RGPD : le guide pratique pour être prêt !

rgpd_blog

Alors que le 25 mai approche à grands pas, de plus en plus d’entreprises se demandent  comment aborder le chantier RGPD. Pour les aider, la CNIL a publié 17 fiches pratiques traitant des grands étapes à mettre en place et rappelant les précautions élémentaires à respecter pour se mettre en conformité.

Sensibiliser les utilisateurs 

En plus de la sensibilisation faite auprès des personnes manipulant les données personnelles, il est également conseillé de mettre en place un registre répertoriant toutes les opérations effectuées sur les bases de données. Enfin, pour être sûr que tous les collaborateurs respectent les mesures, il est primordial de mettre à jour la charte informatique de votre société et lui donner un caractère obligatoire.

Authentifier les utilisateurs et la gestion des droits d’accès

Afin de sécuriser l’accès aux données, utilisez un identifiant personnel de connexion pour limiter les accès et suivre l’activité réalisée sur les données (modification, export…). Dans ce but, il est conseillé de limiter les dossiers partagés et éviter de communiquer son mot de passe.

Les identifiants personnels de connexion permettent la création d’un profil personnalisé avec des habilitations d’accès à certains répertoires de données. Il faut limiter l’accès aux données qui sont strictement nécessaires à la réalisation des tâches.

Tracer les accès et relever les incidents

Pour identifier les activités anormales, vous pouvez envisager de mettre en place un système de traçage (enregistrements des grosses actions sur le système d’informations). Dans un second temps, un système de journalisation doit enregistrer les activités des utilisateurs, afin d’identifier les éventuels abus. Les « logs » et enregistrements doivent être bien évidemment sécurisés.

Sécuriser les postes de travail, le réseau interne et les mobiles

Les postes doivent se verrouiller automatiquement en cas d’inactivité prolongée. Un antispam et un antivirus doivent sécuriser l’ensemble des postes, des réseaux internes et des mobiles. La programmation  de sauvegardes hebdomadaires est conseillée pour contrer les risques. Limitez l’installation et l’usage d’applications tierces non certifiées, ainsi que les connexions d’appareils personnels sur le wifi de l’entreprise.

Sécuriser les serveurs et les sites web

Soyez vigilant sur les accès aux outils et aux interfaces d’administration des serveurs et « back office » des sites web. Le renouvellement mensuel des mots de passe administrateurs sur les différentes interfaces augmente la sécurité du réseau. En parallèle, il faut installer rapidement les mises à jour majeures. De plus, veillez à mettre en place un protocole TLS. Il est aussi conseillé de limiter les ports de communication afin de réduire les risques d’intrusion.

Sauvegarde et restauration pour continuité de l’activité 

Le plus efficace est de redonder les disques durs pour éviter toute interruption.  Afin de vous assurer aucune perte de données, vous pouvez réaliser vos sauvegardes sur des sites extérieurs ignifugés et étanches. N’oubliez pas de tester régulièrement vos sauvegardes.  En ce qui concerne les archives, l’accès doit en être très limité.

Encadrer la maintenance et la destruction des données

La création d’un registre des interventions des prestataires sur votre matériel informatique et une clause de sécurité dans le contrat de service de maintenance permettent de suivre l’activité sur vos supports. Lorsque vous remplacez votre matériel ou que vous l’envoyez en réparation, assurez-vous d’avoir bien restauré les disques durs. Lors des interventions par un tiers , mobilisez un responsable pour superviser.

Gérer la sous-traitance

Assurez-vous que les garanties offertes par le(s) sous-traitant(s) soient bien effectives à travers des audits, visites …. Fixez bien les clauses de contrats comme les périmètres d’actions du sous-traitant, la durée d’engagement, la politique de confidentialité des données ou encore les conditions de destruction/restauration des données.

Sécuriser les échanges avec les autres organismes

Évitez au maximum les messageries électroniques. L’idéal est de chiffrer les données lorsque qu’elles sont en local. La transmission des données peut se faire via un protocole SFTP ou HTTPS.

Protéger les locaux  

Le bâtiment doit être à minima protégé par une alarme anti-intrusion, mais aussi par une alarme incendie et détecteur de fumée. Des restrictions d’accès doivent être mises en place selon les zones à risques (salle des serveurs, salles informatiques …). Enfin, mettez en place un système d’accompagnement des personnes extérieures en dehors des zones d’accueil publiques.

Encadrer les développements informatiques

Lorsque vous développez vos systèmes d’informations, il est désormais nécessaire d’assurer l’intégrité des données (chiffrement, stockage, anonymisation…). Lors de vos phases de test et de développement, utilisez une base de données distincte de la base réelle de production.

Chiffrer et garantir l’intégrité des données

Pour chiffrer vos données, vous pouvez utiliser des fonctions de hachage (conversion de donnée dans un autre langage en utilisant une clé d’entrée). La mise en place de signatures numériques permet de vérifier l’origine et l’authenticité des données.

Vous souhaitez être accompagné ou conseillé dans votre mise en conformité RGPD ?

contacter NRC

Share Button

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *