webleads-tracker

Protection des données : 4 recommandations de la CNIL

02juillet

Protection des données : 4 recommandations de la CNIL

La CNIL a récemment publié un guide de bonnes pratiques pour aider les entreprises à sécuriser leurs données informatisées, et accompagner ainsi leur démarche de mise en conformité avec le RGPD. Nous revenons sur 4 de ces recommandations.

 

1. Sécuriser les postes de travail

Prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance, notamment via Internet.

Que faire en priorité pour sécuriser les postes de travail ?

Paramétrer un verrouillage automatique de session en cas de non-utilisation du poste pendant un temps donné.

Installer un « pare-feu » (« firewall ») logiciel, et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail.

Utiliser des antivirus à jour et prévoir une politique de mise à jour régulière des logiciels.

Configurer les logiciels pour que les mises à jour de sécurité se fassent automatiquement dès que cela est possible.

Favoriser le stockage des données des utilisateurs sur un espace de stockage régulièrement sauvegardé accessible via le réseau de l’entreprise plutôt que sur les postes de travail. Dans le cas où des données sont stockées localement, fournir des moyens de synchronisation ou de sauvegarde aux utilisateurs et les former à leur utilisation.

Limiter l’usage de supports mobiles (clés USB, disques durs externes, etc.) au strict nécessaire.

Désactiver l’exécution automatique (« autorun ») depuis les supports amovibles.

 

Les erreurs à éviter pour la sécurité des postes de travail

Utiliser des systèmes d’exploitation obsolètes (voir la liste).

Donner des droits administrateurs aux utilisateurs n’ayant pas de compétences en sécurité informatique.

 

2. Sauvegarder et prévoir la continuité d’activité

Effectuer des sauvegardes régulières pour limiter l’impact d’une disparition non désirée de données.

Les précautions à prendre pour la sauvegarde de vos données et la continuité d’activité

Effectuer des sauvegardes régulières des données, que celles-ci soient sous forme papier ou numérique.

Il peut être pertinent de prévoir des sauvegardes incrémentales quotidiennes et des sauvegardes complètes à intervalles réguliers.

Stocker les sauvegardes sur un site extérieur et/ou si possible dans des coffres ignifugés et étanches.

Protéger les données sauvegardées au même niveau de sécurité que celles stockées sur les serveurs d’exploitation (par exemple en chiffrant les sauvegardes, en prévoyant un stockage dans un lieu sécurisé, en contractant une prestation d’externalisation des sauvegardes).

Lorsque les sauvegardes sont transmises par le réseau, il convient de chiffrer le canal de transmission si celui-ci n’est pas interne à l’entreprise.

Pour la reprise et de la continuité d’activité :

Rédiger un plan de reprise et de continuité d’activité informatique même sommaire, incluant la liste des intervenants.

S’assurer que les utilisateurs, prestataires et sous-traitants savent qui alerter en cas d’incident.

Tester régulièrement la restauration des sauvegardes et l’application du plan de continuité ou de reprise de l’activité.

À propos des matériels :

Utiliser un onduleur pour protéger le matériel servant aux traitements essentiels ;

Prévoir une redondance matérielle des matériels de stockage, par exemple au moyen d’une technologie RAID

 

Les erreurs à éviter lors de vos sauvegardes de données

Conserver les sauvegardes au même endroit que les machines hébergeant les données. Un sinistre majeur intervenant à cet endroit aurait comme conséquence une perte définitive des données.

En savoir plus sur notre solution de sauvegarde

 

3. Archiver de manière sécurisée

Archiver les données qui ne sont plus utilisées au quotidien mais qui n’ont pas encore atteint leur durée limite de conservation, par exemple parce qu’elles sont conservées afin d’être utilisées en cas de contentieux.

Comment mettre en place un archivage conforme au RGPD ?

Définir un processus de gestion des archives : quelles données doivent être archivées, comment et où sont-elles stockées, comment sont gérées les données descriptives ?

Mettre en œuvre des modalités d’accès spécifiques aux données archivées car l’utilisation d’une archive doit intervenir de manière ponctuelle et exceptionnelle.

S’agissant de la destruction des archives, choisir un mode opératoire garantissant que l’intégralité d’une archive a été détruite.

 

Les erreurs à éviter pour archiver vos données

Utiliser des supports ne présentant pas une garantie de longévité suffisante. Par exemple, la longévité des CD et DVD inscriptibles dépasse rarement 4/5 années.

Conserver les données en base active en les notant simplement comme étant archivées. Les données archivées ne doivent être accessibles qu’à un service spécifique chargé d’y accéder.

En savoir plus sur notre solution d’archivage

 

4. Encadrer la maintenance et la destruction des données

Garantir la sécurité des données à tout moment du cycle de vie des matériels et des logiciels.

Les opérations de maintenance doivent être encadrées pour maîtriser l’accès aux données par les prestataires.

 

Gérer vos opérations de maintenance en conformité et la destruction de vos données en toute sécurité

Conservez une traçabilité des interventions de maintenance.

Insérer une clause de sécurité dans les contrats de maintenance effectuée par des prestataires.

Encadrer par un responsable de l’entreprise les interventions par des tiers.

Rédiger et mettre en œuvre une procédure de suppression sécurisée des données.

Supprimer de façon sécurisée les données des matériels avant leur mise au rebut, leur envoi en réparation chez un tiers ou en fin du contrat de location.

 

Les erreurs à éviter lors de la maintenance et de la destruction des données

Installer des applications pour la télémaintenance ayant des vulnérabilités connues, par exemple qui ne chiffrent pas les communications.

Réutiliser, revendre ou jeter des supports ayant contenu des données à caractère personnel sans que les données n’aient été supprimées de façon sécurisée.

 

Source : www.cnil.fr

 

Pour aller plus loin

>> Quelle solution SAAS à l’heure du RGPD ?
>> Sauvegarde externe : méthode et avantages pour les PME
>> Rançongiciel : que faire si vos données sont prises en otage

Posté par GlobalPartner  Posté le 02 Juil 
  • conformité RGPD, piloter la cybersécurité, sécurité des données, sécurité informatique
  • Commentaires publiés : 0