Le point de vue de la CNIL:
La CNIL ne fait pas une nette séparation entre le Délégué à la protection des données et le ou les techniciens qui mettront en place les mesures préconiées. Dans une TPE/PME il y pourrait y avoit des chances que ce soit la personne en charge de l'informatique ou du site web, mais c'est loin d'être le cas en théorie selon la CNIL:
Il est précisé que ce délégué (DPD) doit posséder des connaissances spécialisées "de la législation et des pratiques en matière de protection des données". Le niceau d'expertise doit être adapté à l'activité et à la sensibilité des fichiers concernés, secteur d'activité, l'organisme, ne pas avoir de conflit d'intérêts, exercer ses missions en toute indépendance et notamment face à l'équipe d'experts en interne comme l'expert informatique, le juriste, l'expert en communication, le traducteur, etc.), selon la CNIL. Il n'à donc pas de profile technique poussé mais doit au moins avoit un bagage suffisant pour comprendre les impératifs techniques en entreprise, la culture de l'entreprise ou de l'organisme. Il peut et même devrait être un intervenant extérieur, payé par l'entreprise.
Le responsble sécurité d'une entreprise (qui n'est pas forcément le DPD) doit produire aussi des gages par rapport à la sécurité des données dans l'entreprise. Comment cela se passe:
Politique de sécurité des données en entreprises
Le responsable devra fournir toutes les preuves nécessaires à la bonne sécurité des données. Cela peut passer par l’installation d’un serveur entièrement sécurisé, par le cryptage ou le chiffrement des données, par le contrôle d’accès des utilisateurs, par des mesures de traçabilité, des mesures de protection des logiciels (antivirus, correctifs, maj…), ou encore par la sauvegarde des données. Il s’agira également de s’assurer que tous les partenaires et sous-traitants respectent bien ce point également, car à défaut et en cas de problème, le responsable des données sera tenu pour responsable.
1. Administration : Sécurité du back office
a. 1 seul Superadmin (tous les droits) – Gérer les habilitations
b. Audit des utilisateurs : droits respectifs et rôles sur le site
c. Chemin au back office (ex via « admin.php ») à changer
d. Fréquence changement mot de passe admin et utilisateurs
e. Stockage du mot de passe par les utilisateurs du site
f. Stockage du mot de passe administrateur
2. Réalisation du droit à l’effacement
a. Garantie technique de suppression de données liées à un utilisateur sur sa demande : Compét. Ex. requête BDD
b. Garantie technique de durée de suppression auto des informations : Programme avec scheduler (parser)
3. Sécurisation du site/intranet société :
a. SSL mise en place si absente pour crypter les échanges**
b. Et mieux, passer au TSL si possible**
c. Port entrant limité à 443, bloquer les autres (FTP/routage)
d. Mise en place technique bandeau acceptation traçage : plugin/code
e. Contrôle des cookies et procédures associées
f. Pare-feu, à voir avec l’hébergeur
g. Logs du serveur
h. Logs du site
i. Tenue d’un journal des accès et anomalies*
j. Traçage des ip
k. Procédure de sauvegarde et recouvrement de la base de données
l. Procédure de sauvegarde et recouvrement des fichiers du site
m. Sécurisation des accés FTP au site (en SSL/TLS)**
n. Eviter d’utiliser des comptes génériques ou partagés
o. Sécurisaton des accés à la base de données
p. Sécurisation interne sur réseau/cloud plutôt que support physique
4. Sécurisation informatique du poste de travail fixe
a. Présence d’un antivirus
b. Mise en place de sauvegardes
c. Configuration des mises à jour de sécurité
d. Accès sécurisé au desktop (verrouillage session)
e. Gestion des accès extérieurs aux données : Clé USB et DDEX limités
f. Désactivation de l’exécution automatique (« autorun ») sur poste.
g. Sécurisation browser : Utiliser un firewall internet, maîtrise traçage
h. Sécurisation mails : Bonnes pratiques, information fishing, scam, etc.
i. Encadrement de l’assistance à distance en cas de pb. Technique
j. Contrôles de prise en main à distance et accès en réseau
k. Contrôle des applications en cours (Windows/MAC et logiciels tiers)
l. Contrôle des nouvelles applications téléchargées et leur éxécution
m. Contrôler les vulnérabilités d’un serveur (nmap, nessus, nikto…)
n. Contrôle de l’effacement des données en cas de :
i. Nouvel utilisateurii. Revente du matériel informatiqueiii. Réparation du matériel informatique
5. Sécurisation de l’informatique mobile/nomade :
a. Mises en place de procédures de sensibilisation aux outils mobiles
i. Précautions dans les transports et lieux publics, usage VPN Ex. captation de données à distance, photo d’écran…
ii. Définitions de procédure en cas de vol
b. Identification des outils mobiles utilisés en entreprise :
i. Laptop (ordinateur de bureau portable) 1-Mise en place procédure pour poste travail fixe 2-S’assurer des risques de vols transports et en tous lieuxii. Smartphone professionnel
1 Contrôle des modes de connection au réseau wifi/4G
2 Contrôle des connections directe (câble USB)
3 Contrôle des applications utilisées
4 Sécurisation du smartphone PIN/SIM
5 Contrôle des mises à jour et accés à internet
6 Même remarque concernant les vols
iii. Tablette à usage professionnel: Mêmes remarques qu’au dessus
iv. Disques durs externes: Préciser durée et stockage, backups
2 Sécurité physique du DDEX (chocs, températures, etc.)
v. Clés USB
1 Désactivation autorun
2 Condition physique de stockage
3 Moyens de cryptage en cas de perte ou vol
vi. CD, DVD
1 Désactivation autorun
2 Condition physique de stockage
3 Contrôle d’effacement de données en cas de disque RW
4 Contrôle de lisibilité des données sur le long terme et backups
vii. CLOUD (stockage virtuel à distance)
1 S’assurer des engagements de confidentialité et sécurité du fournisseur, d’accès, backup et rétablissement données
2 Contrôle des accès en local
*Journal : Procédure de gestion des incidents à mettre en place :
1. Depuis le système de journalisation (« logs ») :
Etre en mesure d’interpréter les logs d’accés*
i. Identifiant, date, heure connexion, déconnexion et ip
ii. Actions sur le site/intranet, données consultées
d. Garantie de conservation moins de six mois (sauf exceptions) ;
e. la journalisation doit concerner, au minimum, les accès des utilisateurs en incluant;
2. Procédure d’information des utilisateurs après consultation.3. Protection du journal (localisation et mesures de sécurité).4. Procédures de surveillance périodique et de traitement du journal.5. Identification de la personne responsable du journal et sa formation 6. Procédures de Notification de violation à la CNIL & personnes concernées
**Cryptage : Pour éviter que des identifiants transitent « en clair » dans l’URL, risquant l’interception par un tiers. Les protocoles de cryptages SSL et TLS sont destinés à rendre impossible cette interception en rendant les échanges illisibles.
Sections détaillées :
Administration : Sécurité du back office :
Un seul Superadmin sur le site ou application (tous les droits) :
Gérer les habilitations : Nommer le responsable de la gestion des droits utilisateurs sur le site ou application avec énumération des utilisateurs, un seul pouvant créér/modifier les utilisateurs : Eviter un second « super admin » ayant tous les droits.
Audit des utilisateurs : droits respectifs et rôles sur le site, énumérer les comptes, supprimer ceux plus utilisés (comme stagiaires ou intervenants occasionnels)
Chemin au back office (ex via « admin.php ») à changer : Varie selon le type de site: Plugin, code à faire, redirection htaccess, etc.
Fréquence changement mot de passe admin et utilisateurs : Définir une périodicité ou l’on impose un changement de mot de passe pour tous (ex. tous les trimestres), avec délivrance contrôlée en one-shot.
Stockage du mot de passe par les utilisateurs du site : Ne pas retransmettre* par mail, support papier (sauf si détruit) ou clé USB, fichier excel, word ect. Mode de délivrance accepté : Via les mails internes de l’intranet ou mails administrateurs, avec destruction.
Stockage du mot de passe administrateur : Le seul administrateur principal du site/application se doit de stocker ses mots de passes et identifiants sr un support inviolable. Eviter cloud, support externe (clé sub, HD) qui se perd, ou support papier. Utiliser un fichier crypté en local, sous réserve (ex. ordinateurs revendus sans formatage).
Réalisation du droit à l’effacement :
-Garantie technique de suppression de données liées à un utilisateur sur sa demande : Compétence Extérieure car nécessite selon les cas un requête spécifique sur la Base de données, si ces dernières ne sont pas accessible depuis le site ou l’application.
> Si boîte mail ; simple suppression de contacts.
> Si en ligne : Faire une demande à l’hébergeur (ex. google), délai à prévoir et modulation
-Garantie technique de durée de suppression auto des informations :
Programmer un scheduler (parser). Requête automatique qui supprime les données utilisateurs à une date fixée d’avance sans intervention de l’opérateur. Le scheduler est un travail de développement qui peut être facturable (en fonction complexité du système visé)