Sécuriser les données : les bonnes pratiques
Entreprises et collectivités doivent respecter certaines règles pour améliorer la sauvegarde de leurs données. La CNIL décrit, dans une quinzaine de fiches détaillées, les précautions élémentaires à adopter systématiquement. Outre la sensibilisation des utilisateurs et la sécurisation des postes de travail, il faut limiter les accès aux seules données dont un agent a besoin. Ces accès doivent être enregistrés dans un dispositif de gestion des traces et des incidents (logs) – pendant six mois maximum et en prévenant les utilisateurs – afin d’identifier un accès frauduleux. Il convient de sécuriser les équipements mobiles par des sauvegardes synchronisées et un chiffrement des appareils nomades, des clefs USB… Afin de protéger le réseau informatique, il faut gérer les réseaux Wi-Fi et garantir la confidentialité des informations des sites web. Des sauvegardes fréquentes et l’adoption d’un plan de continuité ou de reprise d’activité en cas d’incident limiteront l’impact d’une disparition de données.
La CNIL conseille aussi de prévoir un archivage sécurisé des données qui ne sont plus utilisées, mais n’ont pas atteint leur durée limite de conservation, gardées pour un éventuel contentieux par exemple. Une procédure doit encadrer la maintenance et la destruction des données pour maîtriser l’accès des prestataires au système d’information. Attention également à sécuriser les fichiers communiqués aux sous-traitants ou transmis à d’autres organismes. Il ne faut pas oublier non plus d’effacer les informations sur les matériels mis au rebut. La sécurité et la protection de la vie privée doivent être intégrées au plus tôt dans les projets. La CNIL précise que la confidentialité et l’intégrité d’une information sont obtenues par diverses techniques : hachage, chiffrement, signature numérique… Enfin, les locaux qui hébergent les serveurs informatiques doivent être prémunis contre les risques physiques : alarmes, détecteurs de fumée, etc.