Le GDPR comprend 2 grands volets :
- un volet juridique/administratif
- un volet technique.
Après vous avoir parlé du volet juridique et administratif, c’est sur ce 2ème volet technique que nous souhaitons attirer votre attention dans cet article blog.
Il est important de respecter des «bonnes pratiques» pour se mettre en conformité avec la norme GDPR. Les principaux acteurs du marché IT se sont déjà mis en conformité, ou le seront dans les semaines à venir.
Vous trouverez ci-dessous une liste des points prioritaires pour votre PME
Chiffrement de données
Le chiffrement de données consiste à rendre illisibles des données informatiques, sauf si une action spécifique est exercée pour en autoriser l’accès.
Il existe des solutions qui permettent le chiffrement des emails, des fichiers, des disques durs médias amovibles, … le tout avec une console centralisée qui permet une gestion simple de la solution. Le chiffrement des données est sans doute LA solution à mettre en place en priorité dans les PME.
Politique d’accès utilisateurs
Il est important de définir en interne QUI a accès à QUOI, et quelle est la politique d’accès définie par le responsable IT en interne. L’idéal est d’avoir un réseau en «domaine», çàd avec des droits d’administration définis au niveau de votre serveur (local ou en Cloud). Cette politique d’accès doit être définie en amont par la direction de la société, pour être en adéquation avec les besoins opérationnels, mais aussi les contingences de sécurité. Cette politique d’accès doit inclure des mesures pour éviter tout risque de fuite de données de la société.
Stratégie de backup et plan de reprise d’activité
La bonne conservation et la pérennité de vos données sont devenues un enjeu stratégique pour l’ensemble des sociétés. Il est donc important de vous équiper d’une solution de backup digne de ce nom, qui vous évitera un perte de données totale ou partielle.
Nous conseillons 2 niveaux de backup à nos clients :
- 1er niveau «local» sur un support type NAS, cela vous prémunit donc en cas de cryptovirus, cyberattaque, défaillance physique/technique
- 2ème niveau «déporté», cela vous prémunit en cas de Désastre (feu, vol, inondation, vandalisme)
Le GDPR impose une politique de backup réfléchie et permettant d’assurer la bonne conservation des données privées.
En complément, un plan de reprise d’activité doit être défini clairement par le client, avec un délai maximum de remise en service de son outil informatique (en mode dégradé et en mode 100% opérationnel)
Solution de transfert de fichiers
De nombreuses sociétés utilisent des solutions gratuites de transfert de fichiers volumineux, qui ne respectent pas toujours les bonnes pratiques du GDPR. Il existe sur le marché des solutions vous permettant une traçabilité et un suivi, répondant aux normes européennes du GDPR.
Sécurité du réseau
Il est bien sûr impératif que votre sécurité de base soit garantie, il est donc indispensable de disposer d’un pare-feu mis à jour en permanence, et d’une solution anti-virus professionnelle bien mise à jour.
Méthode de détection de fuite de données
Appelé aussi DLP (Derrière La Porte), cette fonctionnalité est présente sur les firewalls professionnels disposant d’un firmware nouvelle génération. Vérifiez bien que cette fonctionnalité est activée sur votre infrastructure.
Certificats SSL
Il est conseillé de recourir à ce type de certificat pour vos plateformes Web et pour l’accès à distance à vos logiciels métiers, profils mail.
Sécurisation de l’espace physique
Le GDPR vous oblige à décrire la sécurité d’accès à l’espace physique contenant les éléments stratégiques de votre réseau : serveur, support backup Niveau 1, switch, firewall, … Il faut donc y décrire qui y a accès et via quel moyen technique : simple clé, badge, empreinte digitale. Il est important également de tracer qui a accès à quel espace.
Cryptage/Traçabilité des opérations dans votre logiciel métier/comptable
Vous avez sans doute un logiciel métier/comptable qui vous accompagne dans votre activité au quotidien, … il est important de vous assurer que ce logiciel propose un minimum de cryptage/traçabilité intégrée. Cela vous permettra de limiter l’accès aux données, et de définir qui a modifié quelle information sur votre solution logicielle.
Droit à la rectification et à l’oubli
De manière à respecter ce droit fondamental du GDPR, nous conseillons la mise en place d’un formulaire Web où l’individu pourra demander la correction ou l’effacement de ses données personnelles.
Procédure en cas de fuite de données
Quelle est la procédure en cas de fuite de données privées, sachant que la Commission sur la Vie Privée doit être prévenue endéans les 72 heures ? Qui est responsable de la détection de cette fuite potentielle, et quelles sont les actions qui doivent être prises pour prévenir les autorités compétentes, et surtout éviter que cela ne se reproduise à l’avenir ? Cela doit être clairement défini par la Direction de la société.