I- Définition des termes:

 

La sécurité est représentée par une situation dans laquelle quelqu'un, quelque chose n'est exposé à aucun danger, à aucun risque.  La sécurité des données est la branche qui s'intéresse principalement aux données, en complément des aspects de traitement de l'information.

L'accés représente la Possibilité pour quelqu'un, pour un groupe, d'accéder à une connaissance, de la posséder et de la maîtriser.

 

 

II- La sécurité et l'accès aux données :

 

L'article 34 de la loi « Informatique et Libertés » impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction de leur nature et des risques supposés. Il doit en particulier empêcher l’accès à ces données aux tiers non autorisés à les consulter.

Un bailleur social doit ainsi prendre un certain nombre de précautions lorsqu’il envisage de conserver, de communiquer ou de rendre accessibles des données à caractère personnel. La sécurisation d’un système d’information exige de prendre en compte tous les aspects de sa gestion, tant au niveau organisationnel que technique, ainsi que réévaluer régulièrement les mesures initialement prises.

 

 

Il y a plusieurs moyens pour sécuriser nos données afin de resteindre leur accès : 

 

1- L'authentification des utilisateurs :

 

Le responsable d’un système informatique doit s’assurer que chaque utilisateur ne peut accéder qu’aux seules données dont il a besoin pour l’exercice de son activité. Pour cela, ils doivent disposer d’un identifiant unique et s’authentifier avant d’accéder au système. Lorsque l’authentification ou l’identification des utilisateurs est assurée par de mots de passe, la CNIL considère que ceux-ci doivent être constitués d’au moins huit caractères, à choisir parmi trois types différents (majuscules, minuscules, chiffres, caractères spéciaux), et être régulièrement renouvelés.

 

2- La gestion des habilitations :

 

Des profils d’habilitation doivent être définis pour déterminer les types de données accessibles à une catégorie d’utilisateur. Une procédure de gestion des habilitations doit être formalisée afin d’assurer leur mise à jour, notamment pour supprimer les permissions d’accès des utilisateurs qui ne sont plus habilités ou qui ont quitté l’organisme. Cette procédure doit également prévoir des contrôles des habilitations afin de s’assurer que les permissions d’accès aux données ne sont pas détournées.

 

3- Sensibilisation des utilisateurs et formalisation des règles de sécurité :

 

Une charte informatique, qui doit être annexée au règlement intérieur, peut être rédigée afin d’informer et responsabiliser les usagers, notamment sur les points suivants : le rappel des règles de protection des données, le champ d’application de la charte, les modalités d’utilisation des moyens informatiques et de télécommunications, les conditions d’administration du système d’information et les responsabilités et sanctions encourues en cas de non respect de la charte.

 

4- La sécurité des postes de travail  :

 

La sécurité des postes de travail implique notamment des mesures permettant de pré- venir les tentatives d’accès frauduleux, l’exécution d’un virus ou la prise de contrôle à distance, notamment par Internet. En fonction du contexte (nature des données, nombre de dossiers accessibles, etc.), le nombre de tentatives autorisées par le système peut varier de cinq à dix. Lorsque la limite est atteinte, le compte en question doit être bloqué, temporairement ou jusqu’à l’intervention d’un administrateur du système. Il est également conseillé d’installer un pare-feu logiciel (firewall). Les antivirus ainsi que tous les autres logiciels utilisés doivent être régulièrement mis à jour. Un verrouillage automatique des sessions à l’issue d’une période d’inactivité permet d’améliorer la sécurité globale du système.

 

5- Les mesures de sauvegarde et d'archivages :

 

Des copies de sauvegarde des données à caractère personnel peuvent être effectuées, conformément à une politique de sauvegarde. Une sécurisation renforcée est requise pour les sauvegardes des données sensibles ou jugées confidentielles par l’organisme (par exemple par une mesure de chiffrement ou une traçabilité renforcée des accès et des opérations effectuées sur les sauvegardes).

 

6- La maintenance :

 

Lors de la maintenance et des interventions techniques, la sécurité des données doit être garantie. La confidentialité des données peut être garantie en prévoyant par exemple d’enregistrer les interventions de maintenance dans une main courante et d’encadrer les interventions effectuées par un responsable de l’organisme. En cas d’assistance sur les postes de travail, les outils d’administration à distance doivent être configurés de manière à recueillir l’accord de l’utilisateur avant toute intervention sur son poste. L’utilisateur doit également pouvoir constater si la prise en main à distance est en cours et quand elle se termine, par exemple grâce à l’affichage d’un message à l’écran. Les données présentes sur les matériels destinés à être mis au rebut doivent être supprimées par une procédure d’effacement sécurisé ou par une destruction physique du matériel. Par conséquent, une inspection du matériel doit être effectuée pour s’assurer que toute donnée a bien été supprimée de façon sécurisée.

 

7- La traçabilité :

 

Afin d’être en mesure d’identifier a posteriori un accès frauduleux à des données personnelles, une utilisation abusive de telles données ou de déterminer l’origine d’un incident, il convient d’enregistrer les actions effectuées sur le système informatique. Le système doit ainsi enregistrer les événements (accès à l’application, accès et opérations sur les données), garantir que ces enregistrements ne peuvent être altérés et conserver ces éléments pendant une durée non excessive. Ces événements sont composés de traces fonctionnelles (traces relatives au fonctionnement de l’application métier), de traces techniques (traces relatives au fonctionnement des éléments réseau et système mis en œuvre sur le système d’information) et de traces embarquées (traces inscrites dans des documents, par exemple, pour en certifier l’origine). À cet effet, il peut être nécessaire de prévoir un système de journalisation (c’est- à-dire un enregistrement dans des « fichiers de logs ») des activités des utilisateurs, des anomalies et des événements liés à la sécurité.

 

8- L'échange d'information avec d'autres organismes :

 

La communication de données à caractère personnel doit être sécurisée. La messagerie électronique et le fax, même s’ils apportent un gain de temps, ne constituent pas un moyen de communication sûr pour transmettre des données personnelles. Une simple erreur de manipulation peut conduire à la divulgation d’informations personnelles à des destinataires non habilités et à porter ainsi atteinte au droit à la vie privée des personnes. En outre, la transmission via Internet de données nominatives comporte, compte tenu de l’absence générale de confidentialité du réseau Internet, des risques importants de divulgation de ces données et d’intrusion dans les systèmes informatiques internes par exploitation de ces données frauduleusement acquises

 

9- Le chiffrement :

 

Le chiffrement, parfois improprement appelé cryptage, est un procédé cryptographique permettant de garantir la confidentialité d’une information. D’autres mécanismes de cryptographie permettent d’assurer d’autres propriétés de sécurité, par exemple l’intégrité et l’authenticité d’un message en le signant.

 

Si tous ces éléments sont réunis, nos données pourront prétendre être sécurisés .

 

 

III- Pourquoi met-on en place un tel processus de sécurité ?

 

Il existe différent types de risques pour les données informatiques : 

 

- Les virus et programmes malveillants ; 

 

- Les e-mails frauduleux ;

 

- Le piratage ; 

 

- Les erreurs de manipulations.

 

Ces risques peuvent entrainer une perte de données ou bien l'extraction de données confidentielles sur des clients, fournisseurs... . Ils peuvent porter atteinte à l'image de l'entreprise. Un tel processus pourra permettre une bonne sécurité de nos données afin de pérenniser l'entreprise.