FOCUS-CYBER-SECURITE.jpg

Aout 2022

Précautions élémentaires
en matière de cybersécurité

Article rédigé par Marie Gauthier, rédactrice juridique, titulaire du CAPA

Le règlement général sur la protection des données du 27 avril 2016, dit RGPD, précise que la protection des données personnelles nécessite de prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

La CNIL a publié un guide rappelant les précautions élémentaires qui devraient être mises en œuvre systématiquement, parmi lesquelles : 

Sécurisation des serveurs et des postes de travail 

 

Identifiant propre à chaque utilisateur - Chaque agent doit être doté d’un identifiant qui lui est propre et doit s’authentifier avant toute utilisation des moyens informatiques. Il convient d’interdire les comptes partagés. Lorsque l’utilisation d’identifiants génériques ou partagés est incontournable, il convient alors de mettre en œuvre des moyens pour les tracer.

 

Politique spécifique de mots de passe - Lors de chaque départ d’un administrateur et en cas de suspicion de compromission, les mots de passe doivent être automatiquement changés. Ces mots de passe doivent être complexes et stockés de façon sécurisée. 

 

Gestion des habilitations - L’accès de chaque utilisateur doit être limité aux seules données strictement nécessaires à l’accomplissement de sa mission. Le profil d’habilitation de chaque agent devra ainsi être défini en fonction de ses tâches et de ses domaines de responsabilité. 

 

Revue annuelle des habilitations - Chaque année, il convient de réaliser une revue annuelle des habilitations afin d’identifier et de supprimer les comptes non utilisés ou les permissions d’accès obsolètes. 

Protection des locaux 

 

Alarmes - Il convient d’installer des alarmes anti-intrusion et les vérifier périodiquement. De même, les clés permettant l’accès aux locaux ainsi que les codes d’alarme doivent être suffisamment protégés. 

 

Distinction des zones selon les risques - Les zones des bâtiments doivent être distinguées selon les risques. Dans chaque zone, une liste des personnes ou catégories de personnes autorisées à pénétrer doit être établie. 

Dans les zones à accès restreint, seul le personnel dûment habilité doit être admis. Ainsi, il convient de prévoir un contrôle d’accès dédié pour la salle informatique. 

Sécurisation des échanges avec d’autres organismes 

 

Chiffrage des données - Les données doivent être chiffrées avant leur enregistrement sur un support physique à transmettre à un tiers, tel qu’un DVD, une clé USB ou bien encore un disque dur portable.  

 

Le chiffrement permet de rendre secret le sens d’un document par un algorithme qui sera lisible grâce à une clé de déchiffrement.

 

Envoi via un réseau - En cas de transmission par messagerie électronique, les pièces sensibles à transmettre doivent être chiffrées.

Pour les transferts de fichiers, il est recommandé d’utiliser un protocole garantissant la confidentialité et l’authentification du serveur destinataire : les versions les plus récentes des protocoles seront ainsi à privilégier. 

 

Confidentialité - Les clés de chiffrement ou bien encore les mots de passe seront transmis via un canal distinct (par exemple, envoi du fichier chiffré par e-mail et communication du mot de passe par téléphone ou SMS).

Source : 

Guide de la CNIL - Édition 2018 « La sécurité des données personnelles »