos actions

Le Règlement Général pour la Protection des Données (RGPD) tient évidemment une place importante dans les actions menées par le service dédié à la sécurité de l’information. Il rédige ainsi des notes sur les aspects RGPD (base légale, finalités, analyse d’impact, demande d’avis à l’autorité de contrôle, protocole…) relatifs à certains projets d’ordonnance mais analyse également la conformité au RGPD des contrats et des projets impliquant les données à caractère personnel. « Il s’agit de la rédaction et/ou de la mise à jour des clauses contractuelles liant Iriscare tant à ses fournisseurs qu’à ses partenaires », détaille Agnès Wambo. « La sous-traitance d’activités de traitement des données personnelles à des tiers (marchés publics) a fait l’objet de signature de 9 contrats de traitement des données conformément à l’article 28.3 du RGPD. Il y a également 4 protocoles qui ont été signés, 16 clauses RGPD qui ont été mises à jour dans divers contrats, des analyses d’impact relative à la protection des données (AIPD) ont été menées pour 4 projets et 2 demandes directes d’avis ont été envoyées à la BCSS au sujet des délibérations du Comité de sécurité de l’information. On peut également noter que 30 avis DPO (Data Protection Officer, c’est-à-dire le délégué à la protection des données) ont été rendus au sujet des demandes émanant de divers services d’Iriscare. »

Enfin, le service a également rédigé des mentions légales RGPD pour le portail Curas et une veille RGPD régulière est assurée sur la documentation se trouvant sur nos supports de communication.

Focus sur les sites web

L’année 2022 a également été l’occasion de faire la mise à jour de la Privacy policy des sites web d’Iriscare. « Il s’agit de faire mention, dans la Privacy policy d’Iriscare, des compétences exercées depuis le 1er janvier 2022 par le nouveau Centre d’évaluation de l’autonomie et du handicap (CEAH) d’Iriscare », précise Agnès Wambo.

La gestion des accès aux applications

Le service sécurité de l’information s’est également occupé de la gestion des accès aux applications. « Il s’agit d’évaluer et d’approuver des demandes d’accès (VPN, certificats, Dolsis, Portiris, etc.) aux applications de la Sécurité sociale ou à toutes les autres applications utilisées au sein d’Iriscare et de formuler des demandes d’accès au Registre National, etc. En 2022, le formulaire d’accès à la nouvelle application Portiris et ses annexes ont été rédigés et mis à disposition des caisses d’allocations familiales, chaque formulaire d’accès doit être signé par le DPO de l’organisme qui demande un accès à l’application Portiris », détaille Agnès Wambo. « Toujours en 2022, plus de 90 demandes d’accès au VPN et demandes de flux ont été évaluées et approuvées. »

En parallèle, le service s’est également chargé de la gestion des rôles eGov dans l’application de Gestion des accès pour Entreprises et Organisations. Il s’agit de la mise à jour de la liste des collaborateurs d’Iriscare ayant un accès actif au VPN et de la suppression des accès VPN pour les collaborateurs ayant quitté définitivement Iriscare.

Enfin, le service participe également au groupe de travail Sécurité de l’information qui a été institué au sein du Comité général de coordination (CGC) de la Banque carrefour de la sécurité sociale afin de garantir la coordination requise entre les délégués à la protection des données des différentes institutions de sécurité sociale. Quatre réunions sont organisées par an.

La sensibilisation des collaborateurs

Un important travail de sensibilisation est également mené auprès des collaborateurs d’Iriscare. « Le phishing étant une des grandes tendances observées dans le paysage actuel des cybermenaces, il faut sans cesse sensibiliser l’ensemble du personnel d’Iriscare afin qu’il puisse reconnaître plus facilement les messages de phishing et éviter ainsi de tomber dans les pièges des cybercriminels », explique Agnès Wambo. « C’est ainsi qu’au mois de février 2022, les collaborateurs ont été sensibilisés via l’intranet sur le phishing. »

En tant qu’organisme d’intérêt public, Iriscare porte une attention toute particulière à la protection des données personnelles. Il s’agit d’un enjeu essentiel pour Iriscare qui continuera à mettre tout en œuvre pour se conformer aux règles en vigueur.