Recommandations de l’ANSSI sur la protection en confidentialité des données

recommandations ANSSI protection confidentialité données

Face aux risques pesant sur la confidentialité des données personnelles, entreprises et professions libérales ont intérêt à se munir d’une protection informatique maximale. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) rappelle quelques principes à mettre en œuvre dans ce but.

Se protéger contre les intrusions

Depuis 2018, le Règlement Général sur la Protection des Données (RGPD) garantit le droit de toute personne ou entreprise à contrôler l’usage de ses données à caractère personnel ou confidentiel. C’est donc l’obligation d’assurer la protection de ces données que le RGPD soumet aux organismes chargés de leur traitement. LANSSI insiste sur les réflexes à adopter dans cette lutte pour la sécurité des données personnelles.

La première mesure de cybersécurité consiste à protéger les systèmes contre l’accès non autorisé. L’environnement de travail est le premier concerné : seul le niveau de confidentialité strictement nécessaire est accordé dans le cadre de l’utilisation des outils. Le droit d’accès de chaque utilisateur est donc rigoureusement contrôlé.

Toute connexion à un réseau doit également faire l’objet d’une surveillance particulière. L’emploi d’un pare-feu et d’un système d’authentification de chaque utilisateur est de mise. La mise à jour des systèmes permet de corriger les éventuelles failles de sécurité. Bien entendu, tout échange à caractère privé doit être prohibé dans une messagerie professionnelle.

Des données systématiquement chiffrées

Cependant, de toutes les mesures de sécurité informatique à prendre, le chiffrement des données sensibles est celle qui doit être systématique et universelle. La politique de chiffrement s’applique à tous les documents contenant des données personnelles ou sensibles, qu’ils soient entreposés sur un support de stockage ou transmis à un tiers.

Plusieurs logiciels permettent d’effectuer aisément cette opération. Une clef de chiffrement/déchiffrement est générée et transmise, par un canal différent de celui suivi par les données en question, à l’utilisateur chargé du traitement. Tout fichier intercepté restera par conséquent illisible, sauf pour l’utilisateur qui dispose des droits matérialisés par le mot de passe de déchiffrement.

Cette politique de chiffrement s’accompagne d’une nécessaire discipline dans la gestion des clefs d’accès que sont les codes de chiffrement et les mots de passe. Diversifier et remplacer régulièrement ces clefs diminue les risques de piratage.

Mieux vaut prévenir que guérir

Toute stratégie de cybersécurité implique à la base de réaliser une sauvegarde régulière des données, et d’assurer la sécurité non seulement informatique, mais aussi physique de ces mêmes données. 

De même, la création d’un journal d’activité, qui consigne toutes les actions des utilisateurs, est un moyen utile de connaître les faiblesses d’une organisation, ou déterminer les points critiques qui sont à l’origine d’une éventuelle fuite de données. Dans tous les cas, ces mesures ne sont qu’un soutien à une politique générale de protection préventive qui englobe toutes les actions précédemment décrites.

Ce qu’il faut retenir des conseils de l’ANSSI 

Les exigences du RGPD rendent impérative l’obligation de préserver la confidentialité des données personnelles, dans le cadre de leur traitement et de leurs mouvements. La Commission Nationale de l’Informatique et des Libertés (CNIL) rappelle les conséquences qu’une négligence en la matière peut entraîner. 

Une entreprise, si elle le peut, gagnera à solliciter les services d’un délégué à la protection des données. Pour les professions libérales, surtout lorsque l’activité revêt un caractère itinérant, l’application scrupuleuse de ces règles de sécurité constituera de loin la meilleure garantie de la protection des données.

Image de Pierre Bouffay
Pierre Bouffay

Vous souhaitez profiter du RGPD pour vous sécuriser ?