Guide de la sécurité des données personnelles
Pour aider les professionnels dans la mise en conformité à la loi Informatique et Libertés et au règlement général sur la protection des données, ce guide rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.
Avant-propos
L’objectif de ce guide est d’accompagner les organismes dans la mise en place de mesures de sécurité pour assurer la protection des données personnelles qu’ils traitent.
Fiche
1
Piloter la sécurité des données
Mettre en place et maintenir dans la durée la protection des données personnelles exigée par le RGPD et les cadres sectoriels.
Fiche
2
Définir un cadre pour les utilisateurs
Donner une force contraignante aux principales règles d’usage des outils informatiques.
Fiche
3
Impliquer et former les utilisateurs
Faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée.
Fiche
4
Authentifier les utilisateurs
Reconnaître ses utilisateurs pour pouvoir, ensuite, leur donner les accès nécessaires.
Fiche
5
Gérer les habilitations
Limiter les accès aux seules données dont un utilisateur a besoin.
Fiche
6
Sécuriser les postes de travail
Prévenir les accès frauduleux, l’exécution de programmes malveillants (ex. : virus) ou la prise de contrôle à distance, notamment via Internet.
Fiche
7
Sécuriser l'informatique mobile
Anticiper l’atteinte à la sécurité des données à l'extérieur des locaux, dont le vol ou à la perte d’un équipement mobile.
Fiche
8
Protéger le réseau informatique
Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en oeuvre.
Fiche
9
Fiche
10
Sécuriser les sites web
S’assurer que les bonnes pratiques minimales sont appliquées aux sites web.
Fiche
11
Encadrer les développements informatiques
Intégrer sécurité et protection des données personnelles au plus tôt dans les projets.
Fiche
12
Protéger les locaux
Renforcer la sécurité des locaux hébergeant les serveurs informatiques et les matériels réseaux.
Fiche
13
Sécuriser les échanges avec l'extérieur
Renforcer la sécurité de toute transmission de données personnelles.
Fiche
14
Fiche
15
Encadrer la maintenance et la fin de vie des matériels et logiciels
Garantir la sécurité des données à tout moment du cycle de vie des matériels et des logiciels.
Fiche
16
Tracer les opérations
Tracer les opérations pour la détection d’anomalies, de dysfonctionnements ou d’incidents et disposer des informations utiles à leur traitement ou en cas de contentieux.
Fiche
17
Sauvegarder
Effectuer des sauvegardes régulières pour limiter l’impact d’une disparition ou d'une altération non désirée de données.
Fiche
18
Prévoir la continuité et la reprise d'activité
Prévoir un fonctionnement dégradé des systèmes d’information et être capable de les redémarrer sans impacter la sécurité des données.
Fiche
19
Gérer les incidents et les violations
Prévoir les procédures pour gérer les incidents et réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité).
Fiche
20
Analyse de risques
Identifier les risques et évaluer leur vraisemblance et leur gravité pour mettre en place les mesures de sécurité appropriées.
Fiche
21
Chiffrement, hachage, signature
Assurer l’intégrité, la confidentialité et l’authenticité d’une information.
Fiche
22
Cloud : informatique en nuage
Sécuriser les données et les traitements dans un environnement cloud.
Fiche
23
Applications mobiles : conception et développement
Appliquer les principes de sécurité de base au développement des applications mobiles.
Fiche
24
Intelligence artificielle : Conception et apprentissage
Se doter des ressources et outils nécessaires pour développer un système d’IA robuste, fiable et performant.
Fiche
25
API : Interfaces de programmation applicative
Veiller à sécuriser des données partagées via l’implémentation d’une API.
Évaluation
Avez-vous pensé à ?
Évaluer le niveau de sécurité des données personnelles de votre organisme