1 – Info

Textes RGPD complet :

  • https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN

2 – Action a effectuer

Restant a faire : https://www.cnil.fr/sites/default/files/atoms/files/check_list.pdf

https://www.isdecisions.fr/conformite/gestion-acces-donnees-personnelles-conformite-RGPD.htm

Source des infos ci-dessous : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

En violet les outils Opensource utile

Vous pouvez utiliser la liste ci-dessous en tant que checklist :

  • Sensibiliser les utilisateurs et son équipe :
    • Envoyer des mails, mettre en place des formations
    • Documenter les procédures d’exploitation
    • Rédiger une charte informatique
    • Faire un engagement de confidentialité
  • Authentifier les utilisateurs :
    • Mettre une authentification des plateformes
    • Mot de passe fort + carte a puce
  • Tracer les accès et gérer les incidents :
    • Mettre dans un fichiers ou tickets lors d’un incident
    • Vérifier que chaque serveur a son système de log OK
    • Vérifier les accés sur le système de journalisation
  • Gérer les habilitations :
    • Créer des système de rôles pour les droits
    • (Facultatif ) : Un fichier listing des abilitations Réaliser une revue annuelle des habilitations
  • Sécuriser les postes de travails :
    • Verrouillage session : Bitlocker
    • Mise a jour des logiciel : WAPT
    • Pas de droits admin
    • Antivirus
  • Sécuriser l’informatique mobile :
    • Mettre en place MDM ou contrôle des comptes Playstore
    • Chiffrement des téléphones
    • Pin carte SIM
    • Verrouillage auto
    • Facultatif : Synchro pas de donnée en dur
  • Sécuriser les serveurs
    • Firewall, fail2ban, accés SSH ( voir ansible d’installation )
    • Gestion des mises a jour : WSUS
  • Sécuriser les sites web :
    • Limiter les ports
    • https
    • Cookies : Mettre bande d’acceptation pour le consentement
    • Limiter le nombre de composants mis en œuvre
  • Protéger le réseau informatique interne
    • Wifi en WPA2 : Alcasar
    • VPN : Accès a distance
    • Firewall : Limitation des flux réseau
  • Sécurité : Sauvegarder et prévoir la continuité d’activité :
    • Sauvegarde fréquentes : Backuppc
    • Externalisation des sauvegardes : SSHFS
    • Faire un plan de reprise et de continuité PRA, PCA
    • Tester la sauvegarde et l’application du plan de continuité ou de reprise de l’activité.
  • Sécurité : Archiver de manière sécurisée
    • Essayer de définir un processus d’archive
  • Sous traitance :
    • Bon sous-traitants avec : garanties suffisantes
    • Choix du service de Cloud en faisant attention a la localisation géographique
  • Sécurité : Sécuriser les échanges ( Mail, tiers, client )
    • Chiffrer les données avant leur enregistrement sur un support physique à transmettre à un tiers
    • Chiffrer les pièces
    • Utilisation de canal chiffré gnupg
  • Sécurité : Protection des locaux
    • Alarmes anti-intrusion
    • Détecteurs de fumée
    • Contrôle d’accès dédié pour la salle informatique
    • Surélévation contre d’éventuelles inondations, redondance d’alimentation électrique et/ou de climatisation
  • Sécurité : Chiffrer, garantir l’intégrité ou signer

En détail

  • Communiquer son mot de passe à autrui.
  • Stocker ses mots de passe dans un fichier en clair, sur un papier ou dans un lieu facilement accessible par d’autres personnes.
  • Enregistrer ses mots de passe dans son navigateur sans mot de passe maître.
  • Utiliser des mots de passe ayant un lien avec soi (nom, date de naissance, etc.).
  • Utiliser le même mot de passe pour des accès différents.
  • Conserver les mots de passe par défaut.
  • S’envoyer par e-mail ses propres mots de passe.