/Docs/G/FR-CNIL-GuideAvocats-CmA/Conseils_pour_assurer_un_niveau_de_sécurité_satisfaisant.md
Source views: Source JSON(ish) on GitHub (VSCode) Doc views: Document (&k=r00t): Visual Print Technical: OpenParameters Xray
A. Conseils pour assurer un niveau de sécurité satisfaisant
>- Authentifiez les utilisateurs
>- définissez un identifiant (login) unique à chaque utilisateur
- adoptez une politique de mot de passe utilisateur rigoureuse
- obligez l’utilisateur à changer son mot de passe après réinitialisation
> - Gérez les habilitations et sensibilisez les utilisateurs
>- définissez des profils d’habilitation
- supprimez les permissions d’accès obsolètes
- documentez les procédures d’exploitation
- rédigez une charte informatique et annexez-la au règlement intérieur
>
Sécurisez les postes de travail
>- limitez le nombre de tentatives d’accès à un compte
- installez un « pare-feu » (firewall) logiciel
- utilisez des antivirus régulièrement mis à jour
- prévoyez une procédure de verrouillage automatique de session
>Sécurisez l’informatique mobile
prévoyez des moyens de chiffrement pour les ordinateurs portables et les unités de stockage amovibles (clés USB, CD, DVD…)Sauvegardez et prévoyez la continuité d’activité
>- effectuez des sauvegardes régulières
- stockez les supports de sauvegarde dans un endroit sûr
- prévoyez des moyens de sécurité pour le convoyage des sauvegardes
- prévoyez et testez régulièrement la continuité d’activité
- chiffrez les sauvegardes
>Encadrez la maintenance
>- enregistrez les interventions de maintenance dans une main courante
- effacez les données de tout matériel avant sa mise au rebut
- recueillez l’accord de l’utilisateur avant toute intervention sur son poste
- prévoyez de rendre impossible l’accès au contenu des bases de données aux prestataires techniques
>Tracez les accès et gérez les incidents
>- prévoyez un système de journalisation
- informez les utilisateurs de la mise en place du système de journalisation
- protégez les équipements de journalisation et les informations journalisées
- notifiez aux personnes concernées des accès frauduleux à leurs données
>Protégez les locaux
>- restreignez les accès aux locaux au moyen de portes verrouillées
- installez des alarmes anti-intrusion et vérifiez-les périodiquement
>Protégez le réseau informatique interne
>- limitez les flux réseau au strict nécessaire
- sécurisez les accès distants des appareils informatiques nomades par VPN
- utilisez le protocole SSL avec une clé de 128 bits pour les services web
- mettez en œuvre le protocole WPA - AES/CCMP pour les réseaux WiFi
>Sécurisez les serveurs et les applications
>- adoptez une politique de mot de passe administrateur rigoureuse
- installez sans délai les mises à jour critiques
- assurez une disponibilité des données
>Gérez la sous-traitance
>- prévoyez une clause spécifique dans les contrats des sous-traitants
- assurez-vous de l’effectivité des garanties prévues (audits de sécurité, visites...)
- prévoyez les conditions de restitution et de destruction des données
>Archivez
>- mettez en œuvre des modalités d’accès spécifiques aux données archivées
- détruisez les archives obsolètes de manière sécurisée
>Sécurisez les échanges avec d’autres organismes
>- chiffrez les données avant leur envoi
- assurez-vous qu’il s’agit du bon destinataire
- transmettez le secret lors d’un envoi distinct et via un canal différent
>>