Le mot de notre RSSI

Politique d’habilitation d’accès aux données

Conformément aux recommandations de la CNIL, chaque organisation doit mettre en en œuvre une politique d’habilitation d’accès aux données permettant d’assurer que seules les personnes habilitées aient accès aux données relevant de leurs responsabilités.

« Chaque utilisateur du système ne doit pouvoir accéder qu’aux données dont il a besoin pour l’exercice de sa mission. Concrètement, cela se traduit par la mise en place d’un mécanisme de définition des niveaux d’habilitation d’un utilisateur dans le système, et d’un moyen de contrôle des permissions d’accès aux données.

Il convient de veiller également à ce que les utilisateurs soient conscients des menaces en termes de sécurité, ainsi que des enjeux concernant la protection des données personnelles »

En effet, laisser un accès à l’ensemble de vos collaborateurs sur des fichiers sensibles est un risque de sécurité important ,doublé d’un risque judiciaire pour certains secteurs tels ceux gérant de la donnée de santé à caractère personnel.C’est pourquoi nous vous recommandons de réviser selon votre activité cette matrice des droits sur une base idéalement mensuelle et a minima trimestrielle.

Politique d’authentification et mot de passe

Grace désormais aux problèmes de ransomwares ou hacking relayés par les médias, nous sommes désormais plus sensibles à la sécurisation de nos accès à nos comptes personnels mais cette vigilance s’estompe parfois dans le cadre professionnel. La sécurité débute avant tout par l’application au quotidien de règles simples par tous .

La CNIL dans son guide de sécurité des données personnelles nous indique des règles sur l’installation d’un parefeu, l’utilisation d’un antivirus à jour, le verrouillage des sessions et la gestion des mots de passe.

La complexité des mots de passe c’est-à-dire 8 caractère minimum avec chiffres lettres et caractères spéciaux, composé d’au moins 3 types de caractères différents et une fréquence de changement de mots de passe tous les 3 mois (publication du 11Mars 2014 site CNIL).

Par ailleurs, l’ANSSI a également publié des recommandations sur les mots de passe dans sa note technique « Recommandations de sécurité relatives aux mots de passe » du 5 juin 2012. Outre la complexité des mots de passe, cette note attire l’attention sur les fréquences de changement et les recommandations minimales à respecter.

Nous vous recommandons de vous conformer aux recommandations de la CNIL et de l’ANSSI via l’utilisation d’une de ces méthodes : chiffrement symétrique avec l’algorithme AES avec une clé de 128bits chiffrement asymétrique avec l’algorithme RSA avec une taille de module de 3072 bits.

 

L’objectif que mon Adjoint et moi avons ici est de vous partager des bonnes pratiques ou des cas d’école afin de contribuer à la sécurisation de vos systèmes d’information. A votre disposition pour partager vos expériences ! M. BETOUS