La CNIL publie dix recommandations pour protéger le système d’information d’une entreprise  

Dans un article publié sur son site, la CNIL détaille un ensemble de mesures destinées à sécuriser les informations sensibles de chaque entreprise. En voici une synthèse assortie de quelques commentaires.

1. Adopter une politique de mot de passe rigoureuse

Il s’agit de rappeler l’importance de protéger l’accès à un poste de travail au moyen d’un mot de passe individuel, difficile à deviner et secret.

De trop nombreux utilisateurs se contentent d’un mot de passe trop court et certains n’hésitent pas à le noter sur un post-it collé sous le clavier …

2. Concevoir une procédure de création et de suppression des comptes utilisateurs

L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants.

A défaut d‘une procédure rigoureuse de gestion du cycle de vie des comptes utilisateurs, il n’est pas rare de trouver de nombreux comptes orphelins qui constituent autant de failles de sécurité potentielles. Il est facile de nettoyer son annuaire pour supprimer de tels comptes périodiquement.

3. Sécuriser les postes de travail

Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau.

Il s’agit d’une règle simple à mettre en œuvre, par exemple via l’application d’une « politique de groupe » pour les postes intégrés dans un annuaire Active Directory. Ces mêmes politiques peuvent également interdire la copie de données sur une clé USB, autre recommandation de la CNIL.

4. Identifier précisément qui peut avoir accès aux fichiers

L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées. De cette analyse, dépend « le profil d’habilitation » de l’agent ou du salarié concerné.

D’une façon générale, il est nécessaire pour chaque entreprise de définir quelles sont les données accessibles pour chaque profil d’utilisateur (service comptabilité, ressources humaines, commercial, …). En attachant chaque employé à un groupe et en définissant les autorisations d’accès pour chaque département, une entreprise se donne les moyens d’un véritable contrôle de l’accès aux données sensibles.

Un annuaire d'entreprise permet d'authentifier chaque utilisateur et de gérer les autorisations d'accès aux informations

5. Veiller à la confidentialité des données vis-à-vis des prestataires

Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en termes de sécurité et de confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès.

De plus en plus nombreux sont les prestataires, consultants, partenaires, … devant avoir accès à des informations dans l’entreprise. Là encore une formalisation des règles d’accès pour des intervenants extérieurs doit être réalisée.

6. Sécuriser le réseau local

Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.

Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie électronique doit évidemment faire l’objet d’une vigilance particulière …

Il s’agit de mettre en œuvre une protection périmètrique mais également d’analyser et de filtrer le contenu arrivant dans le système d'information. La commission souligne la nécessité de sécuriser les connexions Wi Fi ainsi que celles d’utilisateurs nomades se connectant au réseau de l’entreprise.

7. Sécuriser l’accès physique aux locaux

L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités.

8. Anticiper le risque de perte ou de divulgation des données

La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, ou encore conséquence d’un dégât des eaux ou d’un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l’objet de sauvegardes régulières.

De la nécessité d’une procédure de sauvegarde rigoureuse trop souvent ignorée …

9. Anticiper et formaliser une politique de sécurité du système d’information

L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés.

10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi "informatique et libertés"

Le principal risque en matière de sécurité informatique est l’erreur humaine. Les utilisateurs du système d’information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l’utilisation de bases de données.

Lien vers l’article intégral : http://www.cnil.fr/la-cnil/actu-cnil/article/article//10-conseils-pour-securiser-votre-systeme-dinformation-1/