Notre engagement continu pour la sécurité

Nous répondons aux besoins de nos membres et de la communauté des bibliothèques en matière de sécurité par des communications régulières et la transparence de nos processus, objectifs, certifications, et principes.
Chez OCLC, nous avons mis en place des contrôles rigoureux pour maintenir une sécurité stricte des données et des services dans le nuage. Nos processus de gouvernance sont axés sur la conformité et les normes d'audit afin de garantir un accès aux données dans des environnements sécurisés et contrôlés exclusivement.
Objectifs stratégiques de sécurité
- Protéger les informations et les systèmes en mettant l'accent sur la confidentialité, l'intégrité, la disponibilité et la résilience des données et des systèmes d'information critiques, afin de garantir notre capacité à fournir des services aux usagers et aux employés.
- Réduire les risques de sécurité en créant la culture, les cadres et les processus nécessaires pour gérer les risques de sécurité.
- Améliorer les capacités de sécurité en développant les pratiques, les processus, les compétences du personnel et les capacités de sécurité globales nécessaires pour protéger OCLC des menaces de sécurité et assurer une amélioration continue afin de relever les défis de sécurité de demain, tout en alignant les priorités en matière de sécurité sur les stratégies et les besoins des bibliothèques.
- Adopter une approche globale de la sécurité en améliorant la sécurité dans l'ensemble de l'organisation grâce à l'élaboration de programmes de sécurité, de meilleures pratiques, de cadres communs et de politiques de sécurité de l'information à l'échelle de la structure.
- Guider la communauté des bibliothèques en tant que partenaire pour aider les bibliothèques, les fournisseurs, les éditeurs et les autres partenaires du secteur à améliorer leur sécurité grâce à des ateliers, des propositions de formation et des opportunités de collaboration.
Certifications et attestations

FedRAMP : le gouvernement fédéral américain approuve le marché des fournisseurs de services en nuage
Le Federal Risk and Authorization Management Program (FedRAMP) est un programme du gouvernement fédéral américain qui propose une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services en nuage. FedRAMP impose un ensemble de processus de base pour assurer une sécurité efficace et reproductible des services en nuage qui contiennent des données du gouvernement fédéral. OCLC dispose d'une autorisation d'exploitation (ATO) FedRAMP Li-SAAS (solutions SaaS à faible impact).

StateRAMP : le gouvernement national et local américain approuve le marché des fournisseurs de services en nuage
Le State Risk and Authorization Management Program (StateRAMP) est un programme du gouvernement national et local américain qui propose une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services en nuage. StateRAMP impose un ensemble de normes de sécurité reposant sur les contrôles de sécurité et de confidentialité des organisations et des systèmes d'information établis par la publication spéciale 800-53 du National Institute of Standards and Technology (NIST). OCLC, membre inscrit sur la liste des fournisseurs autorisés StateRAMP, dispose d'un statut de sécurité « Ready ».

ISO/IEC 27001
La norme de systèmes de gestion de la sécurité de l'information ISO/IEC 27001 spécifie officiellement les exigences relatives aux systèmes de gestion de la sécurité de l'information (SMSI), qui visent à assurer la sécurité de l'information dans le cadre d'un contrôle de gestion explicite. Elle établit un ensemble d'exigences régissant la mise en œuvre, la surveillance et l'amélioration continue des systèmes SMSI. Cette certification aide OCLC à respecter de nombreuses exigences réglementaires et légales relatives à la sécurité de l'information.

ISO/IEC 27018
La norme de protection des informations personnelles identifiables (PII) ISO/IEC 27018 est un code international de bonnes pratiques pour la protection de la confidentialité dans le nuage. Basée sur les réglementations européennes de protection des données, cette norme fournit aux fournisseurs de services en nuage, qui agissent en tant que processeurs d'informations personnelles identifiables (PII), des instructions spécifiques en matière d'évaluation des risques et de mise en œuvre de contrôles de pointe pour la protection de ces informations.

ISO/IEC 27701
La norme pour la gestion de la protection de la vie privée ISO/IEC 27701 est un cadre international pour la protection des informations personnelles identifiables. Cette norme couvre les exigences en matière de protection des données, comme le Règlement général sur la protection des données (RGPD).

SOC 2 : norme de sécurité, de disponibilité, d'intégrité du traitement et de confidentialité
Le rapport SOC 2 est basé sur les critères de services de confiance (TSC, Trust Services Criteria) établis par l'Auditing Standards Board (ASB) de l'American Institute of Certified Public Accountants (AICPA). Le but de cet audit est d'évaluer les systèmes d'information d'une organisation en termes de sécurité, de disponibilité, d'intégrité du traitement et de confidentialité.
Certification enregistrée

Cloud Security Alliance : norme de sécurité et de protection de la vie privée dans le nuage
Le programme STAR (Security, Trust, Assurance, and Risk) de la Cloud Security Alliance (CSA) encourage l'utilisation de bonnes pratiques pour assurer la sécurité de l'informatique en nuage. OCLC participe à ce programme sur la base du volontariat afin de documenter sa conformité aux contrôles de sécurité et de confidentialité publiés par la CSA.

Règlement européen sur la cybersécurité : norme de cybersécurité européenne
Le Règlement européen sur la cybersécurité (Cybersecurity Act) établit un cadre de certification de cybersécurité pour les produits et services numériques. Ce cadre de cybersécurité définit les contrôles de sécurité requis que les entreprises doivent appliquer dans leurs activités au sein de l'Union européenne.
OCLC se soumet à un audit ISO 27001 chaque année pour démontrer sa conformité à cette réglementation.

AGID, Italie : accréditation des fournisseurs italiens de services en nuage
L'Agence pour l'Italie numérique (Agenzia per l'Italia Digitale, AgID) coordonne les politiques dans le domaine de l'innovation et soutient activement la diffusion des technologies de l'information et de la communication en faveur de la numérisation et de la modernisation de l'administration publique. L'ensemble de ses directives et de ses actions sont développées au niveau national et européen, dans une perspective unitaire et cohérente, afin de fédérer l'infrastructure technologique, d'assurer la sécurité et la fiabilité de la conservation et de la gestion des données publiques, et de fournir des services intégrés et partagés de grande qualité.

Esquema Nacional de Seguridad (ENS), Espagne : norme de cybersécurité espagnole
Le programme d'accréditation de l'ENS a été développé par le ministère des Finances et des Administrations publiques et le CCN (Centro Criptológico Nacional). Ce programme établit des principes de base et des exigences minimales nécessaires à une protection adéquate des informations.
Certification enregistrée

Cyber Essentials, Royaume-Uni : norme de cybersécurité britannique
Cyber Essentials est un système soutenu par le gouvernement britannique et conçu pour aider les organisations à évaluer et à atténuer les risques liés aux menaces de cybersécurité courantes qui pèsent sur leurs systèmes informatiques. Le programme Cyber Essentials est une norme de cybersécurité qui identifie les contrôles de sécurité qu'une organisation doit mettre en place au sein de ses systèmes informatiques. Tous les fournisseurs du secteur public britannique qui traitent des données à caractère personnel doivent se soumettre à cette norme.
L'ensemble des critères sont régulièrement évalués par des tiers et/ou des auditeurs indépendants, et donnent lieu à une certification, un rapport d'audit ou une attestation de conformité (sauf indication contraire). Les applications et les cadres de conformité incluent des exigences publiées à des fins spécifiques.
Principes stratégiques de sécurité
Chez OCLC, nous pensons que tous les efforts que nous mobilisons pour améliorer la sécurité doivent :
- refléter correctement la nature sans frontières, interconnectée et globale de l'environnement actuel;
- se baser sur la gestion des risques;
- impliquer tous les employés d'OCLC;
- s'adapter rapidement à l'évolution des menaces, des technologies et des modèles économiques;
- se concentrer sur les individus malveillants et leurs menaces.
Rencontrez les experts d'OCLC en sécurité des informations
L'équipe des Services mondiaux de sécurité d'OCLC
L'équipe des Services mondiaux de sécurité d'OCLC se compose d'un Directeur du programme de gouvernance de la sécurité, d'un Directeur de la sécurité des informations, d'architectes de la sécurité, d'ingénieurs en sécurité des informations et d'analystes de la conformité et de la gouvernance de la sécurité. De plus, OCLC a nommé un directeur à la protection des données, et ces professionnels se consacrent à la sécurité et à la protection des données personnelles et institutionnelles associées aux clients d'OCLC.
Les membres de l'équipe des Services mondiaux de sécurité d'OCLC sont titulaires de différentes certifications professionnelles reconnues dans ce domaine, telles que la CISSP (Certified Information System Security Professional) de l'ISC2, la CISA (Certified Information Systems Auditor) de l'ISACA et la CPP (Certified Privacy Professional) de l'IAPP, entre autres. Notre organe de gouvernance des données rend compte à la direction générale, et notre équipe de réponse aux incidents est formée à la riposte et à l'investigation informatique en cas d'incident. Tous les membres de notre personnel suivent des sessions de formation annuelles et des tests périodiques dans le cadre de notre programme de sensibilisation à la sécurité.
Sécurité des informations en Europe, Afrique, Asie et dans la région Pacifique
Mira Golsteijn est responsable de la sécurité des informations pour OCLC, régions Europe, Moyen-Orient et Afrique (EMEA), ainsi que pour l'Asie-Pacifique. Elle est experte en programmes de sécurité dans ces régions et s'engage pleinement à assurer la sécurité et la protection des données personnelles et institutionnelles.
Vous avez des questions?
Contactez le service international de sécurité des informations d'OCLC. Un membre de notre équipe vous contactera.