Dans notre dernier blogue, nous avons discuté du besoin d’intégrer le service de confidentialité et de sécurité des données dans processus d’appel d’offres, dès le début de l’exercice. Malgré la présence d’un ou de plusieurs experts à la table, l’ensemble de l’équipe responsable du projet doit reconnaître qu’il est essentiel de rédiger des questions qui susciteront des informations de substance sur les politiques et pratiques de gestion des données des soumissionnaires.

Les entreprises veulent s’assurer que les fournisseurs se conforment aux lois pertinentes et disposent de processus pour minimiser tout risque d’atteinte à la sécurité. Dans cet esprit, les réponses aux questions de la demande de propositions doivent fournir des détails qui inspirent un haut niveau de confiance quant aux composantes suivantes de la sécurité des données:

– La structure et portée de la gestion des données confidentielles (membres de l’équipe, expertise, certifications, étendue de l’application)

– Le processus de gestion des politiques auprès des employés, fournisseurs et sous-traitants, y compris la formation et la sensibilisation

– La conformité aux législations pertinentes (par exemple, la LPRPDE et la Loi sur la protection des renseignements personnels au Canada, ainsi que celles d’autres pays tels que le RGPD dans l’Union européenne)

– L’emplacement physique et logique des données du client

– La surveillance et les contrôles

– Les mesures prises en réponse aux incidents, leur signalement et leur atténuation

Les questions devraient servir à obtenir des précisions plutôt qu’une description de la sécurité des données en général. Elles doivent exiger des informations spécifiques sur les processus, les outils et la technologie utilisée, ainsi que fournir une compréhension évidente de la gestion des risques et de la conformité avec la législation applicable d’autres pays

Avant de formuler des questions pour les soumissionnaires, l’équipe du projet doit d’abord s’entendre sur les points suivants

– Les exigences obligatoires qui, si pas acceptées, disqualifieraient les soumissionnaires

– Les pondérations les plus élevées, c’est-à-dire les exigences les plus importantes

– Ce qui peut être acceptable en fonction des autres éléments présentés dans la proposition

– Les meilleures pratiques dans le domaine de la sécurité des données

À partir de là, des questions peuvent être rédigées de façon à exiger un niveau de précision particulier et cibler les fonctionnalités les plus importantes pour l’équipe. Cela signifie explorer à fond les catégories répertoriées au début de ce blogue. À titre d’exemple, on peut demander :

– Les organigrammes de l’équipe de sécurité des données, un diagramme du processus administratif, les noms des personnes responsables ainsi qu’une description de leur expérience et les certifications pertinentes.

– Comment le soumissionnaire s’assure-t-il que les fournisseurs et sous-traitants respectent les politiques de sécurité des données ?

– Une description de la structure physique du centre de données, du système d’extinction d’incendie et d’alarme, des contrôles d’accès, de l’emplacement logique des données et du plan de continuité des activités en cas de perte totale de l’emplacement principal.

– Un historique des violations de la sécurité des données et de la façon dont elles ont été gérées

Avec des questions bien réfléchies, les soumissionnaires sauront clairement quelles informations doivent être fournies pour être considérées comme candidat sérieux. Une fois les propositions reçues, l’équipe est alors bien positionnée pour déterminer celui qui correspond le mieux aux exigences de l’entreprise.

Plus sur cet important sujet à venir.