Sensibiliser les utilisateurs
Informez et sensibilisez les personnes manipulant les données
Rédigez une charte informatique et lui donner une force contraignante
Authentifier les utilisateurs
Définissez un identifiant (login) unique à chaque utilisateur
Adoptez une politique de mot de passe utilisateur conforme à nos recommandations
Obligez l’utilisateur à changer son mot de passe après réinitialisation
Limitez le nombre de tentatives d’accès à un compte
Gérer les habilitations
Définissez des profils d’habilitation
Supprimez les permissions d’accès obsolètes
Réaliser une revue annuelle des habilitations
Tracer les accès et gérer les incidents
Prévoyez un système de journalisation
Informez les utilisateurs de la mise en place du système de journalisation
Protégez les équipements de journalisation et les informations journalisées
Prévoyez les procédures pour les notifications de violation de données à caractère personnel
Sécuriser les postes de travail
Prévoyez une procédure de verrouillage automatique de session
Utilisez des antivirus régulièrement mis à jour
Installez un « pare-feu » (firewall) logiciel
Recueillez l’accord de l’utilisateur avant toute intervention sur son poste
Sécuriser l'informatique mobile
Prévoyez des moyens de chiffrement des équipements mobiles
Faites des sauvegardes ou synchronisations régulières des données
Exigez un secret pour le déverrouillage des smartphones
Protéger le réseau informatique interne
Limitez les flux réseau au strict nécessaire
Sécurisez les accès distants des appareils informatiques nomades par VPN
Mettez en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
Sécuriser les serveurs
Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitées
Installez sans délai les mises à jour critiques
Assurez une disponibilité des données
Sécuriser les sites web
Utilisez le protocole TLS et vérifiez sa mise en œuvre
Vérifiez qu'aucun mot de passe ou identifiant ne passe dans les url
Contrôlez que les entrées des utilisateurs correspondent à ce qui est attendu
Mettez un bandeau de consentement pour les cookies non nécessaires au service
Sauvegarder et prévoir la continuité d'activité
Effectuez des sauvegardes régulières
Stockez les supports de sauvegarde dans un endroit sûr
Prévoyez des moyens de sécurité pour le convoyage des sauvegardes
Prévoyez et testez régulièrement la continuité d'activité
Archiver de manière sécurisée
Mettez en œuvre des modalités d’accès spécifiques aux données archivées
Détruisez les archives obsolètes de manière sécurisée
Encadrer la maintenance et la destruction des données
Enregistrez les interventions de maintenance dans une main courante
Encadrez par un responsable de l’organisme les interventions par des tiers
Effacez les données de tout matériel avant sa mise au rebut
Gérer la sous-traitance
Prévoyez une clause spécifique dans les contrats des sous-traitants
Prévoyez les conditions de restitution et de destruction des données
Assurez-vous de l'effectivité des garanties prévues (audits de sécurité, visites, etc.)
Sécuriser les échanges avec d'autres organismes
Chiffrez les données avant leur envoi
Assurez-vous qu'il s'agit du bon destinataire
Transmettez le secret lors d'un envoi distinct et via un canal différent
Protéger les locaux
Restreignez les accès aux locaux au moyen de portes verrouillées
Installez des alarmes anti-intrusion et vérifiez-les périodiquement
Encadrer les développements informatiques
Proposez des paramètres respectueux de la vie privée aux utilisateurs finaux
Évitez les zones de commentaires ou encadrez-les strictement
Testez sur des données fictives ou anonymisées
Utiliser des fonctions cryptographiques
Utilisez des algorithmes, des logiciels et des bibliothéques reconnues
Conservez les secrets et les clés cryptographiques de manière sécurisée
