Sensibiliser les utilisateurs
- Informez et sensibilisez les personnes manipulant les données
- Rédigez une charte informatique et lui donner une force contraignante
Authentifier les utilisateurs
- Définissez un identifiant (login) unique à chaque utilisateur
- Adoptez une politique de mot de passe utilisateur conforme à nos recommandations
- Obligez l’utilisateur à changer son mot de passe après réinitialisation
- Limitez le nombre de tentatives d’accès à un compte
Gérer les habilitations
- Définissez des profils d’habilitation
Supprimez les permissions d’accès obsolètes - Réaliser une revue annuelle des habilitations
Tracer les accès et gérer les incidents
- Prévoyez un système de journalisation
- Informez les utilisateurs de la mise en place du système de journalisation
- Protégez les équipements de journalisation et les informations journalisées
- Prévoyez les procédures pour les notifications de violation de données à caractère personnel
Sécuriser les postes de travail
- Prévoyez une procédure de verrouillage automatique de session
- Utilisez des antivirus régulièrement mis à jour
- Installez un « pare-feu » (firewall) logiciel
- Recueillez l’accord de l’utilisateur avant toute intervention sur son poste
Sécuriser l’informatique mobile
- Prévoyez des moyens de chiffrement des équipements mobiles
- Faites des sauvegardes ou synchronisations régulières des données
- Exigez un secret pour le déverrouillage des smartphones
Protéger le réseau informatique interne
- Limitez les flux réseau au strict nécessaire
- Sécurisez les accès distants des appareils informatiques nomades par VPN
- Mettez en oeuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
Sécuriser les serveurs
- Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitées
- Installez sans délai les mises à jour critiques
- Assurez une disponibilité des données
Sécuriser les sites web
- Utilisez le protocole TLS et vérifiez sa mise en oeuvre
- Vérifiez qu’aucun mot de passe ou identifiant ne passe dans les url
- Contrôlez que les entrées des utilisateurs correspondent à ce qui est attendu
- Mettez un bandeau de consentement pour les cookies non nécessaires au service
Sauvegarder et prévoir la continuité d’activité
- Effectuez des sauvegardes régulières
- Stockez les supports de sauvegarde dans un endroit sûr
- Prévoyez des moyens de sécurité pour le convoyage des sauvegardes
- Prévoyez et testez régulièrement la continuité d’activité
Archiver de manière sécurisée
- Mettez en oeuvre des modalités d’accès spécifiques aux données archivées
- Détruisez les archives obsolètes de manière sécurisée
Encadrer la maintenance et la destruction des données
- Enregistrez les interventions de maintenance dans une main courante
- Encadrez par un responsable de l’organisme les interventions par des tiers
- Effacez les données de tout matériel avant sa mise au rebut
Gérer la sous-traitance
- Prévoyez une clause spécifique dans les contrats des sous-traitants
- Prévoyez les conditions de restitution et de destruction des données
- Assurez-vous de l’effectivité des garanties prévues (audits de sécurité, visites, etc.)
Sécuriser les échanges avec d’autres organismes
- Chiffrez les données avant leur envoi
- Assurez-vous qu’il s’agit du bon destinataire
- Transmettez le secret lors d’un envoi distinct et via un canal différent
Protéger les locaux
- Restreignez les accès aux locaux au moyen de portes verrouillées
- Installez des alarmes anti-intrusion et vérifiez-les périodiquement
Encadrer les développements informatiques
- Proposez des paramètres respectueux de la vie privée aux utilisateurs finaux
- Évitez les zones de commentaires ou encadrez-les strictement
- Testez sur des données fictives ou anonymisées
Utiliser des fonctions cryptographiques
- Utilisez des algorithmes, des logiciels et des bibliothéques reconnues
- Conservez les secrets et les clés cryptographiques de manière sécurisée