Le RGPD ne fait pas de différence entre les données à caractère personnel d’une personne contenues sur le papier, celles enregistrées dans un fichier informatique ou encore dans une base de données logicielle ou web. On pense souvent que le RGPD ne concerne que les fichiers dits informatiques ou bureautiques. En réalité une facture, un devis ou un formulaire papier sont concernés par la mise en oeuvre de la protection des données personnelles. Il en va de même pour une prise de note structurée dans un cahier par un praticien médical ou un compte rendu d’entretien papier avec votre manager.

D’où la nécessité de bien gérer aussi ses documents et archives papier pour retrouver les informations que l’on détient sur une personne.

La signature d’une charte est un moyen d’expliquer le fonctionnement des systèmes d’informations, par exemple quand et comment seront coupés les accès en cas de départ.

Dès l’annonce d’un départ, mais aussi lors d’un changement de fonction, il est indispensable de réduire l’accès aux données via la désactivation des accès ou la revue des droits nécessaires à la mission.

Dans le cas où un pirate aurait trouvé le mot de passe (vol d’information sur le site), l’activation de la double-authentification permettra de bloquer la connexion, voire, vous permettra d’être alerté d’un problème potentiel.

Les bons droits n’empêchent pas un utilisateur de voir vos données

La non-exposition est une mesure de sécurité pour les applications très sensibles mais le vol d’identité peut être réalisé aussi à l’intérieur de l’entreprise.

Seul le numéro de sécurité sociale (NIR) est considéré ici comme un donnée « sensible ». Les autres types de données sensibles sont celles relatives aux opinions politiques religieuses, philosophiques ou syndicales et tout ce qui touche à la santé ou à l’identité sexuelle et intime de la personne. Les autres sont des donées personnelles même si elles sont hautement personnelles. L’utilisation du NIR  nécessite des garanties supplémentaires et il ne peut pas être traité ou collecté arbitrairement. Ainsi, le simple envoi par mail d’un bulletin de paye PDF en pièce jointe n’est pas suffisament sécurisé et ne correspond pas à une mesure adéquate de protection au sens du RGPD.

Le pare-feu permet de maitriser les données qui sont échangées entre l’ordinateur et les différents réseaux. Par défaut, un ordinateur n’a pas à être ouvert à d’autres connexions externes, contrairement à un serveur d’entreprise qui propose des services informatiques.

L’ouverture d’un fichier peut déclencher la propagation d’un virus.

Il est indispensable de contrôler les fichiers ou les liens via votre antivirus ou via le site https://www.virustotal.com/

Actif : une information reconnue comme ayant une valeur pour une organisation, quelle que soit sa forme physique ou électronique et la manière dont elle est stockée.

Vulnérabilité : faiblesse dans la conception, la mise en œuvre, l'exploitation ou la gestion d'un système, processus, service ou réseau qui pourrait être exploitée par un individu malveillant pour causer un préjudice à la confidentialité, à l'intégrité ou à la disponibilité des informations gérées par ce système ou par le système lui-même.

Menace : une source ou une situation qui pourrait causer un dommage ou une perturbation à un système, une infrastructure ou une application, compromettant ainsi la sécurité des informations gérées.

Risque : La probabilité d'occurrence d'un événement négatif et les conséquences potentielles qui en découlent, qui compromettent la sécurité des informations gérées. Les risques sont généralement causés par des menaces, qui peuvent être combinées avec des vulnérabilités.

Mesure de sécurité : définie comme un contrôle ou une action prise pour réduire ou éliminer un risque identifié.

« 13 bonnes pratiques » et « Guide de l’hygiène de la sécurité » sont des guides proposés par l’ANSSI afin de mettre en place les bonnes pratiques de sécurité informatiques mais elles ne sont pas utilisables afin d’obtenir une certification

https://www.ssi.gouv.fr/guide/la-cybersecurite-pour-les-tpepme-en-treize-questions/

https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

L'annexe A de cette norme décrit les contrôles de sécurité recommandés pour mettre en œuvre un SGSI conforme à la norme ISO 27001.

Une application identifiée avec des liens fournis par l’éditeur lui-même (menu aide par exemple) permet de garantir que le site est le site officiel.

Dans le moindre doute, il est indispensable de changer son mot de passe afin de contrôler les données et les informations. Attention d’effectuer le changement sur le site officiel avec un lien que vous avez enregistré avant l’incident. Ne pas utiliser un lien d’un courriel reçu dans le message reçu.

L’information au service informatique permet de mener d’autres investigations ou de prévenir d’autres risques potentiels.

Une sauvegarde tous les jours dépendant du temps (et de la valeur du travail effectués) entre le moment de l’incident et le moment de la sauvegarde.

Dans le cas d’une entreprise de plusieurs centaines de collaborateur, une sauvegarde toutes les heures, voire en continu, est peut-être nécessaire.

Hors du réseau informatique, il est indispensable de redoubler de précaution afin d’éviter les vols d’ordinateurs et de données via par exemple un réseau wifi non sécurisé

Les bonnes pratiques peuvent aussi s’appliquer en inter

Les mots de passes doivent être complexes afin de garantir la difficulté à les trouver via un robot ou un dictionnaire.

Ils doivent être uniques afin d’éviter un phénomène de propagation.

Vos données personnelles comme vos courriels doivent toujours rester secrets.

Sans connaissance  du risque et des menaces, il est indispensable de mettre a jour au plus vite. Il faut tout de même contrôler l’impact d’une mise à jour sur un système d’information complexe. Cela permet aussi de ne pas oublier.

Eteindre ma machine peut empêcher un redémarrage ou supprimer les traces permettant l’analyse ou la correction.

Débrancher la machine permet d’éviter une propagation vers d’autres machines, serveurs ou des services cloud (OneDrive, google drive). Cependant, le virus peut alors continuer à fonctionner et crypter l’ensemble de la machine. Cela rappelle qu’il faut effectuer des sauvegardes au moins tous les jours.

La protection des données à caractère personnel repose sur plusieurs piliers, en particulier :

• la transparence,
• la licéité
• les droits des personnes physiques concernées,
• la sécurité des données,
• la limitation des finalités,
• la minimisation des données,
• la pertinence des données utilisées,
• la durée de conservation des données.

« La sécurité des données constitue l’un des piliers essentiels de la protection des données à caractère personnel mais ce n'est pas le seul. » Vous notez donc que la protection des données est bien plus qu'un projet informatique mais une démarche qualité globale avec des aspects juridiques techniques et organisationnels.

RGPD : Article 32 – Sécurité du traitement

Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins.

Un wifi d’hôtel, même sécurisé, est partagé par tous les clients dont certains ont peut-être des activités non recommandables.

Le verrouillage de la session ne garantit pas le mauvais fonctionnement d’un ordinateur (connexion d’une clef usb, identification d’un login de session, …)

Lorsque l’on s’absente, on ne sait pas le temps que cela peut durer (file d’attente au bar) et le vol de l’ordinateur est toujours possible.

Un antispam n’est pas une garantie de sécurité à 100% comme toutes les mesures de sécurité.

Il est toujours important de ne pas diffuser mon adresse courriel sur des sites d’informations, surtout l’adresse professionnelle.