ÉVALUER LE NIVEAU DE SÉCURITÉ DES DONNÉES PERSONNELLES DE MON ORGANISME – Niveau 1 | Conciergerie RGPD 24/7 ×
Notre métier : votre tranquillité

Évaluation de votre NIVEAU DE SÉCURITÉ de niveau 1

Source Cnil : Guide de la sécurité des données personnelles 2024

1/5 UTILISATEURS

FICHE N° 1 – Piloter la sécurité des données

Impliquer la direction et formaliser des objectifs de sécurité des données

Recenser les traitements de données personnelles dans un registre

Définir un plan d’action relatif à la sécurité et contrôler périodiquement son effectivité

FICHE N° 2 – Définir un cadre pour les utilisateurs

Rédiger une charte informatique et lui donner une force contraignante

Préciser les modalités d’utilisation des moyens informatiques et les sanctions encourues

FICHE N° 3 – Impliquer et former les utilisateurs

Sensibiliser les utilisateurs aux risques liés aux libertés et à la vie privée

Déployer des campagnes de sensibilisation adaptées aux fonctions des collaborateurs

Documenter les procédures d’exploitation et s’assurer de l’assimilation des bonnes pratiques

FICHE N° 4 – Authentifier les utilisateurs

Définir un identifiant unique par utilisateur et interdire les comptes partagés

Respecter les recommandations de la CNIL sur la complexité des mots de passe

FICHE N° 5 – Gérer les habilitations

Définir des profils d’habilitation dans les systèmes en séparant les tâches et les droits

Supprimer les permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités et réaliser une revue régulière des habilitations

2/5 INFORMATIQUE & ÉQUIPEMENTS

FICHE N° 6 – Sécuriser les postes de travail

Prévoir une procédure de verrouillage automatique de session

Installer et configurer un pare-feu (« firewall » en anglais) logiciel

Utiliser des antivirus régulièrement mis à jour

Recueillir l’accord de l’utilisateur avant toute intervention sur son poste

FICHE N° 7 – Sécuriser l’informatique mobile

Sensibiliser les utilisateurs aux risques spécifiques du nomadisme

Prévoir des moyens de chiffrement des équipements mobiles

Exiger un secret pour le déverrouillage des smartphones

FICHE N° 8 – Protéger le réseau informatique

Limiter les flux réseau au strict nécessaire

Sécuriser les réseaux Wi-Fi, notamment en mettant en œuvre le protocole WPA3

Sécuriser les accès distants des appareils informatiques nomades par VPN

Cloisonner le réseau, entre autres en mettant en place une DMZ (zone démilitarisée)

FICHE N° 9 – Sécuriser les serveurs

Désinstaller ou désactiver les services et interfaces inutiles

Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées

Installer sans délai les mises à jour critiques après les avoir testées le cas échéant

FICHE N° 10 – Sécuriser les sites web

Sécuriser les flux d’échange des données

Vérifier qu’aucun secret ou donnée personnelle ne passe par les URL

Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu

FICHE N° 11 – Encadrer les développements informatiques

Prendre en compte la protection des données personnelles dès la conception

Proposer des paramètres respectueux de la vie privée par défaut

Réaliser des tests complets avant la mise à disposition ou la mise à jour d’un produit

Utiliser des données fictives ou anonymisées pour le développement et les tests

FICHE N° 12 – Protéger les locaux

Restreindre les accès aux locaux au moyen de portes verrouillées

Installer des alarmes anti-intrusion et les vérifier périodiquement

3/5 MAÎTRISE DES DONNÉES

FICHE N° 13 – Sécuriser les échanges avec l’extérieur

Chiffrer les données avant leur envoi

S’assurer qu’il s’agit du bon destinataire

Transmettre le secret lors d’un envoi distinct et via un canal différent

FICHE N° 14 – Gérer la sous-traitance

Prévoir des clauses spécifiques dans les contrats des sous-traitants

Prévoir les conditions de restitution et de destruction des données

S’assurer de l’effectivité des garanties prévues (ex. : audits de sécurité, visites)

FICHE N° 15 – Encadrer la maintenance et la fin de vie des matériels et logiciels

Enregistrer les interventions de maintenance dans une main courante

Encadrer les interventions de tiers par un responsable de l’organisme

Effacer les données de tout matériel avant sa mise au rebut

4/5 ANTICIPER UN INCIDENT

FICHE N° 16 – Tracer les opérations

Prévoir un système de journalisation

Informer les utilisateurs de la mise en place du système de journalisation

Protéger les équipements de journalisation et les informations journalisées

Analyser régulièrement les traces pour détecter la survenue d’un incident

FICHE N° 17 – Sauvegarder

Effectuer des sauvegardes régulières

Protéger les sauvegardes, autant pendant leur stockage que leur convoyage

Tester régulièrement la restauration des sauvegardes et leur intégrité

FICHE N° 18 – Prévoir la continuité et la reprise d’activité

Prévoir un plan de continuité et de reprise d’activité

Effectuer des exercices régulièrement

FICHE N° 19 – Gérer les incidents et les violations

Traiter les alertes remontées par le système de journalisation

Prévoir les procédures et les responsabilités internes pour la gestion des incidents, dont la procédure de notification aux régulateurs des violations de données personnelles

5/5 FOCUS

FICHE N° 20 – Analyse de risques

Mener une analyse de risques, même minimale, sur les traitements de données envisagés

Suivre au cours du temps l’avancement du plan d’action décidé à l’issue de l’analyse de risques

Revoir régulièrement l’analyse de risques

FICHE N° 21 – Chiffrement, hachage, signature

Utiliser des algorithmes, des logiciels et des bibliothèques reconnues et sécurisées

Conserver les secrets et les clés cryptographiques de manière sécurisée

FICHE N° 22 – Cloud : Informatique en nuage

Inclure les services cloud dans l’analyse de risques

Évaluer la sécurité mise en place par le fournisseur

Veiller à la répartition des responsabilités de sécurité dans le contrat

Assurer le même niveau de sécurité dans le cloud que sur site

FICHE N° 23 – Applications mobiles : Conception et développement

Prendre en compte les spécificités de l’environnement mobile pour réduire les données personnelles collectées et limiter les permissions demandées

Encapsuler les communications dans un canal TLS

Utiliser les suites cryptographiques du système d’exploitation et les protections matérielles des secrets

FICHE N° 24 – Intelligence artificielle : Conception et apprentissage

Adopter les bonnes pratiques de sécurité applicables au développement informatique

Veiller à la qualité et l’intégrité des données utilisées pour l’apprentissage et l’inférence

Documenter le fonctionnement et limitations du système

FICHE N° 25 – API : Interfaces de programmation applicative

Organiser et documenter la sécurité des accès aux API et aux données

Limiter le partage des données uniquement aux personnes et aux finalités prévues

Spécial abonnés

En complément des recommandations de la Cnil : retrouvez une feuille de route précise et détaillée dans votre espace client.

×

Limite d’Essai Libre Atteinte

Vous avez atteint le nombre maximum d’utilisateur en ‘Essai libre’ possédant le même nom de domaine que le votre. Notre service est désormais accessible avec la formule de votre choix.

×

Identifier mon activité

×