Liste des choses faitesà faire :

Sensibiliser les utilisateurs

Informez et sensibilisez les personnes manipulant les donnéesRédigez une charte informatique et lui donner une force contraignante

Authentifier les utilisateurs

Définissez un identifiant (login) unique à chaque utilisateurAdoptez une politique de mot de passe utilisateur conforme à nos recommandationsObligez l’utilisateur à changer son mot de passe après réinitialisationLimitez le nombre de tentatives d’accès à un compte

Gérer les habilitations

Définissez des profils d’habilitation de tous les utilisateursSupprimez toutes les permissions d’accès obsolètesRéaliser une revue annuelle des habilitations

Tracer les accès et gérer les incidents

Prévoyez un système de journalisationInformez les utilisateurs de la mise en place du système de journalisationProtégez les équipements de journalisation et les informations journaliséesPrévoyez les procédures pour les notifications de violation de données à caractère personnel

Sécuriser les postes de travail

Prévoyez une procédure de verrouillage automatique de sessionUtilisez des antivirus mis à jour aussi rapidement que possibleInstallez un « pare-feu » (firewall) logiciel (à jour)Recueillez l’accord de l’utilisateur avant toute intervention sur son poste

Sécuriser l'informatique mobile

Prévoyez des moyens de chiffrement des équipements mobilesFaites des sauvegardes ou synchronisations régulières des donnéesExigez un code secret pour le déverrouillage des smartphones

Protéger le réseau informatique interne

Limitez les flux réseau au strict nécessaireSécurisez les accès distants des appareils informatiques nomades par VPNMettez en oeuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi

Sécuriser les serveurs

Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitéesInstallez sans délai les mises à jour critiquesAssurez une disponibilité des données par un pilotage de production

Sécuriser les sites web

Utilisez le protocole TLS et vérifiez sa mise en oeuvreVérifiez qu'aucun mot de passe ou identifiant ne passe dans les urlContrôlez que les entrées des utilisateurs correspondent à ce qui est attenduMettez un bandeau de consentement pour les cookies non nécessaires au service

Sauvegarder et prévoir la continuité d'activité

Effectuez des sauvegardes régulières avec des tests de restaurationStockez les supports de sauvegarde dans un endroit sûrPrévoyez des moyens de sécurité pour le convoyage des sauvegardesPrévoyez et testez régulièrement la continuité d'activité

Archiver de manière sécurisée

Mettez en oeuvre des modalités d’accès spécifiques aux données archivéesDétruisez les archives obsolètes de manière sécurisée

Encadrer la maintenance et la destruction des données

Enregistrez les interventions de maintenance dans une main couranteEncadrez par un responsable de l’organisme les interventions par des tiersEffacez les données de tout matériel avant sa mise au rebut

Gérer la sous-traitance

Prévoyez une clause spécifique dans les contrats des sous-traitantsPrévoyez les conditions de restitution et de destruction des donnéesAssurez-vous de l'effectivité des garanties prévues (audits de sécurité, visites, etc.)

Sécuriser les échanges avec d'autres organismes

Chiffrez les données avant leur envoi (avec un niveau de sécurité suffisant)Assurez-vous qu'il s'agit du bon destinataireTransmettez le code secret lors d'un envoi distinct et via un canal différent

Protéger les locaux

Restreignez les accès aux locaux au moyen de portes verrouilléesInstallez des alarmes anti-intrusion et vérifiez-les périodiquement

Encadrer les développements informatiques

Proposez des paramètres respectueux de la vie privée aux utilisateurs finauxÉvitez les zones de commentaires ou encadrez-les strictementTestez sur des données fictives ou anonymisées

Utiliser des fonctions cryptographiques

Utilisez des algorithmes, des logiciels et des bibliothèques reconnuesConservez les codes secrets et les clés cryptographiques de manière sécurisée

À l'exception de votre adresse mail pour conserver votre acception d'utilisation, aucune données ne sera conservée par notre société. En validant ce formulaire, vous acceptez les conditions générales d'utilisation des services de ce site.

 

Consulter les conditions d'utilisation des services du site rgpd-brest.fr