Fiche | Mesure |
1 | Sensibiliser les utilisateurs | Informez et sensibilisez les personnes manipulant les données | |
Rédigez une charte informatique et lui donner une force contraignante | |
2 | Authentifier les utilisateurs | Définissez un identifiant (login) unique à chaque utilisateur | |
Adoptez une politique de mot de passe utilisateur conforme à nos recommandations | |
Obligez l’utilisateur à changer son mot de passe après réinitialisation | |
Limitez le nombre de tentatives d’accès à un compte | |
3 | Gérer les habilitations | Définissez des profils d’habilitation | |
Supprimez les permissions d’accès obsolètes | |
Réaliser une revue annuelle des habilitations | |
4 | Tracer les accès et gérer les incidents | Prévoyez un système de journalisation | |
Informez les utilisateurs de la mise en place du système de journalisation | |
Protégez les équipements de journalisation et les informations journalisées | |
Prévoyez les procédures pour les notifications de violation de données à caractère personnel | |
5 | Sécuriser les postes de travail | Prévoyez une procédure de verrouillage automatique de session | |
Utilisez des antivirus régulièrement mis à jour | |
Installez un « pare-feu » (firewall) logiciel | |
Recueillez l’accord de l’utilisateur avant toute intervention sur son poste | |
6 | Sécuriser l’informatique mobile | Prévoyez des moyens de chiffrement des équipements mobiles | |
Faites des sauvegardes ou synchronisations régulières des données | |
Exigez un secret pour le déverrouillage des smartphones | |
7 | Protéger le réseau informatique interne | Limitez les flux réseau au strict nécessaire | |
Sécurisez les accès distants des appareils informatiques nomades par VPN | |
Mettez en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi | |
8 | Sécuriser les serveurs | Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitées | |
Installez sans délai les mises à jour critiques | |
Assurez une disponibilité des données | |
9 | Sécuriser les sites web | Utilisez le protocole TLS et vérifiez sa mise en œuvre | |
Vérifiez qu’aucun mot de passe ou identifiant ne passe dans les url | |
Contrôlez que les entrées des utilisateurs correspondent à ce qui est attendu | |
Mettez un bandeau de consentement pour les cookies non nécessaires au service | |
10 | Sauvegarder et prévoir la continuité d’activité | Effectuez des sauvegardes régulières | |
Stockez les supports de sauvegarde dans un endroit sûr | |
Prévoyez des moyens de sécurité pour le convoyage des sauvegardes | |
Prévoyez et testez régulièrement la continuité d’activité | |
11 | Archiver de manière sécurisée | Mettez en œuvre des modalités d’accès spécifiques aux données archivées | |
Détruisez les archives obsolètes de manière sécurisée | |
12 | Encadrer la maintenance et la destruction des données | Enregistrez les interventions de maintenance dans une main courante | |
Encadrez par un responsable de l’organisme les interventions par des tiers | |
Effacez les données de tout matériel avant sa mise au rebut | |
13 | Gérer la sous-traitance | Prévoyez une clause spécifique dans les contrats des sous-traitants | |
Prévoyez les conditions de restitution et de destruction des données | |
Assurez-vous de l’effectivité des garanties prévues (audits de sécurité, visites, etc.) | |
14 | Sécuriser les échanges avec d’autres organismes | Chiffrez les données avant leur envoi | |
Assurez-vous qu’il s’agit du bon destinataire | |
Transmettez le secret lors d’un envoi distinct et via un canal différent | |
15 | Protéger les locaux | Restreignez les accès aux locaux au moyen de portes verrouillées | |
Installez des alarmes anti-intrusion et vérifiez-les périodiquement | |
16 | Encadrer les développements informatiques | Proposez des paramètres respectueux de la vie privée aux utilisateurs finaux | |
Évitez les zones de commentaires ou encadrez-les strictement | |
Testez sur des données fictives ou anonymisées | |
17 | Utiliser des fonctions cryptographiques | Utilisez des algorithmes, des logiciels et des bibliothéques reconnues | |
Conservez les secrets et les clés cryptographiques de manière sécurisée | |