Nous vous proposons à nouveau cette semaine un article qui nous a été envoyé par maître Julien Pétrone, avocat à la cour et spécialiste des questions de droit touchant aux systèmes d’information.
- Adopter une politique de mot de passe rigoureuse : Un mot de passe d’au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux, à renouveler tous les trois mois.
- Concevoir une procédure de création et de suppression des comptes utilisateurs :
Utiliser des comptes utilisateurs nominatifs, et non « génériques » (ex : compta1), afin d’être en mesure le cas échéant, de tracer les actions réalisées. - Sécuriser les postes de travail : Paramétrer vos postes de travail afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité.
- Identifier précisément qui peut avoir accès aux fichiers : Limiter l’accès aux données personnelles aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution de leur mission. Réaliser périodiquement une analyse de l’adéquation entre les droits accordés et la fonction occupée.
- Veiller à la confidentialité des données vis-à-vis des prestataires : Négocier avec vos prestataires les garanties suffisantes en terme de sécurité et de confidentialité à l’égard des données auxquelles ceux-ci peuvent avoir accès.
- Sécuriser le réseau local : Mettre en place des dispositifs de sécurité logique spécifiques tels qu’un routeur filtrant (ACL), pare-feu, sonde anti intrusions, etc.
- Sécuriser l’accès physique aux locaux : Limiter l’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, aux personnels habilités.
- Anticiper le risque de perte ou de divulgation des données : Mettre en place des sauvegardes régulières et des procédures de secours.
- Anticiper et formaliser une politique de sécurité du système d’information : Créer un document récapitulant l’ensemble des règles relatives à la sécurité informatique afin de le rendre accessible aux agents ou aux salariés.
- Sensibiliser les utilisateurs aux « risques informatiques » et à la Loi « informatique et libertés » : Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l’envoi périodique de fiches pratiques.
L’intégralité des conseils édictés par la CNIL est disponible sur son site à l’adresse : «http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article/10-conseils-pour-securiser-votre-systeme-dinformation-1/»
Vous pouvez retrouver ce texte dans sa version pdf.
Bonjour,
Tout a fait en accord avec ces conseils !
J’ai personnellement eu l’occasion de les évoquer dans le cadre de la rédaction d’un document qualité intitulé “Validation des systèmes d’Information” pour un de mes récent employeur …
FR.