A. Conseils pour assurer un niveau de sécurité satisfaisant

1. Authentifiez les utilisateurs
   
   • définissez un identifiant (login) unique à chaque utilisateur
   • adoptez une politique de mot de passe utilisateur rigoureuse
   • obligez l’utilisateur à changer son mot de passe après réinitialisation
2. Gérez les habilitations et sensibilisez les utilisateurs
   
   • définissez des profils d’habilitation
   • supprimez les permissions d’accès obsolètes
   • documentez les procédures d’exploitation
   • rédigez une charte informatique et annexez-la au règlement intérieur
3. Sécurisez les postes de travail
   
   • limitez le nombre de tentatives d’accès à un compte
   • installez un « pare-feu » (firewall) logiciel
   • utilisez des antivirus régulièrement mis à jour
   • prévoyez une procédure de verrouillage automatique de session
4. Sécurisez l’informatique mobile
   prévoyez des moyens de chiffrement pour les ordinateurs portables et les unités de stockage amovibles (clés USB, CD, DVD…)
5. Sauvegardez et prévoyez la continuité d’activité
   
   • effectuez des sauvegardes régulières
   • stockez les supports de sauvegarde dans un endroit sûr
   • prévoyez des moyens de sécurité pour le convoyage des sauvegardes
   • prévoyez et testez régulièrement la continuité d’activité
   • chiffrez les sauvegardes
6. Encadrez la maintenance
   
   • enregistrez les interventions de maintenance dans une main courante
   • effacez les données de tout matériel avant sa mise au rebut
   • recueillez l’accord de l’utilisateur avant toute intervention sur son poste
   • prévoyez de rendre impossible l’accès au contenu des bases de données aux prestataires techniques
7. Tracez les accès et gérez les incidents
   
   • prévoyez un système de journalisation
   • informez les utilisateurs de la mise en place du système de journalisation
   • protégez les équipements de journalisation et les informations journalisées
   • notifiez aux personnes concernées des accès frauduleux à leurs données
8. Protégez les locaux
   
   • restreignez les accès aux locaux au moyen de portes verrouillées
   • installez des alarmes anti-intrusion et vérifiez-les périodiquement
9. Protégez le réseau informatique interne
   
   • limitez les flux réseau au strict nécessaire
   • sécurisez les accès distants des appareils informatiques nomades par VPN
   • utilisez le protocole SSL avec une clé de 128 bits pour les services web
   • mettez en œuvre le protocole WPA - AES/CCMP pour les réseaux WiFi
10. Sécurisez les serveurs et les applications
    
    • adoptez une politique de mot de passe administrateur rigoureuse
    • installez sans délai les mises à jour critiques
    • assurez une disponibilité des données
11. Gérez la sous-traitance
    
    • prévoyez une clause spécifique dans les contrats des sous-traitants
    • assurez-vous de l’effectivité des garanties prévues (audits de sécurité, visites...)
    • prévoyez les conditions de restitution et de destruction des données
12. Archivez
    
    • mettez en œuvre des modalités d’accès spécifiques aux données archivées
    • détruisez les archives obsolètes de manière sécurisée
13. Sécurisez les échanges avec d’autres organismes
    
    • chiffrez les données avant leur envoi
    • assurez-vous qu’il s’agit du bon destinataire
    • transmettez le secret lors d’un envoi distinct et via un canal différent