Voici quelques notes pour la mise en place du SI coté gestion de l’infrastructure.

Priorité

l’installation et desinstallation ; le paramétrage ; le maintien ; la mise à jour ; l’évolution ; la sauvegarde ; la restauration ; la planification ; la supervision ; le conseil ; le support ;

  1. La documentation
    1. Procédure d’arrivée et de départ et changement de fonction des utilisateurs
    2. Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau
    3. Disposer d’un inventaire exhaustif des comptes priviligiés et maintenir a jour
  2. La gestion des sauvegardes
  3. La gestion des mises à jour
  4. La sécurité
  5. La supervision
  6. L’automatisation
  7. Traçabilité et suivi des actions

J’ai essayé de réunir ces dernières par étape et par ordre de priorité ( C’est dernières sont bien évidemment a adapter en fonction de vos priorités )

  • 0 – L’environnement de travail : Voici quelques petits conseils afin d’obtenir un environnement de travail optimale 😉
  • 1 – Salle Serveur : Si vous avez la possibilité de partir sur une salle serveur toute neuve ou si vous souhaiter améliorer la votre
  • Controler et protéger l’accés aux salles serveurs et aux locaux techniqesd
  • 2 – Gestion d’infrastructure : Savoir gérer prestation/inventaire/documentation
  • 3 – Gestion d’équipe : Si vous possédez une petite équipe
  • 4 – Gestion des majs : Quelques notes sur le maintien de tous les jours de votre infrastructure
  • 5 – La sécurité : Voici quelques best practice afin de maintenir la sécurité de son infrastructure
  • 6 – Gestion des autres services : Exemple de plans afin d’améliorer les autres services ( comptabilité, RH )

Check RGPD

Source : https://www.tech2tech.fr/rgpd-etes-vous-pret/

Être très attentif dans la gestion des comptes de réseaux sociaux

Vérifier que dans votre organisation les doubles facteurs sont bien activé

Mettre en œuvre les mesures techniques et organisationnelles appropriées

Vous devez démontrer que vous avez pris en compte et intégré la protection des données dans vos activités de traitement. [Articles 5, 24, 25, 28 et 32]

  • Protection des données : Port des serveurs fermé
  • Gestionnaire des mots de passes
  • Mot de passe chiffré

Empêcher l’accès non autorisé aux données

L’accès non autorisé inclut également la destruction accidentelle ou illicite, la perte, l’altération ou la divulgation non autorisée de données personnelles transmises, stockées ou autrement traitées [Articles 4, 5, 23, 32]

  • Destruction accidentelle : Voir la Sauvegarde
  • La perte : Voir la Sauvegarde
  • Accès non autorisé :
  • gestionnaire de mot de passe
  • Protection des serveurs où se situe les logs
  • Destruction accidentelle : sauvegarde backuppc
  • Divulgation non autorisée : tenir un fichier excel des droits donnés à chaque personne + faire signer un doc

Informer les parties concernées d’un manquement

Vous devez informer votre autorité de surveillance et la tierce partie concernée de toute violation susceptible de «porter atteinte aux droits et libertés des personnes» dans les 72 heures suivant la première détection de la violation. [Articles 33, 34]

  • Envoyer mail aux utilisateurs pour prévenir norme rgpd: phpmylist
  • Faire un workflow de gestion de problème

Conserver des enregistrements impeccables

Vous devez conserver un registre des activités de traitement des données, y compris des informations sur les « destinataires auxquels les données personnelles ont été ou seront divulguées », c’est-à-dire qui a accès aux données. [Articles 5, 28, 30, 39, 47]

Registre des activités de traitement des données : mettre à quelle date et qui a travaillé sur les bases de données MySQL, postgresql

  • Cartographier son infra :
    • Diagramme des flux
  • Pour chaque serveur critiques ;:
    • Sauvegarde
    • Journalisation
    • Accés
  • Les serveurs, les passerelles et les matériels réseaux doivent être placés dans des salles spécifiques dont l’accès est protégé et limité aux seuls administrateurs
  • segmenter virtuellement le réseau informatique afin que les utilisateurs aient accès uniquement aux données et aux ressources dont ils ont besoin

Check RGPD Wifi

  • Acivation de point d’accés wifi personnel -> Non autorisé
  • Gestion des habilitations : Attribuéles droits suivant les besoins
  • Conformité : Compatibilité avec le IEEE 802.11
  • Portée : Dans les limites de l’infrastructure
  • Protection physique : Protégé de tous accés ( En hauteur )<
  • mot de passe : Mdp admin et SSID compliqué
  • Désactivation de WPS
  • Désactivation en plages hors du travail
  • Mise a jour des points d’accés
  • Journalisation
  • 1 réseau interne et 1 réseau invité

Check RGPD – Téléphone

MDM sur téléphone