Le dossier du mois | ACEF Toulouse Pyrénées

Accueil

Fonctionnaires et Personnels

contribuant à une mission de service public

Le dossier du mois

Pour aider les professionnels dans la mise en conformité à la loi Informatique et Liberté et au règlement général sur la protection des données (RGPD), la Commission nationale de l'informatique et des libertés (CNIL) met à disposition sur son site Internet, un guide détaillé des précautions élémentaires qui devraient être mises en œuvre de façon systématique dans les entreprises. Notre dossier reprend quelques extraits de ce guide qui est consultable sur le site www.cnil.fr.

Le guide rappelle tout d’abord que la protection des données personnelles nécessite de prendre des "mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». La gestion des risques, même minimale, doit être constituée des étapes suivantes :

1/ Recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent : les matériels (ex : serveurs, ordinateurs portables, disques durs) ; les logiciels (ex : système d’exploitation, logiciel métier) ; les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ; les supports papier (ex : document imprimé, photocopie).
2/ Apprécier les risques engendrés par chaque traitement :
• Identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants : accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ; modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ; disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
• Identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).

• Identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être : utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ; modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ; perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ; observés (ex : observation d’un écran dans un train, géolocalisation d'un matériel) ; détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ; surchargés (ex : unité de stockage pleine, attaque par dénis de service).

3/ Déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
4/ Estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).
5/ Mettre en œuvre et vérifier les mesures prévues. Si les mesures existantes et prévues sont jugées appropriées, il convient de s’assurer qu’elles soient appliquées et contrôlées.
6/ Faire réaliser des audits de sécurité périodiques. Chaque audit devrait donner lieu à un plan d’action dont la mise en œuvre devrait être suivie au plus haut niveau de l’organisme.
Le Guide propose ensuite un grand nombre de fiches synthétiques qui présente pour chaque thématique les précautions élémentaires, ce qu’il ne faut pas faire et des pistes pour « aller plus loin » :
• Fiche 1 : sensibiliser les utilisateurs
Faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée.
• Fiche 2 Authentifier les utilisateurs
Reconnaître ses utilisateurs pour pouvoir ensuite leur donner les accès nécessaires
• Fiche 3 : Gérer les habilitations
Limiter les accès aux seules données dont un utilisateur a besoin
• Fiche 4 : Tracer les accès et gérer les incidents
Journaliser les accès et prévoir des procédures pour gérer les incidents afin de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l'intégrité ou la disponibilité.
• Fiche 5 : Sécuriser les postes de travail
Prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance, notamment via Internet
• Fiche 6 : Sécuriser l’informatique mobile
Anticiper l’atteinte à la sécurité des données consécutive au vol ou à la perte d’un équipement mobile
• Fiche 7 : Protéger le réseau informatique interne
Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place
• Fiche 8 : Sécuriser les serveurs
Renforcer les mesures de sécurité appliquées aux serveurs
• Fiche 9 : Sécuriser les sites web
S’assurer que les bonnes pratiques minimales sont appliquées aux sites web
• Fiche 10 : Sauvegarder et prévoir la continuité de l’activité
Effectuer des sauvegardes régulières pour limiter l’impact d’une disparition non désirée de données
• Fiche 11 : Archiver de manière sécurisée
Archiver les données qui ne sont plus utilisées au quotidien mais qui n’ont pas encore atteint leur durée limite de conservation, par exemple parce qu’elles sont conservées afin d’être utilisées en cas de contentieux
• Fiche 12 : Encadrer la maintenance et la destruction des données
Garantir la sécurité des données à tout moment du cycle de vie des matériels et des logiciels
• Fiche 13 : Gérer la sous-traitance
Encadrer la sécurité des données avec les sous-traitants
• Fiche 14 : Sécuriser les échanges avec d’autres organismes
Renforcer la sécurité de toute transmission de données à caractère personnel
• Fiche 15 : Protéger les locaux
Renforcer la sécurité des locaux hébergeant les serveurs informatiques et les matériels réseaux
• Fiche 16 : Encadrer les développements informatiques
Intégrer sécurité et protection de la vie privée au plus tôt dans les projets
• Fiche 17 : Chiffrer, garantir l’intégrité, ou signer
Assurer l’intégrité, la confidentialité et l’authenticité d’une information

Le Guide présenté par la CNIL propose enfin un quizz permettant d’évaluer le niveau de sécurité des données personnelles de son organisme.