Recommandations de l’ANSSI sur la protection en confidentialité des données
Face aux risques pesant sur la confidentialité des données personnelles, entreprises et professions libérales ont intérêt à se munir d’une protection informatique maximale. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) rappelle quelques principes à mettre en œuvre dans ce but.
Se protéger contre les intrusions
Depuis 2018, le Règlement Général sur la Protection des Données (RGPD) garantit le droit de toute personne ou entreprise à contrôler l’usage de ses données à caractère personnel ou confidentiel. C’est donc l’obligation d’assurer la protection de ces données que le RGPD soumet aux organismes chargés de leur traitement. L‘ANSSI insiste sur les réflexes à adopter dans cette lutte pour la sécurité des données personnelles.
La première mesure de cybersécurité consiste à protéger les systèmes contre l’accès non autorisé. L’environnement de travail est le premier concerné : seul le niveau de confidentialité strictement nécessaire est accordé dans le cadre de l’utilisation des outils. Le droit d’accès de chaque utilisateur est donc rigoureusement contrôlé.
Toute connexion à un réseau doit également faire l’objet d’une surveillance particulière. L’emploi d’un pare-feu et d’un système d’authentification de chaque utilisateur est de mise. La mise à jour des systèmes permet de corriger les éventuelles failles de sécurité. Bien entendu, tout échange à caractère privé doit être prohibé dans une messagerie professionnelle.
Des données systématiquement chiffrées
Cependant, de toutes les mesures de sécurité informatique à prendre, le chiffrement des données sensibles est celle qui doit être systématique et universelle. La politique de chiffrement s’applique à tous les documents contenant des données personnelles ou sensibles, qu’ils soient entreposés sur un support de stockage ou transmis à un tiers.
Plusieurs logiciels permettent d’effectuer aisément cette opération. Une clef de chiffrement/déchiffrement est générée et transmise, par un canal différent de celui suivi par les données en question, à l’utilisateur chargé du traitement. Tout fichier intercepté restera par conséquent illisible, sauf pour l’utilisateur qui dispose des droits matérialisés par le mot de passe de déchiffrement.
Cette politique de chiffrement s’accompagne d’une nécessaire discipline dans la gestion des clefs d’accès que sont les codes de chiffrement et les mots de passe. Diversifier et remplacer régulièrement ces clefs diminue les risques de piratage.
Mieux vaut prévenir que guérir
Toute stratégie de cybersécurité implique à la base de réaliser une sauvegarde régulière des données, et d’assurer la sécurité non seulement informatique, mais aussi physique de ces mêmes données.
De même, la création d’un journal d’activité, qui consigne toutes les actions des utilisateurs, est un moyen utile de connaître les faiblesses d’une organisation, ou déterminer les points critiques qui sont à l’origine d’une éventuelle fuite de données. Dans tous les cas, ces mesures ne sont qu’un soutien à une politique générale de protection préventive qui englobe toutes les actions précédemment décrites.
Ce qu’il faut retenir des conseils de l’ANSSI
Les exigences du RGPD rendent impérative l’obligation de préserver la confidentialité des données personnelles, dans le cadre de leur traitement et de leurs mouvements. La Commission Nationale de l’Informatique et des Libertés (CNIL) rappelle les conséquences qu’une négligence en la matière peut entraîner.
Une entreprise, si elle le peut, gagnera à solliciter les services d’un délégué à la protection des données. Pour les professions libérales, surtout lorsque l’activité revêt un caractère itinérant, l’application scrupuleuse de ces règles de sécurité constituera de loin la meilleure garantie de la protection des données.
Nos dernières actualités
- Quels sont les droits des salariés en matière de données personnelles ? 8 mai 2024
- Comment le RGPD protège-t-il les données des salariés ? 19 janvier 2024
- Recommandations de l’ANSSI sur la protection en confidentialité des données 18 janvier 2024
- Recommandations de l’ANSSI pour la protection des postes de travail des Professions Libérales et TPE/PME 17 décembre 2023
- RGPD : Comment déterminer les durées de conservation des données personnelles ? 24 novembre 2023