| Ti | = | A. Conseils pour assurer un niveau de sécurité satisfaisant |
|
| Note | = | La loi informatique et libertés impose que les organismes mettant en œuvre des traitements ou disposant de fichiers de données à caractère personnel en garantissent la sécurité. |
|
| Note | = | Par sécurité des données, on entend l’ensemble des précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour, notamment, empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès. (Art.34 de la loi informatique et libertés). Cette sécurité se conçoit pour l’ensemble des processus relatifs à ces données, qu’il s’agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité. |
|
| Note | = | Rappel : Les avocats, au même titre que les éventuels prestataires spécialisés dans l’hébergement et la gestion de documents, sont tenus de présenter des garanties suffisantes pour assurer la sécurité et la confidentialité des données auxquelles ils accèdent, en application de l’article 35 de la loi informatique et libertés. |
|
| 1.Ti | = | Authentifiez les utilisateurs |
|
| 1.1.sec | = | définissez un identifiant (login) unique à chaque utilisateur |
|
| 1.2.sec | = | adoptez une politique de mot de passe utilisateur rigoureuse |
|
| 1.3.sec | = | obligez l’utilisateur à changer son mot de passe après réinitialisation |
|
| 1. | = | [G/Z/ol-none/s3] |
|
| 2.Ti | = | Gérez les habilitations et sensibilisez les utilisateurs |
|
| 2.1.sec | = | définissez des profils d’habilitation |
|
| 2.2.sec | = | supprimez les permissions d’accès obsolètes |
|
| 2.3.sec | = | documentez les procédures d’exploitation |
|
| 2.4.sec | = | rédigez une charte informatique et annexez-la au règlement intérieur |
|
| 2. | = | [G/Z/ol-none/s4] |
|
| 3.Ti | = | Sécurisez les postes de travail |
|
| 3.1.sec | = | limitez le nombre de tentatives d’accès à un compte |
|
| 3.2.sec | = | installez un « pare-feu » (firewall) logiciel |
|
| 3.3.sec | = | utilisez des antivirus régulièrement mis à jour |
|
| 3.4.sec | = | prévoyez une procédure de verrouillage automatique de session |
|
| 3. | = | [G/Z/ol-none/s4] |
|
| 4.Ti | = | Sécurisez l’informatique mobile |
|
| 4.sec | = | prévoyez des moyens de chiffrement pour les ordinateurs portables et les unités de stockage amovibles (clés USB, CD, DVD…) |
|
| 5.Ti | = | Sauvegardez et prévoyez la continuité d’activité |
|
| 5.1.sec | = | effectuez des sauvegardes régulières |
|
| 5.2.sec | = | stockez les supports de sauvegarde dans un endroit sûr |
|
| 5.3.sec | = | prévoyez des moyens de sécurité pour le convoyage des sauvegardes |
|
| 5.4.sec | = | prévoyez et testez régulièrement la continuité d’activité |
|
| 5.5.sec | = | chiffrez les sauvegardes |
|
| 5. | = | [G/Z/ol-none/s5] |
|
| 6.Ti | = | Encadrez la maintenance |
|
| 6.1.sec | = | enregistrez les interventions de maintenance dans une main courante |
|
| 6.2.sec | = | effacez les données de tout matériel avant sa mise au rebut |
|
| 6.3.sec | = | recueillez l’accord de l’utilisateur avant toute intervention sur son poste |
|
| 6.4.sec | = | prévoyez de rendre impossible l’accès au contenu des bases de données aux prestataires techniques |
|
| 6. | = | [G/Z/ol-none/s4] |
|
| 7.Ti | = | Tracez les accès et gérez les incidents |
|
| 7.1.sec | = | prévoyez un système de journalisation |
|
| 7.2.sec | = | informez les utilisateurs de la mise en place du système de journalisation |
|
| 7.3.sec | = | protégez les équipements de journalisation et les informations journalisées |
|
| 7.4.sec | = | notifiez aux personnes concernées des accès frauduleux à leurs données |
|
| 7. | = | [G/Z/ol-none/s4] |
|
| 8.Ti | = | Protégez les locaux |
|
| 8.1.sec | = | restreignez les accès aux locaux au moyen de portes verrouillées |
|
| 8.2.sec | = | installez des alarmes anti-intrusion et vérifiez-les périodiquement |
|
| 8. | = | [G/Z/ol-none/s2] |
|
| 9.Ti | = | Protégez le réseau informatique interne |
|
| 9.1.sec | = | limitez les flux réseau au strict nécessaire |
|
| 9.2.sec | = | sécurisez les accès distants des appareils informatiques nomades par VPN |
|
| 9.3.sec | = | utilisez le protocole SSL avec une clé de 128 bits pour les services web |
|
| 9.4.sec | = | mettez en œuvre le protocole WPA - AES/CCMP pour les réseaux WiFi |
|
| 9. | = | [G/Z/ol-none/s4] |
|
| 10.Ti | = | Sécurisez les serveurs et les applications |
|
| 10.1.sec | = | adoptez une politique de mot de passe administrateur rigoureuse |
|
| 10.2.sec | = | installez sans délai les mises à jour critiques |
|
| 10.3.sec | = | assurez une disponibilité des données |
|
| 10. | = | [G/Z/ol-none/s3] |
| | = | |
| 11.Ti | = | Gérez la sous-traitance |
|
| 11.1.sec | = | prévoyez une clause spécifique dans les contrats des sous-traitants |
|
| 11.2.sec | = | assurez-vous de l’effectivité des garanties prévues (audits de sécurité, visites...) |
|
| 11.3.sec | = | prévoyez les conditions de restitution et de destruction des données |
|
| 11. | = | [G/Z/ol-none/s3] |
|
| 12.Ti | = | Archivez |
|
| 12.1.sec | = | mettez en œuvre des modalités d’accès spécifiques aux données archivées |
|
| 12.2.sec | = | détruisez les archives obsolètes de manière sécurisée |
|
| 12. | = | [G/Z/ol-none/s2] |
|
| 13.Ti | = | Sécurisez les échanges avec d’autres organismes |
|
| 13.1.sec | = | chiffrez les données avant leur envoi |
|
| 13.2.sec | = | assurez-vous qu’il s’agit du bon destinataire |
|
| 13.3.sec | = | transmettez le secret lors d’un envoi distinct et via un canal différent |
|
| 13. | = | [G/Z/ol-none/s3] |
|
| = | [G/Z/ol/13] |
|
/Docs/G/FR-CNIL-GuideAvocats-CmA/Conseils_pour_assurer_un_niveau_de_sécurité_satisfaisant.md