-Annexe16.pdf

FicheMesure
1Sensibiliser les utilisateursInformez et sensibilisez les personnes manipulant les données 
Rédigez une charte informatique et lui donner une force contraignante 
2Authentifier les utilisateursDéfinissez un identifiant (login) unique à chaque utilisateur 
Adoptez une politique de mot de passe utilisateur conforme à nos recommandations 
Obligez l’utilisateur à changer son mot de passe après réinitialisation 
Limitez le nombre de tentatives d’accès à un compte 
3Gérer les habilitationsDéfinissez des profils d’habilitation 
Supprimez les permissions d’accès obsolètes 
Réaliser une revue annuelle des habilitations 
4Tracer les accès et gérer les incidentsPrévoyez un système de journalisation 
Informez les utilisateurs de la mise en place du système de journalisation 
Protégez les équipements de journalisation et les informations journalisées 
Prévoyez les procédures pour les notifications de violation de données à caractère personnel 
5Sécuriser les postes de travailPrévoyez une procédure de verrouillage automatique de session 
Utilisez des antivirus régulièrement mis à jour 
Installez un « pare-feu » (firewall) logiciel 
Recueillez l’accord de l’utilisateur avant toute intervention sur son poste 
6Sécuriser l’informatique mobilePrévoyez des moyens de chiffrement des équipements mobiles 
Faites des sauvegardes ou synchronisations régulières des données 
Exigez un secret pour le déverrouillage des smartphones 
7Protéger le réseau informatique interneLimitez les flux réseau au strict nécessaire 
Sécurisez les accès distants des appareils informatiques nomades par VPN 
Mettez en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi 
8Sécuriser les serveursLimitez l’accès aux outils et interfaces  d’administration aux seules personnes habilitées 
Installez sans délai les mises à jour critiques 
Assurez une disponibilité des données 
9Sécuriser les sites webUtilisez le protocole TLS et vérifiez sa mise en œuvre 
Vérifiez qu’aucun mot de passe ou identifiant ne passe dans les url 
Contrôlez que les entrées des utilisateurs correspondent à ce qui est attendu 
Mettez un bandeau de consentement pour les cookies non nécessaires au service 
10Sauvegarder et prévoir la continuité d’activitéEffectuez des sauvegardes régulières 
Stockez les supports de sauvegarde dans un endroit sûr 
Prévoyez des moyens de sécurité pour le convoyage des sauvegardes 
Prévoyez et testez régulièrement la continuité d’activité 
11Archiver de manière sécuriséeMettez en œuvre des modalités d’accès spécifiques aux données archivées 
Détruisez les archives obsolètes de manière sécurisée 
12Encadrer la maintenance et la destruction des donnéesEnregistrez les interventions de maintenance dans une main courante 
Encadrez par un responsable de l’organisme les interventions par des tiers 
Effacez les données de tout matériel avant sa mise au rebut 
13Gérer la sous-traitancePrévoyez une clause spécifique dans les contrats des sous-traitants 
Prévoyez les conditions de restitution et de destruction des données 
Assurez-vous de l’effectivité des garanties prévues (audits de sécurité, visites, etc.) 
14Sécuriser les échanges avec d’autres organismesChiffrez les données avant leur envoi 
Assurez-vous qu’il s’agit du bon destinataire 
Transmettez le secret lors d’un envoi distinct et via un canal différent 
15Protéger les locauxRestreignez les accès aux locaux au moyen de portes verrouillées 
Installez des alarmes anti-intrusion et vérifiez-les périodiquement 
16Encadrer les développements informatiquesProposez des paramètres respectueux de la vie privée aux utilisateurs finaux 
Évitez les zones de commentaires ou encadrez-les strictement 
Testez sur des données fictives ou anonymisées 
17Utiliser des fonctions cryptographiquesUtilisez des algorithmes, des logiciels et des bibliothéques reconnues 
Conservez les secrets et les clés cryptographiques de manière sécurisée