Sécurité des données : les mesures d'hygiène pour protéger votre système d'information
Des mesures dites d’ « hygiène » constituent un socle permettant de protéger la plupart des systèmes. La CNIL et l’ANSSI fournissent des catalogues pour vous aider à les mettre en œuvre.
Pourquoi des mesures d'hygiène ?
- La plupart des mises en demeure et des sanctions prononcées par la CNIL visent des défauts de sécurité. Pourquoi ? Parce que ces bonnes pratiques ne sont souvent pas mises en œuvre.
- Les spécialistes en matière de sécurité des systèmes d'information s’accordent sur les mesures qu’il convient absolument de mettre en œuvre avant même de penser à protéger spécifiquement les systèmes particulièrement sensibles.
Le RGPD intègre une obligation de sécurité
L'obligation de sécurité des données personnelles est prévue à l'article 32 du RGPD. Les sanctions peuvent atteindre jusqu'à 10 M€ ou 2% du chiffre d'affaires annuel mondial.
L'essentiel à comprendre :
- la sécurité doit être proportionnée aux risques : le fichier des membres d’une association sportive demande certainement moins de sécurité que des bases de données médicales ;
- les risques concernent :
- les accès non autorisés (confidentialité),
- les modifications non désirées (intégrité)
- les disparitions de données (disponibilité) ;
- la source de ces risques peut être interne ou externe, et accidentelle ou délibérée : il peut s’agir d’employés ou visiteurs, mais aussi de concurrents, d’attaquants malveillants, voire du crime organisé ; et il faut tenir compte des pannes (serveurs, climatisation, etc.), des sinistres (inondation, incendie, etc.) et autres incidents (casse, mauvaise manipulation, etc.), comme des actions volontaires (vol d’ordinateur, attaque informatique, etc.) ;
- la pseudonymisation et le chiffrement ne sont que des exemples : il s’agit de bonnes pratiques qui peuvent être pertinentes dans vos systèmes, mais il ne s’agit pas des seules mesures à envisager.
Texte reference
Ces mesures ne suffisent plus lorsque....
Vous mettez en oeuvre des traitements de données susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes.
Dans ce cas, vous devez gérer ces risques de façon spécifique.