Tracer les accès et prévoir des procédures est primordial afin de réagir correctement en cas de violation des données. Notamment en cas d’atteinte à la confidentialité, à l’intégrité ou à la disponibilité de vos données. La CNIL recommande quelques précautions élémentaires pour y répondre correctement.
Les données d’une entreprise peuvent intéresser beaucoup de monde, il est nécessaire de mettre en place certains outils et certaines procédures afin de réduire les risques, de protéger vos utilisateurs et de pouvoir réagir rapidement et correctement en cas de problème.
La CNIL (Commission Nationale de l’Informatique et des Libertés) qui régit tout ce qui touche à la vie privée, aux données personnelles et de façon plus large, tout ce qui touche à la protection des données des Français, a mis en place six précautions élémentaires pour toute entreprise.
À faire !
Les 6 précautions élémentaires de la CNIL :
👉Prévoyez un système d’enregistrement d’activité de votre connexion internet et des anomalies de sécurité.
C’est ce qu’on appelle un système de journalisation ou un journal de logs. Cette précaution, au-delà d’être élémentaire, est surtout obligatoire pour toute entreprise. Elle permet de tracer l’activité internet de tous les utilisateurs du réseau.
👉Faites de la pédagogie auprès de vos utilisateurs.
Les utilisateurs doivent être informés de l’existence de ce système de journalisation. Il est important aussi de les informer sur les règles de base comme les ouvertures prudentes de pièce jointe dans les mails par exemple.
👉Protégez les sauvegardes contre les accès non autorisés.
Les utilisateurs dont l’accès est journalisé ne doivent pas pouvoir accéder au système de journalisation.
👉Examinez les journalisations régulièrement afin d’y détecter d’éventuelles anomalies.
👉Assurer que les gestionnaires du dispositif de gestion des traces notifient, dans les plus brefs délais, toute anomalie ou tout incident de sécurité au responsable de traitement.
👉Notifier toute violation de données à caractère personnel à la CNIL et, sauf exception prévue par le RGPD, aux personnes concernées pour qu’elles puissent en limiter les conséquences.
À ne surtout pas faire !
La CNIL interdit d’utiliser les informations issues des systèmes de journalisation à d’autres fins que celles de garantir le bon usage du système informatique (par exemple, utiliser les traces pour compter les heures travaillées est un détournement de finalité, puni par la Loi).
Pour résumer
Si vous souhaitez en apprendre plus, vous pouvez consulter le site de la CNIL qui regorge d’informations et d’articles : https://www.cnil.fr/
Vous pouvez également nous consulter. Nos solutions ARTICA, en plus de réaliser du filtrage, propose un système de journalisation qui vous permet de respecter les précautions indiquées par la CNIL. Nous sommes à votre disposition si besoin : 0.252.352.452.
Si vous êtes une collectivité : ARTICA est référencé UGAP, SIPPEREC, Orange Cyberdéfense et par la Direction Interministérielle du Numérique.
Source : https://www.cnil.fr/fr/securite-tracer-les-acces-et-gerer-les-incidents