| Fiche | Mesure | ||
| 1 | Sensibiliser les utilisateurs | Informez et sensibilisez les personnes manipulant les données | |
| Rédigez une charte informatique et lui donner une force contraignante | |||
| 2 | Authentifier les utilisateurs | Définissez un identifiant (login) unique à chaque utilisateur | |
| Adoptez une politique de mot de passe utilisateur conforme à nos recommandations | |||
| Obligez l’utilisateur à changer son mot de passe après réinitialisation | |||
| Limitez le nombre de tentatives d’accès à un compte | |||
| 3 | Gérer les habilitations | Définissez des profils d’habilitation | |
| Supprimez les permissions d’accès obsolètes | |||
| Réaliser une revue annuelle des habilitations | |||
| 4 | Tracer les accès et gérer les incidents | Prévoyez un système de journalisation | |
| Informez les utilisateurs de la mise en place du système de journalisation | |||
| Protégez les équipements de journalisation et les informations journalisées | |||
| Prévoyez les procédures pour les notifications de violation de données à caractère personnel | |||
| 5 | Sécuriser les postes de travail | Prévoyez une procédure de verrouillage automatique de session | |
| Utilisez des antivirus régulièrement mis à jour | |||
| Installez un « pare-feu » (firewall) logiciel | |||
| Recueillez l’accord de l’utilisateur avant toute intervention sur son poste | |||
| 6 | Sécuriser l’informatique mobile | Prévoyez des moyens de chiffrement des équipements mobiles | |
| Faites des sauvegardes ou synchronisations régulières des données | |||
| Exigez un secret pour le déverrouillage des smartphones | |||
| 7 | Protéger le réseau informatique interne | Limitez les flux réseau au strict nécessaire | |
| Sécurisez les accès distants des appareils informatiques nomades par VPN | |||
| Mettez en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi | |||
| 8 | Sécuriser les serveurs | Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitées | |
| Installez sans délai les mises à jour critiques | |||
| Assurez une disponibilité des données | |||
| 9 | Sécuriser les sites web | Utilisez le protocole TLS et vérifiez sa mise en œuvre | |
| Vérifiez qu’aucun mot de passe ou identifiant ne passe dans les url | |||
| Contrôlez que les entrées des utilisateurs correspondent à ce qui est attendu | |||
| Mettez un bandeau de consentement pour les cookies non nécessaires au service | |||
| 10 | Sauvegarder et prévoir la continuité d’activité | Effectuez des sauvegardes régulières | |
| Stockez les supports de sauvegarde dans un endroit sûr | |||
| Prévoyez des moyens de sécurité pour le convoyage des sauvegardes | |||
| Prévoyez et testez régulièrement la continuité d’activité | |||
| 11 | Archiver de manière sécurisée | Mettez en œuvre des modalités d’accès spécifiques aux données archivées | |
| Détruisez les archives obsolètes de manière sécurisée | |||
| 12 | Encadrer la maintenance et la destruction des données | Enregistrez les interventions de maintenance dans une main courante | |
| Encadrez par un responsable de l’organisme les interventions par des tiers | |||
| Effacez les données de tout matériel avant sa mise au rebut | |||
| 13 | Gérer la sous-traitance | Prévoyez une clause spécifique dans les contrats des sous-traitants | |
| Prévoyez les conditions de restitution et de destruction des données | |||
| Assurez-vous de l’effectivité des garanties prévues (audits de sécurité, visites, etc.) | |||
| 14 | Sécuriser les échanges avec d’autres organismes | Chiffrez les données avant leur envoi | |
| Assurez-vous qu’il s’agit du bon destinataire | |||
| Transmettez le secret lors d’un envoi distinct et via un canal différent | |||
| 15 | Protéger les locaux | Restreignez les accès aux locaux au moyen de portes verrouillées | |
| Installez des alarmes anti-intrusion et vérifiez-les périodiquement | |||
| 16 | Encadrer les développements informatiques | Proposez des paramètres respectueux de la vie privée aux utilisateurs finaux | |
| Évitez les zones de commentaires ou encadrez-les strictement | |||
| Testez sur des données fictives ou anonymisées | |||
| 17 | Utiliser des fonctions cryptographiques | Utilisez des algorithmes, des logiciels et des bibliothéques reconnues | |
| Conservez les secrets et les clés cryptographiques de manière sécurisée | |||