Règlement Général sur la Protection des Données
Pour aider les professionnels dans la mise en conformité à la loi Informatique et Liberté et au règlement général sur la protection des données, ce guide de la sécurité des données personnelles rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.
Introduction
La protection des données personnelles nécessite de prendre des "mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque" La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données…» (article 34 de la loi du 6 janvier 1978 modifiée, dite loi « informatique et libertés »). Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32). Pour vous aider dans votre mise en conformité, ce guide rappelle ces précautions élémentaires qui devraient être mises en œuvre de façon systématique. Dans l’idéal, ce guide sera utilisé dans le cadre d’une gestion des risques, même minimale, constituée des quatre étapes suivantes : Recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent :
les matériels (ex : serveurs, ordinateurs portables, disques durs) ; Apprécier les risques engendrés par chaque traitement :
a- Identifier les impacts potentiels
sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
b- Identifier les sources de risques
(qui ou quoi pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent),
et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
c- Identifier les menaces réalisables
(qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.),
qui peuvent être :
d- Déterminer les mesures existantes ou prévues
qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
e- Estimer la gravité et la vraisemblance des risques
, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).
Le tableau RGPD-Annexe1.xlsx peut être utilisé pour formaliser cette réflexion.
Sensibiliser les utilisateurs
Faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée. Sensibiliser les utilisateurs travaillant avec des données à caractère personnel aux risques liés aux libertés et à la vie privée, les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement. Organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des personnes, faire des rappels par messagerie électronique, etc. Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d'utilisateurs, dans des documents auxquels ces derniers peuvent se référer. Rédiger une charte informatique et lui donner une force contraignante (ex. annexion au règlement intérieur). Cette charte devrait au moins comporter les éléments suivants :
Exemple d’engagement de confidentialité pour les personnes ayant vocation à manipuler des données à caractère personnel : cf RGPD-Annexe2.pdf Authentifier les utilisateurs Reconnaître ses utilisateurs pour pouvoir ensuite leur donner les accès nécessaires. Pour assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un identifiant qui lui est propre et doit s’authentifier avant toute utilisation des moyens informatiques. Les mécanismes permettant de réaliser l’authentification des personnes sont catégorisés selon qu’ils font intervenir : L’authentification d’un utilisateur est qualifiée de forte lorsqu’elle a recours à une combinaison d’au moins deux de ces catégories. Définir un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, exiger une validation de la hiérarchie et mettre en œuvre des moyens pour les tracer. Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe, notamment en stockant les mots de passe de façon sécurisée et en applicant les règles de complexité suivantes pour le mot de passe : Des moyens mnémotechniques permettent de créer des mots de passe complexe, par exemple : Exemple, « un Chef d’Entreprise averti en vaut deux » peut correspondre au mot de passe 1Cd’Eaev2. Obliger l’utilisateur à changer, dès sa première connexion, tout mot de passe attribué par un administrateur ou automatiquement par le système lors de la création du compte ou d’un renouvellement consécutif à un oubli. Se référer aux règles et recommandations concernant les mécanismes d'authentification publiées par l’ANSSI dès lors que des mécanismes d’authentification forte sont mis en œuvre, notamment ses annexes B3 et B1 s’agissant respectivement des mécanismes d’authentification et des mécanismes cryptographiques. Gérer les habilitations Limiter les accès aux seules données dont un utilisateur a besoin. Des niveaux d’habilitation différenciés doivent être mis en place en fonction des besoins. Définir des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès des utilisateurs aux seules données strictement nécessaires à l’accomplissement de leurs missions. Supprimer les permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique, ainsi qu’à la fin de leur contrat. Réaliser une revue annuelle des habilitations afin d’identifier et de supprimer les comptes non utilisés et de réaligner les droits accordés sur les fonctions de chaque utilisateur. Établir, documenter et réexaminer régulièrement une politique de contrôle d’accès en rapport avec les traitements mis en œuvre par l’organisation qui doit inclure : Tracer les accès et gérer les incidents Journaliser les accès et prévoir des procédures pour gérer les incidents afin de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l'intégrité ou la disponibilité). Afin de pouvoir identifier un accès frauduleux ou une utilisation abusive de données personnelles, ou de déterminer l’origine d’un incident, il convient d’enregistrer certaines des actions effectuées sur les systèmes informatiques. Pour ce faire, un dispositif de gestion des traces et des incidents doit être mis en place. Celui-ci doit enregistrer les évènements pertinents et garantir que ces enregistrements ne peuvent être altérés. Dans tous les cas, il ne faut pas conserver ces éléments pendant une durée excessive. Prévoir un système de journalisation (c'est-à-dire un enregistrement dans des « fichiers journaux » ou « logs ») des activités des utilisateurs, des anomalies et des événements liés à la sécurité : Informer les utilisateurs de la mise en place d’un tel système, après information et consultation des représentants du personnel. Protéger les équipements de journalisation et les informations journalisées contre les accès non autorisés, notamment en les rendant inaccessibles aux personnes dont l’activité est journalisée. Établir des procédures détaillant la surveillance de l’utilisation du traitement et examiner périodiquement les journaux d’événements pour y détecter d’éventuelles anomalies. Assurer que les gestionnaires du dispositif de gestion des traces notifient, dans les plus brefs délais, toute anomalie ou tout incident de sécurité au responsable de traitement. Notifier toute violation de données à caractére personnel à la CNIL et, sauf exception prévue par le RGPD, aux personnes concernées pour qu’elles puissent en limiter les conséquences. Voir les recommandations de sécurité pour la mise en œuvre d’un système de journalisation publiées par l’ANSSI dans le document RGPD-Annexe4.pdf Sécuriser les postes de travail Prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance, notamment via Internet. Les risques d’intrusion dans les systèmes informatiques sont importants et les postes de travail constituent un des principaux points d’entrée. Prévoir un mécanisme de verrouillage automatique de session en cas de non-utilisation du poste pendant un temps donné. Installer un « pare-feu » (« firewall ») logiciel, et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail. Utiliser des antivirus régulièrement mis à jour et prévoir une politique de mise à jour régulière des logiciels. Configurer les logiciels pour que les mises à jour de sécurité se fassent automatiquement dès que cela est possible. Favoriser le stockage des données des utilisateurs sur un espace de stockage régulièrement sauvegardé accessible via le réseau de l’organisme plutôt que sur les postes de travail. Dans le cas où des données sont stockées localement, fournir des moyens de synchronisation ou de sauvegarde aux utilisateurs et les former à leur utilisation. Limiter la connexion de supports mobiles (clés USB, disques durs externes, etc.) à l’indispensable. Désactiver l’exécution automatique (« autorun ») depuis des supports amovibles. Pour l’assistance sur les postes de travail :
Sécuriser l’informatique mobile Anticiper l’atteinte à la sécurité des données consécutive au vol ou à la perte d’un équipement mobile. La multiplication des ordinateurs portables, des clés USB et des smartphones rend indispensable d’anticiper les atteintes à la sécurité des données consécutives au vol ou à la perte de tels équipements. Sensibiliser les utilisateurs aux risques spécifiques liés à l’utilisation d’outils informatiques mobiles (ex : vol de matériel) et aux procédures prévues pour les limiter. Mettre en œuvre des mécanismes maîtrisés de sauvegardes ou de synchronisation des postes nomades, pour se prémunir contre la disparition des données stockées. Prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple : De nombreux ordinateurs portables intègrent une solution de chiffrement du disque dur : le cas échéant, il convient d’utiliser cette fonctionnalité. Concernant les smartphones, en plus du code PIN de la carte SIM, activer le verrouillage automatique du terminal et exiger un secret pour le déverrouiller (mot de passe, schéma, etc.).
Protéger le réseau informatique interne Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place. Il faut identifier les services réseaux nécessaires aux traitements et n’autoriser que ceux-ci. Limiter les accès Internet en bloquant les services non nécessaires (VoIP, pair à pair, etc.). Gérer les réseaux Wi-Fi. Ils doivent utiliser un chiffrement à l’état de l’art (WPA2 ou WPA2-PSK avec un mot de passe complexe) et les réseaux ouverts aux invités doivent être séparés du réseau interne. Imposer un VPN pour l’accès à distance ainsi que, si possible, une authentification forte de l’utilisateur (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.). S’assurer qu’aucune interface d’administration n’est accessible directement depuis Internet. La télémaintenance doit s’effectuer à travers un VPN. Limiter les flux réseau au strict nécessaire en filtrant les flux entrants/sortants sur les équipements (pare-feu, proxy, serveurs, etc.). Par exemple, si un serveur web utilise obligatoirement HTTPS, il faut autoriser uniquement les flux entrants sur cette machine sur le port 443 et bloquer tous les autres ports.
Sécuriser les serveurs Renforcer les mesures de sécurité appliquées aux serveurs. La sécurité des serveurs doit être une priorité car ils centralisent un grand nombre de données. Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. Utiliser des comptes de moindres privilèges pour les opérations courantes. Adopter une politique spécifique de mots de passe pour les administrateurs. Changer les mots de passe, au moins, lors de chaque départ d’un administrateur et en cas de suspicion de compromission. Installer les mises à jour critiques sans délai que ce soit pour les systèmes d’exploitation ou pour les applications, en programmant une vérification automatique hebdomadaire En matière d’administration de bases de données : Effectuer des sauvegardes et les vérifier régulièrement. Mettre en œuvre le protocole TLS (en remplacement de SSL), ou un protocole assurant le chiffrement et l’authentification, au minimum pour tout échange de données sur internet et vérifier sa bonne mise en œuvre par des outils appropriés. (Pour le protocole TLS)
Sécuriser les sites WEB S’assurer que les bonnes pratiques minimales sont appliquées aux sites web. Tout site web doit garantir son identité et la confidentialité des informations transmises. Mettre en œuvre le protocol TLS (en remplacement de SSL) sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre. Rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques. Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports. Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. En particulier, limiter l’utilisation des comptes administrateurs aux équipes en charge de l’informatique et ce, uniquement pour les actions d’administration qui le nécessitent. Si des cookies non nécessaires au service sont utilisés, recueillir le consentement de l’internaute après information de celui-ci et avant le dépôt du cookie. Limiter le nombre de composants mis en œuvre, en effectuer une veille et les mettre à jour.
Sécurité : Sauvegarder et prévoir la continuité Effectuer des sauvegardes régulières pour limiter l’impact d’une disparition non désirée de données. Des copies de sauvegarde doivent être réalisées et testées régulièrement. Un plan de continuité ou de reprise d’activité anticipant les éventuels incidents (ex : panne matérielle) doit être préparé. S’agissant de la sauvegarde des données S’agissant de la reprise et de la continuité d’activité
Archiver de manière sécurisée Archiver les données qui ne sont plus utilisées au quotidien mais qui n’ont pas encore atteint leur durée limite de conservation, par exemple parce qu’elles sont conservées afin d’être utilisées en cas de contentieux. Les archives doivent être sécurisées notamment si les données archivées sont des données sensibles ou des données qui pourraient avoir des impacts graves sur les personnes concernées. Définir un processus de gestion des archives : quelles données doivent être archivées, comment et où sont-elles stockées, comment sont gérées les données descriptives ? Mettre en œuvre des modalités d’accès spécifiques aux données archivées du fait que l’utilisation d’une archive doit intervenir de manière ponctuelle et exceptionnelle. S’agissant de la destruction des archives, choisir un mode opératoire garantissant que l’intégralité d’une archive a été détruite.
Encadrer la maintenance et la destruction des données Garantir la sécurité des données à tout moment du cycle de vie des matériels et des logiciels. Les opérations de maintenance doivent être encadrées pour maitriser l’accès aux données par les prestataires. Les données doivent être préalablement effacées des matériels destinés à être mis au rebut. Enregistrer les interventions de maintenance dans unemain courante. Insérer une clause de sécurité dans les contrats de maintenance effectuée par des prestataires. Encadrer par un responsable de l’organisme les interventions par des tiers. Rédiger et mettre en œuvre une procédure de suppression sécurisée des données. Supprimer de façon sécurisée les données des matériels avant leur mise au rebut, leur envoi en réparation chez un tiers ou en fin du contrat de location. Chaque opération de maintenance devra faire l'objet d'un descriptif précisant les dates, la nature des opérations et les noms des intervenants, transmis à X. En cas de télémaintenance permettant l'accès à distance aux fichiers de X, Y prendra toutes dispositions afin de permettre à X d'identifier la provenance de chaque intervention extérieure. À cette fin, Y s'engage à obtenir l'accord préalable de X avant chaque opération de télémaintenance dont elle prendrait l'initiative. Des registres seront établis sous les responsabilités respectives de X et Y, mentionnant les date et nature détaillée des interventions de télémaintenance ainsi que les noms de leurs auteurs. NB : Cette clause de maintenance doit nécessairement être couplée à celle traitant de la confidentialité pour la sous-traitance.
Gérer la sous-traitance Encadrer la sécurité des données avec les sous-traitants. Faire appel uniquement à des sous-traitants présentant des garanties suffisantes (notamment en termes de connaissances spécialisées, de fiabilité et de ressources). Exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information. Prendre et documenter les moyens (audits de sécurité, visite des installations, etc.) permettant d’assurer l’effectivité des garanties offertes par le sous-traitant en matière de protection des données. Ces garanties incluent notamment : Prévoir un contrat avec les sous-traitants, qui définit notamment l’objet, la durée, la finalité du traitement et les obligations des parties. S’assurer qu’il contient en particulier des dispositions fixant :
Sécuriser les échanges avec d’autres organismes Renforcer la sécurité de toute transmission de données à caractère personnel. La messagerie électronique ne constitue pas un moyen de communication sûr pour transmettre des données personnelles, sans mesure complémentaire. Une simple erreur de manipulation peut conduire à divulguer à des destinataires non habilités des données personnelles et à porter ainsi atteinte au droit à la vie privée des personnes. En outre, toute entité ayant accès aux serveurs de messagerie concernés (notamment ceux des émetteurs et destinataires) peut avoir accès à leur contenu. Chiffrer les données avant leur enregistrement sur un support physique à transmettre à un tiers (DVD, clé USB, disque dur portable). Lors d’un envoi via un réseau : Assurer la confidentialité des secrets (clé de chiffrement, mot de passe, etc.) en les transmettant via un canal distinct.
Protéger les locaux
Renforcer la sécurité de toute transmission de données à caractère personnel. L’accès aux locaux doit être contrôlé pour éviter ou ralentir un accès direct, non autorisé, que ce soit aux fichiers papiers ou aux matériels informatiques, notamment aux serveurs. Installer des alarmes anti-intrusion et les vérifier périodiquement. Mettre en place des détecteurs de fumée ainsi que des moyens de lutte contre les incendies, et les inspecter annuellement. Protéger les clés permettant l’accès aux locaux et les codes d’alarme. Distinguer les zones des bâtiments selon les risques (par exemple prévoir un contrôle d’accès dédié pour la salle informatique). Tenir à jour une liste des personnes ou catégories de personnes autorisées à pénétrer dans chaque zone. Établir les règles et moyens de contrôle d’accès des visiteurs, au minimum en faisant accompagner les visiteurs, en dehors des zones d’accueil du public par une personne appartenant à l’organisme. Protéger physiquement les matériels informatiques par des moyens spécifiques (système anti-incendie dédié, surélévation contre d’éventuelles inondations, redondance d'alimentation électrique et/ou de climatisation, etc.). Sous-dimensionner ou négliger l’entretien de l’environnement des salles informatiques (climatisation, onduleur, etc.). Une panne sur ces installations a souvent comme conséquence l’arrêt des machines ou l’ouverture des accès aux salles (circulation d’air) neutralisant de facto des éléments concourant à la sécurité physique des locaux. Conserver une trace des accès aux salles ou bureaux susceptibles d’héberger du matériel contenant des données personnelles pouvant avoir un impact négatif grave sur les personnes concernées. Informer les utilisateurs de la mise en place d’un tel système, après information et consultation des représentants du personnel. Assurer que seul le personnel dûment habilité soit admis dans les zones à accès restreint. Par exemple:
Encadrer les développements informatiques Intégrer sécurité et protection de la vie privée au plus tôt dans les projets. La protection des données à caractère personnel doit être intégrée au développement informatique dès les phases de conception afin d’offrir aux personnes concernées une meilleure maîtrise de leurs données et de limiter les erreurs, pertes, modifications non autorisées, ou mauvais usages de celles-ci dans les applications. Intégrer la protection de la vie privée, y compris ses exigences de sécurité des données, dès la conception de l’application ou du service. Ces exigences peuvent se traduire par des choix d'architecture (décentralisée vs. centralisée), de fonctionnalités (anonymisation à bref délai, minimisation des données), de technologies (chiffrement des communications), etc. Pour tout développement à destination du grand public, mener une réflexion sur les paramètres relatifs à la vie privée, et notamment sur le paramétrage par défaut. Éviter le recours à des zones de texte libre ou de commentaires. Effectuer les développements informatiques et les tests dans un environnement informatique distinct de celui de la production (par exemple, sur des ordinateurs ou des machines virtuelles différents) et sur des données fictives ou anonymisées.
Chiffrer, garantir l’intégrité ou signer Assurer l’intégrité, la confidentialité et l’authenticité d’une information. Les fonctions de hachage permettent d’assurer l’intégrité des données. Les signatures numériques, en plus d’assurer l’intégrité, permettent de vérifier l’origine de l’information et son authenticité. Enfin, le chiffrement, parfois improprement appelé cryptage, permet de garantir la confidentialité d’un message. Utiliser un algorithme reconnu et sûr, par exemple, les algorithmes suivants : Utiliser les tailles de clés suffisantes pour AES il est recommandé d’utiliser des clés de 128 bits et, pour les algorithmes basés sur RSA, des modules et exposants secrets d’au moins 2048 bits ou 3072 bits, avec des exposants publics, pour le chiffrement, supérieurs à 65536. Protéger les clés secrètes, au minimum par la mise en œuvre de droits d’accès restrictifs et d’un mot de passe sûr. Rédiger une procédure indiquant la manière dont les clés et certificats vont être gérés en prenant en compte les cas d’oubli de mot de passe de déverrouillage.
Tableau d'évaluation
Une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.
les logiciels (ex : système d’exploitation, logiciel métier) ;
les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
les supports papier (ex : document imprimé, photocopie).
Les précautions élémentaires
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
CF le document RGPD-Annexe3.pdfLes précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Exemple de clause pouvant être utilisées en cas de maintenance par un tiers :
Les données communiquées à ou gérées par des sous-traitants doivent bénéficier de garanties suffisantes.Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
installer le fax dans un local physiquement contrôlé et uniquement accessible au personnel habilité ;
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Les précautions élémentaires
Ce qu’il ne faut pas faire
Pour aller plus loin
Cf RGPD-Annexe16.pdf
Fiche
Mesure
1
Sensibiliser les utilisateurs
Informez et sensibilisez les personnes manipulant les données
Rédigez une charte informatique et lui donner une force contraignante
2
Authentifier les utilisateurs
Définissez un identifiant (login) unique à chaque utilisateur
Adoptez une politique de mot de passe utilisateur conforme à nos recommandations
Obligez l’utilisateur à changer son mot de passe après réinitialisation
Limitez le nombre de tentatives d’accès à un compte
3
Gérer les habilitations
Définissez des profils d’habilitation
Supprimez les permissions d’accès obsolètes
Réaliser une revue annuelle des habilitations
4
Tracer les accès et gérer les incidents
Prévoyez un système de journalisation
Informez les utilisateurs de la mise en place du système de journalisation
Protégez les équipements de journalisation et les informations journalisées
Prévoyez les procédures pour les notifications de violation de données à caractère personnel
5
Sécuriser les postes de travail
Prévoyez une procédure de verrouillage automatique de session
Utilisez des antivirus régulièrement mis à jour
Installez un « pare-feu » (firewall) logiciel
Recueillez l’accord de l’utilisateur avant toute intervention sur son poste
6
Sécuriser l'informatique mobile
Prévoyez des moyens de chiffrement des équipements mobiles
Faites des sauvegardes ou synchronisations régulières des données
Exigez un secret pour le déverrouillage des smartphones
7
Protéger le réseau informatique interne
Limitez les flux réseau au strict nécessaire
Sécurisez les accès distants des appareils informatiques nomades par VPN
Mettez en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
8
Sécuriser les serveurs
Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitées
Installez sans délai les mises à jour critiques
Assurez une disponibilité des données
9
Sécuriser les sites web
Utilisez le protocole TLS et vérifiez sa mise en œuvre
Vérifiez qu'aucun mot de passe ou identifiant ne passe dans les url
Contrôlez que les entrées des utilisateurs correspondent à ce qui est attendu
Mettez un bandeau de consentement pour les cookies non nécessaires au service
10
Sauvegarder et prévoir la continuité d'activité
Effectuez des sauvegardes régulières
Stockez les supports de sauvegarde dans un endroit sûr
Prévoyez des moyens de sécurité pour le convoyage des sauvegardes
Prévoyez et testez régulièrement la continuité d'activité
11
Archiver de manière sécurisée
Mettez en œuvre des modalités d’accès spécifiques aux données archivées
Détruisez les archives obsolètes de manière sécurisée
12
Encadrer la maintenance et la destruction des données
Enregistrez les interventions de maintenance dans une main courante
Encadrez par un responsable de l’organisme les interventions par des tiers
Effacez les données de tout matériel avant sa mise au rebut
13
Gérer la sous-traitance
Prévoyez une clause spécifique dans les contrats des sous-traitants
Prévoyez les conditions de restitution et de destruction des données
Assurez-vous de l'effectivité des garanties prévues (audits de sécurité, visites, etc.)
14
Sécuriser les échanges avec d'autres organismes
Chiffrez les données avant leur envoi
Assurez-vous qu'il s'agit du bon destinataire
Transmettez le secret lors d'un envoi distinct et via un canal différent
15
Protéger les locaux
Restreignez les accès aux locaux au moyen de portes verrouillées
Installez des alarmes anti-intrusion et vérifiez-les périodiquement
16
Encadrer les développements informatiques
Proposez des paramètres respectueux de la vie privée aux utilisateurs finaux
Évitez les zones de commentaires ou encadrez-les strictement
Testez sur des données fictives ou anonymisées
17
Utiliser des fonctions cryptographiques
Utilisez des algorithmes, des logiciels et des bibliothéques reconnues
Conservez les secrets et les clés cryptographiques de manière sécurisée