accueil / actualités juridiques

Actualités - A savoir également

Recommandations de la CNIL pour sécuriser un système d'information comportant des données personnelles

Décembre 2009

http://www.cnil.fr/la-cnil/actu-cnil/article/article//10-conseils-pour-securiser-votre-systeme-dinformation-1/


Après avoir réalisé une série de contrôles sur place portant sur la protection de la vie privée des salariés, des clients, des fournisseurs, etc. dont les données personnelles sont enregistrées dans un système informatique, la CNIL a relevé l'existence de nombreuses failles de sécurité. Aussi, elle propose aux détenteurs de fichiers, par l'intermédiaire de leur direction des systèmes d'information (DSI) ou de leur responsable informatique, de suivre ses conseils pour assurer un premier niveau de sécurité aux données qu'elles traitent.


Elle rappelle également que la Loi informatique et libertés impose aux organismes de mettre en œuvre des fichiers garantissant la sécurité des données qui y sont traitées. A défaut, des sanctions peuvent être prononcées, notamment en cas d'atteinte avérée.


Sécurisation des données


Adopter une politique de mot de passe rigoureuse


Tout d'abord, la CNIL rappelle que l'accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est une nécessité. Concernant le mot de passe, il doit être : individuel, difficile à deviner, et rester secret.


Il ne doit pas, par exemple, être écrit sur un support proche du poste de travail ou facile d'accès (ex : post-it comportant ces informations collé à l'écran).
La DSI ou le responsable informatique doit impérativement :


1.    Mettre en place une politique de gestion des mots de passe rigoureuse :
Un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois).


2.    Le système doit contraindre l'utilisateur à choisir un mot de passe différent des 3 qu'il a utilisés précédemment :
Généralement attribué par l'administrateur du système, le mot de passe doit être modifié obligatoirement par l'utilisateur dès la première connexion.


3.    Les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu'ils utilisent eux-mêmes, et ce à fréquence régulière.


Concevoir une procédure de création et de suppression des comptes utilisateurs

L'accès aux postes de travail et aux applications doit s'effectuer à l'aide de comptes utilisateurs nominatifs, et non "génériques" (compta1, compta2…), afin de pouvoir éventuellement être capable de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l'ensemble des intervenants.


La CNIL rappelle que les comptes "génériques" ne permettent pas d'identifier précisément une personne, et en cas de faille de sécurité il est impératif pourtant d'identifier cet utilisateur.


Cette règle doit également s'appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents chargés de l'exploitation du système d'information.


Sécuriser les postes de travail


Les postes des agents doivent être paramétrés afin qu'ils se verrouillent automatiquement au-delà d'une période d'inactivité (10 minutes maximum).


Les utilisateurs doivent être incités à verrouiller systématiquement leur poste dès qu'ils s'absentent de leur bureau (ex : pour aller aux commodités ou prendre le café).


Le contrôle de l'usage des ports USB sur les postes "sensibles", interdisant par exemple la copie de l'ensemble des données contenues dans un fichier, est fortement recommandé (ex : bloquer par un support rigide fixe, l'accès aux ports USB).


Identifier précisément qui peut avoir accès aux fichiers


L'accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l'exécution des missions qui leurs sont confiées. Aussi, la CNIL invite les organismes à élaborer "le profil d'habilitation" de l'agent ou du salarié concerné.


Pour chaque mouvement ou nouvelle affectation d'un salarié à un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d'accéder et faire procéder à la mise à jour de ses droits d'accès.


Une vérification périodique des profils des applications et des droits d'accès aux répertoires sur les serveurs est donc nécessaire afin de s'assurer de l'adéquation des droits offerts et de la réalité des fonctions occupées par chacun.


Veiller à la confidentialité des données vis-à-vis des prestataires


Les interventions des divers sous-traitants du système d'information d'un responsable de traitement doivent présenter les garanties suffisantes en termes de sécurité et de confidentialité à l'égard des données auxquelles ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu'une clause de confidentialité soit prévue dans les contrats de sous-traitance.


Les éventuelles interventions d'un prestataire sur des bases de données doivent se dérouler en présence d'un salarié du service informatique et être consignées dans un registre.
Les données qui peuvent être considérées "sensibles" au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l'objet d'un chiffrement.
Notons que l'administrateur systèmes et réseau n'est pas forcément habilité à accéder à l'ensemble des données de l'organisme. Pourtant, il a besoin d'accéder aux plates-formes ou aux bases de données pour les administrer et les maintenir.

En chiffrant les données avec une clé dont il n'a pas connaissance, et qui est détenue par une personne qui n'a pas accès à ces données (le responsable de la sécurité par exemple), l'administrateur peut mener à bien ses missions et la confidentialité est respectée.


Sécuriser le réseau local


Afin de sécuriser un système d'information vis-à-vis des attaques extérieures, il faut :

1.    Un premier niveau de protection est indispensable, et mis en œuvre grâce à des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti-intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents.


2.    La messagerie électronique doit faire l'objet d'une vigilance particulière.


3.   Les connexions entre les sites parfois distants d'une entreprise ou d'une collectivité locale doivent s'effectuer de manière sécurisée, par l'intermédiaire des liaisons privées ou des canaux sécurisés par technique de "tunneling" ou VPN (réseau privé virtuel).


4.    Les réseaux sans fil doivent être sécurisés compte tenu de la possibilité d'intercepter à distance les informations qui y circulent :
-    utilisation de clés de chiffrement,
-    contrôle des adresses physiques des postes clients autorisés.


5.    Les accès distants au système d'information par les postes nomades doivent faire préalablement l'objet d'une authentification de l'utilisateur et du poste.


6.  Les accès par internet aux outils d'administration électronique nécessitent des mesures de sécurité fortes, notamment par l'utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.


Notons qu'un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives, sera prochainement en vigueur, et imposera à chacun des acteurs des mesures de sécurité spécifiques.


Sécuriser l'accès physique aux locaux


L'accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux doivent faire l'objet d'une sécurisation particulière :


-    vérification des habilitations
-    gardiennage,
-    portes fermées à clé,
-    digicode,
-    contrôle d'accès par badge nominatifs.


La DSI ou le responsable informatique doit veiller à ce que les documentations sensibles (techniques, plans d'adressages réseau, contrats, etc.) soient elles aussi protégées.


Anticiper le risque de perte ou de divulgation des données


Afin de prévenir toute perte ou divulgation de données, il convient d'identifier les éventuelles causes, à savoir :
     l'erreur ou la malveillance d'un salarié ou d'un agent ;
     le vol d'un ordinateur portable ;
     une panne matérielle ;
     les conséquences d'un dégât des eaux ou d'un incendie.
Une fois ce diagnostic effectué, il faut veiller à :


1.    Stocker les données sur des espaces serveurs prévus à cet effet et faisant l'objet de sauvegardes régulières.


2.    Stocker les supports de sauvegarde dans un local distinct de celui qui héberge les serveurs (idéalement dans un coffre ignifugé).


3.   Sauvegarder les données sensibles ou capitales pour l'activité de l'organisme hébergées par les serveurs.


4.    Doter ces serveurs d'hébergement d'un dispositif de tolérance de panne.


5.    Rédiger une notice relative à la procédure "urgence - secours" qui décrit comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur.


6.    Mettre en œuvre un dispositif de sécurisation adapté pour les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.), par chiffrement, au regard de la sensibilité des dossiers ou documents qu'ils peuvent stocker.


7.    Détruire avant de les jeter, les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs (ou expurgés les disques durs avant de les donner à des associations).


8.  Formatage de bas niveau destiné à effacer les données qui peuvent être stockées sur les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés.


Anticiper et formaliser une politique de sécurité du système d'information


L'ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l'ensemble des agents ou des salariés. Sa rédaction requiert l'inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d'information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l'organisme concerné.


Enfin, le paramètre "sécurité" doit être pris en compte en amont de tout projet lié au système d'information.


Sensibiliser les utilisateurs aux "risques informatiques" et à la loi "informatique et libertés"


Le principal risque en matière de sécurité informatique est l'erreur humaine. Les utilisateurs du système d'information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l'utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l'envoi périodique de fiches pratiques.


Elle doit également formaliser dans un document, de type "charte informatique", qui peut préciser :


1.    Les règles à respecter en matière de sécurité informatique. A cela s'ajoute l'obligation de veiller à ce que les utilisateurs nettoient régulièrement leurs vieux documents et messages électroniques sur leurs postes, nettoient régulièrement le répertoire d'échange partagé entre les différents services afin qu'il ne se transforme pas en espace "fourre-tout" (fichiers personnels des agents mélangés avec des dossiers sensibles).


2.    Les règles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d'internet.


3.    Les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles (par exemple après avoir obtenu l'accord de son responsable, du service juridique ou du CIL de l'entreprise ou de l'organisme dans lequel il travaille).


Et s'accompagner d'un engagement de responsabilité à signer par chaque utilisateur.

 

Cet article a été rédigé par notre équipe de juristes. Cliquez ici pour accéder à nos formules.